:::::: ЧОУ ДПО «Центр предпринимательских рисков» :::::

Угрозы информационной безопасности. Новые реалии и адекватность классификации

В настоящее время нет нужды доказывать, что идущие процессы стремительной информатизации всех направлений деятельности современного мирового сообщества объективно приводят к действительно революционным преобразованиям в жизни человечества.

Различным аспектам этих многоплановых и во многом трудноформализуемых явлений посвящено большое количество работ, причем значительная часть из них уделена вопросам информационной безопасности.

Разумеется, без такого всестороннего и углубленного анализа сложных явлений поиск истины невозможен, однако естественным негативным следствием этого огромного числа публикаций является то, что со временем изначальный смысл и цель исследований несколько затираются, а неумеренное употребление термина «информационная революция», как было точно подмечено в [1], вообще «порождает инфляцию исходного понятия».

В этой связи особое внимание привлекает ряд работ (в частности, публикации [2] и [3], в которых предпринимаются усилия не столько по углублению узкоспециальных знаний, сколько по осмыслению всех накопленных разнородных данных в этой предметной области для поиска (восстановления) глубинного смысла некоторых категорий.

Ни в коей мере не претендуя на полноту освещения вопроса, авторы настоящей статьи тем не менее попытались с таких же общих позиций взглянуть на проблемы правового обеспечения информационной безопасности, то есть на те области человеческой деятельности, в которых пересекаются сферы «ответственности» информатизации, безопасности и права.

Следуя методологии, предложенной в статье [2], определим безопасность как состояние защищенности от негативного воздействия каждого из этапов информационного процесса некоторого субъекта, реализующего свои цели и законные интересы в пространстве материального мира.

При этом под информационным процессом будем понимать все действия, так или иначе связанные с преобразованием информации в жизнедеятельности такого активного субъекта: получение им сигналов из внешнего мира, выделение из них информации (то есть интерпретацию сигналов в некоторые данные, имеющие для него содержательное значение), хранение и обработку накапливаемой информации, принятие на основе новых знаний об окружающем мире решений о своих действиях, то есть воплощение их в действительность.

Именно в результате таких преобразований актуализируются основные качественные характеристики информации, наиболее важными из которых в практическом плане являются ценность, достоверность и своевременность.

Однако на каждом из этапов преобразование информации проходит в условиях действия различных факторов, стремящихся нарушить естественное, то есть бесконфликтное течение информационных процессов. Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности.

Известно достаточно большое количество определений угроз информационной безопасности, которые, несмотря на отличия в деталях, едины в своей сути: под угрозами понимается опасность (существующая реально или потенциально) совершения какого-либо деяния (действия или бездействия), направленного на нарушение основных свойств информации: конфиденциальности, целостности, доступности.

Остановимся на последнем более подробно. Практически все исследователи, раскрывая виды возможных нарушений основных свойств информации, приводят один и тот же перечень: к угрозам нарушения конфиденциальности информации относят хищение (копирование) и утечку информации; к угрозам доступности – блокирование информации; к угрозам целостности – модификацию (искажение информации), отрицание подлинности информации или навязывание ложной информации.

Традиция выделять именно упомянутые три вида угроз безопасности информации, по-видимому, восходит к принятым в 1983 году «Критериям оценки компьютерных систем Министерства обороны США», более известным как «Оранжевая книга». Данный подход полностью сохранился и в Международном стандарте ИСО/МЭК 15408-99 (исторически сложившееся название – «Общие критерии»), и в его Российском аналоге ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий».

Данные нормативные документы, как следует из их направленности, ориентированы в основном на компьютерные системы обработки информации. Принципиальной особенностью таких систем является то, что в них субъект отстраняется от процесса обработки информации и неявным образом делегирует свои полномочия по отдельным составляющим рассмотренного выше информационного процесса определенной аппаратно-программной среде, «которая обладает некоторой свободой в своих действиях и совсем не обязательно делает то, что хочет или предполагает пользователь» [4].

Можно допустить, что для такого рода компьютерных систем известная классификация угроз информационной безопасности является исчерпывающей и удовлетворяющей практические потребности на разумную перспективу.

Вместе с тем, в общем случае необходимость «раскладывания» конкретных примеров отрицательного воздействия внешних факторов на информационный процесс некоторого субъекта всего лишь по трем «делам» (конфиденциальность-доступность-целостность) может вызывать значительные проблемы.

