Понятие компьютерного преступления и защиты информации

Лекция № 8 Понятие компьютерного преступления и защиты информации Как известно, главным предназначение компьютера является обработка информации. Исходя из определения данного В.В. Крыловым: «компьютерная информация есть сведения, знания или набор команд (программ), предназначенных для использования в ЭВМ или управления ею, находящиеся в ЭВМ или машинных носителях, - идентифицируемый элемент информационной системы, имеющей собственника, установившего правила ее использования». Под собственником информационных ресурсов, систем, технологий и средств их обеспечения понимается субъект, в полном объеме реализующий полномочия владения, пользования и распоряжения указанными объектами. Владельцем информационных ресурсов, систем, технологий и средств их обеспечения является субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения ими в пределах, установленных законом. Пользователем (потребителем) информации признается субъект, обращающийся к ИС или посреднику за получением необходимой ему информации и пользующийся ею. Действия других лиц, не являющихся собственником или владельцем информационных ресурсов, систем, технологий и средств их обеспечения, а равно не являющихся законными пользователями информации, признаются нарушением и, следовательно, влекут юридическую ответственность. В отдельных случаях действия таких лиц содержат признаки преступления. Предусмотренного ст.272 УК РФ (неправомерный доступ к компьютерной информации). Итак, несмотря на ряд особенностей, информация наряду с традиционными материальными объектами может и должна рассматриваться законом как объект права собственности. Охраняемая законом компьютерная информация – это информация ограниченного доступа, которая имеет не только специальный правовой статус, установленный соответствующими законами или законами субъектов РФ, но по своему характеру предназначена для ограниченного круга лиц (пользователей), имеющих право на ознакомление и работу с ней. Под информацией с ограниченным доступом понимаются сведения, доступ к которым ограничен в соответствии с законом с целью защиты прав и законных интересов субъектов права на тайну. Законодательство РФ устанавливает ряд обязательных признаков и условий защиты права на информацию с ограниченным доступом. Условием правовой защиты информации с ограниченным доступом, должна быть ее защита. При этом Федеральным законом «Об информации, информатизации и защите информации» указывается следующие цели защиты информации: • Предотвращение утечки, хищения, утраты, искажения, подделки; • Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию; • Реализация прав на государственную тайну и конфиденциальность. Цель обеспечения безопасности информации заключается в защите прав собственности на нее, а задачи безопасности информации – защита ее от утечки, модификации и утраты. Создание электронно-вычислительной техники, ее широкое внедрение в экономическую, социальную и управленческую деятельность привело к повышению значимости и ценности информации и информационных ресурсов. Однако позитивные явления всеобщей компьютеризации сопровождаются массой негативных явлений, связанных со злоупотреблениями возможностями вычислительной техники. Особую тревогу сегодня вызывает факт выявления и развития в России нового вида преступлений, связанных с использованием средств компьютерной техники и информационных технологий. Виды компьютерных преступлений чрезвычайно многообразны. Это и несанкционированный доступ к информации, хранящейся в компьютере, и ввод в программное обеспечение "логических бомб", которые срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему, и разработка и распространение компьютерных вирусов, и хищение компьютерной информации. Компьютерное преступление может произойти также из-за небрежности в разработке, изготовлении и эксплуатации программно-вычислительных комплексов или из-за подделки компьютерной информации. Часть указанных пробелов в общественных отношениях в области компьютерной информации была ликвидирована после введения в действие с 1 января 1997 года нового Уголовного Кодекса, принятого Государственной Думой 24 мая 1996 года. Составы компьютерных преступлений Составы компьютерных преступлений (т.е. перечень признаков, характеризующих общественно опасное деяние как конкретное преступление) приведены в 28 главе УК, которая называется "Преступления в сфере компьютерной информации" и содержит три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), "Создание, использование и распространение вредоносных программ для ЭВМ" (ст. 273) и "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети" (ст. 274). Рассмотрим подробнее все три статьи УК РФ, ставя целью обрисовать основные признаки совершения компьютерных преступлений, т.е. предусмотренных уголовным законодательством виновных нарушений охраняемых законом прав и интересов в отношении информационных компьютерных систем. Сухое юридическое описание будет скрашено некоторыми немногочисленными примерами отечественных компьютерных преступлений прошлых лет, компенсирующие бедность правоприменительной практики на базе нового УК РФ и позволяющие осуществить мысленный эксперимент по его применению. Неправомерный доступ к компьютерной информации (ст. 272 УК) Статья 272 УК предусматривает ответственность за неправомерный доступ к компьютерной информации (информации на машинном носителе, в ЭВМ или сети ЭВМ), если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы вычислительных систем. Данная статья защищает право владельца на неприкосновенность информации в системе. Владельцем информационной вычислительной системы может быть любое лицо, правомерно пользующееся услугами по обработке информации как собственник вычислительной системы (ЭВМ, сети ЭВМ) или как лицо, приобретшее право использования компьютера. Преступное деяние, ответственность за которое предусмотрено ст. 272 должно состоять в неправомерном доступе к охраняемой законом компьютерной информации, который всегда носит характер совершения определенных действий и может выражаться в проникновении в компьютерную систему путем использования специальных технических или программных средств позволяющих преодолеть установленные системы защиты; незаконного применения действующих паролей или маскировка под видом законного пользователя для проникновения в компьютер, хищения носителей информации, при условии, что были приняты меры их охраны, если это деяние повлекло уничтожение или блокирование информации. Неправомерным признается доступ к защищенной компьютерной информации лица, не обладающего правами на получение и работу с данной информацией, либо компьютерной системой. Один из характерных примеров потенциального применения данной статьи - уголовное дело о хищении 125,5 тыс. долл. США и подготовке к хищению еще свыше 500 тыс. долл. во Внешэкономбанке СССР в 1991 г., рассмотренное московским судом. По материалам другого уголовного дела, в сентябре 1993 г. было совершено покушение на