Правові аспекти захисту інформації в автоматизованих системах

Голубєв В.О.
20.05.2005 | 14:06
Широке впровадження інформаційних технологій у сфері державної діяльності, економіки, фінансів, банківської справи тощо зумовило підвищення вимог до забезпечення безпеки інформації в автоматизованих системах.

Особливо гостро це питання підіймається у контексті появи нової гілки правопорушень так званих "комп'ютерних злочинів". Для забезпечення вирішення цієї проблеми у 1994 році був прийнятий Закон України "Про захист інформації в автоматизованих системах".

Дія Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах. Цим Законом встановлюються об'єкти правового захисту - інформація, що обробляється в АС, права власників цієї інформації та власників АС, права користувача (ч.1 ст.2). Зазначено, що захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством (ч. 2 ст. 2). Безпосередньо встановлюються загальні вимоги щодо захисту інформації (ст. 11) та обов'язок винних осіб понести дисциплінарну, адміністративну, кримінальну чи матеріальну відповідальність за порушення вимог закону про захист інформації (ст. 17).

Статтею 1981 Кримінального кодексу (далі - КК) здійснюється кримінально-правова охорона зазначеного кола суспільних відносин. Вона передбачає відповідальність за дві самостійні форми злочинних дій:
  • 1) умисне втручання у роботу автоматизованих систем, що призвело до перекручення чи знищення інформації або носіїв інформації;
  • 2) розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи то носіїв інформації.
Така вузькість кола суспільно небезпечних дій, визнаних злочинами, переконливо вказує на необхідність термінового реформування даної частини кримінального законодавства.

Розглядаючи розділ XVII Проекту КК України, підготовленого робочою групою КМ України (далі - ПКК), ми, на жаль, виявили домінування негативних рис та недоробок на перевагами.

Однією з найголовніших вад є використання недостатньо чітко сформульованих термінів, які, до того ж, не узгоджені з чинним інформаційним законодавством. Так, вже в назві розділу використовується термін "автоматизована електронно-обчислювальна система" замість прийнятого в законі Укпаїни "Про інформацію" терміну "автоматизована система". Таке неузгодження може призвести до значної плутанини при коментуванні та використанні статей цього розділу.

Недостатньо зваженою нам також здається спроба авторів Проекту перенести статтю 1981 в практично незміненому вигляді. Головним недоліком ст. 332 ПКК є спроба об'єднати однією нормою два посягання, що характеризуються різними об'єктами:
  • 1) порушення правил роботи АС;
  • 2) незаконний обіг визначених засобів.
Це є недоцільним насамперед тому, що ст.334 ППК цілком присвячена випадкам порушення правил експлуатації АС.

Наступним і найголовнішим недоліком є використання в назві ст.334 ППК термінів, що не відзеркалюють специфічність посягань на інформацію, без відповідного їх уточнення чи тлумачення диспозиції статті. Крім того, на нашу думку, є недоцільним перевантаження диспозиції зазначених діянь, що можуть бути кваліфіковані за загальними нормами, наприклад, вимаганням комп'ютерної інформації. Специфічність предмету посягання в данному випадку не є достатньою для такої спеціалізації.

На основі проведеного аналізу пропонується внести певні зміни в чинне законодавство, а саме:
Стосовно реформування кримінального законодавства пропонується внести зміни до проекту Кримінального кодексу України, підготовленого робочою групою КМ України [4], виклавши розділ XVI "Злочини в сфері комп'ютерної інформації і автоматизованих систем" у такій редакції:

Стаття 332.
    "Порушення порядку обігу технічних засобів та програмного забезпечення, призначених для отримання несанкціонованого доступу до комп'ютерів, автоматизованих систем та комп'ютерних мереж".:
  • (1) "Розповсюдження технічних засобів, призначених для отримання несанкціонованого доступу до комп'ютерів, автоматизованих систем та мереж, - карається…
  • (2) Розповсюдження складників, що можуть використовуватись при виготовленні технічних засобів, призначених для отримання несанкціонованого доступу до комп'ютерів, автоматизованої систем та мереж, якщо винна особа була обізнана про намір чи можливість їх подальшого використання із злочинною метою, - карається…
  • (3) Розповсюдження програмних засобів, призначених для отримання несанкціонованого доступу чи порушення роботи комп'ютерів, автоматизованих систем та мереж, - карається…"
Стаття 333.
    "Посягання на комп'ютерну інформацію":
  • (1) "Навмисне знищення, блокування чи модифікація комп'ютерної інформації, що призвели до тяжких наслідків, - карається …
  • (2) Навмисне знищення, блокування чи модифікація комп'ютерної інформації з обмеженим доступом, - карається…
  • (3) Навмисне порушення режиму доступу до комп'ютерної інформації з обмеженим доступом, яке призвело до її витоку, знищення чи модифікації, - карається…".
Стаття 334.
    "Порушення порядку функціонування автоматизованої системи чи мережі":
  • (1) "Навмисне порушення правил користування автоматизованою системою чи комп'ютерною мережею, якщо це призвело до знищення, модифікації чи витоку інформації з обмеженим доступом, - карається…
  • (2) Навмисне порушення права вповноваженої власником особи на використання ресурсів комп'ютера, автоматизованої системи чи мережі, що завдало цій особі значної шкоди, - карається…
  • (3) Злочинне недбальство особи, яка повинна здійснювати нагляд за додержанням правил користування автоматизованою системою чи комп'ютерною мережею, якщо це призвело до знищення, блокування, модифікації чи витоку інформації з обмеженим доступом, - карається…"
Для більш повного розуміння змісту запропонованих статей пропонуємо обґрунтування необхідності їх введення.

Так, високий темп зростання значення інформації за часів НТП обумовив підвищену зацікавленість певних кіл суспільства в здобутті її будь-якими методами. Задовольняючи цей попит, розробляються спеціальні програмні та технічні засоби, призначені для отримання несанкціонованого доступу до комп'ютерів, комп'ютерних систем та мереж.

Оскільки право власності на інформацію закріплене в законодавстві (ст. 38 Закону України "Про інформацію" від 2 жовтня 1992 р.) [5], то воно є об'єктом, який повинен захищатися державою, у тому числі засобами кримінально-правової охорони. Виходячи з цього, повинно бути законодавчо встановлене обмеження вільного обігу подібних програмних та технічних засобів.

На підставі цього пропоную доповнити Кримінальний кодекс статтею 332 "Порушення порядку обігу технічних засобів та програмного забезпечення, призначених для отримання несанкціонованого доступу до комп'ютерів, автоматизованих систем та комп'ютерних мереж".
  • Терміном "розповсюдження", в контексті цієї статті, не охоплюється постачання таких засобів відповідним державним органам на основі державного замовлення (скажімо, спеціальним підрозділам МВС чи СБУ).
  • Під "комп'ютером" слід розуміти будь-який електронний пристрій, побудований на основі мікропроцесора та призначений для обробки даних.
  • "Автоматизованою системою" (далі - АС) є система, що здійснює автоматизовану обробку даних і до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення (ст. І Закону "Про захист інформації в автоматизованих системах" від 5 липня 1994 р.).
  • "Комп'ютерною мережею" слід визнати будь-які взаємозв'язані комунікаційними чи телекомунікаційними лініями комп'ютери, АС чи комп'ютери та віддалені термінали.
  • "Доступ" - це пряме чи побічне використання, що призвело до вводу чи виводу інформації, або використання в інший спосіб різних можливостей комп'ютера, комп'ютерної системи, мережі чи будь-яких засобів зв'язку між ними. "Несанкціонованим" є який-небудь доступ, що прямо не дозволений власником чи вповноваженою ним особою.
  • "Посягання на комп'ютерну інформацію" (проект статті 333) вже відносяться до суто "комп'ютерних" злочинів. Саме вони складають більшість у масиві правопорушень, що посягають на безпеку інформаційних відносин.
Обумовлена об'єктивними чинниками тенденція зростання їх кількості потребує, відповідно до ч. 1 ст. 47 Закону України "Про інформацію" [6], встановлення дисциплінарної, цивільно-правової, адміністративної та кримінальної відповідальності. На наш погляд, враховуючи кількість таких правопорушень, встановлення кримінальної відповідальності буде доцільним лише у випадках заподіяння великої шкоди, тобто склади відповідних злочинів за конструкцією повинні бути матеріальними [7]. При відсутності злочинних наслідків, або при незначних розмірах заподіяної шкоди особа повинна нести адміністративну відповідальність. Потерпілий в такому випадку має право подати позов, що має бути вирішений в порядку цивільного судочинства. Дисциплінарна відповідальність наставатиме за скоєння подібних діянь (при відсутності злочинних наслідків) спеціальним суб'єктом - персоналом, що обслуговує автоматизовані системи, співробітниками відділів чи інших структурних одиниць, обсяг професійних обов'язків яких включає обробку інформації чи надання інформаційних послуг.