И вопрос здесь не столько в необходимости учета особенностей различных источников угроз безопасности (антропогенные – преднамеренные и случайные, техногенные, природные) [5], сколько в трудностях корректной правовой оценки соответствующих явлений.

За противоправные действия виновные лица могут нести гражданско-правовую, административную, уголовную и иную ответственность. При этом наибольшая степень наказания личности нарушителя обеспечивается при наличии уголовных санкций, когда правонарушения в зависимости от их общественной значимости, массовости, типичности и устойчивости проявления переводятся (криминализируются) в разряд преступлений [1].

Вместе с тем, в Главе 28 Уголовного кодекса РФ предусмотрена ответственность только за некоторые правонарушения в информационной сфере: ст. 272 – неправомерный доступ к компьютерной информации; ст. 273 – создание, использование и распространение вредоносных программ для ЭВМ; ст. 274 – нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети. Ответственность за правонарушения в этой области предусмотрены и некоторыми другими статьями УК РФ, но их очень мало.

Безусловно, такое нормативно-правовое регулирование в рамках действующего законодательства всего множества угроз в информационной сфере является явно недостаточным [7], особенно с учетом высокой скрытности (латентности) этого вида преступлений и сложности сбора улик даже по установленным фактам [8].

Примером этого может служить сложность уголовно-правовой оценки так называемого фрода (fraud, англ.) – мошенничества в сотовых сетях связи, связанного с неправомочным и преднамеренным доступом абонента к услугам связи с целью извлечения личной или коллективной выгоды [6]. Действительно, даже самый распространенный вид фрода – неправомочное изготовление (клонирование) телефонных трубок, только с натяжкой можно отнести к одному из видов преступлений, предусмотренных Главой 28 Уголовного кодекса РФ.

К другим негативным явлениям, сопровождающим информационные процессы и вместе с тем вызывающим сложности правовой квалификации, также следует отнести:

незаконную продажу баз данных об абонентах мобильной связи;
незаконную продажу архивов SMS-сообщений;
незаконный доступ к служебной информации о местонахождении абонентов (отслеживание роуминга);
распространение оскорбительных и непристойных материалов в сети Интернет (спамминг);
нарушение прав интеллектуальной собственности;
продажу аппаратно-программных средств с недекларированными возможностями.

Прокрустово ложе описанной выше классификации угроз информационной безопасности всего лишь из трех составляющих (нарушения конфиденциальности, целостности, доступности) в значительном числе практически важных случаев скорее порождает вопросы, чем помогает отвечать на них.

Действительно, является ли реализацией угрозы информационной безопасности использование чужих сообщений как стеганографических контейнеров для передачи засекреченных сообщений (пусть даже используемых для подготовки преступления), если при этом качество передачи чужого сообщения практически не нарушалось? Насколько общество (законодатель) могут игнорировать нелегальное использование чужой информации как носителя сообщений, содержащих общественно опасную информацию?

Или другое, насколько безобидны действия оператора связи, если в результате перегрузки системы, существующей по его вине, информация до адресата поступает с существенным опозданием?

Казалось бы, такого рода событие является скорее досадным обстоятельством, нежели опасным явлением. Однако следует вспомнить, что при этом нарушается одно из главных свойств информации – ее своевременность.

Итак, становится очевидным, что существующая классификация угроз информационной безопасности требует своего развития и уточнения. Не случайно в проекте Европейской конвенции о киберпреступности объективная сторона киберпреступлений характеризуется выделением гораздо большего числа групп общественно опасных деяний, то есть гораздо большей детализацией, чем классификация из трех видов. В частности, Европейская конвенция различает противозаконный доступ (статья 2) и противозаконный перехват данных (статья 3), вмешательство в функционирование системы (статья 5) и противоправное использование устройств (статья 6), подлог с использованием компьютеров (статья 7) и мошенничество с использованием компьютеров (статья 8), правонарушения, связанные с содержанием данных (статья 9) и с нарушением авторского права (статья 10).

В настоящей статье нет необходимости подробно останавливаться на разъяснении положений проекта Европейской конвенции о киберпреступности, поскольку такой подробный анализ выполнен в публикации [9].

С позиций настоящего исследования важно лишь обратить внимание читателей на появление таких нормативно-правовых актов, в которых делается уточнение и детализация известных угроз информационной безопасности в соответствии с новыми реалиями.