хищение денежных средств в особо крупных размерах из Главного расчетно-кассового центра Центрального банка России по г. Москве на сумму 68 млрд. руб. Еще один пример. В 1990 г. компьютерная программа перечисления комсомольских взносов работников одного из отечественных предприятий была составлена так, что отчисления производились из зарплаты не только комсомольцев, но и всех работников в возрасте до 28 лет. Пострадавших оказалось 67 человек, теперь это возможно квалифицировать по части 1 ст. 272 УК. Ярким примером возможности применения 272 ст. могут служить хорошо освещенные средствами массовой информации действия Л. и других граждан России, которые вступили в сговор с целью похищения денежных средств в крупных размерах, принадлежащих "City Bank of America", расположенного в Нью-Йорке (США). Образовав устойчивую преступную группу, они в период с конца июня по сентябрь 1994 г., используя Интернет и преодолев банковскую систему защиты от несанкционированного доступа, с помощью персонального компьютера, находящегося в Санкт-Петербурге, осуществляли денежные переводы на общую сумму свыше 10 млн. долл. США. В марте 1995 г. Л. вылетел в Лондон, где был арестован. В приведенном примере необходимо подчеркнуть следующую немаловажную деталь: состоявшийся в августе 1995 г. лондонский суд отложил принятие решения по делу Л. на неопределенный срок, поскольку в ходе судебного разбирательства было доказано, что для получения доступа к счетам клиентов банка подсудимый использовал в качестве орудия совершения преступления компьютер, находящийся на территории России, а не на территории США, как того требует уголовное законодательство Великобритании. На основании вышеизложенного просьба американских и российских представителей о выдаче им Л. была судом отклонена. Действия Л. и его сообщников можно квалифицировать по ч. 2 ст. 272 УК РФ, т.к. в результате предварительного сговора ими был осуществлен неправомерный доступ к секретной банковской информации с целью получения материальной выгоды. Место нахождения непосредственного объекта преступления - компьютерная система в США не повлияло бы на суть дела. Статья 272 УК не регулирует ситуацию, когда неправомерный доступ осуществляется в результате неосторожных действий, что, в принципе, отсекает огромный пласт возможных посягательств и даже те действия, которые действительно совершались умышленно, т.к., при расследовании обстоятельств доступа будет крайне трудно доказать умысел компьютерного преступника (например, в сети Интернет, содержащей миллионы компьютеров, в связи со спецификой работы - переход по ссылке от одного компьютера к другому довольно легко попасть в защищаемую информационную зону даже не заметив этого). Создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК) Статья предусматривает уголовную ответственность за создание программ для ЭВМ или их модификацию, заведомо приводящее к несанкционированному уничтожению, блокированию и модификации, либо копированию информации, нарушению работы информационных систем, а равно использование таких программ или машинных носителей с такими программами. Статья защищает права владельца компьютерной системы на неприкосновенность находящейся в ней информации. Под созданием вредоносных программам в смысле ст. 273 УК РФ понимаются программы специально разработанные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, определенные в документации на программу. Наиболее распространенными видами вредоносных программ являются широко известные компьютерные вирусы и логические бомбы. Под использованием программы понимается выпуск в свет, воспроизведение, распространение и иные действия по их введению в оборот. Использование может осуществляться путем записи в память ЭВМ, на материальный носитель, распространения по сетям, либо путем иной передачи другим лицам. Уголовная ответственность по этой статье возникает уже в результате создания программы, независимо от того использовалась эта программа или нет. В 1983 г. на одном автомобильном заводе нашей страны был изобличен программист, который из мести к руководству предприятия умышленно внес изменения в программу ЭВМ, управлявшей подачей деталей на конвейер. В результате произошедшего сбоя заводу был причинен существенный материальный ущерб: не сошло с конвейера свыше сотни автомобилей. Программист был привлечен к уголовной ответственности. Подсудимый обвинялся по ст. 98 ч. 2 Уголовного кодекса РСФСР "Умышленное уничтожение или повреждение государственного или общественного имущества... причинившее крупный ущерб". При этом обвиняемый утверждал, что ничего натурально повреждено не было - нарушенным оказался лишь порядок работы, т. е. действия, не подпадающие ни под одну статью действующего в то время законодательства. С научной точки зрения интересен приговор суда: "три года лишения свободы условно; взыскание суммы, выплаченной рабочим за время вынужденного простоя главного конвейера; перевод на должность сборщика главного конвейера". В настоящее время квалификация действий программиста должна была бы производиться по ч. 1 ст. 273. Он умышленно создал и использовал в заводском компьютере вредоносную программу, нарушившую технологический процесс. Если в действиях же в действиях лица содержаться не только признаки преступления, предусмотренного ст. 273 УК, но и признаки другого преступления (убийства, уничтожения имущества), виновный будет нести ответственность по совокупности совершенных преступлений. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274. УК) Статья 274 УК устанавливает ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ним, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. Статья защищает интерес владельца вычислительной системы относительно ее правильной эксплуатации. Предусмотренные составы компьютерных преступлений не охватывают полностью всех видов совершения компьютерных посягательств. Хотя, возможно, в этом случае будут "оказывать помощь" статьи 146 УК РФ (нарушение авторских и смежных прав) и 147 УК РФ (нарушение изобретательских и патентных прав), дающие возможность уголовного преследования за незаконное использование программного обеспечения. Хотя четкого определения компьютерного преступления не существует, их условно можно подразделить на две большие категории: • преступления, связанные с вмешательством в работу компьютеров • преступления, использующие компьютеры как необходимые технические средства. Здесь мы не будем касаться «около компьютерных» преступлений, связанных с нарушением авторских прав программистов, незаконным бизнесом на вычислительной технике и т. п., а также физического уничтожения компьютеров взрывами, огнем или кирпичом. Вывод: таким образом, компьютерное преступление, есть противоправные действия, направленные на достижение доступа к хранимой на компьютере информации, имеющей ограниченные права доступа. При этом компьютер может быть как объектом преступления, так и в качестве инструмента преступной деятельности. Целью защиты информации является гарантирование