Правила осуществления правовой защиты информации. вспомогательный материал - любой материал, кроме самой компьютерной программы или ее описания, созданный с целью облегчения понимания или применения компьютерной программы, например, описание проблемы или

Современное общество во многом полагается на компьютерную технологию, а компьютер, в свою очередь, не может работать без программного обеспечения. Поэтому неудивительно, что охрана программного обеспечения в качестве интеллектуальной собственности является важной составляющей не только для отрасли программного обеспечения, но и для других отраслей экономики в целом. А вопросы охраны программного обеспечения в качестве интеллектуальной собственности активно обсуждаются российскими заявителями.

В основном, программное обеспечение охраняется с помощью авторского права. Важнейшее преимущество охраны с помощью авторского права - это ее простота. Авторско-правовая охрана является автоматической – она начинается с момента создания произведения и не требует официального подтверждения, регистрации. Кроме того, владелец авторского права пользуется относительно длительной охраной, которая, как правило, продолжается в течение жизни автора плюс 70 лет после смерти автора.

Тем не менее, программное обеспечение в отличие от других объектов авторского права, можно зарегистрировать в Российском патентном ведомстве, которое осуществляет официальную государственную регистрацию программ и баз данных и выдает соответствующие свидетельства о регистрации.

Программа для ЭВМ может быть выражена на любом языке и в любой форме, включая исходный текст и объектный код. Под программой для ЭВМ понимается объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата. Под программой для ЭВМ подразумеваются также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения (ст.1261 ГК РФ).

Для подтверждения исключительного права на программы для ЭВМ или базы данных, как правило, достаточно представить свидетельство о государственной регистрации, выданное Роспатентом.

Однако такое свидетельство подтверждает факт обращения в Роспатент с заявлением о регистрации программного продукта на имя определенного лица. Роспатент не проверяет принадлежность такому лицу исключительного права, а лишь вносит запись в государственный реестр программ и баз данных на основании представленных сведений. За достоверность таких сведений отвечает заявитель.

В соответствии с п.4 ст.1259 ГК РФ для возникновения, осуществления и защиты авторских прав не требуется регистрация произведения или соблюдение каких-либо иных формальностей. Поскольку программное обеспечение охраняется как произведения, для возникновения в отношении его исключительного права у автора достаточно факта его создания в любой объективной форме в результате его творческих усилий. Однако регистрация программного обеспечения в качестве программы для ЭВМ имеет следующие преимущества: позволяет правообладателю более эффективно защищать свои интересы при возникновении споров, свидетельство о регистрации является основным доказательством исключительных прав на этот объект интеллектуальной собственности, а также дает возможность официально передавать (продавать) авторские права на программный продукт и активно распространять их. Таким образом, свидетельство о государственной регистрации компьютерной программы будет являться доказательством в случае возникновении спора: при выявлении плагиата и контрафакта.

Недостатком государственной регистрации программы для ЭВМ, несмотря на свой официальный статус и внешнее сходство с процедурой патентования (заполнение заявления на выдачу и необходимых форм) является то, что свидетельство на программу для ЭВМ не предоставляет никаких дополнительных прав.

А можно ли запатентовать свою программу, чтобы она была так же надежно защищена, как, например, и изобретения? Согласно п. 5 ст. 1350 ГК РФ патентование программ не допускается. Однако алгоритм программы, как последовательность действий (способ), можно защитить в качестве изобретения. Главное условие - это то, что способ должен осуществлять действия над материальными объектами с помощью материальных средств (п. 1 ст. 1350 ГК РФ). Кроме того при оформлении заявки на изобретение необходимо изложить словами суть реализации алгоритма. То есть алгоритм должен быть представлен не программным языком, а этапами мер его реализующих. Каждый такой алгоритм должен быть подкреплён блок-схемами и диаграммами алгоритма. Изобретения патентоспособны, если в них присутствует техническое решение, то есть они решают ту или иную техническую проблему, используя те или иные технические средства. Другими словами, алгоритм программного обеспечения должен быть направлен на достижение положительногоэффекта, чтобы быть патентоспособным. Кроме этого обязательно должны соблюдаться три условия: новизна, изобретательский уровень и промышленная применимость. Преимуществом патентования программного обеспечения в качестве изобретения является монополия на данное техническое решение на протяжении 20 лет, с патентом проще выходить на международный рынок. Однако есть и недостатки: действует территориально, высокая стоимость при распространении патента в других странах, патент подразумевает раскрытие информации, технологии развиваются быстрее, чем заканчивается срок действия патента.

Следующим вариантом получения прав на программное обеспечение является защита в качестве промышленного образца пользовательского интерфейса - разновидность интерфейсов, в котором одна сторона представлена пользователем, а другая устройством/ машиной. Интерфейс пользователя представляет собой совокупность средств и методов, при помощи которых пользователь взаимодействует с различными, чаще всего сложными машинами, устройствами и аппаратурой. Условия патентования интерфейса должны соответствовать условиями патентоспособности промышленного образца. Плюсы и минусы патентования данного объекта интеллектуальной собственности такие же, как и для патентования изобретений.

Делая вывод о возможных вариантах правовой охраны программного обеспечения необходимо отметить следующее. Только разработчик программы может решить каким способом защитить свой продукт, взвешивая гарантии и риски, которые могут сопровождать тот или иной способ из предложенных к получению правовой охраны, с учётом концептуального различия между авторским и патентным правом. Наилучшим решением, с моей точки зрения, будет комплексная защита Ваших прав на программное обеспечение, если разработки являются серьёзными и перспективными

В последнее время правовая охрана программного обеспечения для ЭВМ приобрела наибольшую актуальность. Бурное развитие электронно-вычислительной техники и расширение масштабов ее использования породило не только технические, но и правовые проблемы. К таким проблемам, в частности, относятся возникновение и развитие компьютерной преступности, которая включает в себя хищение информации конфиденциального или секретного характера, хищение денежных сумм, хранящихся в банках, путем изменения программы ЭВМ.

Кроме того, в последние годы участились случаи компьютерного хулиганства, то есть несанкционированного проникновения с помощью персональных компьютеров в чужие информационные сети; нарушение работы компьютерных систем путем выведения из строя программного обеспечения. Эта ситуация осложняется еще и масштабным распространением программного пиратства, которое включает в себя незаконное копирование программ и относящейся к ним документации, использование товарных знаков фирм - производителей программного обеспечения, имеющих высокую репутацию на мировом рынке. Поэтому вопросы правовой охраны такого объекта интеллектуальной собственности, как программа для ЭВМ и баз данных, приобретают на сегодняшний день особую актуальность.

Вступившая в силу с 1 января 2008 г. часть четвертая ГК РФ дополнила и усовершенствовала правовое регулирование в этой области.

Между тем в мире сегодня не существует единого подхода к оптимальным способам защиты интеллектуальных прав на программы для ЭВМ.