Неверно думать, что такого рода уточнения являются прерогативой лишь уголовной отрасли права. Исходя из позиции авторов, обозначенной в начале статьи, попробуем проанализировать те новые угрозы информационной безопасности, которые сопровождают становление и развитие в России электронной коммерции. При этом, несколько отойдя от классификации соответствующих нарушений по отраслям права (гражданское, административное, уголовное), сосредоточимся на содержательном значении угроз информационной безопасности интернет-сделок, отличающих их от известных негативных факторов информационной безопасности, сопровождающих «обычный» (пусть и автоматизированный) бизнес.

В соответствии с Гражданским кодексом РФ, сделками признаются действия граждан и юридических лиц, направленные на установление, изменение или прекращение гражданских прав и обязанностей. Договор является разновидностью сделки, так как всякий договор – это сделка, но не всякая сделка – это договор. Большинство авторов считает, что сделка – всегда действие правомерное (проф. Новицкий И. Б., проф. Перетерский И. С., проф. Агарков М. М.). Генкин Д. М. же считает, что правомерность или неправомерность не является необходимым признаком сделки, а лишь определяет те или иные последствия сделки. Таким образом, видимо, правильно все же считать, что сделка есть правомерное юридическое действие, совершенное одним или несколькими дееспособными лицами, выступающими в качестве субъектов имущественных (гражданских) прав, направленное на установление, изменение или прекращение гражданских правоотношений. Принято выделять следующие элементы сделки:

Для того чтобы сделка была действительной, необходимо, чтобы все выше перечисленные элементы состава сделки соответствовали требованиям закона. В противном случае речь будет идти о признании сделки оспоримой по суду или констатации факта ее ничтожности.

В настоящее время законодатель принципиально отказался от обозначения электронных сделок в качестве «коммерции»: в ГК используется термин «предпринимательская деятельность» (ст. 23 ГК РФ). Но подлежащие регулированию общественные отношения в сфере использования глобальной компьютерной сети Интернет содержат как предпринимательские, так и некоммерческие отношения, тесно связанные с предпринимательскими. Таким образом, более целесообразным было бы использовать термин «электронная коммерция», «электронная экономическая деятельность» (экономическая деятельность, осуществляемая в электронной форме с использованием глобальной компьютерной сети Интернет).

Электронная коммерция – это электронный обмен данными, электронный перевод денежных средств и электронная торговля. Электронный документооборот – перемещение в компьютерной сети Интернет структурированной информации, создаваемой и интерпретируемой по определенным правилам, а под электронной торговлей, как правило, понимают сделки купли-продажи, совершенные с использованием средств электронного документооборота, или совокупность действий, направленных на их заключение [10].

Форма сделки – это форма, в которой выражается волеизъявление субъектов. Выделяют две формы сделок: устная и письменная (простая и квалифицированная (нотариальная), помимо этого некоторые сделки по закону требуют обязательной государственной регистрации.

Электронная форма договора приравнивается ГК РФ к письменной форме при соблюдении двух условий. Во-первых, средства связи позволяют достоверно установить, что электронные документы исходят от стороны по договору. Во-вторых, использование в ходе обмена документами факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи или иного аналога собственноручной подписи совершено в случаях и порядке, предусмотренных законом, иными правовыми актами или соглашением сторон [11]. В соответствии с ГК, договор (как разновидность сделки) в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем «обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору» (ст. 434 ГК РФ). Поскольку письменная форма сделки по российскому законодательству предполагает составление документа и его подписание, то факсимильное воспроизведение подписи в электронном документе либо иной способ идентификации лица и указания на то, что это лицо согласно с информацией, содержащейся в сообщении электронных данных, должен быть как надежным, так и соответствующим цели, для которой сообщение электронных данных было подготовлено или передано с учетом всех обстоятельств, включая любые соответствующие договоренности (Типовой закон об электронной торговле Комиссии Организации Объединенных Наций по праву международной торговли принят Резолюцией Генеральной Ассамблеи ООН №ООН А/51/628 от 16 декабря 1996 г.).

Соблюдение определенных правил об электронной форме сделки важно не только в том случае, когда требуется письменная форма. Электронный договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом не установлена определенная форма для конкретного вида договора. В случаях когда не требуется простая письменная форма сделки, для выяснения согласованной воли сторон по договору требуется установить факт того, что документ исходит от стороны по договору. При несоблюдении правил подписи электронного документа риск, связанный с возможным отказом стороны от направленных от ее имени оферты или акцепта, несет тот, кто ее принял и признал принадлежность подписи отправителя. Нарушение требования ГК о порядке применения электронной цифровой подписи (ЭЦП) может служить достаточным основанием для оспаривания договора.

