Сегодня известно много мер, направленных на предупреждение преступления. Выделим из них три: технические, правовые и организационные.

К техническим мерам можно отнести:

- защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем;

- организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев;

- установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды;

- принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов;

- установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

К правовым мерам следует отнести:

- разработку норм, устанавливающих ответственность за компьютерные преступления,

- защиту авторских прав программистов,

- совершенствование уголовного и гражданского законодательства, а также судопроизводства.

К организационным мерам относят:

- охрану вычислительного центра;

- тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком;

- наличие плана восстановления работоспособности центра после выхода его из строя;

- организацию обслуживания вычислительного центра посторонней организацией или лицами, не заинтересованными в сокрытии фактов нарушения работы центра;

- универсальность средств защиты от всех пользователей (включая высшее руководство);

- возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.

Методы физической защиты данных.

При рассмотрении проблем защиты данных прежде всего возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к уничтожению или нежелательной модификации данных.

Одним из эффективных способов сохранения конфиденциальности информации является ее кодирование (шифрование). Делается это с помощью специальных криптографических программ, которые кодируют и/или декодируют содержимое файлов с применением шифра.

Кабельная система остается главной «ахилессовой пятой» большинства локальных вычислительных сетей: по данным различных исследований, именно кабельная система является причиной более чем половины всех отказов сети. Наилучшим образом является использование так называемых структурированных кабельных систем, это означает, что кабельную систему можно разделить на несколько уровней в зависимости от назначения и месторасположения компонентов кабельной системы.

Системы электроснабжения. Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания. Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и т.д. - оснащены собственными дублированными системами электропитания.

Системы архивирования и дублирования информации. Организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер. Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия.

Защита от стихийных бедствий. Основной и наиболее распространенный метод защиты информации и оборудования от различных стихийных бедствий - пожаров, землетрясений, наводнений и т.д. - состоит в хранении архивных копий информации или в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях, расположенных, как правило, в других зданиях или, реже, даже в другом районе города или в другом городе.

Правовые аспекты защиты информации

На сегодня защита данных обеспечивается законодательными актами на международном и государственном уровне. В России такими законодательными актами служат закон «Об информации, информатизации и защите информации» (базовый) и закон «О правовой охране программ для электронных вычислительных машин и баз данных», выпущенные соответственно в 1995 и 1992 гг.

В 1981 г. Совет Европы одобрил Конвенцию по защите данных, в Великобритании аналогичный закон был принят в 1984 г. Указанные законы устанавливают нормы, регулирующие отношения в области формирования и потребления информационных ресурсов, создания и применения информационных систем, информационных технологий и средств их обеспечения, защиты информации и защиты прав граждан в условиях информатизации общества.

На федеральном уровне принимаются следующие меры для обеспечения информационной безопасности:

- осуществляется формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере;

- устанавливается баланс между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;

- совершенствуется законодательство РФ в сфере обеспечения информационной безопасности;

- координируется деятельность органов государственной власти по обеспечению безопасности в информационной среде;

- защищаются государственные информационные ресурсы на оборонных предприятиях;

- развиваются отечественные телекоммуникационные и информационные средства;

- совершенствуется информационная структура развития новых информационных технологий;

- унифицируются средства поиска, сбора, хранения, обработки и анализа информации для вхождения в глобальную информационную инфраструктуру.

Вопросы информационной безопасности государства оговариваются в «Концепции национальной безопасности Российской Федерации», создаваемой в соответствии с указом президента РФ от 17.12.1997 г. К их числу относятся следующие:

- выявление, оценка и прогнозирование источников угроз информационной безопасности;

- разработка государственной политики обеспечения информационной безопасности, комплекса мероприятий и механизмов ее реализации;

- разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности органов государственной власти и управления, а также предприятий по обеспечению информационной безопасности;

- развитие системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствии ее нарушения;

- обеспечение активного участия России в процессах создания и использования глобальных информационных сетей и систем.

В настоящее время некоторые статьи УК РФ также направлены на защиту информации. В частности глава 28. УК «Преступления в сфере компьютерной информации» состоит из трех статей:

Ст. 272. «Неправомерный доступ к компьютерной информации».

Эта статья, которая, как и последующие, состоит из 2 частей, содержит достаточно много признаков, обязательных для объекта, объективной и субъективной сторон состава преступления. Непосредственным объектом ее являются общественные отношения по обеспечению безопасности компьютерной информации и нормальной работы ЭВМ, их системы или сети.

Состав преступления сформулирован как материальный, причем если деяние в форме действия определено однозначно (неправомерный доступ к охраняемой законом компьютерной информации), то последствия хотя и обязательны, могут быть весьма разнообразны:

- уничтожение информации;

- ее блокирование; модификация;

- копирование;

- нарушение работы ЭВМ, системы ЭВМ или для их сети.

Часть 2 ст. 272 предусматривает в качестве квалифицирующих признаков несколько новых, характеризующих объективную сторону и субъект состава. Это совершение деяния: 1)группой лиц по предварительному сговору; 2) организованной группой; 3) лицом с использованием своего служебного положения; 4) лицом, имеющим доступ к ЭВМ, их системе или сети.

Ст. 273. «Создание, использование и распространение вредоносных программ для ЭВМ».

Непосредственным объектом данного преступления являются общественные отношения по безопасному использованию ЭВМ, ее программного обеспечения и информационного содержания. Статья предусматривает наказания при совершении одного из действий: 1) создание программ для ЭВМ, заведомо приводящих (приводящей) к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы аппаратной части; 2) внесение в существующие программы изменений, обладающих аналогичными свойствами;3) использование двух названных видов программ; 4) их распространение; 5) использование машинных носителей с такими программами; 6) распространение таких носителей.

Ст. 274. «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.»

Целью данной статьи является предупреждение неисполнения пользователями своих профессиональных обязанностей, влияющих на сохранность хранимой и перерабатываемой информации. Непосредственный объект преступления, предусмотренного этой статьей, - отношения по соблюдению правил эксплуатации ЭВМ, системы или их сети, т. е. конкретно аппаратно-технического комплекса. Под таковыми правилами понимаются, во-первых, Общероссийские временные санитарные нормы и правила для работников вычислительных центров, во-вторых, техническая документация на приобретаемые компьютеры, в-третьих, конкретные, принимаемые в определенном учреждении или организации, оформленные нормативно и подлежащие доведению до сведения соответствующих работников правила внутреннего распорядка.

Вопросы для самоконтроля:

1. Что подразумевает защита информации?

2. Какие меры защиты информации существуют?

3. Какие правовые документы регулируют правила, нормы или отношения в сфере защиты информации?

4. Какие меры защиты информации предусмотрены на Вашем персональном компьютере?

5. Какие меры защиты информации на Вашем персональном компьютере можно было бы предусмотреть (при выполнении каких-либо дополнительных условий)?