авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 |   ...   | 3 | 4 || 6 | 7 |   ...   | 10 |

«Теоретические, организационные, учебно-методические и правовые проблемы ПРАВОВЫЕ ПРОБЛЕМЫ ИНФОРМАТИЗАЦИИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ...»

-- [ Страница 5 ] --

• использовать (в обозримом будущем) технологию системы "Виртуальная реальность", позволяющую обеспе чить неконтактное информационное взаимодействие с помощью мультимедиа операционных сред иллюзию присутствия в реальном времени в стереоскопически представленном "экранном мире". Подобные системы, создавая эффект присутствия в смоделированном компьютерном мире, позволяют видеть его изнутри. Они являются идеальной основой для создания комплексов компьютерного тренинга;

• обеспечить с использованием локальных вычислительных сетей обмен разнообразной информацией между конечными пользователями (преподавателями и обучающимися, между самими обучающимися). При этом оказывается возможным выводить эту информацию на общий для всех присутствующих в классе экран или на монитор каждого обучающегося;

• информатизировать все стадии деловых игр. При этом в процессе подготовки и проведения штабных учений могут реализовываться практически все названные выше возможности информационных технологий и ком пьютерных средств обучения.

Одно из достоинств дистанционного обучения состоит в том, что оно позволяет значительно (до 50%) сокра тить расходы на обучение. Техническая сторона требует не очень больших финансовых затрат: необходимо лишь иметь регулярный доступ к персональному компьютеру типа IBM PC с процессором не ниже 486DX2-66, с оперативной памятью не менее 8 Мбайт;

программное обеспечение - операционная система Windows for Workgroups или Windows 95/98 с установленным протоколом TCP/IP;

lnternet-бро-узер Internet Explorer (услов но-бесплатное программное обеспечение, фирма Microsoft Corp.);

подключение к Internet.

Очень часто у потенциальных слушателей может вызываать тревогу тот факт, что постоянный контакт с ком пьютером может отразиться на здоровье не лучшим образом. Но при дистанционном способе обучения главное - обзавестись хорошим монитором с защитным экраном и разумно планировать свой распорядок дня, сочетая усердную работу с активным отдыхом.

Сейчас в процессе образования используются интернет-технологии в большей степени используется в техниче ских вузов, имеющих филиалы в других городах. Однако это не значить, что гуманитарные вузы не могут ис пользовать ДО.

Разговор о плюсах и минусах дистанционного образования пока сложен поскольку еще не накопилось доста точного количества достоверных данных. затрагивая сейчас качественную сторону образования, хотела бы отметить лишь психологические моменты. Дистанционное обучение, безусловно, хорошо для тех, кто не может в силу физических или финансовых причин получить образование в обычном вузе. Для многих этот путь явля ется единственно возможным. также хорош для людей, страдающих социофобией. Верно, что при подобном обучении нельзя познать все прелести студенческой жизни. И мы понимаем точку зрения тех, кто считает это серьезным недостатке ведь для гармоничного и адекватного развития человеку требуется общение с коллегами по учебе.

В ДО используются различные компьютерные системы. Приведем в качестве примера лишь одну из них кото рая используется в Академии. Так, используется компьютерная обучающая система (КОС) для подготовки и переподготовки личного состава органов внутренних дел "Азбука безопасности"..

Но прежде чем перейти к изложению этого опыта дадим характеристику данной системы.

Теоретические, организационные, учебно-методические и правовые проблемы КОС - это прежде всего, использование аппаратной и программной части компьютера в разработке самона страиваемых диалоговых обучающих программ. Они используются давно.

Некоторые КОС являются "ремесленными" поделками - переложение учебников в компьютер, другие исполь зуют современную мультимедийную технологию (наглядные изображения, графики, видеозаписи, различные тексты), создающие динамичный, в реальном масштабе времени, обучающий комплекс, который одновременно и обучает, и воодушевляет, и пробуждает инициативу, обеспечивая тем самым быстрое усвоение и запомина ние материала.

Лучшие современные КОС делают нечто большее, чем проверку знаний, полученных либо в ходе классных занятий, либо из практической деятельности. Техническое совершенство современных КОС в комплексе с новейшими учебными программами дает возможность создания весьма сложных индивидуализированных КОС для пользователей любого уровня теоретической и практической подготовки.

Одна и та же компьютерная система может использоваться и как обучающая, и как контролирующая. Приме няя мультимедийные средства, объединяющие визуальные и звуковые материалы, КОС обеспечивают визуаль ные и звуковые материалы, КОС обеспечивают живые интересные занятия, что стимулируют обучающихся на приобретение широкого спектра знаний и на самоконтроль качества приобретенных знаний. Следует иметь в виду, что программы высокого уровня также "узнают" обучающихся по используемой ими информации и "за поминают", где тот или иной обучающийся нуждается в конкретной помощи. Некоторые из программ даже могут "вернуть" обучающегося к той самой точке обучающего модуля, где он встретил определенные трудно сти на прошлом занятии. Такой интерактивный диалоговый подход, обеспечивающий КОС, вполне соответст вует методике обучения взрослых.

Многие обучающие программы разрабатываются преподавателями, которые, как правило, стремятся учить так, как их самих учили. Недостаток подобного подхода состоит в том, что он не учитывает результаты больших исследований по методикам обучения взрослых.

При разработке КОС для Академии мы исходили из следующих четырех принципов. Это, во-первых, процесс обучения должен объединять обучение, тестирование и проверку усвоения материала. Во-вторых, процесс обучения должен использовать "взрослые" методики, сильно отличающиеся от подростковых. В-третьих, с помощью КОС имеется возможность создания структур знаний деятельности органов внутренних дел для облегчения усваемости с переходом к гипертекстовой, а затем и мультимедиа системам. В-четвертых, КОС должна быть весьма легкой для применения, вплоть до включения ее в состав автоматизированного рабочего места и периодического использования в ходе исполнения функциональных обязанностей..

Используя первый принцип, КОС построена таким образом, что имеется возможность не только обучать, про верять усвояемость слушателями, но и с помощью компьютера оценивать знания, производить отбор среди сотрудников тех, которые могут работать на определенном участке, осуществлять определенный вид деятель ности и главное тех, которые могут работать в экстремальных условиях (ситуациях).

Объединение в КОС обучающих и контролирующих функций дает возможность выбора методов и темпов обу чения и повышает ответственность обучаемого, что, в свою очередь, повышает мотивацию учебного процесса.

Сотрудники органов внутренних дел, как взрослые ученики, имеют уникальные мотивации, потребности и "стиля" обучения. В отличие от детей-учеников, они не любят "стадный" подход, а предпочитают ин дивидуализированный, интерактивный подход с персонифицированными темпами обучения. Они требуют объяснения, почему они изучают ту или иную дисциплину или вырабатывают тот или иной навык. В соот ветствии с этим структура учебных программ для взрослых должна учитывать эти особенности.

Взрослые ученики весьма практичны. Их подход к обучению - проблемно и ситуативно ориентирован. Стоит им только понять, какие поведенческие навыки от них требуются, они будут стараться искать наиболее эффек тивные методы их достижения (выработки).

КОС - идеальный инструмент для такого ученика. Используя моделирование различных оперативных ситуа ций, КОС открывает наиболее результативный практический подход для тех взрослых, которые хотят добиться желаемой цели обучения в кратчайшие сроки.

В соответствии с третьим принципом хорошо продуманная программа КОС базируется на поведенческих це лях. Учебный процесс нацелен на желаемый результат, а потому учебные программы имеют продуманную "блочную" структуру, двигаясь по которой и достигаются окончательные поведенческие цели.

С появлением такого мощного технического средства обучения, каким является компьютер, возникла и воз можность использовать его не только для обучения отдельным приемам, правилам, навыкам деятельности, процедурам, но и для развития у учащихся по созданию структур этих знаний, представляющих собой нечто большее, чем простая сумма отдельных приемов, правил, навыков деятельности и процедур.

Структурное построение КОС позволяет ее разработчику осуществлять группировку в блоки одинаковые по содержанию слова и термины в процессе решения определенной ситуации (задачи). Такая возможность появля ется только тогда, когда разработчик для этого использует гипертекстовую КОС.

Суть такого подхода постараемся показать на следующих примерах. Так, в зависимости от содержания книги мы ее читаем по-разному. Роман или повесть мы читаем обычно от начала до конца, от первой страницы книги до конца. Энциклопедию или словари читаем выборочно, изучая значение какого-либо термина. В данном слу чае мы можем, запомнив страницу одного слова, перейти к другому слову. Затем мы мсожем встретить еще незнакомое слово и проделать обычные действия и так далее. Таким способом чтения мы обращаем внимание Теоретические, организационные, учебно-методические и правовые проблемы _ только на этот материал, который является для нас наиболее важным. Таким способом можно изучить карту, термины которой помещены в энциклопедическом словаре, и другие структурированные объекты.