В настоящее время использование ЭЦП не представляет особого труда и проверить ее можно с помощью соответствующих ключей, поэтому можно предположить, что по прошествии всего нескольких лет ЭЦП станет единственным способом подписания документов по сделке. Разумное и полное правовое регулирование ЭЦП уже сегодня дает уверенность в том, что в будущем ЭЦП будет не только надежной, но и практичной системой удостоверения сторон по договору, заменяющей полно и всесторонне «живую» подпись. В настоящее время ЭЦП – это такое же, как и рукописная подпись, доказательство заключения сделки (юридический факт) в случае возникновения спорного вопроса. Предлагается признать в ГК РФ наличие убедительной юридической силы электронного сообщения, если оно отвечает двум требованиям:

1. Наличие надежной идентификации электронной подписи.

2. Длительное хранение сообщения под контролем подписавшего его лица.

Удостоверение сообщения должно осуществляться аккредитованным органом, который может гарантировать, что эти два легальных требования удовлетворены. Надо способствовать появлению такого рода услуг. Они должны оставаться свободными; государство здесь призвано определять необходимые условия аккредитации предоставления этих услуг.

С появлением возможности заключать электронные сделки изменяется момент заключения таких сделок. Например, в соответствии с «Основами законодательства о нотариате» заявления могут быть переданы нотариусу с использованием телефакса, компьютерных сетей и иных технических средств. Следует учитывать, что время отправки и получения электронных сообщений практически не различается. Для гражданского оборота обычно имеет значение день отправки и получения сообщения, который совпадает. Согласно «Типовому закону об электронной торговле», если составитель и адресат не договорились об ином, отправление сообщения электронных данных происходит в тот момент, когда оно поступает в информационную систему, находящуюся вне контроля составителя или лица, которое отправило сообщение от имени составителя. Момент получения сообщения данных определяется, если стороны не договорились об ином, в зависимости от того, указал ли адресат информационную систему для цели получения таких сообщений.

Место заключения договора имеет значение для определения применимого к договору права, а также для решения вопросов, например, толкования договора, установления цены, которая не была предусмотрена и т. д. [11]. Согласно ГК, если в договоре не указано место его заключения, договор признается заключенным в месте жительства гражданина или месте нахождения юридического лица, направившего оферту (444).

В соответствии с Типовым законом ООН об электронной торговле, если составитель и адресат не договорились об ином, сообщение данных считается отправленным в месте нахождения коммерческого предприятия составителя и считается полученным в месте нахождения коммерческого предприятия адресата. При этом если составитель или адресат имеют несколько коммерческих предприятий, соответствующим местом нахождения коммерческого предприятия считается такое место, которое имеет самое непосредственное отношение к основной сделке, или, в случае отсутствия основной сделки, место нахождения основного коммерческого предприятия. Если составитель или адресат не имеют коммерческого предприятия, таковым считается их обычное место жительства. Таким образом, место заключения договора не увязано с местом, в котором находится информационная система отправителя или адресата.

Экономические отношения, возникающие в процессе использования глобальной сети Интернет в качестве электронного инструмента ведения экономической деятельности, делятся на две группы:

предпринимательские отношения, то есть отношения, возникающие в процессе осуществления предпринимательской деятельности в принципиально новой, электронной форме – с использованием глобальной сети Интернет;
некоммерческие отношения, тесно связанные с предпринимательскими, в первую очередь это предпринимательская деятельность некоммерческих организаций, а также деятельность товарных и фондовых бирж, осуществляемые также в новой электронной форме. Представляется не лишним сказать, что под биржевой сделкой понимается зарегистрированный биржей договор (соглашение), заключенный участниками биржевых торгов в отношении биржевого товара в ходе биржевых торгов (Закон РФ «О товарных биржах и биржевой торговле»).

Насколько тогда обосновано утверждение о том, что в России пока не существует электронного бизнеса? И что в этом случае представляет из себя российский вариант интернет-магазина? По всей видимости, лишь в некоторых случаях магазин в интернет-сети реально работает и продает товары, а не просто создает «витринный» образ. Речь не идет здесь о том, что эти магазины злонамеренно обманывают покупателей. Проблема российского сегмента сети Интернет состоит в том, что электронная торговля не сопровождается правильным оформлением прав и обязанностей контрагентов по сделке, а это, как правило, приводит к тому, что покупатель получает по сделке через Интернет заказанные товары и услуги с различными нарушениями (стоимости, ассортимента, сроков, гарантий). Эта особенность верно подмечена в статье [12].