Исторически сложилось так, что программы приравнены к литературным произведениям; в частности, это закреплено в Соглашении по торговым аспектам прав интеллектуальной собственности (Соглашение ТРИПС), заключенном в г. Марракеше 15 апреля 1994 г. (п. 1 ст. 10). Соответственно программное обеспечение защищается главным образом авторским правом.

Но в США и в ряде других стран помимо авторско-правовой защиты программных продуктов широко используется механизм патентной охраны. Существенно, что патентуется не сама программа (текст программы, остающийся объектом охраны авторского права), а определенное оригинальное решение конкретной задачи, которому способствует созданный программный продукт.

Указанные способы защиты интеллектуальных прав обладают различными характеристиками. Авторско-правовой защите свойственны всемирный характер; длительный срок защиты (по российскому законодательству в течение всей жизни автора и семидесяти лет после его смерти); бесплатность защиты.

Кроме того, не требуется соблюдения каких-либо формальностей; и в связи с авторско-правовой защитой у автора не возникает каких-либо обязанностей.

Механизм патентной охраны отличают такие особенности, как территориальный характер; условия патентоспособности, требующие проведения экспертизы для принятия решения о выдаче патента; меньший, чем у авторского права, срок охраны (по российскому законодательству 20 лет для изобретений, 10 лет для полезных моделей); платность охраны; возможность аннулирования патентов и принудительного лицензирования.

По мнению сторонников патентования решений, связанных с программами для ЭВМ, защита программных продуктов только с помощью авторского права не в полном объеме обеспечивает соблюдение интересов правообладателей. Вновь созданная программа, даже если она скопирует ранее выявленные технические подходы и решения, будет самостоятельным объектом охраны авторского права. Любое лицо может повторить техническую реализацию идеи, так как в отсутствие патентной охраны способ или решение, выраженное в программе для ЭВМ, не пользуется правовой защитой.

Главными доводами противников являются опасность монополизации рынка программного обеспечения со стороны крупнейших производителей, получивших большое количество патентов, и вследствие этого постепенное исчезновение производителей свободного программного обеспечения (free software) и небольших компаний, лишенных бесплатного доступа к защищенным патентами решениям.

Вопрос о патентовании программных продуктов в действующем российском законодательстве решен неоднозначно. С одной стороны, согласно п. 1 ст. 1259 ГК РФ программы для ЭВМ относятся к объектам авторских прав и охраняются так же, как литературные произведения; в п. 5 ст. 1350 ГК РФ прямо указано, что программы для ЭВМ изобретениями не являются. С другой стороны, этот же пункт устанавливает, что выдача патента исключается "только в том случае, когда заявка на выдачу патента на изобретение касается программ для ЭВМ, как таковых"; далее, ст. 1351 ГК РФ не запрещает патентование программного решения, относящегося к устройству как полезной модели. Таким образом, действующее законодательство допускает патентование технических решений, выраженных в программах. Практика патентования таких объектов будет, как представляется, только нарастать. Уже сейчас в открытой базе Роспатента (реестр российских изобретений) можно найти примеры выданных патентов на программы для ЭВМ.

Итак, как авторская, так и патентная защита программного обеспечения являются основными способами защиты правообладателей. В то же время необходимо отметить, что ряд особенностей программ для ЭВМ, таких как легкость копирования и распространения, возможность декомпилирования и изменения программы, традиционная открытость программного обеспечения для сообщества программистов, стали источником тенденции свободно распространять ПО, которая в последнее время популярна среди некоторых правообладателей.

компьютерный информация безопасность защита

Правовое обеспечение безопасности информации -- это совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых обязательны в системе защиты информации. Вопрос о правовом обеспечении безопасности информации в настоящее время активно прорабатывается как в практическом, так и в законотворческом плане.

В качестве инструментов для совершения компьютерных преступлений используются средства телекоммуникаций и вычислительной техники, программное обеспечение и интеллектуальные знания, а сферами их совершения являются не только компьютеры, глобальные и корпоративные сети (Internet/intranet), но и любые области, где используются современные высокопроизводительные средства информационных технологий, там, где обрабатываются большие объемы информации (например, статистические и финансовые институты).

В связи с этим деятельность любого учреждения нельзя представить без процесса получения самой разнообразной информации, ее обработки вручную или с использованием средств вычислительной техники, принятия на основе анализа информации каких-либо конкретных решений и передачи их по каналам связи.

Компьютер может выступать и как сам предмет посягательств, так и как инструмент, с помощью которого оно возможно. Если разделять два последних понятия, то термин «компьютерное преступление» как юридическая категория не имеет особого смысла. Если компьютер -- только объект посягательства, то квалифицировать правонарушения можно по существующим нормам права. Если же компьютер только инструмент, то достаточен такой признак, как «применение технических средств». Возможно объединение указанных понятий, когда компьютер одновременно и инструмент, и предмет. В частности, к этой ситуации относится факт хищения машинной информации.

Если хищение информации связано с потерей материальных и финансовых ценностей, то этот факт можно квалифицировать как преступление. Также если с данным фактом связываются нарушения интересов национальной безопасности, авторства, то уголовная ответственность прямо предусмотрена в соответствии с законами РФ.

Правовое обеспечение безопасности информации любой страны содержит как международные, так и национальные правовые нормы. В нашей стране правовые или законодательные основы обеспечения безопасности компьютерных систем составляют Конституция РФ, Законы РФ, Кодексы, указы и другие нормативные акты, регулирующие отношения в области информации.

Предметами правового регулирования являются:

• - правовой режим информации защиты информации;
• - правовой статус участников правоотношений в процессах информатизации;
• - порядок отношений субъектов с учетом их правового статуса на различных стадиях и уровнях процесса функционирования информационных структур и систем.

Законодательство по информационной безопасности можно представить как неотъемлемую часть всей системы законов Российской Федерации, в том числе:

• - конституционное законодательство, куда нормы, касающиеся вопросов информатизации, входят как составные элементы;
• - общие основные законы (о собственности, недрах, земле, правах граждан, гражданстве, налогах), которые включают нормы по вопросам информатизации;
• - законы по организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам информации. Наряду с общими вопросами информационного обеспечения деятельности конкретного органа эти нормы должны устанавливать обязанность органа по формированию и актуализации систем и массивов (банков) информации;
• - специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входят законы по информатизации -- именно состав и содержание этих законов образуют специальное законодательство как основу правового обеспечения информатизации и защиту информации;
• - подзаконные нормативные акты в области информатизации;
• - правоохранительное законодательство РФ, содержащее нормы ответственности за правонарушения в области информатизации.

До недавнего времени, а именно до 1 января 1997 года -- даты вступления в действие нового Уголовного Кодекса Российской Федерации (УК РФ) -- в России отсутствовала возможность эффективной борьбы с компьютерными преступлениями. Несмотря на явную опасность, данные посягательства не считались противозаконными, то есть о них не упоминалось в уголовном законодательстве. Хотя еще до принятия нового УК в России была осознана необходимость правовой борьбы с компьютерной преступностью. Был принят ряд законов, которые внесли правовую определенность в процесс компьютеризации нашего общества вообще и проблему компьютерной преступности, в частности, и вместе с другими правовыми актами сформировали пакет документов, охватывающий несколько сотен нормативно-правовых актов (в настоящее время отношения в сфере информационной безопасности регулируются более чем 80 законами, иногда достаточно противоречивыми).