Сравнивая способ чтения романа, повести и энциклопедии, словаря можно констатировать, что во втором слу чае (поиск по энциклопедии или словарю) мы сами выбираем маршрут поиска информации в зависимости от привычного нам такого чтения, опыта, знаний и т.д., и не подчинены заранее установленному маршруту текста, установленному в романе, повести или другой книге. Прием чтения, подобный тому, которым используются при работе с энциклопедией или словарем, называют гипертекстовым, то есть в форме организации текстового материала, при котором его отдельные слова, термины, тексты по желанию обучаемого могут быть представле ны в различных последовательностях.

Все это позволяет в случае надобности автоматически связать суть решаемой задачи с определенным словом, термином или текстом. Такой подход значительно экономит время обучаемого и при этом распределяет воз можности и эффективность системы обучения. Важно отметить, что у обучаемого появилась возможность в процессе решения задачи оперативно вызывать в случае потребности определенный портативный акт или его часть (раздел, главу, статью, часть статьи).. Для решения задачи поэтапно на дисплее высвечиваются вопросы, на которые обучаемый должен отвечать однозначно "да" или "нет" либо указать курсором на выборочное слово или предложение, которые перечислены в виде таблицы. В перечень слов в таблице входят только те, которые строго относятся к содержанию заданного вопроса. При этом вопросы представляются последовательно в связи с этапом анализа определенной ситуации. Сотрудникам милиции лицензиционно - разрешительного отдела по своим функциональным обязанностям часто приходится осуществлять контроль за деятельностью частных охранных структур. Для осуществления этих функций имеется КОС, с помощью которой и осуществляется контроль и обучение частных охранников. Приведем несколько фрагментов функционирования с этой целью КОС. Так, например, на экране высвечивается вопрос: "Какой вид услуг в момент возникновения ситуации выполнял охранник?" Для ответа на этот вопрос в блоке "решение" на экране появляется перечень предложе ний указанных в ст.3 Закона РФ "О частной детективной и охранной деятельности в Российской Федерации" это:

- защиты жизни и здоровья граждан;

- охрана имущества собственников, в том числе и при транспортировке и т.д.

Обучаемый выбирает среди перечисленных ту услугу, которую должен выполнять охранник во время возник новения анализируемой ситуации. Если обучаемый неверно выбрал услугу, то на экране появляется надпись об ошибке и вопрос с экрана не исчезает до тех пор, пока обучаемый не выберет правильный вид услуги, выпол няемой охранником в данной ситуации.

В процессе анализа ситуации обучаемый имеет возможность получить справку о слове или термине, указанном в перечне таблицы услуг и другую информацию, необходимую для обучения. Для этого ему стоит только обра титься к блоку "справка" и на экране появится объяснение содержания слова, термина или других данных.

Эффективность подхода состоит в том, попадая в определенную ситуацию, человек вызывает из совей памяти представления о сходных ситуациях, упорядочивает их и при необходимости приспосабливает к возникшей, что позволяет ему успешно изыскивать адекватные формы реагирования. Это свойство человека и использует ся в компьютерных методиках проведения занятий. В их основе лежит оценка факта посредством сопоставле ния получаемой информации с конкретными элементами и значениями, а также с рамками, определенными для каждой конкретной ситуации, как бы образующим типом. Поскольку между ситуациями определенного типа имеются некоторые аналоги, есть возможность организовать иерархическую систему с классификационными и обобщающими свойствами вида "абстрактное - конкретное", куда входит определенный вид ситуаций.

ПРАВОВЫЕ И ОРГАНИЗАЦИОННЫЕ ОСНОВЫ ДЕЯТЕЛЬНОСТИ ОРГАНОВ ВНУТРЕННИХ ДЕЛ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИИ Ю.М.Саранчук ( Юридический институт МВД России) С вступлением России в мировое информационное пространство, при современных темпах развития информа ционных технологий, систем связи и коммуникаций проблема формирования целостной и научно обоснован ной системы обеспечения информационной безопасности становится все более актуальной как на общегосу дарственном уровне, так и на уровне отдельных министерств, ведомств, организаций и отдельных физических лиц. Одним из важнейших направлений обеспечения информационной безопасности является дальнейшее раз витие сбалансированной системы правовых и организационных норм, мер и механизмов, направленных на противодействие и нейтрализацию угроз интересам личности, общества и государства в данной сфере.

Правовые нормы, регулирующие взаимоотношения отдельных лиц, органов и организаций в сфере информати зации общества и обеспечения информационной безопасности, являются слагаемыми общей системы государ ственного правового регулирования, осуществление которого невозможно без издания новых законов, указов и постановлений, дополняющих и изменяющих ныне действующее законодательство, а также различного рода подзаконных актов. В настоящее время правовые средства защиты информации представляют собой комплекс конституционно-правовых, гражданско-правовых, уголовно-правовых и административно-правовых норм, Теоретические, организационные, учебно-методические и правовые проблемы регулирующих общественные отношения в информационной сфере. Принятие нового Кодекса об администра тивных правонарушениях (13 глава Кодекса полностью посвящена административным правонарушениям в области связи и информации), выделение информационного права в отдельную комплексную отрасль права явились важными звеньями в создании единого механизма регулирования общественных отношений в инфор мационной сфере и, в частности, в сфере информационной безопасности.

В настоящее время не существует общепринятого юридического определения информационной безопасности.

Доктрина информационной безопасности рассматривает информационную безопасность Российской Федера ции на основе дефиниций Закона РФ "О безопасности" как "состояние защищенности ее национальных интере сов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, обще ства и государства" [1].

Определение информационной безопасности, данное в Доктрине, является наиболее глобальным, охватываю щим все аспекты информационной безопасности и в то же время не выделяет ее структуру, что затрудняет его практическое использование, и как следствие, - подмена понятия информационной безопасности такими поня тиями как "защита информации", "безопасность информации", "компьютерная безопасность" и др.

Разные авторы по-разному подходят к решению данного вопроса. Так, А.А. Фатьянов предлагает иерархиче скую структуру, в которой информационная безопасность включает в себя безопасность информации, которую, в свою очередь, входит защита информации.[2] Информационную безопасность как "состояние защищенности информационной среды, обеспечивающее ее формирование, использование и развитие" определяет О.А. Гав рилов [3]. В этой же работе структура информационной безопасности включает два элемента: блокирование негативной информации и защита самой информации. Л. Бачило рассматривает информационную безопас ность, как "безопасность информации (что шире защиты) и безопасность пользователя от информации"[4].

Обобщая вышесказанное, можно определить структуру информационной безопасности органов внутренних дел, состоящую из безопасности внутренней информации (информации, циркулирующей в системе органов внутренних дел и регулируемой правовым институтом тайны), и безопасности субъектов информационных правоотношений (внешней информации). Нужно отметить, что данное деление достаточно условно, поскольку оба выделенных элемента взаимосвязаны и взаимозависимы.

Определяя проблемы информационной безопасности, прежде всего, необходимо исходить из угроз интересам личности, общества и государства в информационной сфере. Как правило, большинство описаний угроз ин формационной безопасности представляется достаточно абстрактным и это не случайно, поскольку не пред ставляется возможным описать угрозы на конкретном детальном уровне.

По-нашему мнению, заслуживает внимание следующая обобщенная классификация угроз информационной безопасности:

• антропогенные угрозы (противозаконная деятельность криминальных структур, нарушителей, не добросовестных партнеров, конкурентов, отдельных работников организаций и т.д.);

• техногенные угрозы (некачественное оборудование, программное обеспечение и средства защиты, средства связи, охраны, сигнализации, иные применяемые технические средства, а также опасные производст ва, транспорт и т.д.);

• стихийные угрозы (землетрясения, цунами, затопления, ураганы, иные природные явления)[5].

Данная классификация может быть распространена с соответствующей детализацией и на угрозы информаци онной безопасности органов внутренних дел.