Полномасштабный бизнес в электронном пространстве возможен, но для этого должен быть устранен целый ряд преград, порождающих угрозы информационной безопасности. К ограничениям, сдерживающим реальное развитие сделок через Интернет, можно отнести следующие:

законодательные ограничения объективного характера, например узаконенное требование оформления страхового полиса исключительно в бумажном виде или возможность открытия счетов в банке только на основании бумажных оригиналов учредительных и иных документов заявителя (процесс изменения действующего законодательства очень растянут во времени, это требует предельной концентрации сил властей в решении этих наиболее важных для современной России вопросов);
отсутствие методологии построения открытых систем электронного бизнеса, в которых равнозащищены все участники сделок;
некорректное применение ЭЦП и недостаточность правового регулирования данного вопроса [12];
недостаточную регламентацию организационных, технологических и правовых вопросов защиты участников сделок в Интернете;
трудности при идентификации сторон соглашения в виде электронной формы договора и установлении его содержания;
отсутствие системного регулирования сделок как таковых и отсутствие единой государственной политики в сфере электронной экономической деятельности;
невозможность только саморегулирования киберпространства, так как по аналогии к этой сфере применяется огромное количество действующих нормативных актов;
отсутствие единого и главного, кодифицированного нормативного акта в сфере «сетевых» отношений, позволяющего исключить разбросанность норм права по различным правовым актам;
отсутствие выработанных фундаментальных принципов защиты прав потребителей, которых могли бы придерживаться все страны (сделка в Интернете, осуществляемая предпринимателями из разных стран, вызывает необходимость заключения международного соглашения о правилах электронных сделок);
адаптацию норм коллизионного права (правил конфликта) в сфере электронной коммерции и многое другое.

Описанные выше примеры показывают, что собственно угрозы информационной безопасности, несмотря на их негативное влияние на новые информационные процессы, являются диалектическим порождением последних: новые реалии информационного сообщества вызывают к жизни новые угрозы.

По всей видимости, несмотря на то, что описанная в самом начале настоящей статьи общая схема информационного процесса некоторого субъекта остается неизменной и в киберпространстве, этому процессу сопутствуют иные (специфические) угрозы, связанные с особенностями существования и передачи информации в новой среде. Таким образом, с точки зрения любой отрасли права (гражданского, административного, уголовного и др.) современные угрозы информационной безопасности не должны быть ограничены известной классификацией, включающей в себя нарушения лишь конфиденциальности, доступности и целостности информации. Новые особенности информационного процесса в современном мире вызывают необходимость обновления содержательного значения термина «угроза информационной безопасности».

При этом является важным и очевидным участие в разработке обновленной классификации угроз информационной безопасности всех заинтересованных специалистов. Между тем, видение такой классификации авторами настоящей работы является предметом отдельной статьи.

1. Бачило И. Л., Лопатин В. Н., Федотов М. А. Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001.

2. Пюкке С. М. Размышления по традиционной проблеме // Защита информации. Конфидент, № 4–5, 2002. C. 22–25.

3. Расторгуев С. П. Философия информационной войны.–М.: Вузовская книга, 2001.– 468 с.

4. Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем.– М.: Горячая линия – Телеком, 2000. C. 18.

5. Вихорев С. В., Кобцев Р. Ю. Как узнать – откуда напасть или откуда исходит угроза безопасности информации // Защита информации. Конфидент, № 2, 2002. C. 44–49.

6. Генне О. В. Мошенничество в сотовых сетях // Защита информации. Конфидент, № 5, 2001. C. 41–43.

7. Пархоменко П. Н., Яковлев С. А., Пархоменко Н. Г. Правовые аспекты проблем обеспечения информационной безопасности.– В сб. Материалы V Международной научно-практической конференции «Информационная безопасность».– Таганрог: ТРТУ, 2003. C. 85–86.

8. Андреев Б. В. Защита прав и свобод человека и гражданина в информационной сфере // Системы безопасности, № 1, 2002. C. 10–13.

9. Волеводз А. Г. Проект Европейской конвенции о киберпреступности // Защита информации. Конфидент, № 5, 2001. C. 18–25.

10. Попов В. М., Маршавин Р. А., Ляпунов С. И. Глобальный бизнес и информационные технологии. Современная практика и рекомендации. С. 250–257.

11. Вершинин А. П. Электронный документ: правовая форма и доказательство в суде.– М., 2000. C. 67–74.

12. Соловьев Н. Н. Безопасность электронного бизнеса: о доверии и рисках // Системы безопасности, № 3, 2002. C. 16–18.