законных прав различных категорий пользователей на обеспечение возможности разграничения доступа к информации. Объекты нападений компьютерных преступлений В наш век автоматизации и всеобщей связи ни одна организация не застрахована от компьютерных преступлений. Кратко рассмотрим наиболее распространенные объекты компьютерных преступлений: 1. Компьютеры военных и разведывательных организаций (в шпионских целях). Компьютеры играют все большую роль в обеспечении национальной безопасности. В них хранится разнообразная информация: от параметров орбит спутников до глобальных планов развертывания войск. Так же как обычные преступники поняли, что компьютеры – это то место, где есть деньги, шпионы осознали. Что из компьютеров можно извлекать разведывательную информацию. Шпионаж все более и более становится игрой компьютерного подслушивания, компьютерной криптографии, анализа сообщений. Плащ и кинжал стали виртуальными. Известен факт, когда расхождения в 75 центов в отчетных документах одной из калифорнийских организаций привели его к раскрытию западногерманского взломщика, который извлекал информацию из военных компьютеров более чем в 10 странах. 2. Компании и предприятия бизнеса (промышленный шпионаж). В век глобальной экономической конкуренции. Конкуренция национальных экономик усиливает угрозу промышленного шпионажа. Даже дружественные нации становятся экономическими врагами. 3. Банки и предприятия бизнеса (профессиональные преступники). В наши дни может показаться, что деньги являются не чем иным, как битами в компьютере, цифрами на экране и чернилах на редких выписках из банковского счета. Наши платежи осуществляются с помощью электронных средств. Соответственно банки всегда являлись и являются привлекательной целью для компьютерных преступников. Компьютерное преступление может быть значительно более выгодным, чем другие формы воровства или мошенничества и тем самым обладают большой привлекательностью для финансовых преступников. 4. Компьютеры любых организаций, особенно правительственных и коммунальных (террористы). Зачем разрушать отдельный объект электроснабжения и вызвать местное отключение электролинии, если можно взломать всю систему электроснабжения и обесточить целый регион или страну? 5. Любая компания (мишень для бывших служащих, а университеты – для студентов). Не только компьютерные преступники ищут информацию. Некоторые просто хотят нанести повреждения и разрушения. Одним из наиболее известных случаев преступления этой категории было дело Дональда Г. Берлисона, служащего Техасской страховой компании. Берлисон был аналитиком в области безопасности систем и проработал в этой компании более двух лет, после чего был уволен. После его увольнения отказал компьютер, в результате чего компания потеряла большую часть комиссионных записей, используемых при подготовке платежных ведомостей. Анализ программы, ответственной за возникновение этой проблемы, привел к терминалу Берликсона и его учетной записи. Следователям удалось доказать, что он поместил «логическую бомбу» в программу, когда еще был служащим компании. 6. Любая организация (с целью разрешения интеллектуальной головоломки, а иногда при выполнении заказов). Компьютерные преступления часто совершаются с целью решения интеллектуальных головоломок без всяких корыстных мотивов. Преступники могут быть детьми, для которых компьютер – следующий шаг после видеоигр. В июне 1989г. 14-летний канзасский мальчик использовал свой скромный домашний компьютер для взлома программы ВВС США, чтобы определить координаты спутников. Тинэйджер, который, согласно сообщениям начал свою карьеру взломщика с восьми лет, специализировался на проникновении в миникомпьютеры HP3000 фирмы Hewlet-Packard, используемые бизнесменами и правительственными организациями. Приемы компьютерных преступлений Рассмотрим более подробно некоторые приемы, применяемые в компьютерных преступлениях. Изъятие средств вычислительной техники Изъятие средств вычислительной техники (СВТ) производится с целью получения системных блоков, отдельных винчестеров или других носителей информации, содержащих в памяти установочные данные о клиентах, вкладчиках, кредиторах банка и т.д. Такие действия проводятся путем хищения, разбоя, вымогательства и сами по себе содержат состав обычных «некомпьютерных» преступлений. Они квалифицируются по ст. 158, 161, 162,163 УК России. Перехват информации Перехват (негласное получение) информации также служит для «снятия» определенных сведений с помощью методов и аппаратуры аудио-, визуального и электромагнитного наблюдения. Объектами, как правило, являются каналы связи, телекоммуникационное оборудование, служебные помещения для проведения конфиденциальных переговоров, бумажные и магнитные носители (в том числе и технологические отходы). Это компетенция ст. 138,183 УК. Несанкционированный доступ Несанкционированный доступ (НСД) к средствам вычислительной техники. Это активные действия по созданию возможности распоряжаться информацией без согласия собственника. Они могут быть квалифицированы с использованием ст. 183, 272 УК. НСД обычно реализуется с использованием следующих основных приемов: • «за дураком» - физическое проникновение в производственные помещения. Злоумышленник ожидает у закрытого помещения, держа в руках предметы, связанные с работой на компьютерной технике (элементы маскировки), пока не появится кто-либо, имеющий легальный доступ к СВТ, затем остается только войти внутрь вместе с ним или попросить его помочь занести якобы необходимые для работы на компьютере Предметы. Другой вариант - электронное проникновение в СВТ - подключение дополнительного компьютерного терминала к каналам связи с использованием шлейфа «шнурка» в тот момент времени, когда законный пользователь кратковременно покидает свое рабочее место, оставляя свой терминал или персональный компьютер в активном режиме; • «за хвост» - злоумышленник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его на себя, а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к банковской системе. Подобными свойствами обладают телефонные аппараты с функцией удержания номера, вызываемого абонентом; • «компьютерный абордаж» - злоумышленник вручную или с использованием автоматической программы подбирает код (пароль) доступа к КС системе с использованием обычного телефонного аппарата: • «неспешный выбор» - преступник изучает и исследует систему защиты от НСД, ее слабые места, выявляет участки, имеющие ошибки или неудачную логику программного строения, разрывы программ (брешь, люк) и вводит дополнительные команды, разрешающие доступ; • «маскарад» - злоумышленник проникает в компьютерную систему, выдавая себя за законного пользователя с применением его кодов (паролей) и других идентифицирующих шифров; • «мистификация» - злоумышленник создает условия, когда законный пользователь осуществляет связь с нелегальным терминалом, будучи абсолютно уверенным в том, что он работаете нужным ему законным абонентом. Формируя правдоподобные ответы на запросы законного пользователя и поддерживая его заблуждения некоторое время, злоумышленник добывает коды (пароли) доступа или отклик на пароль; • «аварийный» - злоумышленник создает условия для возникновения сбоев или других отклонений в работе СВТ. При этом включается особая программа, позволяющая в аварийном режиме получать доступ к наиболее ценным данным. В этом режиме возможно «отключение» всех имеющихся в компьютерной системе средств защиты информации. Разработка и распространение компьютерных вирусов. Компьютерный вирус - это специально написанная, как правило, небольшая по размерам программа, которая может записывать (внедрять) свои копии (возможно, изменённые) в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т.