Специфика структурной организации подразделений органов внутренних дел в современных условиях, а также неординарность решаемых в этой области задач заставляют предъявлять особые требования к их информаци онному обеспечению и системе его защиты. В то же время в условиях возрастающего влияния процессов ин форматизации на все без исключения сферы общественной жизни задачи милиции, возложенные на нее Зако ном РФ "О милиции"[6], в той или иной степени становятся все более связанными с проблемами информаци онной безопасности:

обеспечение безопасности личности связано с участием милиции в обеспечении конституционных прав и свобод человека и гражданина на личную, семейную тайны, тайну переписки, почтовых и телеграфных сообщений, телефонных переговоров, защитой свидетелей, судей, сотрудников правоохранительных органов и т.д.;

предупреждение и пресечение преступлений и административных правонарушений не может обойти стороной и сферу информационных отношений. Сегодня "применение технических средств в отноше нии организованной преступности переходит в сферу информационно-технического противодействия. Пре ступные формирования применяют эффективные средства защиты информации и, более того, все чаще исполь зуют технические средства скрытого получения информации, средства информационных атак и воздейст вия"[7]. Важным аспектом данной задачи в деятельности милиции является обеспечение пропагандистской поддержки оперативно-розыскной деятельности и борьбы с организованными преступными группировками;

выявление и раскрытие преступлений, в том числе и преступлений в информационной сфере;

пре ступлений, совершенных с использованием современных информационных технологий, средств вычислитель ной техники, связи и коммуникаций (УК РФ содержит специальную главу 28, посвященную преступлениям в сфере компьютерной информации, хотя на настоящий момент, по мнению специалистов в области уголовного Теоретические, организационные, учебно-методические и правовые проблемы _ права, не осталось практически ни одного вида преступлений, которое не возможно бы было совершить с ис пользованием современных информационных технологий). Нужно отметить, что все преступления, совершен ные с использованием современных информационных технологий, характеризуются высокой технологично стью, быстродействием. Компьютерная преступность не знает национальных и государственных границ, сте пень латентности компьютерных преступлений оценивается специалистами на уровне 80%;

охрана общественного порядка и обеспечение общественной безопасности неразрывно связана с оказанием активного противодействия ведению информационных войн;

негативной для общества информации, циркулирующей в СМИ, сети Internet и других средствах массовых коммуникаций и пропагандирующей наси лие, национальную рознь, экстремизм, порнографию и т.д. Особое значение имеет нейтрализация негативной информации, способствующей неадекватному реагированию населения на происходящие события, распростра нению слухов, волнениям и панике, при возникновении различного рода чрезвычайных ситуаций (массовых волнений, беспорядков, чрезвычайных ситуациях, вызванных природными катаклизмами, а также чрезвычай ных ситуациях техногенного характера);

защита частной, государственной, муниципальной и иных форм собственности включает в себя защиту информационных ресурсов, в том числе и ограниченного доступа, находящихся в собственности, вла дении или на правах оперативного управления у указанных субъектов, оперативное обеспечение предприятий, организаций и учреждений, занимающихся разработкой современных информационных технологий и др.;

оказание помощи физическим и юридическим лицам в защите их прав и законных интересов включает защиту конституционных прав личности на информацию, участие в укреплении механизмов правово го регулирования общественных отношений в области охраны интеллектуальной собственности, авторского права и др.

На уровне МВД России, министерств, ГУВД (ОВД) субъектов Федерации задачи информационной безопасно сти решаются как специально созданными для этих целей подразделениями, так и каждым структурным под разделением в отдельности с учетом специфики выполняемых ими задач. Выдача лицензий подразделениям, учреждениям и предприятиям органов внутренних дел на право работы со сведениями, составляющими госу дарственную тайну, осуществляется службами ФСБ, ФАПСИ, СВР России и Государственной технической комиссией при Президенте Российской Федерации в зависимости от их функциональной направленности[7].

На уровне ГРОВД (УВД) вопрос обеспечения информационной безопасности остается открытым, поскольку структура данных подразделений органов внутренних дел не предусматривает в своем составе специальных подразделений, обеспечивающих комплексную защиту информации. Можно сказать, что основная нагрузка при решении данной проблемы ложится на штабные подразделения, которые обеспечивают "защиту информа ции от несанкционированного доступа в системы и средства связи и автоматизации" и осуществляют "планиро вание развития и совершенствования систем управления и защиты информации"[8], а также секретариаты и канцелярии, обеспечивающие установленный порядок работы со служебной информацией и информацией, составляющей государственную тайну.

В этой связи немаловажной управленческой функцией выступает контроль как механизм обратной связи, по зволяющий оценить эффективность используемых средств и методов обеспечения информационной безопасно сти. Это, в свою очередь, предъявляет все возрастающие требования к подготовке сотрудников штабных под разделений, секретариатов и канцелярий, как в общеправовом, так и в информационном плане.

На сегодняшний день недостаточное организационно-правовое, финансовое, программно-техническое, аппа ратное и кадровое обеспечение деятельности органов внутренних дел в информационной сфере, а также небла гоприятная криминогенная обстановка в стране способствуют уязвимости сферы информационных интересов органов внутренних дел.

Задача обеспечения информационной безопасности носит комплексный, межотраслевой характер и должна решаться не только правоохранительными органами, но и другими ведомствами, организациями и физически ми лицами.

Литература.

1. Российская газета", № 187, 28.09.2000.

2. Правовое обеспечение безопасности информации в Российской Федерации. Учебное пособие/ Фатьянов А.А.

– М.: Издательская группа "Юрист", 2001. С.

3. Гаврилов О.А. Курс правовой информатики. Учебник для вузов. М.: Издательство НОРМА (Издательская группа НОРМА-ИНФРАМ), 2000. С.55.

4. Бачило И.Л. Информационное право: основы практической информатики. Учебное пособие. – М., 2001.

С.254.

5. Жуков Н.С., Конявский В.А., Фролов Г.В. Системный подход к решению проблемы защиты банковской ин формации// Управление защитой информации. – 1997. –Т.1, №3. С.188.;

Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. – М.: Горячая линия - Телеком, 2002.

6. "Российская газета", № 67, 08.04.99.

7. Овчинский С.С. Оперативно-розыскная информация/ Под ред. А.С.Овчинского и В.С.Овчинского. – М.:

ИНФРА-М, 2000. С.320.

8. Постановление Правительства Российской Федерации № 333 от 15 апреля 1995 г. (в ред. 29.07.98 г.).

Теоретические, организационные, учебно-методические и правовые проблемы 9. Приказ МВД РФ "Об утверждении Временного наставления по службе штабов органов внутренних дел" № 86 от 12.02.97.

АКТУАЛЬНЫЕ ПРОБЛЕМЫ ИНФОРМАТИЗАЦИИ СУДЕБНОЙ ДЕЯТЕЛЬНОСТИ Д.ю.н., профессор М.Я.Сегай, гл.н.с. Ю.А.Климашевская (Научно-исследовательский центр правовой информатики Академии правовых наук Украины) Среди правовых учреждений, которые охватываются процедурами судопроизводства, суды Украины позднее всех приступили к внедрению информационных технологий, автоматизации делопроизводства, использованию компьютерной и телекоммуникационной техники в процессе рассмотрения дел и принятия решений.

Однако, несмотря на трудности финансового и кадрового обеспечения, многие суды Украины обеспечены ком пьютерной техникой, имеют выход в Интернет и пользуются электронной почтой. Информационные техноло гии используются в деятельности Верховного Суда Украины [1], автоматизированная система судебного дело производства внедрена в систему хозяйственных судов Украины[2].

С учетом международного опыта можно сформулировать перечень задач, которые, по нашему мнению, должны быть решены в процессе дальнейшего внедрения информационных технологий в судебную деятельность.

В аспекте открытости судебного процесса весьма важной является задача создания информационно-поисковых систем материалов судебной практики. Вопрос создания таких систем, как и вообще вопрос доступа к правосу дию, неоднократно освещалось в документах Совета Европы, как одно из важнейших условий справедливого применения закона. Учитывая, что компьютеризированные системы все чаще используются для правовых ис следований, следует автоматизированные системы накопления и поиска материалов судебной практики сделать доступными и репрезентативными. В Дополнении І к рекомендации № R (95) 11, принятой Комитетом минист ров 11 сентября 1995 года, сформулированы цели, которые ставятся перед автоматизированными системами судебной практики:

• облегчить работу юристов путем быстрого их снабжения полной и современной информацией;

• предоставить информацию всем лицам, проявляющим прямой или косвенный интерес к судебной практике;

• быстрее распространять информацию о новых судебных решениях, особенно в новых областях пра ва;

• способствовать единству судебной практики без привнесения в нее элементов косности;

• предоставить возможность законодателям анализировать практику применения законов;

• облегчить научные исследования в области судебной практики;

• в определенных случаях предоставлять информацию для целей статистики.

Второй задачей информатизации судебной деятельности есть внедрение автоматизированных систем делопро изводства (АСД) и электронного документооборота (ЭД). Осуществление в Украине судебной реформы, внесе ние изменений в делопроизводство при рассмотрении дел в Верховном Суде Украины дало возможность пере смотреть вопрос структуризации данных и стандартизации документов, в результате чего удалось создать уни версальную систему, используемую при рассмотрении дел первой инстанции, при апелляционном, кассацион ном производствах, а также при рассмотрении дел по исключительным обстоятельствам.

