Способы совершения преступлений в сфере компьютерной информации. Меры предупреждения преступных посягательств на компьютерную информацию банка

Преступления в сфере компьютерной информации являются одним из частных видов угроз информационной безопасности банка.

По конечным целям, которые преследуют преступные посягательства в сфере компьютерной информации банка, их можно условно объединить в два основных вида. Цель первая - завладение имуществом банка путем воздействия на информацию. Мотивы деяний - корысть. Цель вторая - причинение ущерба банку путем разрушения его инфраструктуры и нарушения порядка управления деятельностью банка. Мотивы деяний - корысть (устранение конкурента), «есть, хулиганские мотивы. Все виды преступных посягательств в сфере компьютерной информации совершаются с прямым умыслом. Мотивы случайных проникновений в защищенную информационную систему банка (любопытство, самоутверждение и т.д.) в данном случае не рассматриваются из-за их «непрофильное» и малочисленности.

Основными целями защиты информационных ресурсов и информационных систем банка являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы п информационные системы, обеспечение правового режима документированной информации как объекта собственности; сохранение конфиденциальности документированной информации в соответствии с законодательством.

Среди субъектов, совершающих противоправные посягательства на компьютерную информацию банка, следует выделить:

1) лиц, совершающих преступления с целью завладения денежными средствами или имуществом банка. Такие лица могут действовать в одиночку, однако чаще всего они объедини ются в группы, численность которых доходит до 10 человек и более. Кроме специалистов в области компьютерной техники, такие группы включают в себя лиц, хорошо знакомых с банковским делом. Это объясняется тем, что для перевода денег из банка недостаточно проникнуть в его компьютерную систему. Необходимо также досконально знать детали специфически банковских технологий. Отражением процесса коммерциализации преступлений в компьютерной сфере стало также появление в Интернете предложений о продаже сведений, составляющих банковскую тайну, в первую очередь информации о владельцах банковских счетов и пластиковых картах;

2) лиц, добывающих компьютерную информацию ограниченного доступа или дезорганизующих работу компьютерных сетей банка по заказу конкурентов;

3) взломщиков (хакеров) — любителей, проникающих в защищаемые компьютерные системы из любопытства, с целью самоутверждения и т.п., в том числе для разрушения компьютерных систем из хулиганских и других некорыстных побуждений.

Целями противоправных посягательств в сфере компьютерной информации банка обычно являются:

1) незаконное завладение деньгами банка;

2) незаконный сбор информации в интересах организации-конкурента;

3) незаконный сбор информации с целью ее последующего сбыта;

4) разрушение информационных систем банка-конкурента в целях его удаления с рынка услуг либо ограничения его деятельности. Иногда эти задачи объединяются. Отечественной правоохранительной практике известен случай выполнения хакером заказа одной фирмы, в результате чего была скопирована определенная информация, а затем нанесен ущерб компьютерной системе конкурента (уничтожен веб-сайт и вся информация на сервере);

5) разрушение информационных систем банка из мести, совершаемые его работниками или бывшими работниками;

6) «взлом» веб-сайта с целью подмены подлинной информации и размещения сведений, порочащих деловую репутацию конкурента.

Ведущими во всех составах преступлений в сфере компьютерной информации с точки зрения криминалистической характеристики являются способы неправомерного доступа к компьютерной информации. В их числе наибольшее распространение получили:

— использование для получения доступа к компьютерной информации чужого имени (путем применения кодов и паролей законных пользователей);

— внедрение в объект информатизации программных или технических средств, позволяющих обойти средства защиты и получить возможность копирования информации или несанкционированной работы в информационном массиве;

— изменение адреса получателя доступа к сети (или Информации) путем внедрения программы-вируса или неправомерного аппаратного воздействия.

- перехват информации из средств вычислительной техники с использованием радиоэлектронных средств;

- подключение аппаратуры записи с каналам связи;

- похищение накопителей компьютерной памяти, в которых хранится информация;

- похищение магнитных или бумажных носителей информации.

По месту совершения посягательства на компьютерную информацию различаются:

- внешнее, которое осуществляется с компьютеров, не входящих в структуру сети банка;

- внутрисетевое, которое совершается с использованием компьютеров, входящих в банковскую сеть.

Основные направления защиты информации реализуются путем осуществления мер правового, организационного, программно-технического характера, в том числе применения криптографических средств защиты.

Меры правовой и организационной защиты компьютерной информации банка заключаются в разработке и принятии банком специальных правовых и нормативных актов, предписывающих выполнение соответствующих правил и процедур, обеспечивающих защиту информации на правовой основе - положений, инструкций, руководств, призванную четко регламентировать права и обязанности пользователей информации, правовой статус органов, технических средств и способов ее защиты.

Устанавливается персональная ответственность пользователя за сохранность доверенных ему документов (носителей), содержащих информацию ограниченного доступа, за неправомерные действия в информационной системе, которые повлекли или могли повлечь несанкционированное ознакомление с защищаемой информацией, ее искажение или уничтожение, сделали информацию недоступной для законных пользователей.

Одновременно разрабатывается и вводится в силу должностная инструкция, определяющая задачи, права, функции, ответственность и обязанности администратора службы защиты информации - лица, ответственного за защиту Информации в банке. На администратора службы защиты Информации возлагается задача оперативного контроля целостности программного и технического обеспечения, контроля за ходом технологического процесса обработки Информации.

В число организационных задач по защите следует включать мероприятия, направленные на обучение пользователей правилам безопасной работы с защищаемой информацией ознакомление с признаками противоправных посягательств на информацию.

Защита информации путем применения программных и технических средств осуществляется включением информационную систему банка программ и механизме, закрывающих к ней доступ посторонних, в том числе с использованием пароля, шифрования или других методов. Для защиты электронного документа от подделки применяется электронная цифровая подпись (реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа).

Надежная защита компьютерной информации предполагает комплексное использование всех перечисленных средств и методов.

Наряду с администратором службы защиты информации субъектами защиты информации банка являются служба внутреннего контроля и служба безопасности.