д., причём эти копии сохраняют возможность к «размножению». Процесс внедрения вирусом своей копии в другую программу (системную область диска и т.д.) называется ЗАРАЖЕНИЕМ, а программа или иной объект, содержащий вирус - ЗАРАЖЁННЫМ. Часто с началом компьютерной эпидемии связывают имя Роберта Морисса студента Корнельского университета (США), в результате действий которого зараженными оказались важнейшие компьютерные сети восточного и западного побережий США. Эпидемия охватила более 6 тысяч компьютеров и 70 компьютерных систем. Пострадавшими оказались, в частности, компьютерные центры НАСА, Ливерморской лаборатории ядерных исследований, Гарвардского, Питсбургского, Мэрилендского, Висконсинского, Калифорнийского, Стэндфордского университетов. Пикантность ситуации в том, что отец Р. Морисса - высокопоставленный сотрудник отдела безопасности компьютеров Агентства национальной безопасности. А изобретателем вируса является, однако, совсем другой человек. В августе 1984 года студент Калифорнийского университета Фред Коуэн, выступая на одной из конференций, рассказал про свои опыты с тем, что один его друг назвал «компьютерным вирусом». Когда началось практическое применение вирусов, неизвестно, ибо банки, страховые компании, предприятия, обнаружив, что их компьютеры заражены вирусом, не допускали, чтобы сведения об этом просочились наружу. Существует несколько основных критериев, по которым можно классифицировать вирусы: • поддерживаемая ОС (операционная система), • среда обитания, • способ заражения, • особенности алгоритма работы • деструктивные возможности. Что касается первого пункта, здесь все достаточно понятно без особых объяснений - речь идет о способности вируса воздействовать на объекты той или иной операционной системы. Теперь о среде обитания вирусов. Здесь можно выделить четыре категории: • Файловые вирусы - чтобы размножиться, используют файловую систему, внедряясь в исполняемые файлы практически любой ОС. Иногда это могут быть даже исходные тексты программ, библиотечные или объектные модули. • Макровирусы иногда не выделяют в отдельный класс, причисляя их к предыдущему. Их пишут на макроязыках, встроенных в некоторые системы обработки данных - чаще всего это текстовые редакторы или электронные таблицы. • Загрузочные вирусы - как несложно догадаться из названия, заражают загрузочный сектор гибкого диска или MBR (Master Boot Record) винчестера. Они подставляют свой код вместо программы, которая должна получать управление при старте системы; кроме того, зачастую переносят boot-сектор в другую область носителя. • Сетевые вирусы активно используют различные протоколы и возможности LAN (Local Area Network) или WAN (Wide Area Network). Границы данного термина весьма зыбки - далеко не каждую заразу, распространяющуюся по сети, принято относить к данной категории. Основная отличительная особенность сетевых вирусов состоит в их способности самостоятельно передавать свой код на удаленную рабочую станцию или сервер. Существует также великое множество различных комбинаций перечисленных вирусов - например, файлово-загрузочные. Бороться с ними еще сложнее, а наносимый ущерб еще ощутимее; конечно, и алгоритм работы подобных вирусов гораздо изысканнее. На очереди не менее важная характеристика - способ инфицирования системы. Он может быть резидентным и нерезидентным. В первом случае в ОЗУ (оперативном запоминающем устройстве) компьютера находится часть тела вируса, перехватывающая обращения ОС, например, к тем же файлам и заражающая их. Подобные вирусы активны в течение всего сеанса работы. Нерезидентные же, наоборот, действуют только в течение определенного промежутка времени, оставляя оперативную память "стерильно чистой". Для полноты картины надо сказать, что некоторые их них все же оставляют программы в оперативке, но последние не участвуют в распространении вируса. В общем-то, мы уже вплотную подобрались к особенностям алгоритмов работы - согласитесь, ведь способ инфицирования системы тоже является частью алгоритма. Если есть желание вдаваться в подробности, то и здесь можно выделить огромное количество категорий. Остановимся на самых распространенных: • - Компаньоны никогда не изменяют существующих файлов, а создают файл-спутник с одинаковым именем и похожим расширением. Например, в DOS'е наряду с file.exe появляется file.com - естественно, зараженный. Достаточно в командной строке дать директиву запуска file (без расширения), и ОС выполнит file.com (приоритет расширения *.com выше, чем *.exe), после чего вирус ворвется в систему. • Сетевые черви действуют подобно компаньонам, только они распространяются по сети. Иногда они оставляют дополнительные файлы на дисках после себя, а иногда ограничиваются пространством ОЗУ. Как и предыдущие, содержимое дисков машины они не изменяют. • Паразиты, наоборот, при своем распространении ведут себя деструктивно по отношению к дискам и файлам. • Невидимки - куда более сложные вирусы. Их название неслучайно, они действительно могут полностью или частично скрывать себя в системе. Иногда невидимки временно лечат пораженные участки или подставляют вместо них "здоровые", перехватывая соответствующие обращения ОС. • Полиморфные - тоже весьма совершенные вирусы. Соответственно, их еще сложнее обнаружить - они не содержат сигнатур, т. е. ни одного постоянного участка кода. Такой прием очень популярен, в том или ином виде его можно встретить во многих существующих разновидностях вирусов. Иногда его еще называют самошифрованием. • Студенты, - как всегда, "в семье не без урода" :-). Нет, против студентов как таковых мы ничего не имеем против, то ли дело вирусы... Изделия подобного рода не отличаются особой сложностью или оригинальностью, они зачастую нерезиденты и нередко содержат ошибки. В одних случаях это спасает, в других приводит к еще более плачевным результатам. Наконец, обратимся к деструктивным возможностям. Обычно различают 4 категории вирусов (хотя деление весьма условно) - в литературе их называют по-разному и не всегда точно. Поэтому мы предлагаем свою версию: • Переселенцы - влияние таких вирусов на систему можно свести только к распространению, а значит, лишь некоторому уменьшению количества свободных ресурсов. • Шутники - лучше всего их воспримут люди с развитым чувством юмора. Помимо некоторого естественного уменьшения общей производительности системы, они могут... спеть песенку или нарисовать на экране солнышко. Все зависит от фантазии самого программиста и от его уровня культуры, а то иногда вместо песенки нецензурная брань получается :-). • Диверсанты - приводят к серьезным сбоям в работе системы. • Разрушители - уничтожают программы, данные, затирают системные области и т.