компьютерная преступность

 UA  |  EN


Подписка на новости  
компьютерная преступность
киберпреступность


Владимир Голубев,
кандидат юридических наук, доцент
Crime-research.org

Комп’ютерна інформація як об’єкт права власності і захисту


Vladimir A. Golubev У сучасному світі є дуже небагато речей, які можна зробити, не збираючи, узагальнюючи, генеруючи або не маючи доступу до інформації. М.Вінер визначав інформацію як “позначення змісту, отриманого із зовнішнього світу в процесі нашого пристосування до нього і пристосування до нього наших почуттів. Процес отримання і використання інформації є процесом нашого пристосування до випадковостей зовнішнього середовища і нашої життєдіяльності в цьому середовищі”[1]. Іншими словами, під інформацією розумівся засіб, що дозволяє зняти невизначеність у пізнанні того чи іншого об’єкта.

Відштовхуючись від засобу зберігання і передачі, можна казати про те, що комп’ютерна інформація – це інформація, яка передається, обробляється і зберігається з використанням електронно-обчислювальної техніки. Комп’ютерна інформація може бути перенесена у просторі, збережена у часі, передана іншому суб’єктові або технічному пристрою (наприклад, іншому комп’ютерові), піддана іншим операціям.

Як нам здається, найбільш вдале визначення комп’ютерної інформації сформульоване В.В.Криловим. Він пише: “Комп’ютерна інформація є відомості, знання або набір команд (програм), призначені для використання в ЕОМ або управління нею, що знаходяться в ЕОМ або на машинних носіях, - елемент інформаційної системи, котрий може бути ідентифікованим і має власника, який встановив правила її використання” [2].

У юридичній літературі загальне визначення інформації, в основу якого покладено відображення як загальну властивість матерії, було подано О.І.Трусовим, який вважав, що “...інформація охоплює відображення предметів і явищ у людській свідомості, явищ і процесів один в одному, поза зв’язком із свідомістю» [3]. У такій інтерпретації, бажає того автор чи ні, інформація подається як певна “річ у собі”. Ще ширше розуміє інформацію Р.М. Ланцман. На його думку, інформація — це все те, «що відрізняє одне явище від іншого або характеризує різноманітні стани одного явища» [4].

Наведені позиції свідчать про те, що навіть посилання у визначенні поняття інформації на категорію відображення, без зв’язку інформації з її споживачем, не рятує таке визначення від серйозних методологічних помилок. Мабуть тому, й досі в юридичній літературі має місце ототожнення інформації з відображенням [5] або відкидання його зв’язку зі споживачем [6], з чим категорично погодитися не можна.

Викладене дозволяє простежити гносеологічні корені та закономірності виникнення і використання терміна “інформація” у правовій сфері, зокрема, в криміналістиці. Так, уточнюючи дещо спрощену тезу Р.С. Бєлкіна про те, що стосовно процесу доказування зміни в середовищі, як наслідок відображення у цьому середовищі події, є інформація про цю подію [7], в свою чергу, зауважимо, що зміни в середовищі — це, насамперед, відображення і воно, як властивість (ознака), що закладена у відображаючому об’єкті внаслідок його взаємодії з іншими об’єктами, може бути й не затребуване споживачем і не стати власне інформацією. Тому в своїх міркуваннях виходитимемо з того, що властивості цього відображаючого об’єкта є фактом, який існує поза та незалежно від свідомості людини. Факт, що лежить в основі інформації, в науковій літературі називається “базовим фактом”, або прихованою, потенційною інформацією. Він завжди подається на певному носієві, яким може бути будь-яке матеріальне тіло.

Розглядаючи інформацію, як об’єкт захисту, треба зазначити, що інформація - це результат відображення і обробки у людській свідомості різноманіття навколишнього світу, це відомості про оточуючі людину предмети, явища природи, діяльність інших людей тощо. Відомості, якими обмінюється людина через електронно-обчислювальні машини (ЕОМ), з іншою людиною або ЕОМ, і є предметом захисту. Захистові має підлягати не лише таємна інформація. Модифікація несекретних даних може призвести до витоку таємних. Знищення або зникнення накопичених з великими труднощами даних може призвести до їх безнадійної втрати. Залежно від сфери і масштабів застосування тієї чи іншої системи обробки даних втрата або витік інформації може призвести до наслідків різної тяжкості: від невинних жартів до надзвичайно великих втрат економічного і політичного характеру. І тому є маса подібних прикладів. Особливо широкого розмаху набули злочини в автоматизованих системах, обслуговуючих банківські і торговельні структури. За даними зарубіжних спеціалістів, втрати банків в результаті комп’ютерних злочинів щорічно складають від 170 млн. до 41 млрд. доларів США.

