11.2. Правовые меры предотвращения несанкционированного доступаНазад
11.2. Правовые меры предотвращения несанкционированного доступа
По данным некоторых исследователей, основной удельный вес форм защиты компьютерной информации приходится на правовые средства - 60%, на криптографические - 20%, на программные - 14% и на аппаратные и иные физические - 2%[1], остальные меры - организационные. Таким образом, юриспруденция как бы оказывается в том же авангарде прогресса, что и компьютер.
Законодательство в течение долгого времени как бы выступало в роли стабилизирующего механизма в рассматриваемой области. К сожалению, одним из основных изменений, вызванных переходом общества из промышленной эпохи в эру информатики, является утрата правовой стабильности. Утрата правовой стабильности в сфере использования компьютерной техники еще недостаточно осознана. На начальных стадиях этого процесса законодатель обращал внимание на гражданские права и учитывал необходимость охранять тайны в компьютеризованном обществе.
Сегодня специальные законы, направленные на защиту секретности, приняты в Австрии, Канаде, Дании, ФРГ, Франции, Венгрии, Исландии, Израиле, Люксембурге, Норвегии, Швеции и Великобритании. В некоторых федеративных странах, таких, как США, помимо федеральных уставов об обработке информации существуют аналогичные законы в различных штатах. Еще в 1970 году в США был введен устав об отчетности по кредитам, направляющий деятельность предприятий, в достаточной степени оснащенных машинной техникой. Ряд стран стоит на пороге принятия таких законов.
Законодательство, регулирующее этот вопрос, имеется и в некоторых развивающихся странах. Одним из примеров является Бразилия, но бразильский закон сосредоточен не только на секретности. Он защищает национальное развитие, рынок труда, "ноу-хау", национальную безопасность, суверенитет и т. д. В КНР действует Совет по инспектированию данных, или Инспекторат, но его деятельность сосредоточена в основном на охране компьютеров.
Некоторые из существующих законов, по-видимому, охватывают больше проблем, чем другие, но сравнивать их без детального ознакомления с законодательством той или иной страны в целом невозможно. Например, на стандарт защиты секретности значительное влияние оказывают конституционные законы об информации, процессуальное законодательство, уголовные кодексы, административные распоряжения. Так, свобода информации может, например, усиливать или ослаблять защиту секретности.
Страны, в которых действует законодательство по защите секретности, находятся в преимущественном положении. В этих странах глубже осознаны другие правовые проблемы, не разграничиваются индивидуальная секретность и секретность юридических лиц - ведь это один и тот же вопрос.
Поскольку поначалу в центре внимания оказалось законодательство о секретности, компьютерная технология не отражалась должным образом в других частях национального законодательства. В уголовное законодательство некоторых стран были внесены поправки не только с целью защиты секретности, но и для решения других проблем. В Уголовный кодекс Дании, например, соответствующие поправки внесены в 1975 году, тогда как указ о защите данных был введен в действие только в 1978 году. В Швеции некоторые пункты указа об охране данных предусматривали и неперсональные данные. Так, в статье 21 содержится описание всех видов "злоупотребления данными". А это означает, что правонарушители могут быть наказаны за несанкционированное использование любого типа машинной информации, а также неперсональных данных. Этот пункт является дополнением к Уголовному кодексу, который не охватывает все виды преступлений, связанных с компьютерами, или, как мы говорим, компьютерных преступлений.
Компьютерное преступление, как правило, легко совершается, но трудно раскрывается, а иногда, даже будучи раскрытым, остается не вполне доказуемым. Вот почему уголовные законы со временем начнут ужесточаться по отношению к лицам, злоупотребляющим данными.
Имеется мало примеров правомерного обыска базы данных. Есть ли смысл обыскивать компьютер? Вправе ли правоохранительные органы проводить такой обыск? И если после обыска компьютера выясняется, что в этом не было необходимости, кто будет компенсировать подчас очень высокие стоимости простоев? Целесообразно ли добиваться санкции на домашний обыск, когда в некоторых странах можно получить гораздо больше информации с помощью неконтролируемого использования общественных терминалов к гигантским базам данных?
Другая правовая проблема - обслуживание с помощью телетекста и использование других огромных баз данных. Эти технические средства граничат с традиционными средствами массовой информации, такими, как газеты, радио и телевидение (в указанных областях тоже, кстати, отрегулированы не все отношения).
В 60-х и в начале 70-х годов высказывались опасения по поводу последствий, которые повлекут за собой компьютеры, делающие человеческую жизнь "прозрачной". Это стало проблемой и для организаций. Традиционные официальные постановления о секретности, защищающие информацию такого рода, также как и национальная охрана информации, не действуют в должной степени в сфере компьютеров. Все возрастающая нехватка адекватных законов иногда приводит к мысли о том, что с точки зрения защиты информации может быть было бы лучше вообще не иметь законов, чем иметь устаревшие. Отсутствие компетентности у властей еще больше усугубляет положение.