п. Закончив классификацию вирусов по всем возможным параметрам, самое время сказать: существует и множество других вредных программ, так или иначе нацеленных на нанесение ущерба системе. Это логические бомбы или троянские кони, проявляющие себя в самый неподходящий момент, злые шутки с сообщениями о нанесении якобы ущерба компьютеру, хотя на самом деле ничего не происходит, есть даже конструкторы вирусов и полиморфик-генераторы. С их помощью в наш век высоких технологий даже ребенок без особых усилий может создать весьма грозное оружие - остается только уповать на здравый смысл. Вывод: ни одна организация в современном обществе не может быть застрахована от угрозы компьютерного нападения, т.к. компьютерные системы обладают достаточно большим количеством уязвимых мест, делающим их весьма привлекательными для преступников, которые учатся извлекать выгоду из новейших достижений науки и техники. Предупреждение компьютерных преступлений На основе данных, полученных в ходе анализа отечественной и зарубежной специальной литературы и публикаций в периодической печати по вопросам теории и практики борьбы с компьютерной преступностью, можно выделить три основные группы мер предупреждения компьютерных преступлений: 1) правовые; 2) организационно-технические; 3) криминалистические. Правовые меры К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие соответствующих международных. Предупреждения компьютерных преступлений в первую очередь относятся нормы законодательства, устанавливающие уголовную ответственность за указанные выше противоправные деяния. История развития законодательства зарубежных стран в этом направлении показывает, что впервые подобный шаг был предпринят законодательными собраниями американских штатов Флорида и Аризона уже в 1978 году. Принятый закон назывался “Computer crime act of 1978” и был первым в мире специальным законом, устанавливающим уголовную ответственность за компьютерные преступления. Затем практически во всех штатах США (в 45 штатах) были приняты аналогичные специальные законодательства. Эти правовые акты стали фундаментом для дальнейшего развития законодательства в целях осуществления мер предупреждения компьютерных преступлений. Отечественное законодательство также движется в этом направлении. Только в последние годы появились работы по проблемам правовой борьбы с компьютерной преступностью, (в частности, это работы В.В. Крылова, Н.Г. Шурухнова, Ю. Батурина, М. Карелиной, В. Вехова) и совсем недавно отечественное законодательство встало на путь борьбы с компьютерной преступностью. И поэтому, представляется весьма важным расширить правовую и законодательную информированность специалистов и должностных лиц, заинтересованных в борьбе с компьютерными преступлениями. До недавнего времени, а именно до 1 января 1997 года, даты вступления в действие нового Уголовного Кодекса Российской Федерации (УК РФ), в России отсутствовала возможность эффективно бороться с компьютерными преступлениями. Несмотря на явную общественную опасность, данные посягательства не были противозаконными, т.е. они не упоминались нашим уголовным законодательством. Хотя, еще до принятия нового УК в России была осознана необходимость правовой борьбы с компьютерной преступностью. Был принят ряд законов, которые внесли правовую определенность в явление компьютеризации нашего общества вообще и проблему компьютерной преступности в частности и вместе с другими правовыми актами сформировали пласт, именуемый "законодательством в сфере информатизации", охватывающий в настоящее время несколько сотен нормативно-правовых актов. Непосредственно законодательство России в области информатизации начало формироваться с 1991 года и включало до 1997 года десять основных законов. Это закон "О средствах массовой информации" (27.12.91 г. N 2124-I), Патентный закон РФ (от 23.09.92 г. N 3517-I), закон "О правовой охране топологий интегральных микросхем" (от 23.09.92 г. N 3526-I), закон "О правовой охране программ для электронных вычислительных машин и баз данных" (от 23.09.92 г. N 3523-I), Основы законодательства об Архивном фонде РФ и архивах (от 7.07.93 г. N 5341-I), закон "Об авторском праве и смежных правах" (от 9.07.93 г. N 5351-I), закон "О государственной тайне" (от 21.07.93 г. N 5485-I), закон "Об обязательном экземпляре документов" (от 29.12.94 г. N 77-ФЗ), закон "О связи" (от 16.02.95 г. N 15-ФЗ), закон "Об информации, информатизации и защите информации" (от 20.02.95 г. N 24-ФЗ), закон "Об участии в международном информационном обмене" (от 5.06.1996 г. N 85-ФЗ). В данных законах определяются основные термины и понятия в области компьютерной информации (например, такие как компьютерная информация, программа для ЭВМ, ЭВМ (компьютер), сеть ЭВМ, база данных), регулируются вопросы ее распространения, охраны авторских прав, имущественные и неимущественные отношения, возникающие в связи с созданием, правовой охраной и использованием программного обеспечения и новых информационных технологий. Также осуществлено законодательное раскрытие понятий информационной безопасности и международного информационного обмена. Таким образом, в настоящее время на уровне действующего законодательства России можно было считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиту информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве права граждан на доступ к информации и защита информации, т.е. то, что напрямую связано с компьютерными преступлениями. Решающим законодательным шагом можно считать принятие 24 мая 1996г. Государственной Думой РФ Уголовного Кодекса Российской Федерации и выделяющего информацию в качестве объекта уголовно-правовой охраны. Между тем общеизвестно, что одними правовыми мерами не всегда удается достичь желаемого результата в деле предупреждения преступлений. Тогда следующим этапом становится применение мер организационно-технического характера для защиты СКТ от противоправных посягательств на них. Организационно-технические меры По методам применения тех или иных организационно-технических мер предупреждения компьютерных преступлений специалистами отдельно выделяются три их основные группы: 1) организационные; 2) технические; 3) комплексные. Организационные меры защиты СКТ включают в себя совокупность организационных мероприятий: по подбору, проверке и инструктажу персонала; разработке плана восстановления информационных объектов после входа их из строя; организации программно-технического обслуживания СКТ; возложению дисциплинарной ответственности на лиц по обеспечению безопасности конкретных СКТ; осуществлению режима секретности при функционировании компьютерных систем; обеспечению режима физической охраны объектов; материально-техническому обеспечению и т.