Вперше у вітчизняній правовій практиці інформація визначається як об’єкт захисту в статті 2 Закону Україні «Про захист інформації в автоматизованих системах», прийнятої Державною Думою 5 липня 1994 р. [8]. Законом передбачається, що об’єктами захисту є інформація, що обробляється в автоматизованій системі, права власників цієї інформації та власників АС, а також права користувача.

Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Хоча було зроблено багато різних спроб формалізувати цей процес з використанням методів теорії інформації і аналізу рішень, процес оцінки досі залишається вельми суб’єктивним. Для оцінки потрібний розподіл інформації на категорії не тільки відповідно до її цінності, але й важливості. Відомий наступний розподіл інформації за ступенем важливості:

1) життєво важлива незамінна інформація, наявність якої необхідна для функціонування організації;
2) важлива інформація - інформація, яка може бути замінена або відновлена, але процес відновлення дуже важкий і пов’язаний з великими витратами;
3) корисна інформація - інформація, яку важко відновити, однак організація може ефективно функціонувати й без неї;
4) несуттєва інформація - інформація, яка організації більше не потрібна.

На практиці віднесення інформації до однієї з цих категорій є досить складним завданням, оскільки одна й та ж інформація може бути використана багатьма підрозділами організації, кожен з яких може віднести її до різних категорій важливості. Категорія важливості, як і цінність інформації, звичайно, згодом змінюється й залежить від ставлення до неї різних груп споживачів і потенційних порушників. Існують визначення груп осіб, пов’язаних з обробкою інформації: утримувач - організація або особа - власник інформації; джерело - організація або особа, що постачає інформацію; порушник - окрема особа або організація, прагнуча отримати інформацію. Ставлення цих груп до значущості однієї й тієї ж інформації може бути різним: для однієї - важлива, для іншої - ні. Наприклад:

· важлива оперативна інформація, така, наприклад, як список замовлень на поточний тиждень і графік виробництва, може мати високу цінність для користувача, тоді як для джерела (наприклад, замовника) або порушника низьку;
· персональна інформація, наприклад, медична, має значно більшу цінність для джерела (особи, якої стосується інформація), ніж для її користувача або порушника;
· інформація, що використовується керівництвом для розробки і прийняття рішень, наприклад, про перспективи розвитку ринку, може бути значно ціннішою для порушника, ніж для джерела або її держателя, який вже завершив аналіз цих даних.

Наведені категорії важливості заслуговують на увагу і можуть бути застосовані до будь-якої інформації. Це також узгоджується з існуючим принципом розподілу інформації за рівнями таємності. Рівень таємності - це адміністративна або законодавча міра, адекватна мірі відповідальності особи за обіг або втрату конкретної таємної інформації, що регламентується спеціальним документом з урахуванням державних, військово-стратегічних, комерційних, службових або приватних інтересів. Такою інформацією може бути державна, військова, комерційна, службова або особиста таємниця.

Практика свідчить, що захищати необхідно не тільки таємну інформацію. Несекретна інформація, піддана несанкціонованим змінам (наприклад, модифікації команд управління), може призвести до витоку або втрати пов’язаної з нею таємної інформації, а також до невиконання автоматизованою системою заданих функцій внаслідок отримання помилкових даних, які можуть бути не виявлені користувачем системи.

Сумарна кількість або статистика нетаємних даних в результаті може виявитися таємною. Аналогічно, зведені дані одного рівня таємності загалом можуть бути інформацією більш високого рівня таємності. Для захисту від подібних ситуацій широко застосовується розмежування доступу до інформації за функціональною ознакою. За однакового ступеня важливості, інформація, що обробляється в системі обробки даних, поділяється відповідно до функціональних обов’язків і повноважень користувачів, що встановлюються адміністрацією організації - власника інформації.

До останнього часу безпека інформації в автоматизованих системах (АС) розумілася виключно як небезпека її несанкціонованого отримання протягом усього часу обробки і зберігання в АС. Сьогодні безпека інтерпретується ще й як безпека дій, для виконання яких використовується інформація. Принципові відмінності розширеного тлумачення, на відміну від традиційного, дуже важливі, оскільки обчислювальна техніка все більше використовується для автоматизованого управління інформаційними системами і процесами, в яких несанкціоновані зміни запланованих алгоритмів і технологій можуть мати серйозні наслідки.

Історично традиційним об’єктом права власності є матеріальний об’єкт. Інформація не є матеріальним об’єктом, інформація - це знання, тобто відображення дійсності в свідомості людини (причому істинне або помилкове відображення - не істотно, важливо, що в свідомості). Надалі інформація може втілюватися в матеріальні об’єкти навколишнього світу.