Специальное законодательство в области информатизации представляется совокупностью законов, часть из которых уже принята, а часть находится в разработке. Непосредственно законодательство России в области защиты информации и государственных секретов начало формироваться с 1991 года и включало до 1997 года десять основных законов:

• - «О средствах массовой информации» (от 27.12.91 г. № 2124--1);
• - «Патентный закон РФ» (от 23.09.92 г. № 3517--1);
• - «О правовой охране топологий интегральных микросхем» (от 23.09.92 г. № 3526--1);
• - «О правовой охране программ для электронных вычислительных машин и баз данных» (от 23.09.92 г. № 3523--1);
• - «Основы законодательства об Архивном фонде РФ и архивах» (от 7.07.93 г. №5341--1);
• - «Об авторском праве и смежных правах» (от 9.07.93 г. № 5351--1);
• - «О государственной тайне» (от21.07.93г. № 5485--1);
• - «Об обязательном экземпляре документов» (от 29.12.94 г. № 77--ФЗ);
• - «О связи» (от 16.02.95 г. № 15--ФЗ);
• - «Об информации, информатизации и защите информации» (от20.02.95 г. № 24--ФЗ);
• - «Об участии в международном информационном обмене» (от 5.06.96 г. № 85--ФЗ). Кроме этих законов, на первом этапе создания законодательства в этой области были изданы указы Президента Российской Федерации. Вот лишь некоторые из них:
• - «О создании Государственной технической комиссии при Президенте Российской Федерации» (от 5.01.92 г. № 9);
• - «Концепция правовой информатизации России» (от 23.04.93 г. № 477);
• - «О дополнительных гарантиях прав граждан на информацию» (от 31.12.93 г. № 2334);
• - «Об основах государственной политики в сфере информатизации» (от 20.01.94 г. № 170);
• - «Вопросы защиты государственной тайны» (от 30.03.94 г. № 614);
• - «О совершенствовании деятельности в области информатизации органов государственной власти Российской Федерации» (от 21.04.94 г. № 361);
• - «Вопросы деятельности Комитета при Президенте Российской Федерации по политике информатизации» (от 17.06.94г. № 328);
• - «О совершенствовании информационно-телекоммуникационного обеспечения органов государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации» (от 1.07.94 г. № 1390);
• - «О мерах по соблюдению законности в области разработки, производства, шифрования информации» (от 3.04.95 г. № 334);
• - «Перечень сведений, отнесенных к государственной тайне» (от 30.11.95 г. № 1203);
• - «О мерах по упорядочиванию разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (от 9.01.96 г. № 21);
• - «Перечень сведений конфиденциального характера» (от 6.03.97 г. № 188).

Среди этих законов особое место занимает базовый закон «Об информации, информатизации и защите информации», в котором заложены основы правового определения всех важнейших компонентов процесса информатизации:

• - информатизации и информационных систем;
• - субъектов -- участников процесса;
• - правоотношений производителей -- потребителей информационной продукции, владельцев информации;
• - обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.

Во всех базовых законах определены цели, объекты, понятия и правовые основы защиты информации (информационных ресурсов). Рассмотрим несколько подробнее Закон РФ «Об информации, информатизации и защите информации», который призван обеспечить соблюдение конституционного права граждан на информацию, ее открытость и доступность, получение гражданами и организациями информации о деятельности органов законодательной, исполнительной и судебной власти и другой информации, представляющей общественный и личный интерес, а также содействовать обращению информации в обществе и развитию информатизации. В нем отражены такие вопросы, как порядок документирования информации и ее включение в информационные ресурсы, право собственности на информационные ресурсы, отнесение информации (информационных ресурсов) к категориям открытого и ограниченного доступа, определение механизмов и полномочий по доступу к информации, порядок правовой защиты информации, механизмы установления ответственности за нарушения в этой сфере и другие. В законе определены основные цели защиты информации:

• - предотвращение утечки, хищения, искажения, подделки;
• - обеспечение безопасности личности, общества, государства;
• - предотвращение несанкционированных действий, направленных на уничтожение, искажение, блокирование информации;
• - защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;
• - сохранение государственной тайны, конфиденциальности документированной информации.

Согласно упомянутому закону защите подлежат сведения ограниченного доступа, а степень защиты определяет их собственник. При этом ответственность за выполнение защитных мер лежит не только на собственнике информации, но и на ее пользователе. Поэтому важно четко уяснить: информация, используемая в вашем учреждении, не принадлежит вам, но должна быть обязательно защищена. Причем защищается только документированная информация.

В соответствии с законом документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на:

• - государственную тайну (ст. 8);
• - конфиденциальную информацию (ст. 10).

К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб Российской Федерации. Поскольку информацией этой категории владеет само государство, то, естественно, оно же само и выдвигает определенные требования к ее защите, а также контролирует их исполнение. Это оговаривается Законом Российской Федерации 1993 года «О государственной тайне». Нарушения именно этих требований влекут за собой применение санкций, предусмотренных Уголовным Кодексом РФ, по всей строгости законов.

Конфиденциальная информация -- это документированная информация, правовой режим которой установлен специальными нормами действующего законодательства в области государственной, коммерческой, промышленной и другой общественной деятельности. Информацией этой категории владеют учреждения и организации, поэтому они вправе ею распоряжаться, а, следовательно, и выбирать степень ее защиты. Правда, применить какие-либо санкции в случае нарушения конфиденциальности можно только после предварительного выполнения особых формальностей, оговоренных Гражданским кодексом Российской Федерации.

Суть этих формальностей (ст. 139 Гражданского кодекса РФ) заключается в следующем:

• - информация должна иметь действительную или потенциальную коммерческую ценность и эти сведения не могут быть известны третьим лицам в силу каких-либо других условий;
• - учреждение принимало определенные меры для исключения на законных основаниях свободного доступа к этой информации и охране ее конфиденциальности;
• - все сотрудники, знакомые с этими сведениями, были официально предупреждены об их конфиденциальности.

Только в этом случае закон будет на вашей стороне и вы сможете потребовать возмещения убытков, понесенных от нарушения конфиденциальности информации.

Один из видов конфиденциальной информации -- персональные конфиденциальные данные, которыми владеет каждый из нас, т. к. она касается нашей личной жизни. Однако, понимая степень значимости этой информации и ее роль в обеспечении безопасности личности, государство взяло ее под защиту и рассматривает как одну из своих важнейших задач. Правовая сторона этого вопроса на современном этапе еще недостаточно проработана. Только Закон «Об информации, информатизации и защите информации» относит эти сведения к категории конфиденциальных и требует их защиты наравне с информацией, составляющей государственную тайну.