д. Организационные меры являются важным и одним из эффективных средств защиты информации, одновременно являясь фундаментом, на котором строится в дальнейшем вся система защиты. Анализ материалов отечественных уголовных дел позволяет сделать вывод о том, что основными причинами и условиями, способствующими совершению компьютерных преступлений в большинстве случаев стали: 1) неконтролируемый доступ сотрудников к клавиатуре компьютера, используемого как автономно, так и в качестве рабочей станции автоматизированной сети для дистанционной передачи данных первичных бухгалтерских документов в процессе осуществления финансовых операций; 2) бесконтрольность за действиями обслуживающего персонала, что позволяет преступнику свободно использовать ЭВМ в качестве орудия совершения преступления; 3) низкий уровень программного обеспечения, которое не имеет контрольной защиты, обеспечивающей проверку соответствия и правильности вводимой информации; 4) несовершенство парольной системы защиты от несанкционированного доступа к рабочей станции и ее программному обеспечению, которая не обеспечивает достоверную идентификацию пользователя по индивидуальным биометрическим параметрам; 5) отсутствие должностного лица, отвечающего за режим секретности и конфиденциальности коммерческой информации; 6) отсутствие категорийности допуска сотрудников к документации строгой финансовой отчетности; 7) отсутствие договоров (контрактов) с сотрудниками на предмет неразглашения коммерческой и служебной тайны, персональных данных и иной конфиденциальной информации. Для эффективной безопасности от компьютерных преступлений всего лишь необходимо: • просмотреть всю документацию в учреждении, организации; • ознакомиться с функциями и степенью ответственности каждого сотрудника; • определить возможные каналы утечки информации; • ликвидировать обнаруженные слабые звенья в защите. Зарубежный опыт показывает, что наиболее эффективной мерой в этом направлении является введение в штатное расписание организации должности специалиста по компьютерной безопасности (администратора по защите информации) либо создание специальных служб как частных, так и централизованных, исходя из конкретной ситуации. Наличие такого отдела (службы) в организации снижает вероятность совершения компьютерных преступлений вдвое. Кроме этого, в обязательном порядке должны быть реализованы следующие организационные мероприятия: 1) для всех лиц, имеющих право доступа к СКТ, должны быть определены категории допуска; 2) определена административная ответственность для лиц за сохранность и санкционированность доступа к имеющимся информационным ресурсам; 3) налажен периодический системный контроль за качеством защиты информации посредством проведения регламентных работ как самим лицом, ответственным за безопасность, так и с привлечением специалистов; 4) проведена классификация информации в соответствии с ее важностью; 5) организована физическая защита СКТ (физическая охрана). Помимо организационно-управленческих мер, существенную общепрофилактическую роль в борьбе с компьютерными преступлениями могут играть также меры технического характера. Условно их можно подразделить на три основные группы в зависимости от характера и специфики охраняемого объекта, а именно: аппаратные, программные и комплексные. Аппаратные методы предназначены для защиты аппаратных средств и средств связи компьютерной техники от нежелательных физических воздействий на них сторонних сил, а также для закрытия возможных нежелательных каналов утечки конфиденциальной информации и данных, образующихся за счет побочных электромагнитных излучений и наводок, виброакустических сигналов, и т.п. Практическая реализация данных методов обычно осуществляется с помощью применения различных технических устройств специального назначения. К ним, в частности, относятся: 1) источники бесперебойного питания, предохраняющие от скачкообразных перепадов напряжения; 2) устройства экранирования аппаратуры, линий проводной связи и помещений, в которых находятся СКТ; 3) устройства комплексной защиты телефонии; 4) устройства, обеспечивающие только санкционированный физический доступ пользователя на охраняемые объекты СКТ (шифрозамки, устройства идентификации личности и т.п.); 5) устройства идентификации и фиксации терминалов и пользователей при попытках несанкционированного доступа к компьютерной сети; 6) средства охранно-пожарной сигнализации; 7) средства защиты портов компьютерной техники (наиболее эффективны для защиты компьютерных сетей от несанкционированного доступа) и т.д. Программные методы защиты предназначаются для непосредственной защиты информации по трем направлениям: а) аппаратуры; б) программного обеспечения; в) данных и управляющих команд. Для защиты информации при ее передаче обычно используют различные методы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой. Как показывает практика, методы шифрования позволяют достаточно надежно скрыть смысл сообщения. Все программы защиты, осуществляющие управление доступом к машинной информации, функционируют по принципу ответа на вопросы: кто может выполнять, какие операции и над какими данными. Доступ может быть определен как: • общий (безусловно предоставляемый каждому пользователю); • отказ (безусловный отказ, например разрешение на удаление порции информации); • зависимый от события (управляемый событием); • зависимый от содержания данных; • зависимый от состояния (динамического состояния компьютерной системы); • частотно-зависимый (например, доступ разрешен пользователю только один или определенное число раз); • по имени или другим признаком пользователя; • зависимый от полномочий; • по разрешению (например, по паролю); • по процедуре. Также к эффективным мерам противодействия попыткам несанкционированного доступа относятся средства регистрации. Для этих целей наиболее перспективными являются новые операционные системы специального назначения, широко применяемые в зарубежных странах и получившие название мониторинга (автоматического наблюдения за возможной компьютерной угрозой). Мониторинг осуществляется самой операционной системой (ОС), причем в ее обязанности входит контроль за процессами ввода-вывода, обработки и уничтожения машинной информации. ОС фиксирует время несанкционированного доступа и программных средств, к которым был осуществлен доступ. Кроме этого, она производит немедленное оповещение службы компьютерной безопасности о посягательстве на безопасность компьютерной системы с одновременной выдачей на печать необходимых данных (листинга). В последнее время в США и ряде европейских стран для защиты компьютерных систем действуют также специальные подпрограммы, вызывающие самоуничтожение основной программы при попытке несанкционированного просмотра содержимого файла с секретной информацией по аналогии действия “логической бомбы”. При рассмотрении вопросов, касающихся программной защиты информационных