Несанкционированный доступ
Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.
Руководящий документ Гостехкомиссии «Защита от НСД. Термины и определения» Архивная копия от 10 октября 2019 на Wayback Machine (утверждён решением председателя Гостехкомиссии России от 30 марта 1992 г.) трактует определение немного иначе:
Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Несанкционированный доступ может привести к утечке информации.
Причины несанкционированного доступа к информации
- ошибки конфигурации (прав доступа, файрволлов, ограничений на массовость запросов к базам данных);
- слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников);
- ошибки в программном обеспечении;
- злоупотребление служебными полномочиями (хищение резервных копий, копирование информации на внешние носители при праве доступа к информации);
- Прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС;
- Использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для .
Способы совершения неправомерного доступа к компьютерной информации
Способ совершения преступления неправомерного доступа — это приёмы и методы, которые используют виновные, совершая общественно опасное деяние.
В литературе выделяют различные классификации способов совершения компьютерных преступлений:
- Способы подготовки (соответствует уголовно-правовому понятию «приготовление к преступлению»):
- сбор сведений;
- перехват сообщений электронной почты;
- завязывание знакомства;
- перехват сообщений в каналах связи;
- кражи информации;
- взятки и вымогательство.
- Способы проникновения (соответствует уголовно-правовому понятию «покушение на преступление»):
- непосредственное вхождение в систему (путём перебора паролей);
- получение паролей;
- использование недостатков протоколов связи.
Некоторые авторы предлагают классификацию в зависимости от целей, которые преследует преступник на том или ином этапе совершения преступления:
- Тактические — предназначены для достижения ближайших целей (например, для получения паролей).
- Стратегические — направлены на реализацию далеко идущих целей и связаны с большими финансовыми потерями для автоматизированных информационных систем.
Ещё один автор выделяет пять способов совершения неправомерного доступа к компьютерной информации:
- Непосредственное использование именно того компьютера, который автономно хранит и обрабатывает информацию, представляющую интерес для преступника.
- Скрытое подключение компьютера преступника к компьютерной системе или к сети законных пользователей по сетевым каналам или радиосвязи.
- Поиск и использование уязвимых мест в защите компьютерной системы и сетей от несанкционированного доступа к ним (например, отсутствие системы проверки кода).
- Скрытое изменение или дополнение компьютерных программ, функционирующих в системе.
- Незаконное использование универсальных программ, применяемых в аварийных ситуациях.
Существует более устоявшаяся классификация способов, на которую ориентируются большинство авторов и которая построена на основе анализа зарубежного законодательства. В основу данной классификации положен метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники с различными намерениями:
- Методы перехвата информации.
- Метод несанкционированного доступа.
- Метод манипуляции.
- Комплексные методы.
Последствия несанкционированного доступа к информации
В литературе, помимо указанной в статье 272 УК РФ Архивная копия от 6 апреля 2016 на Wayback Machine, предложена более общая классификация возможных последствий данного преступления :
- Нарушение функций. Включает 4 вида:
- временные нарушения, приводящие к путанице в графиках работы, расписании тех или иных действий и т. п.;
- недоступность системы для пользователей;
- повреждённая аппаратура (устранимые и неустранимые);
- повреждения программного обеспечения.
- Потери значимых ресурсов.
- Потеря монопольного использования.
- Нарушение прав (авторских, смежных, патентных, изобретательских).
Также последствиями несанкционированного доступа к информации являются:
- утечка персональных данных (сотрудников компании и организаций-партнёров);
- утечка коммерческой тайны и ноу-хау;
- утечка служебной переписки;
- утечка государственной тайны;
- полное либо частичное лишение работоспособности системы безопасности компании;
- точная утечка информации.
Предотвращение утечек
Для предотвращения несанкционированного доступа к информации используются программные и технические средства, например, DLP-системы.
Законодательство
Закон США [англ.] критиковался за расплывчатость, допускающую попытки использования его для того, чтобы трактовать как несанкционированный доступ (с наказанием до десятков лет лишения свободы) нарушение условий использования (англ. terms of service) информационной системы (например, веб-сайта). См. также: Вредоносная программа#Юридические аспекты, Шварц, Аарон, en:United States v. Lori Drew.
См. также
- Безопасность в беспроводных самоорганизующихся сетях
- Взлом программного обеспечения
- Права доступа
Примечания
- Мазуров В.А. Уголовно-правовые аспекты информационной безопасности. — Барнаул: , 2004. — С. 92. — 288 с. — ISBN 5-7904-0340-9.
- Охрименко С.А., Черней Г.А. Угрозы безопасности автоматизированным информационным системам (программные злоупотребления) // НТИ. Сер.1, Орг. и методика информ. работы : журнал. — 1996. — № 5. — С. 5—13.
- Скоромников К.С. Пособие для следователя. Расследование преступлений повышенной общественной опасности / Дворкин А.И., Селиванов Н.А.. — Москва: Лига Разум, 1998. — С. 346—347. — 444 с.
- Ryan J. Reilly. Zoe Lofgren Introduces 'Aaron's Law' To Honor Swartz On Reddit. The Huffington Post / AOL (15 января 2013). Дата обращения: 9 марта 2013. Архивировано 11 марта 2013 года.