Из всех многочисленных видов конфиденциальной информации в этом законе упомянуты лишь личная и семейная тайны, персональные данные, тайна переписки, телефонных, почтовых, телеграфных и иных сообщений. Однако уже в 1996 году в Федеральном Законе «Об участии в международном информационном обмене» (ст. 8) государственная тайна определяется как конфиденциальная информация. Эта путаница сохраняется во многих законах, где ссылки «на иные охраняемые секреты, иные охраняемые законом тайны» предполагают продолжение списка видов информации с ограниченным доступом.

В Указе Президента РФ от 6.03.97 г. № 188 предпринята попытка упорядочить перечень конфиденциальной информации. В нем утвержден перечень сведений «конфиденциального характера», где указаны 6 видов такой информации:

• - персональные данные;
• - тайна следствия и судопроизводства;
• - служебная тайна;
• - профессиональная тайна;
• - коммерческая тайна;
• - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

В этих законах определены основные термины и понятия в области компьютерной информации (например, такие как компьютерная информация, программа для ЭВМ, ЭВМ, сеть ЭВМ, база данных и т. п.), регулируются вопросы ее распространения, охраны авторских прав, имущественные и неимущественные отношения, возникающие в связи с созданием, правовой охраной и использованием программного обеспечения и новых информационных технологий. Также раскрываются понятия информационной безопасности и международного информационного обмена. Кроме них, следует также упомянуть Указы Президента РФ, которые касаются, прежде всего, вопросов формирования государственной политики в сфере информатизации (включая организационные механизмы), создания системы правовой информации и информационно-правового сотрудничества с государствами СНГ, обеспечения информацией органов государственной власти, мер по защите информации (в частности, шифрования).

Все эти законы и подзаконные акты в достаточной степени регулировали вопросы охраны исключительных прав и частично защиту информации (в рамках государственной тайны). Не получили достойного отражения в действующем законодательстве права граждан на доступ к информации и защита информации, то есть то, что напрямую связано с компьютерными преступлениями.

Часть указанных пробелов была ликвидирована после введения в действие с 1 января 1997 года нового Уголовного Кодекса, принятого Государственной Думой 24 мая 1996 года. В главе 28 этого Кодекса, которая называется «Преступления в сфере компьютерной информации», приведен перечень признаков, характеризующих общественно опасное деяние как конкретное преступление: составы, компьютерных преступлений:

• - «Неправомерный доступ к компьютерной информации» (ст. 272);
• - «Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273);
• - «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» (ст. 274).

Рассмотрим подробнее все три статьи УК РФ, с целью обрисовать основные признаки совершения компьютерных преступлений, т. е. предусмотренных уголовным законодательством противоправных нарушений, охраняемых законом прав и интересов в отношении компьютерных систем. Сухое описание будет скрашено некоторыми примерами отечественных компьютерных преступлений прошлых лет, компенсирующие бедность правоприменительной практики на базе нового УК РФ.

Итак, статья 272 УК предусматривает ответственность за неправомерный доступ к компьютерной информации (информации на машинном носителе, в ЭВМ или сети ЭВМ), если это повлекло уничтожение, блокирование, модификацию, копирование информации либо нарушение работы вычислительных систем.

Данная статья защищает право владельца на неприкосновенность информации в системе. Владельцем информационной вычислительной системы может быть любое лицо, правомерно пользующееся услугами по обработке информации как собственник вычислительной системы (ЭВМ, сети ЭВМ) или как лицо, приобретшее право использования компьютера.

Преступное деяние, ответственность за которое предусмотрено ст. 272, состоит в неправомерном доступе к охраняемой законом компьютерной информации, который всегда носит характер совершения определенных действий -- проникновение в компьютерную систему путем использования специальных технических или программных средств, позволяющих преодолеть установленные системы защиты; незаконного применения действующих паролей или маскировки под видом законного пользователя, хищения носителей информации, при условии, что были приняты меры их охраны, если это деяние повлекло уничтожение или блокирование информации. Неправомерным признается и доступ к защищенной компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой.

Неправомерный доступ к компьютерной информации должен осуществляться умышленно. Совершая это, преступник сознает, что неправомерно вторгается в компьютерную систему, предвидит возможность или неизбежность указанных в законе последствий, желает и сознательно допускает их наступление либо относится к этому безразлично.

Мотивы и цели данного преступления могут быть любыми: это и корыстный мотив, цель получить какую-либо информацию, желание причинить вред, желание проверить свои профессиональные способности. Следует отметить правильность действий законодателя, исключившего мотив и цель как необходимый признак указанного преступления, что позволяет применять ст. 272 УК к всевозможным компьютерным посягательствам.

Статья состоит из двух частей. В первой части наиболее серьезное воздействие на преступника состоит в лишении его свободы сроком до двух лет. Один из характерных примеров потенциального применения данной статьи -- уголовное дело о хищении 125,5 тыс. долларов США и подготовке к хищению еще свыше 500 тыс. долларов во Внешэкономбанке СССР в 1991 году, рассмотренное московским судом. По материалам другого уголовного дела в сентябре 1993 года было совершено покушение на хищение денежных средств в особо крупных размерах из Главного расчетно-кассового центра Центрального банка России в Москве на сумму 68 млрд рублей. Еще один пример в 1990 году компьютерная программа перечисления взносов работников одного из отечественных предприятий была составлена так, что отчисления производились из зарплаты всех работников в возрасте до 28 лет. Пострадавших оказалось 67 человек. Теперь это можно квалифицировать по части 1 ст. 272 УК.

Часть вторая ст. 272 предусматривает в качестве признаков, усиливающих уголовную ответственность, совершение его группой лиц либо с использованием своего служебного положения, а равно имеющим доступ к информационной вычислительной системе, и допускает вынесение приговора с лишением свободы до пяти лет.

Ярким примером возможности применения ст. 272 могут служить хорошо освещенные средствами массовой информации действия Владимира Левина и других граждан России, которые вступили в сговор с целью похищения денежных средств в крупных размерах, принадлежащих City Bank of America в Нью-Йорке. Образовав преступную группу, они в период с конца июня по сентябрь 1994 года, используя Internet, проникли в корпоративную сеть «Ситибанка» и, преодолев банковскую систему защиты от несанкционированного доступа, с помощью персонального компьютера, находящегося в Санкт-Петербурге в офисе акционерного общества «Сатурн», осуществили денежные переводы на общую сумму около 12 млн долларов США.

В разоблачении и задержании электронных мошенников и их сообщников принимали участие представители спецслужб США, Англии, Израиля, Финляндии, Германии и России. Летом 1994 года система безопасности Нью-Йорского отделения «Ситибанка» зафиксировала попытку несанкционированного проникновения в компьютерную сеть банка и сообщила об этом в ФБР. При очередном несанкционированном входе было определено, что проникали в банковскую систему из Санкт-Петербурга. С этого момента операции по перечислению денег находились под полным контролем спецслужб и затем последовали задержания «с поличным». В Сан-Франциско при получении денег были задержаны супруги Корольковы, в Амстердаме -- Владимир Воронин, в Израиле -- Александр Лашманов. А уже 3 марта 1995 года в Лондоне, в аэропорту Хитроу, был задержан и арестован и сам «мозговой центр» международной преступной группы -- Владимир Левин.