ресурсов особо надо подчеркнуть проблему защиты их от компьютерных вирусов. Здесь необходимо активно использовать специальные программные антивирусные средства защиты (как зарубежного, так и отечественного производства). Антивирусные программы своевременно обнаруживают, распознают вирус в информационных ресурсах, а также “лечат” их. Подобно вирусам, их тоже можно поделить на несколько категорий: • Сканеры - наиболее популярные программы. Они проверяют файлы, секторы дисков и системную память на наличие как известных, так и неизвестных типов вирусов. Зачастую они используют эвристические алгоритмы, анализируя последовательности команд в проверяемых объектах и набирая определенную статистику, на основе которой "выносят приговор" - "болен", "не болен". • CRC-сканеры подсчитывают контрольные суммы для вышеозначенных объектов, при этом они менее популярны, чем обычные сканеры. И напрасно: некоторые из них содержат алгоритмы, направленные против вирусов-невидимок, благодаря чему их эффективность приближается к ста процентам! • Мониторы - это резидентные программы, "перехватывающие" с их точки зрения подозрительные действия и сообщающие о них пользователю. Они замечательны своей способностью выявлять вирусы на самых ранних стадиях проникновения в систему, не давая им ни малейшего шанса что-нибудь испортить. • Иммунизаторы делают систему невосприимчивой к тому или иному типу вирусов, т. е. их действие избирательно. Они бывают двух типов: одни сообщают о заражении, другие его блокируют. Обзор наиболее распространенных антивирусных пакетов Антивирус Dr. Web ОСНОВНЫЕ ФУНКЦИИ: Dr. Web - старый и заслуженно популярный в России антивирус, уже несколько лет помогающий пользователям в борьбе с вирусами. Новые версии программы (DrWeb32) работают в нескольких операционных системах, защищая пользователей от более чем 17000 вирусов. Набор функций вполне стандартный для антивируса - сканирование файлов (в том числе сжатых специальными программами и заархивированных), памяти, загрузочных секторов жестких дисков и дискет. Троянские программы, как правило, подлежат не излечению а удалению. К сожалению, почтовые форматы не проверяются, поэтому сразу после получения электронного письма нельзя узнать, нет ли во вложении вируса. Вложение придется сохранить на диск и проверять отдельно. Впрочем, поставляемый с программой резидентный монитор "Spider Guard" позволяет решить эту задачу "на лету". Dr. Web - одна из первых программ, в которой был реализован эвристический анализ, который позволяет обнаруживать вирусы, не занесенные в антивирусную базу. Анализатор обнаруживает в программе вирусоподобные инструкции и помечает такую программу как подозрительную. Антивирусная база обновляется через Интернет одним нажатием кнопки. Бесплатная версия программы не проводит эвристического анализа и не лечит файлы. НАСТРОЙКА ПРОГРАММЫ: полный спектр настроек классического антивируса. Области сканирования по умолчанию, типы файлов, которые надо сканировать, как реагировать на зараженные и подозрительные файлы, настройки протоколирования, и т.д. Настроек довольно много, но они достаточно просты, да и система помощи (вызываемая нажатием правой кнопки мыши) поможет разобраться в тонкостях той или иной опции. ЭФФЕКТИВНОСТЬ ИСПОЛЬЗОВАНИЯ: программа очень эффективна против известных ей "троянцев" и вирусов. Награды Virus Bulletin 100% свидетельствуют о высоком качестве обнаружения вирусов, имеющих реальное распространение в мире. Что же до обнаружения троянцев, то программе известны далеко не все из них, но успешно решена проблема с наиболее распространенными экземплярами. Рекомендуется использовать в сочетании с хорошим брандмауэром для обеспечения максимальной защиты от троянцев. ДОСТОИНСТВА: эффективно обнаруживает и лечит вирусы и "троянские кони", имеет русский интерфейс, удобна в настройке и использовании. НЕДОСТАТКИ: скорость сканирования могла бы быть и повыше. ОБЩАЯ ОЦЕНКА: эффективное средство в борьбе с вирусами и "троянцами", если используется наряду с другими программами, обеспечивающими другие способы защиты. Norton AntiVirus 2000 ОСНОВНЫЕ ФУНКЦИИ: Norton AntiVirus сделана на основе другого популярного продукта - персонального брандмауэра AtGuard (@guard) от WRQ Soft. В результате приложения к нему технологической мощи Symantec, получился интегрированный продукт, обладающий существенно расширенной функциональностью. Ядром системы по-прежнему является брандмауэр. Он весьма эффективно работает без настройки, практически не мешая в повседневном использовании сети, но блокируя попытки перезагрузить или "завесить" компьютер, получить доступ к файлам и принтерам, установить связь с троянскими программами на компьютере. Norton AntiVirus - единственный брандмауэр из рассмотренных, который реализует возможности этого метода (которого) защиты на 100%. Осуществляется фильтрация всех видов пакетов, путешествующих по сети, в т.ч. служебных (ICMP), правила для работы брандмауэра могут учитывать, какое именно приложение работает с сетью, что за данные передаются и на какой компьютер, в какое время суток это происходит. Для сохранения конфиденциальных данных, брандмауэр может блокировать отправку веб-серверам адреса электронной почты, типа браузера, возможна также блокировка cookies. Фильтр конфиденциальной информации предупреждает о попытке переслать в сеть в незашифрованном виде информацию, которую пользователь ввел и пометил, как конфиденциальную. Активное содержимое веб-страниц (Java-апплеты, сценарии и т.д) также может блокироваться с помощью Norton AntiVirus - фильтр содержимого может вырезать небезопасные элементы из текста веб-страниц до того, как они попадут в браузер. В качестве дополнительного сервиса, не связанного напрямую с вопросами безопасности, Norton AntiVirus предлагает очень удобный фильтр рекламных баннеров (эти надоедливые картинки попросту вырезаются из страницы, что ускоряет ее загрузку), а также систему родительского контроля. Запретив посещение определенных категорий сайтов и запуск отдельных видов интернет-приложений, можно быть достаточно спокойным по поводу содержимого сети, которое доступно детям. Помимо возможностей брандмауэра, Norton AntiVirus предлагает пользователю защиту программы Norton Antivirus. Это популярное антивирусное приложение с регулярно обновляемыми антивирусными базами позволяет довольно надежно обнаруживать вирусы на самых ранних этапах их появления. Сканированию на вирусы подвергаются все закачиваемые из сети файлы, файлы, вложенные в электронную почту, активные элементы веб-страниц. Помимо этого, в Norton Antivirus есть антивирусный сканер и монитор, которые обеспечивают общесистемную защиту от вирусов без привязки к наличию доступа в сеть. НАСТРОЙКА ПРОГРАММЫ: Norton AntiVirus поступает к пользователю в полностью готовом к употреблению виде. Сразу после установки происходит обновление антивирусных баз и сканирование всех дисков на наличие вирусов и троянских программ. Брандмауэр имеет очень продуманную трехуровневую систему настройки. Для