Як нематеріальний об’єкт, інформація нерозривно пов’язана з матеріальним носієм. Це - мозок людини або відчужені від людини матеріальні носії, такі, як книга, дискета й інші види “пам’яті” (запам’ятовуючі пристрої комп’ютера).

З філософської точки зору можна, мабуть, говорити про інформацію як про абстрактну субстанцію, існуючу саму по собі, але для нас ні зберігання, ні передача інформації без матеріального носія неможливі.

Як наслідок, інформація як об’єкт права власності копіюється (тиражується) за рахунок матеріального носія. Матеріальний об’єкт права власності не копіюється. Дійсно, якщо розглянути дві однакові речі, то вони складаються з однакових структур, але матеріально різних молекул. А інформація при копіюванні залишається тією ж, це - те ж знання, та ж семантика.

Як наслідок, інформація, як об’єкт права власності, легко переміщується до іншого суб’єкта права власності без помітного порушення права власності на інформацію. Переміщення матеріального об’єкта до іншого суб’єкта права власності неминуче і, як правило, спричиняє втрату цього об’єкта первинним суб’єктом права власності, тобто, відбувається очевидне порушення його права власності.

Небезпека копіювання і переміщення інформації посилюється тим, що вона, як правило, відчужувана від власника, зберігається і обробляється в сфері доступності значної кількості суб’єктів, які не є суб’єктами права власності на неї. Це, наприклад, автоматизовані системи, в тому числі й мережі.

Розглянувши особливості інформації, як об’єкта права власності, підкреслимо, що в іншому інформація, очевидно, нічим не відрізняється від традиційних об’єктів права власності. Право власності включає три складових елементи права власності: право розпорядження; право володіння; право користування. Суб’єкт права власності на інформацію може передати частину своїх прав (розпорядження), не втрачаючи їх сам, іншим суб’єктам, наприклад - власникові матеріального носія інформації (це - володіння або користування) або користувачеві (це - користування і, можливо, володіння).

Для інформації право розпорядження має на увазі виняткове право (ніхто інший, крім власника) визначати, кому ця інформація може бути надана у володіння чи користування.

Право володіння передбачає мати цю інформацію в незмінному вигляді. Право користування має на увазі право використання цієї інформації у власних інтересах. Таким чином, до інформації, крім суб’єкта права власності на цю інформацію, можуть мати доступ інші суб’єкти права власності як законні, санкціоновані (це - суб’єкти права на елементи власності), так і незаконні, несанкціоновані. Виникає складна система взаємовідносин між цими суб’єктами права власності. Ці взаємовідносини повинні регулюватися й охоронятися, оскільки відхилення від них можуть призвести до переміщення інформації, що спричиняє порушення права власності суб’єкта на цю інформацію. Іншими словами, мова йде про реалізацію права власності на інформацію. Під цим розумітимемо державну або приватну (або державно-приватну) інфраструктуру, що запобігає порушенню права власності на інформацію.

Як і для будь-якого об’єкта власності, така інфраструктура складається з ланцюжка: законодавча влада - судова влада - виконавча влада (закон - суд - покарання). Закон повинен передбачати відповідальність і повноваження суб’єктів права власності (на елементи власності). Кожний такий суб’єкт в рамках наданих йому власником повноважень несе перед ним відповідальність за передбачене законом і підтверджене судом перевищення цих повноважень, яке призвело або могло призвести до порушення права власності власника інформації. Отже, незважаючи на певні особливості, інформація, нарівні з традиційними матеріальними об’єктами, може і повинна розглядатися законом як об’єкт права власності.

Проблеми правового захисту комп’ютерної інформації зацікавили юристів провідних зарубіжних країн у 70-80-ті рр., коли почався розквіт комп’ютерної техніки. Поява і розповсюдження в 70-ті рр. компактних і порівняно недорогих персональних комп’ютерів створили можливість підключення до потужних інформаційних потоків необмеженого кола осіб, призвели до комп’ютеризації господарської і управлінської діяльності, використання комп’ютерної техніки в космічних дослідженнях, обороні, атомній енергетиці та інших сферах життя суспільства, де порушення роботи такої техніки здатне викликати аварії і навіть катастрофи з людськими жертвами і величезними економічними втратами. Крім того, поява комп’ютерних банків з інформацією персонального характеру робить несанкціонований доступ до неї вельми небезпечним для прав і свобод людини.