Следует отметить, что открытой и совершенно еще не решенной остается задача включения автоматизирован ной системы судебного делопроизводства в общую автоматизированную систему судопроизводства, обеспе ченную прежде всего нормативной базой на законодательном уровне[3]. К сожалению, в Украине все еще не решен ключевой вопрос электронного документооборота – законодательное обеспечение электронной подписи.

Вместе с тем, формирование электронного дела как результата внедрения информационных технологий под держки деятельности органов дознания, предварительного следствия, прокуратуры невозможно без принятия этого закона. Вместе с тем, использование информационных технологий для получения доказательственной информации, внедрение современных способов представления и обработки данных позволит оптимизировать работу широкого круга лиц, причастных к процессу судопроизводства, сократить и упростить процедуры полу чения и передачи информации, снять при оформлении уголовных дел ненужные "шумы". Сказанное в равной мере касается (с учетом, конечно, специфики) и судебного рассмотрения гражданских и хозяйственных исков.

Весьма актуальной является проблема внедрения информационных технологий в деятельность органов испол нения решений. Ведь не секрет, что значительное количество судебных решений относительно имущественных исков не выполняется, имеют место случаи фальсификации судебных решений, которые пересылаются судом в учреждения Государственной исполнительной службы. Использование электронной почты, внедрение серти фицированных средств криптографической защиты информации позволит снять проблему, обеспечив четкое и точное выполнения судебных решений.

Для выполнения поставленных задач следует осуществить разработку единой системы делопроизводства и документооборота, используемой в судопроизводстве[4]. Идея не новая, еще в начале 70-х годов в СССР были утверждены Основные положения Единой государственной системы делопроизводства – ЕГСД. В рамках такой Теоретические, организационные, учебно-методические и правовые проблемы _ системы применительно к процессу судопроизводства надо провести классификацию, унификацию, стандарти зацию данных и документов, выработать правила составления и оформления документов.

При выполнении этой работы важна правильная трактовка понятия – “электронный документ”. Электронный документ можно рассматривать как электронную копию бумажного. Но значительно более важным есть другое понимание этого термина. Электронный документ - это набор элементов данных, которые хранятся в разных местах, в разных базах и хранилищах данных. "Собирается" такой документ в момент его использования, а на бумажном носителе (или в виде экранной формы) мы получаем, фактически, копию электронного документа.

Как уже отмечалось, вопросы стандартизации данных и документов решаются пока только в рамках той или иной ведомственной системы. Но когда ставится задача создания единой автоматизированной системы судо производства, то и вопросы ее стандартизации следует рассмотреть с единых позиций определения объемов данных, их классификации и структуризации.

Если для каждого регистрационного и процессуального документа разработать определенный набор составных частей и утвердить порядок их расположения, то использование судом таких унифицированных документов позволит быстро получать их электронные копии, заполнять базы данных, что существенно упростит процесс регистрации поступающих документов и повысит эффективность всех процедур информационно-поискового характера.

Указанные проблемы уже неоднократно обсуждались в статьях и материалах, посвященных разным аспектам автоматизации деятельности судов[5]. Дело за их практической реализацией.

Внедрение комплексной автоматизации связанно с соблюдением принципа интеллектуализации автоматизиро ванных систем. Данные не только должны накапливаться в автоматизированных системах, следует обеспечить возможность их аналитической обработки и обобщения. Решение этой задачи предусматривает разработку специальных программных средств обобщения судебной практики.

Важным направлением информатизации судов является создание компьютеризированных систем протоколиро вания судебных заседаний (полного фиксирования судебного процесса техническими средствами). Этот вопрос в Украине разрешен следующим образом. Разработан программно-аппаратный комплекс, который дает воз можность получать фонограмму судебного процесса и связанный с нею формуляр, в котором отображены ос новные эпизоды судебного заседания, зафиксированы лица, которые принимают участие в процессе. Фоно грамма судебного заседания автоматически размечается в соответствии с событиями, указанными в формуляре.

Наличие такого формуляра обеспечивает возможность точного позиционирования любого фрагмента фоно граммы судебного заседания.

Опыт внедрения компьютеризированных систем звукозаписи в Верховном Суде Украины и в Высшем хозяйст венном суде Украины продемонстрировал высокую эффективность интеграции этих систем с автоматизиро ванными системами судебного делопроизводства. Накопление в единой электронной базе всех данных и мате риалов по делу, включая фонограмму судебного заседания вместе с формуляром, и тексты судебных решений, обеспечивает быстрое получение копий, оперативный (с соблюдением законности) доступ к материалам судеб ного дела, оказывает содействие более широкому внедрению принципов открытости и гласности судебного процесса.

Вместе с тем, в процессуальных кодексах следовало бы четко определить правовой статус осуществляемой техническими средствами полной записи хода судебного заседания, а также порядок хранения и использования этих записей судом и сторонами процесса.

Литература 1. Стефаник В.С., Климашевская Ю.А. Информационные технологии в деятельности Верховного Су да Украины //Вестник Верховного Суда Украины, 2001, №4.

2. Богданов Л.В. Компьютерная система арбитражных судов как одна из составляющих защиты прав сторон в судебном процессе //Вестник арбитражного судопроизводства, 2002, №2.

3. Сегай М. Концептуальные основы информатизации судопроизводства //Вестник Академии право вих наук Украины. – Харьков, 2000, №4(23) 4. Остень О., Киселев М. Электронные документы и стандартизация //"Право Украины", 1998, № 5. Бринцев В., Захаренко В. Электронно-техническое обеспечение деятельности судебной власти //"Право Украины", 2000, №4.

ОБОБЩЕННАЯ СТРАТЕГИЯ ПРОТИВОПРАВНОГО МАНИПУЛИРОВАНИЯ ИНФОРМАЦИЕЙ В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ К.т.н. Е.Г.Геннадиева (АО "Центральный научно-исследовательский институт радиоэлектронных систем" г. Москва), И.А.Белоусова, М.Ю.Серов, Н.В.Филппова (Воронежский институт МВД России) Возросшие требования к оперативности информационных процессов в различных областях деятельности со временного общества, а также расширение возможностей сетевого построения информационных систем и вне дрение методов распределенной обработки данных за счет реализации теледоступа к вычислительным средст Теоретические, организационные, учебно-методические и правовые проблемы вам привело к интегрированию систем обработки информации и систем ее обмена в информационно телекоммуникационные системы (ИТКС). Наиболее широкое применение такие системы нашли в так называе мых сферах критических приложений, к которым относится деятельность институтов государственной власти, финансовых структур, деятельность в областях военно-промышленного комплекса, энергетики, транспорта, а также в областях, оказывающих существенное влияние на экологию. Несмотря на очевидную разнородность сфер критических приложений их объединяет одно очень важное обстоятельство - значительный ущерб от нарушения безопасности деятельности, в том числе и информационной, в этих сферах. Вытекающая из этого значительная ценность хранимых и обрабатываемых данных в ИТКС сфер критических приложений обуслови ла разработку и совершенствование методов и средств противоправного доступа и манипулирования информа цией в этих системах. Основными противоправными действиями с информацией в таких системах могут быть самые различные формы ее несанкционированной модификации (целенаправленная замена или искажение данных, их удаление) или копирования.

Традиционно функции защиты информации в ИТКС при обработке информации реализуются системами защи ты информации (СЗИ), входящими в ИТКС в качестве структурно независимых подсистем. При этом, исполь зуемые в настоящее время СЗИ, в функциональном смысле, являются однотипными, т.к. реализуют практиче ски одинаковый набор функций. Отличие составляют лишь некоторые характеристики, связанные с использо ванием этими системами вычислительной среды ИТКС. Это позволяет, при проведении исследований, в каче стве типовой СЗИ рассматривать систему с обобщенной функциональной структурой, используя при этом ха рактеристики известных систем.

К основным функциям системы типовой СЗИ относятся:

идентификация и аутентификация пользователя;

паролирование входа;

накопление, хранение и обработка информации в преобразованном (шифрованном) виде;

"прозрачная" защита информации на уровне логического устройства ЭВМ, логического диска, каталогов и шаблонов файлов;

управление доступом;

мандатный принцип контроля доступа;

регистрация и учет событий;

объединение пользователей в группы с общими файлами;

защита файлов пользователей на чтение, запись, удаление, переименование, изменение, создание с тем же име нем;

запрещение запуска программ с дискет;

контроль целостности программного обеспечения;

работа пользователя в привычной среде;

индивидуальная и групповая настройка;

сигнализация об эталонном изменении целостности вычислительной среды.

Процесс функционирования типовой СЗИ состоит в решении последовательности сервисных задач в соответст вии с поступающими в ходе работы ИТКС запросами на те или иные действия с информацией. Каждая сервис ная задача реализуется одной из пяти подсистем:

подсистемой закрытия, обеспечивающей защиту от загрузки через накопитель на гибких магнитных дисках в обход СЗИ;

подсистемой обеспечения санкционированного доступа, предназначенной для идентификации и аутентифика ции пользователей;

подсистемой разграничения, обеспечивающей правила разграничения доступа к файлам и ресурсам ЭВМ;

подсистемой поддержания целостности рабочей среды ЭВМ, обеспечивающей периодический контроль цело стности СЗИ с целью обнаружения несанкционированных изменений в рабочей среде ЭВМ вызванных дейст виями лиц, получивших доступ к ней;

вредоносными программами, машинными сбоями или износом магнит ных носителей.

подсистемой преобразования информации, предназначенной для специальных преобразований информации в «прозрачную» для легальных пользователей.

Анализ известных данных о способах проникновения в компьютерные системы дает возможность установить обобщенную схему несанкционированного доступа к информации в ИТКС с целью противоправного манипу лирования данными и программами. Такая схема включает четыре взаимосвязанных этапа:

этап исследования механизма доступа к информации в ИТКС;

этап исследования механизмов защиты информации в ИТКС;

этап исследования информационных процессов в ИТКС;

этап несанкционированного манипулирования информацией в ИТКС.

На первом этапе осуществляется исследование СЗИ с целью изучения механизма идентификации и аутентифи кации пользователей и разграничения доступа к информации подсистемами обеспечения санкционированного доступа к информации и разграничения доступа к вычислительным ресурсам ИТКС. Работа других подсистем СЗИ на данном этапе не исследуется. Объектом анализа являются идентификационные таблицы, пароли и коды, используемые для регистрации пользователей и их допуска к информационным ресурсам ИТКС. Этап Теоретические, организационные, учебно-методические и правовые проблемы _ реализуется путем внедрения вредоносных программ в компьютерную сеть ИТКС с целью контроля прерыва ний от устройств ввода паролей, копирования паролей доступа к компьютерной сети ИТКС и пересылки этих копий на соответствующие абонентские пункты сети. Этап завершается самоуничтожением вредоносных про грамм.

Длительность этапа исследования механизма доступа определяется организацией порядка доступа, используе мыми методами паролирования и активным периодом действия вредоносной программы, под которым понима ется временной интервал от момента ее инициализации до момента самоуничтожения.

Главной задачей второго этапа является исследование СЗИ с целью получения полного представления о реали зуемых ею механизмах защиты информации. Объектом анализа на данном этапе являются подсистемы СЗИ, не исследованные на первом этапе. К их числу относятся подсистема преобразования информации, подсистема поддержания целостности вычислительной среды, подсистема регистрации и подсистема закрытия.

Задачи этого этапа реализуются четырьмя фазами.

В первой фазе, на основе полученной информации о паролях доступа к ИТКС, разрабатываются способы пре одоления (вскрытия) СЗИ, создаются и тестируются программы контроля работы подсистем СЗИ.

Во второй фазе осуществляется проникновение в компьютерную сеть ИТКС программ контроля работы под систем СЗИ под именами и с полномочиями реальных пользователей. Эти программы перехватывают и копи руют всю информацию, с которой работают эти подсистемы. При исследовании подсистемы преобразования информации в СЗИ возможно копирование программ этой подсистемы.

В третьей фазе осуществляется пересылка полученных копий, на соответствующие абонентские пункты ком пьютерной сети ИТКС. Фаза завершается самоуничтожением программ контроля работы подсистем СЗИ.

Длительность данной фазы определяется периодом реализации функций исследуемых подсистем СЗИ.

В четвертой фазе производится анализ полученных данных о работе подсистем СЗИ и дизассемблирование полученных копий средств преобразования информации (при наличии таких копий), либо синтез алгоритмов работы этих средств по имеющейся информации об исходных данных и результатах работы. На основе этой информации разрабатываются программы отключения или видоизменения защитных механизмов СЗИ и про граммы контроля информационных процессов в ИТКС.

Главной задачей третьего этапа является исследование информационных процессов в ИТКС с целью получения полного представления о реализуемых ею технологиях хранения, обработки и обмена данными. Объектом ана лиза является информационное и программное обеспечения ИТКС.

Задачи этого этапа реализуются четырьмя фазами.

Первая фаза состоит в отключении или видоизменении защитных механизмов СЗИ при помощи соответст вующих программ.

Во второй фазе осуществляется проникновение в компьютерную сеть ИТКС программ контроля ее информа ционных процессов под именами и с полномочиями реальных пользователей. Эти программы перехватывают и копируют данные о технологиях хранения, обработки и обмена данными в ИТКС.

В третьей фазе осуществляется пересылка полученных копий, на соответствующие абонентские пункты ком пьютерной сети ИТКС. Фаза завершается самоуничтожением программ контроля информационных процессов ИТКС.

Длительность данной фазы определяется периодом реализации исследуемых процессов.

В четвертой фазе производится анализ полученных данных об особенностях хранения, обработки и обмена данными в ИТКС, в результате чего идентифицируются базы данных, информационные массивы и файлы как с данными, так и с программами их обработки. На основе этой информации разрабатываются программы мани пулирования данными в ИТКС.

На четвертом этапе осуществляется преодоление СЗИ и, в зависимости от преследуемых целей, удаление, модификация или копирование информации в ИТКС.

Задачи четвертого этапа реализуются несколькими фазами.

Первая фаза состоит в отключении или видоизменении защитных механизмов СЗИ при помощи соответст вующих программ.

Во второй фазе осуществляется проникновение в компьютерную сеть ИТКС программ манипулирования ин формацией в ИТКС под именами и с полномочиями реальных пользователей.

В третьей фазе осуществляется поиск необходимых файлов, информационных массивов, программ и их фраг ментов.

Четвертая, пятая и шестая фазы соответствуют целям противоправного манипулирования информацией – ее уничтожению, модификации или копированию, соответственно. При этом, производится удаление, модифика ция либо копирование, как целых файлов, так и отдельных информационных массивов или программ, а в от дельных случаях — лишь их фрагментов.

В седьмой фазе программой копирования информации осуществляется пересылка копий данных, а программа ми модификации и удаления информации пересылка сообщений о реализованных ими функциях на соответст вующие абонентские пункты компьютерной сети ИТКС. Фаза завершается самоуничтожением вредоносных программ.

Длительность этапа несанкционированного манипулирования информацией определяется особенностями орга низации хранения информации, ее шифрования, логической и физической структурой файлов данных.

Теоретические, организационные, учебно-методические и правовые проблемы Как следует из изложенного, основную функциональную нагрузку при реализации несанкционированного про никновения в ИТКС несут вредоносные программы, что обусловливает поиск путей совершенствования СЗИ в направлении обеспечения адекватности характеристик этих систем характеристикам вредоносных программ.

ОСОБЕННОСТИ ЗАЩИТЫ КОММЕРЧЕСКОЙ ИНФОРМАЦИИ К.т.н., доцент Б.И.Скородумов (Научно-технический центр АРБ) Сейчас в России основной объем информационного потока, проходящего через автоматизированные системы (АС), не содержит информации, которая составляет государственную тайну. По крайней мере подобная ин формация составляет лишь проценты трафика российских АС.

Так исторически сложилось, что в нашей стране проблемы безопасности информационных технологий (ИТ) десятилетиями изучались и своевременно решались преимущественно для защиты государственной тайны в военных или правительственных автоматизированных системах. Ранее весьма специфичные проблемы коммер ческого сектора экономики не нашли соответствующих решений ввиду отсутствия этого сектора. В настоящее время это существенно мешает развитию безопасных информационных технологий в российском коммерче ском секторе экономики, который, учитывая глобализацию информационного общества, интегрируется с миро вым рынком.

Защита информации в коммерческих автоматизированных системах имеет значительные особенности, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасно сти. Процесс обеспечения безопасности коммерческой автоматизированной информационной системы базиру ется на научно-техническом заделе защиты государственной тайны в военных или правительственных автома тизированных системах с учетом новейших теоретических и практических достижений на мировом технологи ческом рынке. В этой связи следует отметить последние значительные наработки мирового сообщества в об ласти стандартизации безопасности информационных технологий.

Следуя по пути интеграции, в 1990 г. Международная организация по стандартизации (ИСО) начала создавать международные стандарт по критериям оценки безопасности информационных технологий (ИТ) для общего использования, названные Common Criteria (CC) или "Общие Критерии (ОК) Оценки Безопасности Информа ционных Технологий". Новые критерии адаптированы к потребностям взаимного признания результатов оцен ки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки. Данный стандарт может быть весьма полезен в качестве руководства при разработке средств и систем с функциями безопасности ИТ, а также при приобретении коммерческих продуктов и систем с такими функция ми. Принципиально важной чертой ОК является появление нового для подобного рода документов понятия профиль защиты. Профиль защиты содержит набор типовых функциональных требований и компонентов тре бований гарантированности, включенных в соответствующий уровень гарантии оценки. Профиль защиты предназначен для более широкого использования и определяет совокупность типовых требований безопасно сти к определенному виду объектов оценки, которые являются необходимыми и эффективными для достиже ния поставленных целей. Это принципиально отличает ОК от классификационного подхода к оценке защищен ности ИТ.

За десятилетие разработки лучшими специалистами мира ОК неоднократно редактировались. Международный Стандарт ISO/IEC 15408 был подготовлен Совместным Техническим Комитетом ISO/IEC JTC 1 по Информа ционным Технологиям совместно с Комитетом по Реализации Общих Критериев, являющимся совместным органом, состоящим из членов Спонсорских Организаций Проекта Общих Критериев.


В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт управления безопасностью ISO/IEC 17799: 2000. В результате внедрения стандарта создается система менеджмента, цель которой - сокращение материальных потерь, связанных с нарушением информационной безопасности. Стандарт не предписывает использование каких-то определенных средств защиты, есть лишь указание о том, что особо важная информация должна быть защищена. Что считать важной информацией и как производить защиту, организация решает самостоятельно, основываясь на общих принци пах информационной безопасности, изложенных в стандарте. Например, у фирмы должна быть выработана политика информационной безопасности, должно быть четко определено распределение ответственности за информационную безопасность на всех участках ИТ. В фирме должно уделяться внимание образованию и тре нингам по информационной безопасности. По всем инцидентам, связанным с безопасностью, ведется строгая отчетность. Соответствующими службами должен быть подготовлен план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации и т. п. Фирма, имеющая систему управле ния безопасностью может призвать независимого аудитора из сертификационных компаний, который оценит систему по стандарту ISO 17799. Стандарт состоит из около сотни страниц текста.

В задаче обеспечения безопасности коммерческой информации конкретной автоматизированной системы нет и не может быть полностью готового решения. Это связано с тем, что структура каждой коммерческой организа ции, функциональные связи между ее подразделениями и отдельными сотрудниками уникальны, динамично развиваются и практически никогда полностью не повторяются. Только руководство конкретной организации Теоретические, организационные, учебно-методические и правовые проблемы _ решает, насколько критично нарушение безопасности для компонентов информационной системы, кто, когда и для решения каких задач может использовать те или иные информационные ресурсы и сервисы.

Ключевым этапом для построения надежной и безопасной информационной системы является выработка поли тики безопасности. Под политикой безопасности мы понимаем совокупность документированных управленче ских решений, направленных на защиту информации и связанных с ней ресурсов. С практической точки зре ния в нашей стране политику безопасности целесообразно создавать, учитывая специфику российского секто ра экономики. Более конкретно это следует проиллюстрировать на примере АС коммерческих банков (АБС), где сосредоточены наиболее ценные информационные ресурсы.

Коммерческий банк, как сугубо экономическое рыночное предприятие, ориентируется прежде всего на получе ние прибыли при условии снижения различных издержек и рисков. Одним из самых популярных во всем мире решений этой проблемы служит автоматизация труда работников, которая в наше время осуществляется в основном за счет применения вычислительной техники и средств телекоммуникаций. Эффективно используе мые вычислительная техника и средства телекоммуникаций позволяют снижать общие расходы и одновремен но позволяют создавать качественно новые услуги. Любой банк или предприятие в большинстве стран мира может связаться с партнером посредством компьютерных сетей и решить свои финансовые, торговые или иные вопросы, оперативно обмениваясь электронными посланиями или документами. Для этого нет необходимости в больших командировочных или иных накладных расходах.

Это обеспечивается так называемыми открытыми системами общего пользования, обрабатывающими конфи денциальную информацию, не содержащую государственную тайну, и стремительно развивающимися в нашей стране.

Термин "открытый" подразумевает, что все устройства и процессы системы (вычислительной сети) взаимодей ствуют в соответствии с некоторым набором стандартов и потому открыты для взаимодействия с другими сис темами (вычислительными сетями). Такой подход связан с необходимостью увязать в единую систему большое разнообразие технических средств и программ, используемых в вычислительных системах или сетях всевоз можных коммерческих банков или иных организаций, которые не имеют единого хозяина или собственника.

Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанк ционированного доступа (НСД) к информации.

Традиционное понятие безопасности информации, составляющей государственную тайну, включает в себя оценку и обеспечение трех ее характеристик или качеств: доступности, целостности и конфиденциальности.

Коротко напомним эти важнейшие понятия. Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понима ется свойство ее существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Но такой взгляд на проблему несколько сужен. Не следует забывать о понятии собст венности информационных ресурсов. Собственность на что-либо подразумевает права владения, пользования и распоряжения, а также возможность эффективно осуществлять эти права в реальной жизни. Ресурсы информа ционной системы и сама информация как ресурс являются чьей-либо собственностью. Поэтому следует гово рить о безопасности АБС как об обеспечении реализации прав собственника в отношении ресурсов этой систе мы. Сама же реализация прав собственника состоит в возможности эффективного управления ресурсами и, как части управления, контроля над их использованием теми лицами, которых собственник допустил к использова нию ресурсов.

В настоящее время в России идет активное освоение практики ведения дел в рыночных условиях. Возрастает юридическая значимость банковской и другой защищаемой коммерческой информации, которая приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности собственности в нашей стране, особенно при взаимодействии автоматизированных систем различных юридических лиц.

Юридическую значимость (характеристику или еще одно из качеств защищаемой информации) можно опреде лить как свойство безопасной информации, позволяющее обеспечить юридическую силу документов или ин формационных процессов в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации.

Последнее, например, весьма актуально при необходимости обеспечения строгого учета любых информацион ных услуг, что является экономической основой работы всякой коммерческой информационной системы и служит для соблюдения жесткой регламентации и регистрации доступа к информации при пользовании инфор мационными ресурсами системы. Помимо этого часто должна обеспечиваться строгая нотаризация (юридиче ски значимый учет и регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.

Участники экономической деятельности испытывают в связи с этим острую потребность квалифицированно оценивать риски в процессе управления ресурсами и эффективно снижать их последствия. Последнее или стра хование рисков банков является логичным и вполне разумным специфичным элементом в системе информаци онной безопасности, позволяющим банкам не только предотвращать нарушения, но и, что самое важное, воз мещать или разделять убытки, вызванные ими.

Теоретические, организационные, учебно-методические и правовые проблемы Сейчас это стало актуальным и в нашей стране. Например, ОСАО "Ингосстрах" и “РОСНО” стали оказывать услуги банкам по страхованию рисков, связанных с компьютерными преступлениями. Такие правонарушения, например, включают:

1. Умышленные противоправные действия сотрудников.

2. Несанкционированный доступ к компьютерным системам и сетям.

3. Ввод в компьютерные системы мошеннических электронных команд и программ.

4. Получение мошеннических электронных поручений на перевод средств.

5. Проникновение компьютерных вирусов.

6. Утрата электронных данных и их носителей.

7. Убытки по операциям, осуществленным сторонними организациями на основании сфальсифицированных поручений банка.

Подобное страхование решает следующие задачи:

• обеспечение дополнительных финансовых гарантий для банка и его клиентов;

• улучшение имиджа банка.

Следует помнить, что страхование не исключает, а дополняет другие методы обеспечения системы безопасно сти.

Например, анализ риска предполагает выявление его источников (собственно хозяйственный риск;

риск, свя занный с личностью человека;

риск, обусловленный природными факторами;

системный риск) и его причин (риски, связанные с неопределенностью будущего, непредсказуемостью поведения партнеров, недостатками информации и пр.), прогнозирование уровня потерь. Неоднородность сферы деятельности банка и его предпри ятий делает объективно необходимым конкретизацию стратегий кризисного управления, побуждает разрабаты вать различные концепции информационной безопасности в зависимости от размеров организации (малый, средний, крупный бизнес), сфер деятельности (финансовая, банковская, производственная, внешнеторговая и пр.), национальных и региональных особенностей. Таким образом, анализ риска — это процесс получения ко личественной оценки ущерба, который может произойти в случае реализации угрозы безопасности.

Анализ рисков включает определение того, что нужно защищать, от чего защищаться и как защищаться. Для этого надо определить все, чем оцениваются риски и ранжировать их по уровню важности. Этот процесс включает принятие руководством предприятия экономически оправданных решений о необходимых методах и средствах защиты, так как средства, выделяемые на защиту, очевидно не должны превышать стоимости защи щаемого объекта. Полное рассмотрение анализа риска находится за пределами данного доклада, часть пробле мы анализируется далее. Тем не менее, следует сразу рассмотреть два важных элемента анализа риска:


определение ценности или классификация информационных ресурсов;

выявление угроз информации.

Определение ценности или классификация информационных ресурсов может проводиться только в условиях конкретной автоматизированной информационной системы с применением стоимостного критерия. При этом помимо ценности и важности информации целесообразно рассматривать необходимое время существования ее выбранной категории (грифа) ограничения доступности.

Таким образом, защита информации в автоматизированной банковской системе имеет значительные особенно сти, которые необходимо учитывать, так как они оказывают большое влияние на технологию информационной безопасности. Подытоживая, скажем, что помимо упомянутых ранее отношений собственности, можно отме тить следующие особенности:

• приоритет экономических, рыночных факторов, т. е. для банковской автоматизированной системы весьма важно всяческое снижение или исключение финансовых потерь, получение прибыли владельцем и пользовате лями данного инструментария в условиях реальных рисков. Это, в частности, включает минимизацию типично банковских рисков, например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т. д.;

• использование открытых распределенных систем и открытого проектирования, которое заключается в созда нии подсистемы защиты информации иными юридическими лицами из средств, широко доступных на рынке;

• большая динамика информационных, технологических и хозяйственных процессов, требующая постоянного мониторинга угроз и рисков для банковской или иной коммерческой информации.

Рассмотрим также другие особенности защиты информации автоматизированных банковских систем.

С расширением географии деятельности банка, развитием взаимодействия электронных сетей, осуществлением совместных работ с другими юридическими лицами через Интернет возрастает риск или вероятность финансо вых потерь. Вспомним, что глобальной сетью Интернет объедены и одновременно работают многие миллионы всевозможных пользователей, преследующих совершенно различные и не всегда законные цели использования сети.

Неоднородность сферы деятельности различных коммерческих банков делает объективно необходимым кон кретизацию стратегий кризисного управления, побуждает разрабатывать различные концепции информацион ной безопасности в зависимости от размеров организации (малый, средний, крупный бизнес), сфер деятельно сти (финансовая, производственная, внешнеторговая и пр.), национальных и региональных особенностей. Ана лиз рисков включает определение того, что нужно защищать, от чего защищаться и как защищаться. Для этого надо определить все, чем оцениваются риски, и ранжировать их по уровню важности. Этот процесс включает Теоретические, организационные, учебно-методические и правовые проблемы _ принятие экономически рациональных решений о применении необходимых методов и средств защиты, так как расходы, выделяемые на защиту, не должны превышать стоимости защищаемого объекта. Проблема полного анализа риска находится за пределами данного материала. Тем не менее следует рассмотреть два важных и специфичных элемента анализа риска:

• определение ценности и классификация информационных ресурсов;

• выявление угроз информации.

Определение ценности и классификация информационных ресурсов может проводиться только в условиях функционирования информационной системы конкретной АБС с применением стоимостного критерия, так как рациональный уровень информационной безопасности выбирается из соображений экономической целесооб разности. Под ценностью информации понимается максимальный эффект, который может быть получен при ее использовании на рассматриваемом интервале времени. Помимо ценности и важности информации целесооб разно рассматривать необходимое время существования ее выбранной категории ограничения доступности (грифа). Необходимо также учитывать специфику процессов использования информации, расход имеющихся ресурсов. В целом данный процесс можно назвать ранжированием информации или соответствующих инфор мационных ресурсов.

При определении ценности информации предлагается исходить из ее относительности, поскольку ценность информации рассчитывается для конкретных условий, характеристик потребляющих ее систем. В зависимости от преследуемых целей она может выражаться через деньги, количество и качество получаемой продукции, затраты ресурсов и другие показатели.

Расчет ценности информации в общем случае осуществляется, исходя из конечных эффектов решения систе мой прикладных задач на заданном интервале времени с защищаемой информацией и без нее, расходов ресур сов системы на достижение этих эффектов. При этом предполагается, что система функционирует оптимально.

В ряде случаев ценность информации может быть определена как минимум затрат на ее восстановление. В других условиях она может быть рассчитана как разность между достигаемыми конечными эффектами системы при наличии и отсутствии защищаемой информации. На практике часто вводят пороговые значения денежной ценности информации, что позволяет существенно упростить классификацию информации.

Ценность информации может быть как положительной, так и отрицательной величиной. Информация с отрица тельной ценностью подлежит уничтожению. Наиболее важным или ценным объектом защиты в АБС является электронный платежный документ, его информация или данные. Напомним, что информация, обрабатываемая в АБС, не составляет государственную тайну и ее владельцами являются коммерческие банки или их клиенты.

Документ - учетная единица, исполняющая функцию формализованного доказательного описания проведенной операции (транзакции). Полезно отметить, что только несколько процентов всего информационного потока, который обрабатывается в ЦБ РФ (государственном банке), имеет отношение к государственной тайне.

В случае возможных коллизий с электронным платежным документом для разбирательства споров между уча стниками расчетов в автоматизированной платежной системе приходится прибегать к услугам арбитров (тре тейских судов). В соответствии с письмом арбитражного суда от 7 июня 1995 г. № С1/03-316 при подтвержде нии юридической силы документа электронной цифровой подписью этот документ может признаваться в каче стве доказательства по делу, рассматриваемому арбитражным судом.

Для электронного платежного документа приоритетным является обеспечение целостности или неизменности информации по сравнению с ее конфиденциальностью или секретностью, которые наиболее важны в военных или правительственных системах. Также весьма важно в АБС обеспечить оперативную и своевременную дос тупность к электронному платежному документу вне зависимости от негативных случайных или преднамерен ных воздействий на систему или обрабатываемую информацию. По многолетней статистике, представленной американской исследовательской фирмой FIND/SVP, отказ АБС (недоступность информации), используемой в банке, приносит суммарный ущерб порядка 263 тыс. долл.

Изложенные положения перекликаются с содержанием документа ЦБ РФ "Основные направления обеспечения безопасности автоматизированных платежных информационных телекоммуникационных систем и систем свя зи Банка России" № 23-3-1-1/24 от 14 января 2000 г.

Совокупность перечисленных особенностей защиты информации в АБС приводит к синергетическому эффекту снижения безопасности банка при использовании только традиционных решений, предназначенных для воен ных или правительственных систем.

Напомним, что в подобных отечественных и зарубежных документах очевидна привязка к условиям прави тельственной или военной системы, обрабатывающей секретную информацию. Можно ожидать в будущем формирование специализированных требований, предназначенных для кредитно-финансовой сферы и оформ ленных в виде специальных профилей безопасности. Требования банковского профиля безопасности позволят:

• оптимизировать расходы на защиту информации;

• обеспечить качественный аудит АБС;

• решить конкретные вопросы внутреннего контроля автоматизированного банка.

Важность вышеизложенного подчеркивается положениями Доктрины информационной безопасности Россий ской Федерации, которая была утверждена Президентом РФ В. В. Путиным 9 сентября 2000 г. В документе, в частности, отмечается, что "серьезную угрозу для нормального функционирования экономики в целом пред Теоретические, организационные, учебно-методические и правовые проблемы ставляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютер ные системы и сети банков и иных кредитных организаций".

ПРАВОВЫЕ АСПЕКТЫ РЕШЕНИЯ ПРОБЛЕМЫ ОБЩЕСТВЕННОЙ БЕЗОПАСНОСТИ, СВЯЗАННОЙ С ЭЛЕКТРОННЫМИ БАНКАМИ ДАННЫХ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ОРГАНОВ ВНУТРЕННИХ ДЕЛ К.ю.н., доцент О.А.Степанов (Академии управления МВД России) В России монополистом электронных банков данных персональной информации (под персональной информа цией понимается информация, позволяющая идентифицировать личность человека) по одному или нескольким специфичным для него признакам) является государство, у которого в начале 90-х годов ХХ в. были необходи мые средства на их создание и обеспечение функционирования.

Вместе с тем до последнего времени законодательно не определены ни мера прав личности по отношению к информации о ней в электронных банках данных органов внутренних дел, ни мера ее ответственности за нане сение ущерба такой информации. Сложившееся положение таит в себе серьезную угрозу общественной безо пасности.

Анализ данной проблемы, является весьма актуальным с точки зрения непосредственных интересов МВД Рос сии, поскольку электронные банки данных органов внутренних дел, содержащие фамилии, адреса, телефоны граждан, сведения о личном автотранспорте и прочее, сегодня доступны за вполне умеренную плату (80- рублей) практически любому желающему из-за свободной распродажи их пиратских копий. Причем деятель ность по распространению таких данных приобретает все больший размах.

В соответствии с законом Российской Федерации «О правовой охране программ для ЭВМ и баз данных» базам данных представляется правовая охрана как сборникам. Уголовная ответственность за нарушение авторских прав на базу данных наступает в соответствии со ст. 146 УК РФ. Вместе с тем в Уголовном кодексе не опреде лено, какой ущерб рассматривается, как крупный и какой характер в данном случае он будет иметь - только имущественный или еще моральный. Важно в законодательном порядке определиться и с моментом причине ния крупного ущерба, с учетом которого правонарушение может квалифицироваться как уголовное деяние.

В связи с этим необходимо дополнить и ст.5 Федерального закона «О милиции» 8 частью следующего содер жания: «Хранение персональных данных в электронном виде, а также отдача указаний об осуществлении со трудниками милиции автоматизированной обработки поименных данных производится в порядке, установлен ном законодательством Российской Федерации».

Поскольку рассматриваемая проблема носит не философский, а более чем практический характер, то при раз работке соответствующего законодательства должны учитываться следующие правовые положения, которые сделают обращение к услугам хакеров менее привлекательным:

- личность может оспаривать и вносить изменения в информацию, касающуюся ее;

- информация о личности используется только для установленных законом целей хранения;

- ответственность за сохранность и использование персональной информации в органах внутренних дел персо нифицируется;

- ни какое юридическое решение органов внутренних дел, дающее оценку поведения личности, не может иметь в качестве единственного основания результаты автоматизированной обработки информации, характеризую щей биографические данные человека;

- информация о личности, хранящаяся органами внутренних дел, должна быть защищена против несанкциони рованного доступа, разрушения и разглашения, в том числе при передаче ее по международным информацион но - телекоммуникационным системам;

- используемая органами внутренних дел информация о личности должна быть точна и актуальна, а период ее хранения не должен превышать установленного срока времени;

- если раскрытие информации противоречит, установленным законом общественным интересам, то органам внутренних дел должно быть предоставлено право «вето» на ознакомление личности с такой информацией.

Разработка подобных правовых положений в России предполагает, прежде всего, внесение соответствующих изменений и дополнений в Федеральный закон «Об информации, информатизации и защите информации», касающихся обязательного осуществления органами государственной власти мер по предупреждению исполь зования персональных данных в целях причинения имущественного и морального вреда гражданам, затрудне ния реализации их прав и свобод.

Следует отметить, что в США уже с 1966 на основании закона «О свободном доступе к информации» действу ет порядок, который исходит из презумпции того, что документы, находящиеся в распоряжении ведомств и министерств исполнительной власти правительства США, доступны народу. Кроме того, в США с 1974 г. со гласно закону «Об охране прав личности» действуют нормы, разрешающие большинству граждан не только добиваться доступа к документам федеральных ведомств, содержащих сведения о них, и выдачу большей части документов отдельным лицам, но и требующие, чтобы информация получалась непосредственно от лиц, кото рых она касается. При этом оба закона ограничивают возможность выдачи персональных документов третьим лицам, если раскрытие данных наносит вред интересам личности, и признают легитимность необходимости Теоретические, организационные, учебно-методические и правовые проблемы _ отказа в выдаче данных, засекреченных в интересах национальной безопасности или международных отноше ний, а также следственных материалов по уголовным делам. Если документ не может быть выдан, то лицу за прашивающему его должна быть объявлена причина отказа, которая может быть оспорена, в том числе через суд. Такие законодательные меры, в том числе сводят на «нет» и целесообразность деятельности компьютер ных пиратов.

В уголовном кодексе Франции предусмотрена ответственность за посягательства связанные с использованием картотек и обработкой данных на ЭВМ (за отдачу указаний на автоматизированную обработку поименных данных, без предусмотренных в законе формальностей, за сбор и обработку данных незаконным способом, за ввод или хранение в памяти ЭВМ запрещенных законом данных, за хранение определенных данных сверх ус тановленного законом срока, за разглашение данных, могущее привести к указанным в законе последствиям и другие).

В законе Итальянской Республики «О защите информации» принятом 31 декабря 1996 г. вводится гражданская ответственность, предполагающая возмещение убытков в случае искажения или утраты государственным служащим данных личного характера. При этом меры по обеспечению информационной безопасности, относя щиеся к ведению отдельных ведомств, вводятся в законную силу Указом Премьер-министра в соответствии с действующим законодательством.

В складывающейся ситуации, очевидно, что отечественное законотворчество должно опираться на междуна родный опыт. Такой подход определяется не только членством России в Совете Европы, но и глобальным (трансграничным) характером информационного обмена.

Ключевой идеей европейского законодательства (Конвенция Совета Европы "О защите личности в отношении автоматизированной обработки персональных данных", Директива Европейского парламента и Совета "О за щите физических лиц в отношении обработки персональных данных и о свободном обращении этих данных") в рассматриваемой области является определение правовых принципов, обеспечивающих унификацию подхода к регулированию возникающих проблем (на базе баланса интересов субъектов персональных данных и лиц, ис пользующих такие данные).

Наиболее важной характеристикой правового режима персональных данных, согласно документам Совета Европы является система гарантий для субъектов персональных данных, обеспечивающих им защиту и воз можность контроля за использованием данных, при этом именно государство должно обеспечить возможность такого контроля. Это положение развивает идею основ международного законодательства, устанавливающего общие подходы к обращению с персональными данными на национальных уровнях.

В качестве форм государственного обеспечения работы с персональными данными могут также выступать лицензирование, регистрация массивов данных и их держателей, сертификация информационных систем и технологий, предназначенных для обработки данных, заключение межгосударственных соглашений о транс граничной передаче персональных данных.

Следует заметить, что дальнейшее затягивание проблемы правового регулирования отношений, связанных с обращением персональных данных в российском обществе наносит ущерб его интересам в условиях расшире ния доступа к ним через открытые информационные сети. Поэтому к числу первоочередных мероприятий сле дует отнести создание правовых норм, регулирующих отношения по поводу действий, связанных с защитой корпоративных баз данных. Особую актуальность данное положение приобретает в отношении сведений о гражданах (фамилии, адреса, состояние денежных вкладов и т.п.), к которым возможен телекоммуникационный доступ.

Разработка внутригосударственных правовых норм, прежде всего, должна быть ориентирована на устранение трудностей доказательства в судебном порядке факта информационно-электронного правонарушения.

В этой связи в неотложном порядке также необходимо принимать и законодательство, определяющее:

- правовые аспекты оперативно-розыскных действий, связанных с обеспечением контроля за незаконным рас пространением корпоративных электронных баз данных, прежде всего, в части установления особого порядка приема и рассмотрения заявлений по таким фактам;

- практику проведения регулярных социологических опросов населения в части установления уровня его зна ния о функционировании конкретных информационных систем, затрагивающих сферу личной жизни человека, возможности доступа личности к информации, ее касающейся, степени уверенности населения в том, что ис пользование персональной информации осуществляется в строго определенных законом целях.

В рамках рассматриваемой проблемы нельзя не заметить, что в связи с возрастающим количеством информа ции (в том числе ограниченного доступа), используемой в электронном виде, в общественной практике все большее значение отводится понятию «электронный документ». Вместе с тем проблема сохранения электрон ных документов от уничтожения, копирования, модификации, подделки пока не нашла должного правого регу лирования на национальном уровне.

По мнению автора, в России необходимо в ближайшей перспективе разработать и принять Федеральный закон "О безопасности электронного документооборота". Этот нормативный акт должен определять не только право вые основы обеспечения безопасности электронного обмена документами, но и обеспечивать защиту прав и законных интересов граждан, а также защиту интересов общества и государства (в том числе защиту интеллек туальной собственности) путем предупреждения противоправных действий в информационно-электронном пространстве.

Теоретические, организационные, учебно-методические и правовые проблемы Под безопасностью электронного документооборота может пониматься состояние данного процесса, отра жающее степень защищенности его участников от противоправных действий и их последствий, а под обеспе чением безопасности электронного документооборота допустимо понимать деятельность, направленную на предупреждение причин возникновения подобных противоправных действий и снижению тяжести их послед ствий.



Pages:     | 1 |   ...   | 3 | 4 || 6 | 7 |   ...   | 10 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.