Безпосереднім об'єктом злочину є право власності на інформацію, тобто порушене право власника на володіння, використання чи розпорядження комп'ютерною інформацією. Тлумачення цього терміна, в контексті пропозицій, наступне:
  • інформація в АС (комп'ютерна інформація) - сукупність усіх даних і програм, які використовуються в АС або містяться на машинних носiях як елементах АС, що ідентифікується i має власника;
  • інформація, що ідентифікується - зафіксована на машинному носії інформація з реквізитами, які дозволяють її ідентифікувати.
Порушення порядку функціонування автоматизованої системи чи мережі (стаття 334). Відповідно до Закону України "Про захист інформації в автоматизованих системах" для забезпечення розмежування доступу (ст. 6) та захисту (ст. 10) інформації в автоматизованих системах власник АС встановлює певні правила. Порушення цих правил може призвести до знищення, модифікації та витоку інформації, незаконного обмеження прав окремих користувачів АС.

Для запобігання цих та деяких інших правопорушень, а також з метою забезпечення (відповідно до ст. 17 Закону) притягнення винних осіб до відповідальності, пропонується доповнити Кримінальний кодекс статтею 334, яка б встановлювала відповідальність за подібні правопорушення.

На закінчення слід відзначити, що внесення вказаних змін у кримінальне законодавство дозволить, на наш погляд, не тільки підвищити ефективність захисту інформації в автоматизованих системах, а й забезпечити належний загальний рівень інформаційної безпеки в державі.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
  1. Закон України "Про захист інформації в автоматизованих системах" // Відомості Верховної Ради України (далі -ВВР).- 1994.- №32.- Ст.715.
  2. Кримінальний кодекс України: Офіційний текст із змінами і доповненнями за станом на 1 лютого 1996 року.- К.: Видання українського державного центру правової інформації Міністерства юстиції України.- 1996.- 224с.
  3. Кримінальний кодекс України: Проект підготовлений робочою групою КМ України, 1997.- 138с.
  4. Закон України "Про інформацію" // ВВР.- 1992.- №48.- Ст.650.
  5. Там же.
  6. Там же.
  7. Вертузаєв М.С. Комп'ютерна злочинність в Україні: міфи та реальність // Науковий вісник Української академії внутрішніх справ.- К.: Національна академія внутрішніх справ України.- 1997.- №1.- С.203-213.; Лукашевич В.Г., Голубєв В.О. Напрямки удосконалення кримінальної відповідальності за злочини у сфері комп`ютерної інформації // Інформаційні технології та захист інформації.- Запоріжжя: Юридичний ін-т МВС України.- 1998.- Вип.1.- С.14-28.

ISBN 966-95343-7-2
© Авторський колектив, 1998
© "Інформаційні технології та захист інформації", 1998