самых неопытных пользователей настройка будет заключаться в установке двух переключателей - "Security" ("Безопасность") и "Privacy" ("Конфиденциальность") в положение "низкая", "средняя", "высокая", а также включении или выключении фильтра рекламы и родительского контроля. Помимо этого, нужно еще ввести конфиденциальную информацию, которая не должна пересылаться в незашифрованном виде. Более опытные пользователи могут нажать на кнопку "Custom level" ("собственный уровень") и определить настройки безопасности более подробно. Эксперты по безопасности могут вызвать дополнительный диалог настроек и определять правила работы брандмауэра вручную - с указанием портов, серверов и других технических подробностей. Наиболее приятной особенностью брандмауэра является его самообучаемость. Наименее опытные пользователи могут предоставить программе учиться самой, более опытным доступен "Мастер правил", который будет появляться всякий раз, когда Norton AntiVirus сталкивается с попыткой установить непонятное соединение по сети. С помощью этого мастера можно на один раз или навсегда разрешить или запретить подобные соединения. ЭФФЕКТИВНОСТЬ ИСПОЛЬЗОВАНИЯ: комплексный подход к защите компьютера, реализованный в Norton AntiVirus , позволяет спокойно работать в сети, не опасаясь попыток "завесить" или перезагрузить компьютер, получить доступ к файлам и принтерам через интернет или украсть конфиденциальную информацию. Брандмауэр работает таким образом, что для большинства попыток сканирования сети, которое делают хакеры, компьютер попросту невидим. Это - один из лучших методов защиты, поскольку он позволяет в принципе избежать нападения. Брандмауэр и антивирус обеспечивают двухуровневую защиту от троянцев, вирусов и небезопасного активного содержимого веб-страниц. Грамотная настройка "по умолчанию" позволяет достаточно спокойно работать в сети через 5 минут после инсталляции программы и не углубляясь в тонкости работы интернет-протоколов. Фильтр активного содержимого снижает риск при просмотре соответствующих веб-страниц, хотя полная фильтрация активного содержимого обедняет современные высокотехнологичные веб-сайты. Технология LiveUpdate позволяет обновлять через Интернет антивирусные базы, данные о сайтах, не рекомендованным детям, и т.д. ДОСТОИНСТВА: комплексный подход к защите, нейтрализующий большинство факторов риска, связанных с Интернет. Очень удобная конфигурация, которая удовлетворит пользователя любого уровня. Грамотно и полноценно реализованы оба основных компонента системы - брандмауэр и антивирус. НЕДОСТАТКИ: достаточно высокая цена, крайне неудобная система закачки программы из Интернет и большой размер дистрибутива (50 Мб). ОБЩАЯ ОЦЕНКА: полноценная система безопасности, надежно защищающая от основных опасностей сети, подходящая для всех групп пользователей, вне зависимости от опыта и рода деятельности. Антивирус Antiviral Toolkit Pro ОСНОВНЫЕ ФУНКЦИИ: Antiviral Toolkit Pro - российский продукт, заслуживший популярность за рубежом и в России, благодаря широчайшим возможностям и высокой надежности. Имеются версии программы для большинства популярных операционных систем, антивирусная база насчитывает около 34000 вирусов. Существует несколько вариантов поставки - AVP Lite, AVP Gold, AVP Platinum. В наиболее полной версии поставляется три продукта - сканер, резидентный монитор и центр управления. Сканер позволяет проверять файлы и память на наличие вирусов и "троянцев". При этом проверяются упакованные программы, архивы, почтовые базы данных (папки Outlook и т.д.) и осуществляется эвристический анализ для поиска новых вирусов, не занесенных в базу данных. Монитор "на лету" проверяет каждый открываемый файл на вирусы и предупреждает о вирусной опасности, одновременно блокируя доступ к зараженному файлу. Центр управления позволяет по расписанию проводить антивирусную проверку и обновлять базы данных через Интернет. В демонстрационной версии отсутствует возможность лечения зараженных объектов, проверка пакованных и архивных файлов, эвристический анализ. НАСТРОЙКА ПРОГРАММЫ: все настройки, присущие антивирусам реализованы в полном объеме. Области сканирования по умолчанию, подлежащие сканированию типы файлов, реакция на обнаружение зараженного или подозрительного объекта, настройки протоколирования, и т.д. Полностью сформированные настройки можно сохранять и загружать в виде отдельных конфигураций антивируса. Все настройки снабжены подробной справкой. Интерфейс - на русском языке. ЭФФЕКТИВНОСТЬ ИСПОЛЬЗОВАНИЯ: программа очень эффективна против известных ей "троянцев" и вирусов. Многочисленные награды Virus Bulletin 100% подтверждают репутацию качественного продукта. Рекомендуется использовать в сочетании с хорошим брандмауэром для обеспечения максимальной защиты от троянцев. Следует обратить внимание, что некоторые специфические программы для сканирования сетей (инструмент хакеров, но и системных администраторов) программа также идентифицирует как троянские. ДОСТОИНСТВА: эффективно обнаруживает и лечит вирусы и "троянские кони", имеет русский интерфейс, удобна в настройке и использовании. НЕДОСТАТКИ: слишком "подозрительна" к инструментальным средствам системного администратора. ОБЩАЯ ОЦЕНКА: эффективное средство в борьбе с вирусами и "троянцами". Комплексные организационно-технические меры Однако, наряду с использованием антивирусных программ, для уменьшения опасности вирусных посягательств на СКТ необходимо предпринять комплексные организационно-технические меры. 1. Информировать всех сотрудников учреждения, организации, использующих СКТ, об опасности и возможном ущербе в случае совершения вирусного посягательства. 2. Запретить сотрудникам приносить на рабочее место программные средства (ПС) “со стороны” для работы с ними на СКТ учреждения, организации по месту работы сотрудника. 3. Запретить сотрудникам использовать, хранить на носителях и в памяти ЭВМ компьютерные игры. 4. Предостеречь сотрудников организации от использования ПС и носителей машинной информации, имеющих происхождение из учебных заведений различного уровня и профиля. 5. Все файлы, которые поступают из внешней компьютерной сети должны обязательно тестироваться. 6. Создать архив копий ПС, используемых в непосредственной работе организации. 7. Регулярно просматривать хранимые в компьютерной системе ПС, создавать новые их архивные копии; где это возможно, использовать защиту типа “только чтение” для предупреждения несанкционированных манипуляций с ценными данными. 8. Периодически проводить ревизионную проверку контрольных сумм файлов, путем их сличения с эталоном. 9. Использовать для нужд электронной почты отдельный стендовый компьютер или ввести специальный отчет. 10. Установить системы защиты информации на особо важных ЭВМ. Заактивировать на них специальные комплексные антивирусные ПС. 11. Постоянно контролировать исполнение установленных правил обеспечения безопасности СКТ и применять меры дисциплинарного воздействия к лицам, сознательно или неоднократно нарушавшим их и т.д.