Безопасность информационных технологий
Безопасность информационных технологий
ВВЕДЕНИЕ
Термин "безопасность информационных технологий" понимается специалистами по-разному, причем чаще всего имеется в виду какой-то один аспект этой проблемы. Например, с точки зрения производителя источников бесперебойного питания серьезную угрозу для вычислительной системы представляет нестабильность энергосети, а с позиции разработчика антивирусных программ - риск уничтожения бесценных данных. Каждый из этих аспектов, безусловно, заслуживает отдельного изучения, но для потребителя важно обеспечить безопасность вообще, а не только по отдельным рискам.
Перед потребителем стоят конкретные задачи - наладить производственный процесс, бухгалтерский или складской учет, управление финансами и кадрами, т.е. обеспечить бизнес-процесс. И если какая-либо реализация информационных технологий (некая совокупность вычислительных систем, средств связи, специализированного оборудования, программ и т.п.) позволяет решить эту задачу оптимальным способом, потребитель тратит время и деньги на ее внедрение. Но доверив бизнес-процесс информационной системе, он попадает в прямую зависимость от ее работоспособности. Эта зависимость критична ровно настолько, насколько критичен для фирмы соответствующий бизнес-процесс. Другими словами, если по любой причине оказалась неработоспособной система, отвечающая за ключевой бизнес-процесс, то это ставит под угрозу существование всего предприятия. И для потребителя безопасность внедряемых информационных технологий - это проблема, связанная с обеспечением их правильного и бесперебойного функционирования.
1. Технические средства
обеспечения безопасности
Представления потребителя о безопасности информационных технологий в конечном счете сводятся в основном к допустимому (с позиции бизнеса) времени простоя информационной системы, а точнее к времени ее восстановления. При этом ему приходится учитывать все возможные причины сбоев. В результате, явно или неявно, расходы предприятий на информационные технологии всегда включают и расходы на обеспечение их безопасности.
Рассмотрим (в самых общих чертах) средства, которые можно применять по отдельности или в сочетаниях:
"горячее" дублирование
системы (полное либо ключевых
компонентов). Например, два идентичных
вычислительных комплекса (
"холодное" резервирование
и поддержание склада запасных
частей и устройств. Время
аварийные сервисы различных
масштабов (гарантийный и
применение оборудования с повышенной отказоустойчивостью, источников бесперебойного питания, специализированных систем диагностики и контроля;
применение специализированных программных и/или аппаратных средств для защиты от хакерских атак;
подписка на антивирусное
обслуживание, в том числе и
с аварийным выездом
"горячие линии" поддержки
(телефонные и через Интернет)
для оборудования и
Следует отметить, что применяемые в каждом конкретном случае средства (и соответствующие расходы) адекватны риску: чем больше предполагаемые потери предприятия от простоя той или иной информационной системы, тем дороже обходятся превентивные меры безопасности.
2. Криминогенные аспекты глобальной сети Интернет
Роль и значение Интернета в сегодняшней жизни очень велики. Постепенно развиваясь, Интернет перестал быть только средством обмена информацией, а приобрел многофункциональность.
Однако необходимо признать, что Интернет находится в настоящее время в какой-то мере вне законодательного регулирования и контроля государственных органов, что порождает различные правонарушения и преступления под действием нескольких факторов, которые существенно влияют на криминогенную обстановку, сложившуюся вокруг Интернета.
1. Возможность мошенничества
при заключении сделок через
Интернет, возможность хищения из
виртуальных магазинов, а
2. Возможность совершения сделок и операций, скрытых от налоговых органов.
3. Возможность нарушения
авторских и патентных прав, а
также использования различных
информационных баз
4. Возможность совершения
преступлений в сфере
Рассмотрим данные факторы подробнее.
1. Многие на Западе
Метод прямых продаж через Интернет позволяет существенно снизить стоимость продукции, так как отпадает нужда в аренде торговых площадей, приобретении торгового оборудования, выплаты заработной платы продавцам и иному персоналу.
Торговля через Интернет
существенно упрощает жизнь и
покупателю. Больше нет необходимости
ездить по различным магазинам и
ярмаркам в поисках места, где
искомый товар стоит дешевле.