В приведенном примере необходимо подчеркнуть следующую немаловажную деталь: состоявшийся в августе 1995 года лондонский суд отложил принятие решения по делу Левина на неопределенный срок, поскольку в ходе судебного разбирательства было доказано, что для получения доступа к счетам клиентов банка подсудимый использовал в качестве орудия преступления компьютер, находящийся на территории России, а не на территории США, как того требует уголовное законодательство Великобритании. На основании вышеизложенного просьба американских и российских представителей о выдаче им Левина была судом отклонена. И только в январе 1998 года он предстал перед судом в Нью-Йорке по обвинению в хищении через Internet денежных средств «Ситибанка».

Тридцатилетний Владимир Левин признал себя виновным в незаконном проникновении в корпоративную сеть «Ситибанка» и переводе со счетов клиентов банка 3,7 млн долларов США на контролируемые им и его сообщниками счета в Финляндии, Нидерландах, Германии, Израиле и США. В итоге он был приговорен к 3 годам тюрьмы и денежному штрафу в размере 240 тыс. долларов США.

В настоящее время действия этой группы лиц можно квалифицировать по ч. 2 ст. 272 УК РФ, так как в результате предварительного сговора ею был осуществлен неправомерный доступ к секретной банковской информации с целью получения материальной выгоды. Местонахождение непосредственного объекта преступления -- компьютерная система в США -- не повлияло бы на суть дела.

Приведем еще один пример: уголовное дело по обвинению Александра и Бориса Дудровых, которым предъявлено обвинение по ст. 183 УК РФ за незаконное получение и распространение сведений, составляющих коммерческую тайну, по ст. 272 УК РФ за неправомерный доступ к компьютерной информации.

Суть этого дела состоит в следующем. В конце лета 1997 года в адреса различных организаций и коммерческих компаний стала поступать рекламная информация, в которой сообщалось, что компания «Орлов и К°» предлагает к коммерческой продаже различные базы данных с конфиденциальной информацией, анонимные «Голосовые почтовые ящики», телефоны с возможностью программирования ложного телефонного номера. В то же время на рынке стали распространяться лазерные компакт-диски с базами данных абонентов компаний сотовой связи, базами данных о недвижимости, базой данных о юридических лицах Санкт-Петербурга с указанием подробных сведений об учредителях, виде деятельности и уставном капитале и др. В ходе следствия установлено, что Дудровы (отец и сын) в результате обобщения конфиденциальной информации, полученной из различных источников, создали и распространяли базу данных «Весь Питер», в общей сложности реализовав дисков на сумму более 43 млн неденоминированных рублей. Они приобрели информацию о номерах и кодах доступа к 1000 голосовым почтовым ящикам, которая реализовывалась различным гражданам.

В соответствии со ст. II Закона «Об информации, информатизации и защите информации», вышеуказанные сведения относятся к категории конфиденциальной информации. Дудровы не имели полномочий на нее, нарушали режим защиты, обработки и порядок использования данной информации, а также нарушали условия лицензирования, так как фактически не разрабатывали программное обеспечение, а незаконно ее собирали, адаптировали в программы, пригодные для коммерческого использования, после чего сбывали в Санкт-Петербурге.

Своими действиями Дудровы причинили крупный ущерб государству в виде необоснованной критики в связи с нарушениями порядка сбора, хранения и распространения информации о частной жизни граждан. Кроме того, они допустили свободное использование конфиденциальных баз данных криминальными структурами, тем самым существенно осложнив деятельность правоохранительных органов. Они причинили значительный материальный и моральный вред компаниям сотовой телефонной связи, которые в результате потеряли имидж и, следовательно, потеряли клиентов.

Итогом их деятельности стал суд. В апреле 1999 года Выборгский районный суд Санкт-Петербурга приговорил директора 000 «Орлов и К°» Александра Дудрова к 1 году и 3 месяцам лишения свободы в колонии общего режима, его отца, Бориса Дудрова, работавшего заместителем в той же фирме, и сотрудника «СПб таксофоны» Сергея Аксенова -- к 1 году исправительных работ. Правда, всех их тут же амнистировали, но прецедент был создан -- впервые суд вынес приговор компьютерным пиратам.

По уголовному законодательству субъектами компьютерных преступлений могут быть лица, достигшие 16-летнего возраста, однако часть вторая ст. 272 предусматривает дополнительный признак у субъекта, совершившего данное преступление, -- служебное положение, а равно доступ к ЭВМ, системе ЭВМ или их сети, способствовавших совершению преступления.

Ст. 272 УК не регулирует ситуацию, когда неправомерный доступ осуществляется в результате неосторожных действий, что, в принципе, отсекает много возможных посягательств и даже те действия, которые совершались умышленно, так как при расследовании обстоятельств доступа будет крайне трудно доказать умысел компьютерного преступника (например, в сети Internet, объединяющей миллионы компьютеров, в связи со спецификой работы, при переходе по ссылке от одного компьютера к другому довольно легко попасть в защищаемую информационную зону, даже не заметив этого).

Важна причинная связь между несанкционированным доступом и наступлением предусмотренных ст. 272 последствий, поэтому простое временное совпадение момента сбоя в компьютерной системе, которое может быть вызвано неисправностями или программными ошибками, и неправомерного доступа не влечет уголовной ответственности.

Ст. 273 УК защищает права владельца компьютерной системы на неприкосновенность находящейся в ней информации и предусматривает уголовную ответственность за создание программ для ЭВМ или их модификацию, заведомо приводящее к несанкционированному уничтожению, блокированию и модификации данных, либо копированию информации, нарушению работы информационных систем, а равно использование таких программ или носителей таких программ.

Вредоносные программы в смысле ст. 273 УК РФ -- это программы, специально разработанные для нарушения нормального функционирования компьютерных систем. Под нормальным функционированием понимают выполнение определенных в документации на программу операций. Наиболее распространены компьютерные вирусы и логические бомбы.

Для привлечения к ответственности по ст. 273 необязательно наступление каких-либо отрицательных последствий для владельца информации, достаточен сам факт создания программ или внесения изменений в существующие программы, заведомо приводящих к негативным последствиям, перечисленным в статье. Использование программ -- это выпуск в свет, воспроизведение, распространение и иные действия по их введению в информационный обмен. Использование может осуществляться путем записи в память ЭВМ, на материальный носитель, распространения по сетям либо передач другим лицам иным путем.

Уголовная ответственность по этой статье возникает уже в результате создания программы, независимо от того, использовалась она или нет. По смыслу ст. 273 наличие исходных текстов вирусных программ уже есть основание для привлечения к ответственности. Следует учитывать, что в ряде случаев использование подобных программ не будет уголовно наказуемым. Это относится к деятельности организаций, разрабатывающих антивирусные программы и имеющих соответствующую лицензию.

