ЭВМ, системы ЭВМ или их сети.


3. Использование документа. Система доступа сотрудников, не имеющих соответствующих прав по должности, к конфиденциальным документам должна иметь разрешительный характер.

Каждая выдача таких документов регистрируется (расписываются оба сотрудника – и тот, кто берет документ и тот кто его выдает) и проверяется порядок работы с ними (например, нарушением считается оставление данных документов на столе во время обеда, передача другим лицам, вынос за пределы служебных помещений).
4. Уничтожение документа. Конфиденциальные документы, утратившие практическое значение и не имеющие какой-либо правовой, исторической или научной ценности, срок хранения которых истек (либо не истек), подлежат уничтожению. Для этого создается комиссия (не менее 3 человек) в присутствии которой производится уничтожение.

Затем члены комиссии подписывают акт об уничтожении. Бумажные документы уничтожаются путем сожжения, дробления, превращения в бесформенную массу, а магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и др.
5. Контроль за соблюдением правил хранения и использования документов, содержащих конфиденциальную информацию, осуществляется с помощью проверок. Они могут быть как регулярными (еженедельными, ежемесячными, ежегодными), так нерегулярными (выборочными, случайными).

В случае обнаружения нарушений составляется акт и принимаются меры, позволяющие в будущем предотвратить нарушения такого рода.
Следует контролировать не только документы, содержащие конфиденциальную информацию, но и бумаги с печатями, штампами, бланки. Бланк – лист бумаги с оттиском углового или центрального штампа, либо с напечатанным любым способом текстом (или рисунком), используемый для составления документа.

Особое внимание следует уделять охране так называемых бланков строгой отчетности, содержащих номер (серию), зарегистрированных одним из установленных способов и имеющих специальный режим использования.
Компьютерная безопасность
В системе обеспечения безопасности предпринимательской деятельности все большее значение приобретает обеспечение компьютерной безопасности. Это связано с возрастающим объемом поступающей информации, совершенствованием средств ее хранения, передачи и обработки.

Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации.
Компьютерные преступления в этом аспекте можно охарактеризовать как противоправные посягательства на экономическую безопасность предпринимательства, в которых объектом, либо орудием преступления является компьютер.
Источник данного вида угроз может быть внутренним (собственные работники), внешним (например, конкуренты), смешанным (заказчики – внешние, а исполнитель – работник фирмы). Как показывает практика, подавляющее большинство таких преступлений совершается самими работниками фирм.

Что же является непосредственным объектом компьютерных преступлений? Им может являться как информация (данные), так и сами компьютерные программы (7).
Преступник получает доступ к охраняемой информации без разрешения ее собственника или владельца, либо с нарушением установленного порядка доступа. Способы такого неправомерного доступа к компьютерной информации могут быть различными – кража носителя информации, нарушение средств защиты информации, использование чужого имени, изменение кода или адреса технического устройства, представление фиктивных документов на право доступа к информации, установка аппаратуры записи, подключаемой к каналам передачи данных.

Причем доступ может быть осуществлен в помещениях фирмы, где хранятся носители, из компьютера на рабочем месте, из локальной сети, из глобальной сети.
Все угрозы на объекты информационной безопасности по способу воздействия могут быть объединены в пять групп (8): собственно информационные, физические, организационно-правовые, программно-математические, радиоэлектронные. Последствия совершенных противоправных действий могут быть различными:

  • копирование информации (оригинал при этом сохраняется);
  • изменение содержания информации по сравнению с той, которая была ранее;
  • блокирование информации – невозможность ее использования при сохранении информации;
  • уничтожение информации без возможности ее восстановления;
  • нарушение работы ЭВМ, системы ЭВМ или их сети.
<

p> Большую опасность представляют также компьютерные вирусы, то есть программы, которые могут приводить к несанкционированному воздействию на информацию, либо ЭВМ (системы ЭВМ и их сети), с теми же последствиями.
Правовое обеспечение безопасности предпринимательской деятельности от компьютерных преступлений основывается на том, что по российскому законодательству защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю. Защита осуществляется в целях утечки, хищения, утраты, искажения, подделки информации, а также предотвращения несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращения других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечения правового режима документированной информации как объекта собственности (9). Кроме того, за перечисленные выше противоправные действия предусмотрена уголовная ответственность.