Стоит лишь провести несколько минут
у экрана компьютера, и все цены
виртуальных магазинов
К тому же Интернет позволяет производителям продавать свои товары потребителям напрямую, и отпадает необходимость в многочисленных посредниках и перекупщиках.
Электронная торговля быстро развивается. В российской сети каждый день появляются 200 новых сайтов с различными предложениями. По прогнозам специалистов, общий объем рынка Интернет-рекламы достигнет к 2003 году в России 150 млн долл.
Однако Интернет может быть источником опасности. Компьютер занимает большое место в реальном мире, очень многое находится под его управлением. Электронной коммерцией охвачены средний и большой бизнес. Главной проблемой электронной коммерции для юридических лиц является отсутствие в законе системы доказательств, принимаемых и применяемых в судебной практике при рассмотрении споров. Особая проблема - определение места совершенной сделки. А ведь от этого зависят и подсудность, и способы, и размеры налогообложения.
Нынешний уровень
...При рассмотрении споров,
связанных с электронной
Специалисты в области правового регулирования сделок в Интернете отмечают опасность, с которой может столкнуться каждый при совершении тех или иных сделок. Естественно, что обширные возможности сети не могут не привлекать тех, кто отдает предпочтение незаконным формам получения прибыли.
Так, в декабре сотрудники милиции по информации службы безопасности интернет-холдинга eHouse задержали гражданина, который с помощью нескольких похищенных за рубежом кредитных карт совершил хищения из магазина Bolero посредством карточки платежной системы WebMoney: сделал около 30 заказов на общую сумму более 15 тыс.долл. Подозрение у менеджеров магазина вызвало большое количество заказов, поступивших от одного человека, за короткий промежуток времени. При первых же фактах, которые подтвердили подозрения, служба безопасности интернет-холдинга передала информацию в правоохранительные органы.
Проблема безопасности интернет-платежей является основной для виртуальных магазинов. Ведь данные специальных карт, предназначенных для оплаты покупок в Интернете, подчас становятся добычей мошенников. Иногда их воруют прямо из баз данных магазинов. А некоторые преступники специально "открывают" виртуальные магазины, реально ничем не торгующие, для сбора информации о картах, предназначенных для безналичных платежей через Интернет. Поэтому для России основным способом платежей остается оплата товара наличными курьеру в момент доставки.
В августе 2000 года сотрудники столичных правоохранительных органов задержали с поличным двух граждан 19 и 27 лет, занимавшихся воровством в российской части сети Интернет реквизитов пользователей карт для безналичных платежей через Интернет с целью их дальнейшей перепродажи. Хакеры заманивали пользователей сети на свой сайт, предлагая различную интересную информацию. При посещении сайта мошенников пароли считывались вирусом " Троянский конь" и продавались затем с электронного аукциона по демпинговым ценам (по 15 долл., в то время как официальная цена паролей почти в 3 раза выше). По приблизительным подсчетам пользователям был нанесен совокупный ущерб в сумме более 20 тыс. долл.
Ответственность за совершение
данного преступления предусмотрена
ст.159УК РФ. Мошенничество - это хищение
чужого имущества или приобретение
права на чужое имущество путем
обмана или злоупотребления доверием.
Под хищением понимаются совершенные
с корыстной целью
В соответствии с ч.1 ст.159
УК РФ за совершение данного преступления
может наступить
Мошенничество является формой хищения, поэтому ему присущи все признаки этого понятия. При мошенничестве способом завладения чужим имуществом является обман или злоупотребление доверием. При совершении данного преступления потерпевшая сторона сама передает имущество преступнику, полагая, что последний имеет право на его получение. При этом именно обман или злоупотребление доверием побуждает собственника или иного законного владельца передать преступнику имущество или имущественное право.