Данная статья состоит из двух частей, отличающихся друг от друга признаком отношения преступника к совершаемым действиям. Преступление, предусмотренное частью 1 ст. 273, может быть совершено только умышленно, с сознанием того, что создание, использование или распространение вредоносных программ заведомо должно привести к нарушению неприкосновенности информации. Причем цели и мотивы не влияют на квалификацию посягательства по данной статье, поэтому самые благородные побуждения (например, борьба за экологическую чистоту планеты) не исключают ответственности за само по себе преступное деяние. Максимально тяжелым наказанием для преступника в этом случае будет лишение свободы до трех лет.

Часть вторая ст. 273 в качестве дополнительного квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. При совершении преступления, предусмотренного частью 2 рассматриваемой статьи, лицо сознает, что создает вредоносную программу, использует либо распространяет такую программу или ее носители и либо предвидит возможность наступления наказания, но без достаточных к тому оснований самонадеянно рассчитывает на его предотвращение, либо не предвидит этих последствий, хотя при необходимой внимательности и предусмотрительности должно и могло их предусмотреть. Данная норма закономерна, поскольку разработка вредоносных программ доступна только квалифицированным программистам; они в силу своей профессиональной подготовки должны предвидеть потенциально возможные последствия использования этих программ, которые могут быть весьма многообразными: смерть человека, вред здоровью, возникновение реальной опасности военной или иной катастрофы, нарушение функционирования транспортных систем. По этой части суд может назначить максимальное наказание в виде семи лет лишения свободы.

В 1983 году на одном автомобильном заводе нашей страны был изобличен программист, который из мести к руководству предприятия умышленно внес изменения в программу ЭВМ, управлявшей подачей деталей на конвейер. В результате произошедшего сбоя заводу был причинен материальный ущерб: не сошло с конвейера свыше сотни автомобилей. Программист был привлечен к уголовной ответственности. Подсудимый обвинялся по ст. 98 ч. 2 Уголовного кодекса РСФСР «Умышленное уничтожение или повреждение государственного или общественного имущества... причинившее крупный ущерб». При этом обвиняемый утверждал, что ничего натурально повреждено не было -- нарушенным оказался лишь порядок работы, то есть действия, не подпадающие ни под одну статью действующего в то время законодательства. С научной точки зрения интересен приговор суда: «Три года лишения свободы условно; взыскание суммы, выплаченной рабочим за время вынужденного простоя главного конвейера; перевод на должность сборщика главного конвейера».

В настоящее время квалификация действий этого программиста должна была бы производиться по ч. 1 ст. 273. Он умышленно создал и использовал в заводском компьютере вредоносную программу, нарушившую технологический процесс. Но если видоизменить проводимый мысленный эксперимент: по неосторожности (допустим, из-за конфликта программного и аппаратного обеспечения) действие программы привело к тяжким последствиям -- гибели людей на конвейере. Тогда, несомненно, указанные действия квалифицируются уже по ч. 2 ст. 273. А если убрать «неосторожность» и считать, что преступник действовал умышленно, то тогда оказывается, что в этом случае за тяжкие последствия по ст. 273 отвечать не нужно.

Как свидетельствуют материалы одного уголовного дела, сотрудник отечественной АЭС из корыстных побуждений использовал в системах управления станцией несанкционированные программные модули. В итоге это привело к искажению информации, отображаемой на пульте оператора атомного реактора, повлекшее возникновении нештатной ситуации, последствия которой не нуждаются в пояснении. Отсюда закономерно сделать вывод о том, что формулировку данной статьи следует изменить.

Если же в действиях лица содержатся не только признаки преступления, предусмотренного ст. 273 УК, но и признаки другого преступления (убийства, уничтожения имущества), виновный будет нести ответственность по совокупности совершенных преступлений.

Статья 274 УК устанавливает ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ним, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред.

Статья защищает интерес владельца вычислительной системы относительно ее правильной эксплуатации. В ней охраняемой законом информацией считается информация, для которой в специальных законах установлен режим ее правовой защиты.

Однако между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь и полностью доказано, что наступившие последствия являются результатом именно нарушения правил эксплуатации. Определение существенного вреда, предусмотренного в данной статье, устанавливается судом в каждом конкретном случае, исходя из обстоятельств дела, однако очевидно, что существенный вред должен быть менее значительным, чем тяжкие последствия.

Преступник, нарушивший правило эксплуатации, -- это лицо, в силу должностных обязанностей имеющее доступ к компьютерной системе и обязанное соблюдать установленные для этой системы технические правила.

Кроме того, преступник должен совершать свое деяния умышленно, он должен сознавать, что нарушает правила эксплуатации, предвидя возможность или неизбежность неправомерного воздействия на информацию и причинение существенного вреда, желает или сознательно допускает причинение такого вреда или относится к его наступлению безразлично. Что наиболее строго наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Данная уголовная норма, естественно, не содержит конкретных технических требований и отсылает к ведомственным инструкциям и правилам, определяющим порядок работы, которые должны устанавливаться специально уполномоченным лицом и доводиться до пользователей. Применение данной статьи невозможно для Internet, ее действие распространяется только на локальные сети организаций.

В части второй статьи 274 предусматривается ответственность и за неосторожные деяния. По ней должны квалифицироваться, например, действия специалиста по обслуживанию системы управления транспортом, установившего инфицированную программу без антивирусной проверки, повлекшее серьезную транспортную аварию.

По данным правоохранительных органов, имеются сведения о фактах несанкционированного доступа к ЭВМ вычислительного центра железных дорог России, а также к электронной информации систем учета жилых и нежилых помещений местных органов управления во многих городах, что в наше время подпадает под ответственность, предусмотренную ст. 272 УК, либо ст. 274 УК в зависимости от действий лица, осуществившего посягательство, и правил эксплуатации конкретной сети.

Следует отметить, что признаки преступлений, предусмотренных в статьях 272 и 274 УК, с технической точки зрения весьма похожи. Различие заключается в правомерности или неправомерности доступа к ЭВМ, системе ЭВМ или их сети. Статья 274 УК отсылает к правилам эксплуатации конкретной компьютерной системы, а в статье 272 УК в качестве одного из последствий указывается нарушение работы компьютерной системы, что, с технической точки зрения, является отступлением от правил и режима эксплуатации.

Подводя некоторые итоги, можно сделать вывод о том, что сложность компьютерной техники, неоднозначность квалификации, а также трудность сбора доказательственной информации не приведет в ближайшее время к появлению большого числа уголовных дел, возбужденных по статьям 272-274 УК.

Предусмотренные составы компьютерных преступлений не охватывают полностью всех видов совершения компьютерных посягательств. В этом случае будут оказывать помощь статьи 146 УК РФ (нарушение авторских и смежных прав), 147 УК РФ (нарушение изобретательских и патентных прав), и 155 (незаконное использование товарных знаков), дающие возможность уголовного преследования за незаконное использование программного обеспечения.