З метою захисту права власника, будь-який закон про власність, зафіксувавши суб’єкти і об’єкти права власності, повинен регулювати відносини між ними. Особливості регулювання цих відносин залежать від специфіки об’єктів права власності. У випадку інформаційної власності, що розглядається в зв’язку з перерахованими вище особливостями інформації як об’єкта права власності, закон повинен регулювати відносини суб’єктів, а також суб’єктів і об’єктів права власності на інформацію з метою захисту як прав власника, так і законних власників і користувачів інформації для захисту інформаційної власності від розголошування, витоку - несанкціонованого ознайомлення з нею, її обробки, зокрема, копіювання, модифікації або знищення.

На державному рівні для гарантування інформаційної безпеки вживаються наступні заходи: здійснюється формування і реалізація єдиної державної політики щодо забезпечення захисту національних інтересів від загроз в інформаційній сфері; встановлюється баланс між потребою у вільному обміні інформацією та допустимими обмеженнями її розповсюдження; вдосконалюється законодавство України в області забезпечення інформаційної безпеки; координується діяльність органів державної влади щодо забезпечення безпеки в інформаційному середовищі; захищаються державні інформаційні ресурси на оборонних підприємствах; розвиваються вітчизняні телекомунікаційні й інформаційні засоби; вдосконалюється інформаційна структура розвитку інформаційних технологій; уніфікуються засоби пошуку, збирання, зберігання, обробки та аналізу інформації для входження до глобальної інформаційної інфраструктури.

З аналізу нормативно-правових актів України бачимо, що державна політика у сфері захисту інформації визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень, зазначених у законодавстві та положень Концепції технічного захисту інформації, а також програм розвитку захисту інформації та окремих проектів.

Основними напрямками державної політики у сфері захисту інформації є:

- нормативно-правове забезпечення;
- удосконалення чинних та розробка і прийняття нових нормативних документів з питань технічного захисту інформації;
- організаційне забезпечення;
- науково-технічна та виробнича діяльність.

Серед першочергових заходів щодо реалізації державної політики у сфері захисту інформації визначаються наступні:

- створення правових засад реалізації державної політики у сфері захисту інформації, визначення послідовності та порядку розробки відповідних нормативно-правових актів;
- визначення перспективних напрямків розробки нормативних документів з питань захисту інформації на основі аналізу стану відповідної вітчизняної та зарубіжної нормативної бази, розробки зазначених нормативних документів;
- визначення номенклатури вітчизняних засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв’язку, призначених для обробки інформації з обмеженим доступом інших засобів забезпечення технічного захисту інформації в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ;
- розвиток системи сертифікації вітчизняних та закордонних засобів забезпечення технічного захисту інформації;
- визначення реальних потреб системи технічного захисту інформації у фахівцях, розвиток та вдосконалення системи підготовки, перепідготовки та підвищення кваліфікації фахівців з питань технічного захисту інформації.

Аналіз законодавства, яке регулює суспільні інформаційні відносини в Україні, дозволяє стверджувати, що наша держава, поряд із заходами стимулювання розвитку інфраструктури на основі новітніх технологій, вживає необхідних заходів, спрямованих проти комп’ютерної злочинності. Прикладом цьому можуть служити Указ Президента від 31 липня 2000 року “Про заходи щодо розвитку національної складової глобальної інформаційної мережі Інтернет та забезпечення широкого доступу до цієї мережі в Україні”, а також Розділ 16 - "Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж" Кримінального кодексу України.

Як висновок зауважимо, що система захисту інформації має бути адекватною потенційним загрозам. Тому, при плануванні захисту слід мати уяву про те, кого і яка саме інформація може цікавити, яка її цінність для вас і на які фінансові жертви заради неї здатен піти зловмисник.

1. Винер Н. Кибернетика и общество. - М.: Сов. радио, 1958. - С.31.
2. Крылов В. В. Информационные компьютерные преступления. — М., 1997. — С. 27.
3. Трусов А.И. Судебное доказывание в свете идей кибернетики // Вопросы кибернетики и права. – М., 1976. – С.20.
4. Ланцман Р.М. Использование возможностей кибернетики в криминалистической экспертизе и некоторые проблемы уголовно-судебного доказывания: Автореф. дис… д-ра юрид. Наук. – М., 1970. – С.18.
5. Белкин Р.С. Криминалистика: проблемы, тенденции, перспективы. Общая и частные теории. – М., 1987. – С.63; Клименко Н.И., Биленчук П.Д. Логико-математические методы в криминалистике. – К., 1988. – С.12.
6. Турчин Д.А. Теоретические основы учения о следах в криминалистике. – Владивосток, 1983. – С.79.
7. Белкин Р.С. Курс криминалистики: В 3-х т. – М.: Юрист, 1997. – Т. 1: Общая теория криминалистики. – С.119.
8. Закон України “Про захист інформації в автоматизованих системах” (ст.2).



Copyright © 2001-2003
Computer Crime Research Center. All rights reserved.