И это представляется не случайным, поскольку угрозы компьютерным системам могут привести не только к значительным финансовым потерям, но и к необратимым последствиям – ликвидации самого субъекта предпринимательства.
Угрозы компьютерным системам и компьютерной информации могут быть со стороны следующих субъектов:

  • работники фирмы, использующие свое служебное положение (когда законные права по должности используются для незаконных операций с информацией);
  • работники фирмы, не имеющие права в силу своих служебных обязанностей, но, тем не менее, осуществившими несанкционированный доступ к конфиденциальной информации;
  • лица, не связанные с фирмой трудовым соглашением (контрактом).

В процессе своей деятельности предприниматели, неоднократно испытывающие неправомерные действия других субъектов, не всегда обращаются в правоохранительные органы, либо вообще стараются не разглашать случаи посягательств на их компьютерные системы. Это связано с тем, что фирмы, коммерческие банки не хотят "отпугнуть" клиентов, потребителей тем фактом, что их компьютерные системы (а значит и вся информация, содержащаяся в них) недостаточно хорошо защищены.

Латентная по своему характеру преступность приносит наибольший вред, поскольку безнаказанность преступников позволяет им продолжать и расширять свою преступную деятельность.
Обеспечение безопасности предпринимательской деятельности со стороны компьютерных систем представляет собой один из блоков проблемы безопасности вообще. Защита от компьютерных преступлений должна начинаться с разработки концепции информационной безопасности фирмы.

На основе вышеназванных принципов – вероятности угрозы, возможности защиты и экономической целесообразности защиты информации разрабатываются конкретные способы защиты.
Способы защиты можно разделить на две группы – организационные и технические. Организационные способы защиты связаны с ограничением возможного несанкционированного физического доступа к компьютерным системам. Технические способы защиты предполагают использование средств программно-технического характера, направленных, прежде всего, на ограничение доступа пользователя, работающего с компьютерными системами фирмы, к той информации, обращаться к которой он не имеет права (подробнее о программно-технических и технических средствах обеспечения информационной безопасности см. Курушин В.Д., Минаев В.А.

Компьютерные преступления и информационная безопасность. Справочник. – М.: Новый Юрист, 1998, с. 189-238). Специалисты-практики выделяют, например, такие основные направления технической защиты компьютерной системы:

  • защита информационных ресурсов от несанкционированного доступа и использования – используются средства контроля включения питания и загрузки программного обеспечения, а также методы парольной защиты при входе в систему;
  • защита от утечки по побочным каналам электромагнитных излучений и наводок – с помощью экранирования аппаратуры, помещений, применением маскирующих генераторов шумов, дополнительной проверкой аппаратуры на наличие компрометирующих излучений;
  • защита информации в каналах связи и узлах коммутации – используются процедуры аутентификации абонентов и сообщений, шифрование и специальные протоколы связи;
  • защита юридической значимости электронных документов – при доверительных отношениях двух субъектов предпринимательской деятельности и когда возникает необходимость передачи документов (платежных поручений, контрактов) по компьютерным сетям – для определения истинности отправителя документ дополняется "цифровой подписью" – специальной меткой, неразрывно логически связанной с текстом и формируемой с помощью секретного криптографического ключа;
  • защита автоматизированных систем от компьютерных вирусов и незаконной модификации – применяются иммуностойкие программы и механизмы модификации фактов программного обеспечения (10).

Действенным способом ограничения несанкционированного доступа к компьютерным системам является также регулярная смена паролей, особенно при увольнении работников, обладающих информацией о способах защиты.



Содержание раздела