Обман при мошенничестве
выражается в ложном утверждении
о том, что заведомо не соответствует
действительности, то есть, например, о
том, что данное лицо является законным
владельцем электронной карты, позволяющей
совершать покупки в интернет-
Если мошенничество совершено группой лиц по предварительному сговору, или неоднократно, или лицом с использованием своего служебного положения или сопровождалось причинением значительного ущерба гражданину, к виновному может применяться наказание в виде штрафа в размере от 700 до 1000 МРОТили в размере заработной платы или иного дохода осужденного за период от 7 месяцев до 1 года, либо лишения свободы на срок от 2 до 6 лет со штрафом в размере до 50 МРОТ оплаты труда, или в размере заработной платы или иного дохода осужденного за период до 1 месяца, либо без такового.
Еще одним квалифицированным видом данного преступления является совершение мошенничества организованной группой или в крупном размере или лицом, ранее два или более раза судимым за хищение либо вымогательство. В этом случае наступает ответственность в виде лишения свободы на срок от 5 до 10 лет с конфискацией имущества или без таковой. Крупным размером признается стоимость имущества, в 500 раз превышающая МРОТ, установленный законодательством Российской Федерации на момент совершения преступления.
Правоохранительные органы не может не волновать и участившиеся случаи создания в Интернете виртуальных финансовых пирамид. Отметим, что интернет-трейдинг (покупка и продажа акций, облигаций, паев инвестиционных фондов, фьючерсов) стал развиваться на Западе в начале 90-х годов. Данный вид деятельности довольно быстро завоевал высокую популярность у населения, так как услуги сетевых брокеров стоили значительно дешевле обычных. В итоге, около половины всех заявок на покупку или продажу ценных бумаг приходит в настоящее время через Интернет.
Интернет-трейдинг весьма удобен для рядового инвестора - можно купить и продать акции не выходя из дома или на рабочем месте, причем затратив на это всего несколько минут. Именно высокая популярность интернет-трейдинга и привлекает в данную область различного рода мошенников.
Так, в конце 2000 года Федеральный окружной суд Бостона объявил в розыск О. Павлюченко, владелицу компании Stock Generation. Открыв в 1998 году в Интернете сайт своей компании, которая была зарегистрирована в оффшоре, она стала активно предлагать услуги по игре на виртуальной бирже. На сайте компании Stock Generation были помещены котировки акций несуществующих компаний и рекомендации по их покупке. Для регистрации в качестве инвестора необходимо было выслать чек на сумму 50 долл. на счет компании для возможности играть на бирже. Тем клиентам, которые вовлекали в игру новых участников, выплачивалось 50 долл. На переведенные деньги клиент мог покупать акции, курс которых повышался в среднем на 10% в месяц, однако периодически падал до нуля.
Интересно, что для получения заработанного игроку надо было написать письмо с просьбой выслать деньги, а потом несколько недель ждать чека. В самом начале деятельности компании, когда число инвесторов увеличивалось, Stock Generation выплачивала проценты и вознаграждения за привлечение новых игроков. Однако вскоре поток средств уменьшился, котировки больше не росли, выплаты прекратились. По оценкам Федеральной комиссии по ценным бумагам США, куда направлялись жалобы обманутых вкладчиков, от деятельности компании пострадали более 20 тыс. человек в США. Остается только догадываться, сколько человек были обмануты в других странах.
В ходе расследования было установлено, что с оффшорной компании деньги переводились на счет другой компании в Белизе, а уже оттуда - на счета прибалтийских банков. В случае если владелица виртуальной пирамиды будет задержана в США, ей грозит крупный денежный штраф и до 5 лет лишения свободы.
Учитывая, что интернет-трейдинг довольно быстро развивается в России, в ближайшее время вполне можно прогнозировать появление подобных виртуальных " бирж" с такими же виртуальными котировками.
2. Правительства многих
стран не могли не
Если данные рекомендации будут учтены, то позиции национальных налоговых ведомств стран-участниц организации могут быть в значительной степени унифицированы.
Налоговые ведомства европейских стран планируют использовать Интернет для упрощения процедур, связанных с представлением налоговой отчетности в налоговые органы. Так, в Германии на специальном сайте уже сегодня можно получить бланк специальной декларации о доходах и рекомендации по его заполнению. Однако направлять отчетность по Интернету в налоговое ведомство жители Германии смогут лишь после принятия закона об электронной цифровой подписи. Пока же декларации отсылаются по старинке - по почте или собственноручно доставляются в налоговое ведомство.