Истинной проблемой является вера законодателей в то, что их законам следуют. Законы все еще подготавливаются традиционными методами, и законодатели до сих пор считают, что за их применением следят опытные юристы. На самом же деле в компьютеризированных обществах обычно за этим "следят" программисты, которые трансформируют законы на технический лад, после чего они используются для тысяч решений в год, подготавливаемых компьютером. При таких условиях неудивительно, что некоторые пророки предсказывают необходимость принципиально новых конституций, предполагая, что в будущем потребуется новый тип демократии.
Таково общее положение дел, и Дж. Фриз, отвечая на им же поставленный вопрос "Что даст вам правовой парашют, когда сохранность ваших данных летит в бездну?", говорит: "Ваш правовой парашют поможет вам, как рыбацкая сеть с крупными ячейками. Хотите верьте, хотите нет, а предприниматели надорвут себе глотку за будущее законодательство - законодательство, нацеленное на защиту новой продукции и в некоторых случаях - на защиту единственного актива фирм, называемого информацией"[2].
Что делать нам для защиты информации, если, входя в компьютеризированное общество, мы не хотим укладывать в парашютный ранец рыбацкую сеть?
Прежде всего, на наш взгляд, в проектируемом законе "О государственной тайне" должны быть предусмотрены нормы о гарантиях соблюдения секретности в случае хранения сведений, составляющих государственную тайну, в компьютерах, а также об уголовной или административной ответственности за умышленный несанкционированный доступ к закрытой информации. То же самое должно быть сделано и в законах, охраняющих иные тайны (тайну вкладов, переписки, усыновления, врачебную тайну и т. д.). Возможно, потребуется общий закон о защите секретной информации или даже закон о компьютерной безопасности.
Желательно, чтобы нормы, содержащиеся в уголовном законе и законодательстве об административных правонарушениях о разглашении государственной (в том числе и военной) тайны, об утрате документов, содержащих государственную (военную) тайну, с одной стороны, и нормы, охватывающих сферу компьютерных преступлений, с другой, предусматривали бы ответственность за следующие правонарушения.
I. Преднамеренный несанкционированный доступ к закрытой информации:
а) хищение секретной информации на каких-либо учтенных носителях (магнитные ленты и диски, распечатки и т. п.);
б) копирование (размножение) файлов с последующим изъятием копий на каких-либо носителях из процесса циркуляции информации в компьютерной системе;
в) несанкционированное изменение (модификация) записей файлов, сообщений или подмена файлов, сообщений с предварительным их несанкционированным ознакомлением;
г) несанкционированное изменение (модификация) записей файлов, сообщений или подмена файлов без ознакомления с ними;
д) копирование (размножение) файлов, сообщений без их изъятия;
е) визуальное ознакомление с содержимым закрытых файлов и сообщений;
ж) уничтожение носителей с закрытой информацией;
з) уничтожение (удаление) файлов или сообщений
с закрытой информацией;
и) несанкционированный запуск программ обработки закрытой информации, приводящий к несанкционированному ознакомлению с обрабатываемой информацией;
к) несанкционированный запуск программ обработки закрытой информации без ее несанкционированного ознакомления.
II. Преднамеренные несанкционированные манипуляции с компьютерной системой, в которой производится обработка закрытой информации:
а) несанкционированные изменения, удаления или обходы средств защиты информации компьютерной системы от неправомерного доступа;
б) блокирование работы компьютерной системы, вызов отказа в обслуживании пользователей;
в) несанкционированный доступ в компьютерную систему;
г) несанкционированное введение в компьютерную систему посторонних программных средств.
III. Случайный несанкционированный доступ к закрытой информации в компьютерной системе или случайные манипуляции с компьютерной системой, не приводящие к несанкционированному доступу.
а) изменение или уничтожение записей файлов;
б) несанкционированный запуск программ обработки закрытой информации, приводящий к ее несанкционированному распространению.
Таков минимум начальных правовых мер, которые необходимо принять, чтобы в один прекрасный момент не ощутить себя летящим в бездну.
___________________
[1] См.: Литвинов А. В. Организационно-правовые вопросы охраны информации в вычислительных системах//Дисс. на соискание ученой степени канд. юрид. наук. Институт государства и права АН СССР. М., 1989. С. 107.
[2] Freese J. What about your legal parachute when your data security crashes?//International Congress and Exhibition Computer Security. Proceedings. Toronto. 1984. P. 1-11.