17 марта 1998 года Экономический отдел РУОП Санкт-Петербурга провел крупномасштабную операцию по пресечению фактов незаконного оборота контрафактного программного обеспечения. Этой операции предшествовали сотрудничество с Ассоциацией производителей программного обеспечения (Business Software Alliance, BSA), тщательный сбор информации об объектах реализации контрафактной продукции, компьютерное исследование образцов пиратской продукции. Кроме того, была получена поддержка и заявления компаний «Проект МТ», «1C», «Фирмы БИТ» о нарушении их авторских прав. На основании собранных материалов накануне операции прокуратура завела уголовное дело по ст. 142 ч. 2 УК РФ по фактам нарушения авторских прав, и были получены санкции на проведение следственных действий.

Сами пираты окрестили день 17 марта 1998 года как «черный вторник». В результате операции было изъято около 24 000 компакт-дисков со сборниками программных продуктов различных компаний-производителей, на которых находилось порядка 500 тыс. программных продуктов на сумму около 30 млн долларов США.

В период с 15 по 30 октября 1998 года в Москве была произведена проверка торговых комплексов, отдельных фирм и торговых точек. В результате проверок было обнаружено и изъято более 400 тыс. нелицензионных компьютерных дисков и заведено несколько уголовных дел по ст. 146 УК РФ.

К правовому обеспечению относятся и такие формы, как составление договоров на проведение работ и на оказание информационных услуг. Здесь правовая гарантия предусматривается определенными условиями ответственности за нарушение сторонами принятых обязательств (помимо возмещения убытков, возможны штрафные санкции).

Кроме этих гарантий, стороны могут застраховаться от убытков. Тогда они в договоре определяют, какая именно сторона заключает договор страхования со страховой компанией, а также случаи возникновения убытков, подлежащих страхованию. Как правило, страхование берет на себя исполнитель, но тогда страховая сумма учитывается при определении суммы договора.

В условиях неразвитого государственного правового механизма обеспечения безопасности компьютерных сетей серьезное значение приобретают документы предприятия, регулирующие отношения с государством и с коллективом сотрудников на правовой основе. К таким основополагающим документам, которые также играют важную роль в обеспечении безопасности, можно отнести:

• - устав предприятия (фирмы, банка), закрепляющий условия обеспечения безопасности деятельности и защиты информации;
• - коллективный договор;
• - трудовые договоры с сотрудниками предприятия, содержащие требования по обеспечению защиты сведений, составляющих коммерческую тайну и др.;
• - правила внутреннего трудового распорядка рабочих и служащих;
• - должностные обязанности руководителей, специалистов и обслуживающего персонала.

1. Международные стандарты в области информационной безопасности Общие вопросы

За рубежом разработка стандартов проводится непрерывно, последовательно публикуются проекты и версии стандартов на разных стадиях согласования и утверждения. Некоторые стандарты поэтапно углубляются и детализируются в виде совокупности взаимосвязанных по концепциям и структуре групп стандартов.

Принято считать, что неотъемлемой частью общего процесса стандартизации информационных технологий (ИТ) является разработка стандартов, связанных с проблемой безопасности ИТ, которая приобрела большую актуальность в связи с тенденциями все большей взаимной интеграции прикладных задач, построения их на базе распределенной обработки данных, систем телекоммуникаций, технологий обмена электронными данными.

Разработка стандартов для открытых систем, в том числе и стандартов в области безопасности ИТ, осуществляется рядом специализированных международных организаций и консорциумов таких, как, например, ISO,IЕС,ITU-T,IEEE,IАВ,WOS, ЕСМА,X/Open,OSF,OMGи др. [Су].

Значительная работа по стандартизации вопросов безопасности ИТ проводится специализированными организациями и на национальном уровне. Все это позволило к настоящему времени сформировать достаточно обширную методическую базу, в виде международных, национальных и отраслевых стандартов, а также нормативных и руководящих материалов, регламентирующих деятельность в области безопасности ИТ.

Архитектура безопасности Взаимосвязи открытых систем

Большинство современных сложных информационных структур, лежащих в качестве основы существующих АС проектируются с учетом идеологии Эталонной модели (ЭМ) Взаимосвязи открытых систем (ВОС), которая позволяет оконечному пользователю сети (или его прикладным процессам) получить доступ к информационно-вычислительным ресурсам значительно легче, чем это было раньше. Вместе с тем концепция открытости систем создает ряд трудностей в организации защиты информации в системах и сетях. Требование защиты ресурсов сети от НСД является обязательным при проектировании и реализации большинства современных информационно-вычислительных сетей, соответствующих ЭМ ВОС.

В 1986 г. рядом международных организаций была принята Архитектура безопасности ВОС (АБ ВОС) . В архитектуре ВОС выделяют семь уровней иерархии: физический, канальный, сетевой, транспортный, сеансовый, представительный и прикладной. Однако в АБ ВОС предусмотрена реализация механизмов защиты в основном на пяти уровнях. Для защиты информации на физическом и канальном уровне обычно вводится такой механизм защиты, как линейное шифрование. Канальное шифрование обеспечивает закрытие физических каналов связи с помощью специальных шифраторов. Однако применение только канального шифрования не обеспечивает полного закрытия информации при ее передаче по сети, так как на узлах коммутации пакетов информация будет находиться в открытом виде. Поэтому НСД нарушителя к аппаратуре одного узла ведет к раскрытию всего потока сообщений, проходящих через этот узел. В том случае, когда устанавливается виртуальное соединение между двумя абонентами сети и коммуникации, в данном случае, проходят по незащищенным элементам сети, необходимо сквозное шифрование, когда закрывается информационная часть сообщения, а заголовки сообщений не шифруются. Это позволяет свободно управлять потоками зашифрованных сообщений. Сквозное шифрование организуется на сетевом и/или транспортном уровнях согласно ЭМ ВОС. На прикладном уровне реализуется большинство механизмов защиты, необходимых для полного решения проблем обеспечения безопасности данных в ИВС.

АБ ВОС устанавливает следующие службы безопасности (см. табл.15.1).

обеспечения целостности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);

обеспечения конфиденциальности данных (с установлением соединения, без установления соединения и для выборочных полей сообщений);

Таблица 15.1

Назначение службы	Номер службы	Процедура защиты	Номер уровня
Аутентификация: Одноуровневых объектов источника данных		Шифрование, цифровая подпись Обеспечение аутентификации Шифрование Цифровая подпись
Контроль доступа		Управление доступом
Засекречивание: соединения в режиме без соединения выборочных полей потока данных		Шифрование Управление трафиком Шифрование Управление трафиком Шифрование Шифрование Заполнение потока Управление трафиком
Обеспечение целостности: соединения с восстановлением соединения без восстановления выборочных полей без установления соединения выборочных полей без соединения		Шифрование, обеспечение целостности данных Шифрование, обеспечение целостности данных Шифрование Цифровая подпись Обеспечение целостности данных Шифрование Цифровая подпись Обеспечение целостности данных
Обеспечение невозможности отказа от факта: отправки доставки		Цифровая подпись, обеспечение целостности данных, подтверждение характеристик данных

контроля доступа;

аутентификации (одноуровневых объектов и источника данных);

обеспечения конфиденциальности трафика;

обеспечения невозможности отказа от факта отправки сообщения абонентом - передатчиком и приема сообщения абонентом - приемником.