С развитием торговли в
российском Интернете МНС России
не могло не предпринять попытку
по регулированию вопросов налогообложения
в данной области. Летом 2000 года были
озвучены планы Министерства по налогообложению
российского рынка интернет-
Налоговиков весьма беспокоит тот факт, что Интернет является вненалоговой зоной. В настоящее время отрабатываются схемы привязки отечественных компаний, оказывающих услуги в Интернете, к России и налогообложению по российскому законодательству.
В 1999 году УМНС по г. Москве впервые опубликовало на своем сайте список фирм, не представивших налоговую отчетность за 1998 год в налоговые органы по месту регистрации.
А Банком России создается подразделение по надзору за электронной коммерцией банков, которое будет изучать вопросы банковского интернет-бизнеса и разрабатывать нормативную базу для регулирования данного процесса.
Электронная коммерция быстро развивается, привлекая все большие финансовые средства. К началу 1999 года в российском Интернете было зарегистрировано около 50 интернет-магазинов. А к концу 2000 года, по оценкам специалистов, реально действовало уже около 500 магазинов. Пока большинство сетевых магазинов имеют месячный оборот 7-12 тыс. долл. Однако и здесь уже есть свои гиганты.
Уже сегодня можно выделить некоторые способы уклонения от уплаты налогов. Во-первых это постоянная смена юридических лиц, участвующих в процессах закупки, хранения и доставки товаров покупателям, во-вторых, представление в налоговые органы по месту регистрации таких фирм " нулевых" балансов.
Возникают вопросы и по применению электронных денег:можно ли считать доход, полученный виртуальными деньгами, как реальный (хотя на эти деньги можно приобрести товары и услуги в Интернете), могут ли компании, принимающие от своих клиентов платежи в электронных деньгах, оптимизировать свои налоговые выплаты, как решить проблему валютного контроля.
Интернет уже используется для уклонения от уплаты налогов и сборов (так, по имеющимся сведениям в Интернете имеются даже несколько виртуальных казино, в которых игра идет, правда, на совершенно реальные деньги). Несколько игроков, находясь дома у своих компьютеров, договариваются об условиях игры (продолжительность игры, размер ставок и т.д.), а владелец сервера - виртуальное казино обеспечивает уплату проигрышей и выплату выигрышей, получая свои проценты. Практикуются случаи открытия своих счетов постоянным игрокам. Отметим, что количество игровых сайтов постоянно увеличивается, а об объемах проходящих через такие казино денежных средств можно только догадываться.
В Интернете встречаются
такие сайты, в которых размещены
похищенные из правоохранительных органов
информационные базы, сведения из которых
за определенную плату предлагаются
всем желающим. И все это происходит
на фоне законодательной
3. В настоящее время
зарегистрированы
Так, в марте 1999 года в одном из судов г. Санкт-Петербурга рассматривалось уголовное дело по ст.272 УК РФ (неправомерный доступ к компьютерной информации). К ответственности по делу привлекались трое граждан, объединившихся в ООО " РР и Ко" и занимавшихся копированием и тиражированием компьютерных баз данных физических и юридических лиц, зарегистрированных в северной столице, а также баз данных жилого фонда с планировкой квартир и полными данными о нанимателях жилья. В приговоре суд отметил, что указанные граждане привлекаются к уголовной ответственности за " неправомерное копирование".
Специалисты Минюста России считают, что дела, связанные с информационными технологиями, необходимо выделить в отдельную категорию и решить вопрос о создании специальных коллегий в судах, специализирующихся на вопросах интеллектуальной собственности. Судьи, работающие в подобных коллегиях, должны получать соответствующую подготовку.
Сотрудников правоохранительных органов не могут не волновать участившиеся случаи появления в Интернете услуг по предоставлению информации из баз, содержащих информацию о месте жительства граждан, находящихся в собственности автомобилях, наличии судимости, оружия и т.д.
