ru %D0%9D%D0%B5%D1%81%D0%B0%D0%BD%D0%BA%D1%86%D0%B8%D0%BE%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9 %D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF

Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

Руководящий документ Гостехкомиссии «Защита от НСД. Термины и определения» Архивная копия от 10 октября 2019 на Wayback Machine (утверждён решением председателя Гостехкомиссии России от 30 марта 1992 г.) трактует определение немного иначе:

Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Несанкционированный доступ может привести к утечке информации.

Причины несанкционированного доступа к информации

ошибки конфигурации (прав доступа, файрволлов, ограничений на массовость запросов к базам данных);
слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников);
ошибки в программном обеспечении;
злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации);
Прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС;
Использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации.

Способы совершения неправомерного доступа к компьютерной информации

Способ совершения преступления неправомерного доступа — это приёмы и методы, которые используют виновные, совершая общественно опасное деяние.

В литературе^[1] выделяют различные классификации способов совершения компьютерных преступлений:

Способы подготовки (соответствует уголовно-правовому понятию «приготовление к преступлению»):
- сбор сведений;
- перехват сообщений электронной почты;
- завязывание знакомства;
- перехват сообщений в каналах связи;
- кражи информации;
- взятки и вымогательство.
Способы проникновения (соответствует уголовно-правовому понятию «покушение на преступление»):
- непосредственное вхождение в систему (путём перебора паролей);
- получение паролей;
- использование недостатков протоколов связи.

Некоторые авторы^[2] предлагают классификацию в зависимости от целей, которые преследует преступник на том или ином этапе совершения преступления:

Тактические — предназначены для достижения ближайших целей (например, для получения паролей).
Стратегические — направлены на реализацию далеко идущих целей и связаны с большими финансовыми потерями для автоматизированных информационных систем.

Ещё один автор^[3] выделяет пять способов совершения неправомерного доступа к компьютерной информации:

Непосредственное использование именно того компьютера, который автономно хранит и обрабатывает информацию, представляющую интерес для преступника.
Скрытое подключение компьютера преступника к компьютерной системе или к сети законных пользователей по сетевым каналам или радиосвязи.
Поиск и использование уязвимых мест в защите компьютерной системы и сетей от несанкционированного доступа к ним (например, отсутствие системы проверки кода).
Скрытое изменение или дополнение компьютерных программ, функционирующих в системе.
Незаконное использование универсальных программ, применяемых в аварийных ситуациях.

Существует более устоявшаяся классификация способов, на которую ориентируются большинство авторов^[1] и которая построена на основе анализа зарубежного законодательства. В основу данной классификации положен метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники с различными намерениями:

Методы перехвата информации.
Метод несанкционированного доступа.
Метод манипуляции.
Комплексные методы.

Последствия несанкционированного доступа к информации

В литературе^[1], помимо указанной в статье 272 УК РФ Архивная копия от 6 апреля 2016 на Wayback Machine, предложена более общая классификация возможных последствий данного преступления :

Нарушение функций. Включает 4 вида:
- временные нарушения, приводящие к путанице в графиках работы, расписании тех или иных действий и т. п.;
- недоступность системы для пользователей;
- повреждённая аппаратура (устранимые и неустранимые);
- повреждения программного обеспечения.
Потери значимых ресурсов.
Потеря монопольного использования.
Нарушение прав (авторских, смежных, патентных, изобретательских).

Также последствиями несанкционированного доступа к информации являются:

утечка персональных данных (сотрудников компании и организаций-партнёров);
утечка коммерческой тайны и ноу-хау;
утечка служебной переписки;
утечка государственной тайны;
полное либо частичное лишение работоспособности системы безопасности компании;
точная утечка информации.

Предотвращение утечек

Для предотвращения несанкционированного доступа к информации используются программные и технические средства, например, DLP-системы.

Законодательство

Закон США Computer Fraud and Abuse Act^[англ.] критиковался за расплывчатость, допускающую попытки использования его для того, чтобы трактовать как несанкционированный доступ (с наказанием до десятков лет лишения свободы) нарушение условий использования (англ. terms of service) информационной системы (например, веб-сайта).^[4]^[5] См. также: Вредоносная программа#Юридические аспекты, Шварц, Аарон, en:United States v. Lori Drew.

См. также

Примечания

↑ ¹ ² ³ Мазуров В.А. Уголовно-правовые аспекты информационной безопасности. — Барнаул: Издательство Алтайского Университета, 2004. — С. 92. — 288 с. — ISBN 5-7904-0340-9.
↑ Охрименко С.А., Черней Г.А. Угрозы безопасности автоматизированным информационным системам (программные злоупотребления) // НТИ. Сер.1, Орг. и методика информ. работы : журнал. — 1996. — № 5. — С. 5—13.
↑ Скоромников К.С. Пособие для следователя. Расследование преступлений повышенной общественной опасности / Дворкин А.И., Селиванов Н.А.. — Москва: Лига Разум, 1998. — С. 346—347. — 444 с.
↑ Ryan J. Reilly. Zoe Lofgren Introduces 'Aaron's Law' To Honor Swartz On Reddit (неопр.). The Huffington Post / AOL (15 января 2013). Дата обращения: 9 марта 2013. Архивировано 11 марта 2013 года.
↑ Tim Wu. "Fixing the Worst Law in Technology". блог «News Desk». The New Yorker. Архивировано 27 марта 2013. Дата обращения: 28 марта 2013. {{cite news}}: Неизвестный параметр |datepublished= игнорируется (справка)

[:0-1] ¹ ² ³ Мазуров В.А. Уголовно-правовые аспекты информационной безопасности. — Барнаул: Издательство Алтайского Университета, 2004. — С. 92. — 288 с. — ISBN 5-7904-0340-9.

[2] Охрименко С.А., Черней Г.А. Угрозы безопасности автоматизированным информационным системам (программные злоупотребления) // НТИ. Сер.1, Орг. и методика информ. работы : журнал. — 1996. — № 5. — С. 5—13.

[3] Скоромников К.С. Пособие для следователя. Расследование преступлений повышенной общественной опасности / Дворкин А.И., Селиванов Н.А.. — Москва: Лига Разум, 1998. — С. 346—347. — 444 с.

[4] Ryan J. Reilly. Zoe Lofgren Introduces 'Aaron's Law' To Honor Swartz On Reddit (неопр.). The Huffington Post / AOL (15 января 2013). Дата обращения: 9 марта 2013. Архивировано 11 марта 2013 года.

[5] Tim Wu. "Fixing the Worst Law in Technology". блог «News Desk». The New Yorker. Архивировано 27 марта 2013. Дата обращения: 28 марта 2013. {{cite news}}: Неизвестный параметр |datepublished= игнорируется (справка)

[1]

[2]

[3]

[4]

[5]