Проблеми захисту комп’ютерної інформації в органах внутрішніх справ

До останнього часу питанням захисту інформації і програмних засобів, у тому числі за допомогою кримінального закону, приділялося мало уваги. У той же час розвиток обчислювальної техніки та її широке впровадження в різних сферах людської діяльності викликало зростання числа протизаконних дій, об’єктом або знаряддям вчинення котрих є електронно-обчислювальні машини. В автоматизованих системах є ряд незахищених місць, котрі використовують для скоєння правопорушень. Це – термінали та системні програми, робочі програми, картки з даними, міні-телезв’язки та мікросхеми. Шляхом різного роду маніпуляцій, тобто внесення змін в інформацію на різних етапах її обробки, в програмне забезпечення, оволодіння інформацією, нерідко вдається одержувати значні суми грошей, ухилятися від оподаткування, займатися промисловим шпигунством, знешкоджувати програми конкурентів і т. ін. Всі ці дії дістали назву "комп’ютерні злочини".

Існують різні підходи до поняття та класифікації комп’ютерних злочинів. Так, можна виділити: комп’ютерне шахрайство;

крадіжки програмного забезпечення; комп’ютерний саботаж; ком-п ютерне шпигунство.

Комп’ютерне шахрайство – злочинне викривлення програми, а також запис та використання перекручених даних. Метою комп’ютерного шахрайства є, як правило, незаконне отримання майнових пільг для себе та інших осіб. Цей вид злочину досить поширений за рубежем.

Крадіжка програмного забезпечення – незаконне придбання або використання програм, записаних у пам’яті ЕОМ. Ці злочини можуть порушувати інтереси як окремих осіб, так і держав.

Комп’ютерний саботаж – порушення функціонування інформаційної системи шляхом маніпуляцій з програмним забезпеченням (знищенням або фальсифікацію інформації) чи апаратурою (пошкодженням або руйнуванням засобів інформаційної техніки).

Комп’ютерне шпигунство – незаконне оволодіння інформацією, що знаходиться у комп’ютері.

Для запобігання комп’ютерним злочинам розробники автоматизованих систем, обчислювальної техніки та засобів передачі інформації створюють різні способи захисту від несанкціонованого доступу до даних, що розробляються на ЕОМ, та програмних засобів.

Основними способами такого захисту є: технічні, програмні, криптографічні та правові.

Під технічним способом захисту інформації (даних та програмного забезпечення) розуміються різні апаратні способи захисту інформації, наприклад, екранування приміщень, в котрих знаходяться ЕОМ чи дисплей, установка різних генераторів шумів. Однак тільки технічним способом захистити інформацію від несанкціонованого доступу практично не можливо.

Під програмним способом захисту даних та програмного забезпечення розуміється розробка спеціального програмного забезпечення, котре не дозволило б сторонній людині, яка не обізнана з цим видом захисту, одержувати інформацію із системи. Прикладом такого виду захисту може бути система різних паролів.

Особливу небезпеку в останні роки становить так званий комп’ютерний вірус, котрий навмисно (або необережно) вводиться в автоматизовану систему і знищує дані та програмне забезпечення. Для боротьби з вірусами створюються спеціальні антиві-русні програми, котрі допомагають виявляти віруси та очищати від них обчислювальну систему.

Під криптографічним способом захисту даних розуміється попередня їх розшифровка до вводу в ЕОМ.

У практиці звичайно використовуються комбіновані способи захисту інформації від несанкціонованого доступу⁴.

Правовий захист інформації – це комплекс адміністративно-правових та кримінально-правових норм, які встановлюють відповідальність за несанкціоноване використання даних або програмних засобів.

Як на теперішній час способи захисту інформації не типізовані, розробник автоматизованої системи розв’язує питання про ті чи інші способи захисту разом із замовником. При цьому багато що залежить від кваліфікації розробника та ступеня його обізнаності про способи захисту інформації.

У наші дні все більш актуальним стає питання про проведення в державному масштабі комплексу організаційно-правових і технічних заходів по захисту автоматизованих систем від несанкціонованого втручання людини в обчислювальну систему з метою викривлення оброблюваної інформації. Щоб запобігти використанню ЕОМ для вчинення будь-якого роду зловживань та розкрадань, необхідно внести зміни в діючі нормативні акти, а також розробити ряд нових.

Насамперед, слід встановити кримінальну відповідальність за будь-яке несанкціоноване одержання із ЕОМ даних або програм. При цьому немає потреби очікувати вирішення питання про нормативне визнання інформації, що обробляється та одержується із ЕОМ, товаром, як це зроблено щодо програмного забезпечення. Сам факт несанкціонованого отримання інформації з корисною метою вже має створювати склад злочину.

Одним з першочергових завдань є введення кримінальної відповідальності за навмисне пошкодження ЕОМ або її периферійних пристроїв і терміналів, як це вже зроблено в ряді зарубіжних країн.

У правовій державі особливого значення набуває правовий захист даних особистого характеру, що обробляються в автоматизованих системах, тобто різних відомостей щодо конкретних осіб. У зв’язку з цим особливо актуальним це питання стає в правоохоронних органах, особливо в органах внутрішніх справ. При обробці персональних відомостей про громадян застосування ЕОМ має суворо відповідати принципам захисту прав та безпеки громадян, що визначені національним та міжнародним законодавством. Особливу увагу при цьому має бути приділено таким основним принципам:

головна мета збирання персональних відомостей про громадян повинна бути визначена до створення баз даних, що дозволяє надалі здійснювати контроль за відповідністю зібраних та зареєстрованих даних цій меті;

⁴ Див. більш докладно, наприклад: Попов А.Ф. Захист персональних комп’ютерів: Навч. посібник / Під ред. проЛ. М.С. Вертузаєва. - К., 1998.

особисті дані про людину не можна використовувати з іншою мстою, ніж для якої вони призначені, без згоди відповідних органів або без згоди самої людини;

термін зберігання даних про людину не повинен перевищувати строк зберігання, необхідний для досягнення тієї мети, для котрої вони були зібрані;

особисті відомості про осіб, що є в файлах ЕОМ, мають бути достовірними і актуальними;

обробка конфіденційних даних і обмін інформацією можуть бути дозволені тільки тоді, коли доступ до цієї інформації обмежений, коли він належним чином контролюється і коли вжито відповідних правових, організаційних і технічних заходів для забезпечення необхідного захисту цих даних.

Не випадково в останніх організаційних структурах МВС України та УМВС областей передбачені спеціальні підрозділи по технічному захисту інформації.