В октябре 2000 года состоялся суд над двумя сотрудниками дилингового центра "Кентавр", которые с помощью имевшегося у них оборудования наладили бесперебойный незаконный прием информации одного из крупнейших зарубежных агентств. Правонарушители заключили договоры с рядом крупных российских дилинговых центров, которым по низким расценкам предоставляли информацию этого известного западного агентства. После обращения представителей агентства в правоохранительные органы нарушители были задержаны, и им было предъявлено обвинение в нарушении авторских прав и незаконном использовании товарных знаков. Суд приговорил виновных:одного - к 2 годам и 8 месяцам, другого - 2 годам и 4 месяцам лишения свободы. Вследствие акта амнистии им удалось избежать наказания. Однако агентство рассчитывает получить с них денежную компенсацию убытков, которые по подсчетам компании составили более 10 млн руб.
В ноябре 2000 года сотрудники
милиции вскрыли
4. В связи с развитием
в России глобальных
Данное преступление наказывается штрафом в размере от 200 до 500 МРОТили в размере заработной платы или иного дохода осужденного за период от 2 до 5 месяцев, либо исправительными работами на срок от 6 месяцев до 1 года, либо лишением свободы на срок до 2 лет.
Квалифицированным видом является совершение данного преступления группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.
В этом случае виновного ждет штраф в размере от 500 до 800 МРОТ или в размере заработной платы или иного дохода осужденного за период от 5 до 8 месяцев, либо исправительные работы на срок от 1 года до 2 лет, либо арест на срок от 3 до 6 месяцев, либо лишение свободы на срок до 5 лет.
Если полученная информация
была использована при хищении товаров
или денежных средств из виртуальных
или реальных магазинов и финансово-
В 1999 году к двум годам
лишения свободы условно был
приговорен в Ростовской области
сотрудник одного из местных филиалов
Сбербанка за совершение преступления,
предусмотренного ст.273 УК РФ - создание,
использование и
Ответственность в виде лишения свободы до 3 лет со штрафом в размере от 200 до 500 МРОТили в размере заработной платы или иного дохода осужденного за период от 2 до 5 месяцев может наступить за создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.
Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.
Следует отметить, что создание
вирусов наносит огромный, подчас
невосполнимый ущерб
В Европе фиксируются также и следующие компьютерные преступления:так называемые атаки на серверы компаний, когда на сервер сети одновременно посылается масса запросов, которые парализуют работу всей системы на некоторое время.
По российскому
Отметим случай взлома информационных систем, который состоялся совсем недавно, во время Давосского форума 2001 года. Компьютерные пираты взломали информационные системы этого Форума и похитили засекреченные данные более чем тысяч ее участников, которые содержали номера кредитных карточек, домашние адреса, номера домашних и мобильных телефонов, адреса электронной почты.
Своевременное выявление
и раскрытие преступлений, совершаемых
с использованием компьютерной техники,
затрудняется высоким уровнем латентности
данного вида преступлений (по оценкам
специалистов, он достигает 90%). Не являются
исключением и хищения в
В 2000 году Европейская комиссия
признала, что преступления, совершаемые
с применением электронных
1) похищение персональных
данных пользователей
2) похищение денежных средств с банковских счетов;
3) попытки взлома серверов частных компаний;
4) создание вирусов и
самовольная рассылка
16 декабря 1996 года Генеральная
Ассамблея ООН, отмечая, что
все большее число сделок в
международной торговле

- Безопасность и охрана труда в российской экономике
- Безопасность и охрана труда при производстве аммиака
- Безопасность и риски в интернете и электронной коммерции
- Безопасность и человеческий фактор
- Безопасность и человеческий фактор
- Безопасность и экологичность в кислородно-конвертерном цехе ОАО «ММК»
- Безопасность и экологичность гидроэнергетики
- Безопасность жизнидеятельности как наука
- Безопасность жилища
- Безопасность и жизнедеятельность
- Безопасность и комфортность при работе с ПК
- Безопасность и нормы труда на предприятии
- Безопасность и нормы труда на предприятии
- Безопасность информационных систем