Создание копий программных средств для изучения или несанкционированного использования является одним из наиболее широко распространенных правонарушений в сфере компьютерной информации, что предопределяет необходимость защиты программного обеспечения.

В общем случае под защитой программного обеспечения понимается комплекс мер, направленных на защиту программного обеспечения от несанкционированного приобретения, использования, распространения, модифицирования, изучения и воссоздания аналогов.

При организации защиты программного обеспечения используются различные меры: организационные, правовые, технические.

Основная идея организационных мер защиты заключается в том, что полноценное использование программного продукта невозможно без соответствующей поддержки со стороны производителя: подробной пользовательской документации, «горячей линии», системы обучения пользователей, обновление версий со скидкой и т.п. Организационные меры защиты применяются, как правило, крупными разработчиками к достаточно большим и сложным программным продуктам.

Правовые меры защиты программного обеспечения заключаются в установлении ответственности за использование программного обеспечения с нарушением порядка, установленного действующим законодательством.

Так статья 7.12. Кодекса Российской Федерации об административных правонарушениях предусматривает административную ответственность за нарушение авторских и смежных прав, изобретательских и патентных прав. А статьей 146 Уголовного кодекса Российской Федерации за нарушение авторских и смежных прав, если это нарушение привело к причинению крупного ущерба, установлена уголовная ответственность.

Технические методы защиты программного обеспечения можно классифицировать по способу распространения защищаемого программного обеспечения и типу носителя лицензии.

Локальная программная защита

Данный вид защиты подразумевает необходимость ввода серийного номера (ключа) при установке или запуске программы. История этого метода началась тогда, когда приложения распространялись только на физических носителях (к примеру, компакт-дисках). На коробке с диском был напечатан серийный номер, подходящий только к данной копии программы.

С распространением сетей очевидным недостатком стала проблема распространения образов дисков и серийных номеров по сети. Поэтому в настоящий момент данный метод используется только в совокупности одним или более других методов (к примеру, организационных).

Сетевая программная защита

В этом случае осуществляемое программой сканирование сети исключает одновременный запуск двух программ с одним регистрационным ключом на двух компьютерах в пределах одной локальной сети. Недостаток данного метода заключается в том, что брандмауэр можно настроить так, чтобы он не пропускал пакеты, принадлежащие защищённой программе.

Глобальная программная защита

Если программа работает с каким-то централизованным сервером и без него бесполезна (например, сервера обновлений антивирусов), она может передавать серверу свой серийный номер; если номер неправильный, сервер отказывает в услуге. Недостаток в том, что, существует возможность создать сервер, который не делает такой проверки.

Защита при помощи компакт-дисков

Программа может требовать оригинальный компакт-диск. Стойкость таких защит невелика, ввиду широкого набора инструментов снятия образов компакт-дисков. Как правило, этот способ защиты применяется для защиты программ, записанных на этом же компакт-диске, являющимся одновременно ключевым.

Для защиты от копирования используется:

Запись информации в неиспользуемых секторах;

Проверка расположения и содержимого «сбойных» секторов;

Проверка скорости чтения отдельных секторов.

Первые два метода практически бесполезны из-за возможности снятия полного образа с диска с использованием соответствующего прикладного программного обеспечения. Третий метод считается более надежным (используется, в частности, в защите StarForce). Но существуют программы, которые могут эмулировать диски с учётом геометрии расположения данных, тем самым обходя и эту защиту. В StarForce, в числе прочих проверок, также выполняется проверка возможности записи на вставленный диск. Если она возможна, то диск считается не лицензионным. Однако, если образ будет записан на диск CD-R, то указанная проверка пройдет. Возможно, также, скрыть тип диска, чтобы CD-R или CD-RW был виден как обычный CD-ROM. Однако, в драйвер защиты может быть встроена проверка на наличие эмуляции.

В настоящее время наибольшую известность в мире имеют системы защиты от копирования SecuROM, StarForce, SafeDisc, CD-RX и Tages.

Защита при помощи электронных ключей

Электронный ключ, вставленный в один из портов компьютера (с интерфейсом USB, LPT или COM), содержит ключевые данные, называемые также лицензией, записанные в него разработчиком защищенной программы. Защита программы основывается на том, что только ему (разработчику) известен полный алгоритм работы ключа.

Ключ распространяется с защищаемой программой. Программа в начале и в ходе выполнения считывает контрольную информацию из ключа. При отсутствии ключа выполнение программы блокируется.

Одним из основных достоинств защиты программных средств с использованием электронных ключей является то, что ключ можно вставлять в любой компьютер, на котором необходимо запустить программу.

Привязка к параметрам компьютера и активация

Привязка программного обеспечения к информации о пользователе / конфигурации компьютера и последующая активация программного обеспечения в настоящий момент используется достаточно широко (пример – операционная система Windows).

В процессе установки программа подсчитывает код активации – контрольное значение, однозначно соответствующее установленным комплектующим компьютера и параметрам установленной программы. Это значение передается разработчику программы. На его основе разработчик генерирует ключ активации, подходящий для активации приложения только на указанной машине (копирование установленных исполняемых файлов на другой компьютер приведет к неработоспособности программы).

Достоинство данного метода защиты заключается в том, что не требуется никакого специфического аппаратного обеспечения, и программу можно распространять посредством цифровой дистрибуции (по сети Интернет).

Основной недостаток заключается в том, что программное обеспечение становится неработоспособным в случае, если пользователь производит модернизацию компьютера (если привязка осуществляется к аппаратной конфигурации компьютера).

В качестве привязки используются, в основном, серийный номер BIOS материнской платы, серийный номер винчестера. В целях сокрытия от пользователя данные о защите могут располагаться в неразмеченной области жесткого диска.

Защита программ от копирования путём переноса их в онлайн

Другим направлением защиты программ является использование подхода SaaS, то есть предоставление функционала этих программ (всего или части), как сервиса. При этом код программы расположен и исполняется на сервере, доступном в глобальной сети. Доступ к нему осуществляется по принципу тонкого клиента.

ЗАКЛЮЧЕНИЕ

Защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом обстоятельств. При этом необходимо помнить, что естественные каналы утечки информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты. Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести, в том числе, и несанкционированный доступ к информации, обрабатываемой в компьютерных системах и т.д. В этой связи особую роль и место в деятельности по защите информации занимают мероприятия по созданию комплексной защиты, неотъемлемым элементом которой является защита информации в компьютерных системах.

Для более полного уяснения вопросов, рассмотренных в рамках настоящей лекции, необходимо внимательно ознакомиться с основной и дополнительной литературой по теме лекции, а также выполнить задания, вынесенные на самостоятельную подготовку.

Разработал:

начальник кафедры административно-правовых

дисциплин и информационного обеспечения ОВД

полковник полиции ___________________________Григорьев А.Н.

«___»______________ 2012 г.

Замечания и предложения по содержанию лекции: