Электронная коммерция

4. Методика защиты

 Три правила безопасности - конфиденциальность, неприкосновенность  и пригодность - обеспечиваются  с помощью присвоения соответствующих  меток субъектам иобъектам в  AIS и упорядочением обмена информацией  между ними. Данный порядокустановлен  в соответствии со сводом правил, называемых “политикой безопасности”.  Правила определяют, например, доверенные  метки (ключи) абонентов сети. Мероприятия по обеспечению безопасности  разработаны таким образом, чтобы  исключить возможность вскрытия  или копирования меток, точно  определять субъектов, их права.  Исчерпывающий перечень основных  требований безопасности AIS приведен  в “Оранжевой книге”.

5. Правовые перспективы

Три ветви государственной  власти - законодательная, исполнительная и судебная -- занимаются разработкой  компьютерных правовых норм и осуществляют контроль за их введением и исполнением.

5.1. Законодательная власть

 Конгресс и законодательные  учреждения легислатуры пятидесяти  штатов США. Создают правовые  акты в основном декларативного  характера. Например, конгресс принимает законопроект, определяющий, что необходимо обеспечить безопасность конфиденциальной информации, содержащейся в базах данных государственных учреждений.

5.2. Исполнительная власть

 Администрация президента  и ведомства. Разрабатывают и  издают предписания по исполнению  законов, принятых легислатурами.  Например, Министерство торговли  может выпустить директиву, устанавливающую  критерии для определения конфиденциальности  экономической информации и требования  по ее защите.

5.3. Судебная власть

Обеспечивает исполнение принятых законов, проводит слушания по спорным вопросам, рассматривает  апелляции, трактует значения подзаконных  актов, разрабатывая в исключительных случаях дополнительные предписания. После того как решения приняты (а в некоторых случаях удовлетворены  апелляции), они становятся обязательными  в юридически схожих ситуациях по прецеденту.

6. Обзор компьютерных  преступлений

 В настоящее время  в американской юриспруденции  нет общего понятия компьютерного  преступления. Одной из причин  этого является быстрое изменение  технологии. Например, в 1979 году в  изданном Министерством юстиции  США “Уголовном кодексе” понятие  компьютерного преступления подразделялось  на три категории:

1). Злоупотребление компьютером  - “ряд мероприятий с использованием  компьютера с целью извлечения  выгоды, которые нанесли или могли  нанести ущерб”.

2). Прямое незаконное  использование компьютеров в  совершении преступления.

3). “Любое незаконное  действие, для успешного осуществления  которого необходимо знание компьютерной  технологии”.

Однако значительное увеличение числа терминалов и внедрение  новых технологий, по мнению Морриса, за последнее время лишили данные тезисы определенности. Например, присутствует ли состав преступления в изменении  товарного штрих-кода в супермаркете? Должно ли лицо, уличенное в совершении подобных действий, преследоваться как  за совершение кражи, так и за компьютерное злоупотребление? Очевидно, что любое  развитие компьютерной технологии должно адекватно отражаться законодательством.

Определению важнейших характеристик  компьютерного преступления посвящена  упоминаемая Моррисом работа Уолка (Wolk) и Лудди (Luddy). Они утверждают, что большинство правонарушений, направленных на взлом сети с использованием компьютера, можно классифицировать следующим образом:

1. Диверсия - “атака против  всей системы или отдельных  ее составляющих, которая может  быть результатом вмешательства  иностранного государства или  конкурента”.

2. Сервисная кража - “использование  компьютера за чей-то счет”.

3. Преступление против  собственности, включающее “присвоение  собственности с использованием  компьютеров”.

 

 

Точное определение компьютерного  правонарушения должно включать все  противозаконные действия с использованием персонального терминала. Принятие окончательной формулировки возможно при использовании концепции  компьютерной безопасности.

      Классификация Уолка и Лудди, по мнению Морриса, строго соответствует принципу пригодности, но практически упускает из внимания конфиденциальность и неприкосновенность: нарушения в этих областях нельзя признать ни диверсией, ни сервисной кражей, ни преступлением против собственности. Например, хакер, используя “Троянскую” программу, может ввести добавочный код, позволяющий беспрепятственно получать копии файлов пользователя по электронной почте. Данное действие не является диверсией, потому что функциональность AIS не нарушается и не подвергается изменению. Состав сервисной кражи отсутствует, если хакер оплачивает счета электронной почты. В том случае, если на конфиденциальный текст не были предъявлены авторские права (copyright), несанкционированное получение копий нельзя классифицировать как преступление против собственности.

 

Простейший анализ описываемой  статьи показывает, что при создании правовой основы компьютерного законодательства должны быть учтены:

-- основные технические  аспекты, постоянное совершенствование  технологий;

-- необходимость взаимодействия  технических специалистов и правоведов.

 

 

Проблема не только в точном и объективном составлении законов, имеющих отношение к ЭВМ, но и  в обеспечении защиты гражданских  прав. Например, изобретение телеграфа  и телефона предопределило создание законов по защите личных прав граждан  от несанкционированного вмешательства. В связи с развитием технологий автоматизированной передачи информации и созданием объемных баз данных необходимо создание законодательных  актов, защищающих гражданские свободы  личности и устанавливающие юридические  нормы по защите конфиденциальности и неприкосновенности и сервисных  гарантий. В России же сегодня постоянно  высказываются опасения поставщиков  услуг Интернет: государство, поставив под контроль обычную почту, телефонную и пейджинговую связь, стремится  контролировать и передачу сообщений  по электронной почте.

 

   Компании обязаны обеспечить спецслужбам возможность контроля любых передаваемых данных, в частности - сообщений, посылаемых по электронной почте. Так же, как и в случае с сотовыми и пейджинговыми фирмами, провайдеры Интернет обязаны за свой счет создать такие возможности и предоставить Федеральной службе безопасности соответствующую аппаратуру для перехвата информации. Эта аппаратура (выносной пульт) выводится непосредственно в органы ФСБ, поэтому какой-либо контроль со стороны компаний невозможен.

 

Собственно, в лицензиях  провайдеров всегда присутствовала фраза: “Сеть должна отвечать эксплуатационно-техническим  требованиям по обеспечению и  проведению оперативно-розыскных мероприятий  в соответствии с Законом “Об  оперативно-розыскной деятельности (ОРД) в РФ”. Однако реально ранее  никто не требовал соблюдения этого  пункта.

 

Сейчас Госсвязьнадзор - ведомство, контролирующее деятельность компаний связи, ведет переоформление лицензий провайдеров. Условием переоформления лицензии является строгое выполнение всех ее пунктов, в том числе и  о внедрении аппаратуры контроля. Некоторые компании уже выполнили  все требования лицензии. Они внесли доработки в используемое программное  обеспечение, а также снабдили органы ФСБ  выносным пультом в виде компьютера. Формально компьютеры отдаются не безвозвратно, а во “временное пользование”.

 

Технические специалисты  компьютерных фирм говорят, что перехвату  поддается лишь электронная почта. Для того чтобы “поймать” сообщение, посылаемое по сети Интернет в режиме прямого доступа (on-line), необходимо вести  контроль постоянно: никто не может  предсказать, в какой момент времени  отправит сообщение именно интересующий спецслужбу человек. Постоянный контроль требует мобилизации огромных сил, к тому же он противоречит Закону об Оперативно-розыскной деятельности. В нем говорится о том, что  проведение оперативно-розыскных мероприятий, затрагивающих охраняемые законом  тайну переписки, телеграфных сообщений, телефонных и иных переговоров, допускается  лишь для сбора информации о лицах, подготавливающих, совершающих или  совершивших тяжкие преступления (имеется  в виду, что в отношении этих лиц есть подобная информация), и  только с санкции прокурора или  при наличии судебного решения.

 

 

 

Помимо законов РФ “Об  ОРД” и “О связи” в открытой печати не было опубликовано ни одного приказа  Минсвязи или ФСБ  об организации  работ по обеспечению оперативно-розыскных  мероприятий на сетях связи. Между  тем Конституция РФ (статья 15 разд. 3) гласит: “Любые нормативные правовые акты, затрагивающие права, свободы  и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего  сведения”.

 

В сложившейся ситуации у  компаний-поставщиков услуг Интернет существует три варианта действий: отказаться от бизнеса, пытаться отстоять свои права (хотя бы на компенсацию  расходов) или подчиниться. Практически  все предпочитают третий путь. Провайдеры уверены, что весть о доступе  спецслужб к электронной почте  не отпугнет клиентов. “В отличие от абонентов сотовых и пейджинговых компаний, наши клиенты вряд ли передают какие-либо секреты. Компьютерные сети - это просто средство общения”, - ответственно заявляют они.”

 

Действительно, с помощью  компьютерной сети можно наиболее простым  способом автономно и быстро поддерживать связь с любым корреспондентом  из любой точки мира. Кроме того, с помощью специальных поисковых  серверов, имея необходимый минимум  образования и интеллекта, можно  отыскать человека (и необходимую  информацию о нем!), использующего  Интернет - по его почтовому адресу, и наоборот - электронный адрес  по данным о человеке. Помимо этого, Интернет предоставляет широкие  возможности для ведения собственного бизнеса, когда контрагенты не знают  друг друга в лицо (не исключается  и возможность, что их имена и  реквизиты - вымышленные). Не стоит забывать и о широчайших возможностях для ведения так называемых “информационных войн”.сности электронной коммерции.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЛИТЕРАТУРА

1.Бачило И. Л., Лопатин  В. Н., Федотов М. А. Информационное  право.– Спб.: Изд-во «Юридический  центр Пресс», 2001.

2.Пюкке С. М. Размышления  по традиционной проблеме // Защита  информации. Конфидент, № 4–5, 2002.

3.Расторгуев С. П. Философия  информационной войны.– М.: Вузовская книга, 2001.

4.Зегжда Д. П., Ивашко  А. М. Основы безопасности информационных  систем.– М.: Горячая линия – Телеком, 2000.

5.Вихорев С. В., Кобцев  Р. Ю. Как узнать – откуда  напасть или откуда исходит  угроза безопасности информации // Защита информации. Конфидент, № 2, 2002.

6.Генне О. В. Мошенничество  в сотовых сетях // Защита информации. Конфидент, № 5, 2001.