- Tim Wu. Fixing the Worst Law in Technology. блог «News Desk». The New Yorker. Архивировано 27 марта 2013. Дата обращения: 28 марта 2013.
{{cite news}}: Неизвестный параметр|datepublished=игнорируется (справка)
В статье не хватает ссылок на источники (см. рекомендации по поиску). |
Википедия, чтение, книга, библиотека, поиск, нажмите, истории, книги, статьи, wikipedia, учить, информация, история, скачать, скачать бесплатно, mp3, видео, mp4, 3gp, jpg, jpeg, gif, png, картинка, музыка, песня, фильм, игра, игры, мобильный, телефон, Android, iOS, apple, мобильный телефон, Samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Сеть, компьютер, Информация о Несанкционированный доступ, Что такое Несанкционированный доступ? Что означает Несанкционированный доступ?
Zapros NSD perenapravlyaetsya syuda sm takzhe drugie znacheniya Zapros Utechka dannyh d perenapravlyaetsya syuda Na etu temu nuzhno sozdat otdelnuyu statyu Nesankcionirovannyj dostup dostup k informacii v narushenie dolzhnostnyh polnomochij sotrudnika dostup k zakrytoj dlya publichnogo dostupa informacii so storony lic ne imeyushih razresheniya na dostup k etoj informacii Takzhe nesankcionirovannym dostupom v otdelnyh sluchayah nazyvayut poluchenie dostupa k informacii licom imeyushim pravo na dostup k etoj informacii v obyome prevyshayushem neobhodimyj dlya vypolneniya sluzhebnyh obyazannostej Rukovodyashij dokument Gostehkomissii Zashita ot NSD Terminy i opredeleniya Arhivnaya kopiya ot 10 oktyabrya 2019 na Wayback Machine utverzhdyon resheniem predsedatelya Gostehkomissii Rossii ot 30 marta 1992 g traktuet opredelenie nemnogo inache Nesankcionirovannyj dostup k informacii NSD dostup k informacii narushayushij pravila razgranicheniya dostupa s ispolzovaniem shtatnyh sredstv predostavlyaemyh sredstvami vychislitelnoj tehniki ili avtomatizirovannymi sistemami Nesankcionirovannyj dostup mozhet privesti k utechke informacii Prichiny nesankcionirovannogo dostupa k informaciiOsnovnaya statya Kanaly utechki informacii oshibki konfiguracii prav dostupa fajrvollov ogranichenij na massovost zaprosov k bazam dannyh slabaya zashishyonnost sredstv avtorizacii hishenie parolej smart kart fizicheskij dostup k ploho ohranyaemomu oborudovaniyu dostup k nezablokirovannym rabochim mestam sotrudnikov v otsutstvie sotrudnikov oshibki v programmnom obespechenii zloupotreblenie sluzhebnymi polnomochiyami hishenie rezervnyh kopij kopirovanie informacii na vneshnie nositeli pri prave dostupa k informacii Proslushivanie kanalov svyazi pri ispolzovanii nezashishyonnyh soedinenij vnutri LVS Ispolzovanie klaviaturnyh shpionov virusov i troyanov na kompyuterah sotrudnikov dlya Sposoby soversheniya nepravomernogo dostupa k kompyuternoj informaciiSposob soversheniya prestupleniya nepravomernogo dostupa eto priyomy i metody kotorye ispolzuyut vinovnye sovershaya obshestvenno opasnoe deyanie V literature vydelyayut razlichnye klassifikacii sposobov soversheniya kompyuternyh prestuplenij Sposoby podgotovki sootvetstvuet ugolovno pravovomu ponyatiyu prigotovlenie k prestupleniyu sbor svedenij perehvat soobshenij elektronnoj pochty zavyazyvanie znakomstva perehvat soobshenij v kanalah svyazi krazhi informacii vzyatki i vymogatelstvo Sposoby proniknoveniya sootvetstvuet ugolovno pravovomu ponyatiyu pokushenie na prestuplenie neposredstvennoe vhozhdenie v sistemu putyom perebora parolej poluchenie parolej ispolzovanie nedostatkov protokolov svyazi Nekotorye avtory predlagayut klassifikaciyu v zavisimosti ot celej kotorye presleduet prestupnik na tom ili inom etape soversheniya prestupleniya Takticheskie prednaznacheny dlya dostizheniya blizhajshih celej naprimer dlya polucheniya parolej Strategicheskie napravleny na realizaciyu daleko idushih celej i svyazany s bolshimi finansovymi poteryami dlya avtomatizirovannyh informacionnyh sistem Eshyo odin avtor vydelyaet pyat sposobov soversheniya nepravomernogo dostupa k kompyuternoj informacii Neposredstvennoe ispolzovanie imenno togo kompyutera kotoryj avtonomno hranit i obrabatyvaet informaciyu predstavlyayushuyu interes dlya prestupnika Skrytoe podklyuchenie kompyutera prestupnika k kompyuternoj sisteme ili k seti zakonnyh polzovatelej po setevym kanalam ili radiosvyazi Poisk i ispolzovanie uyazvimyh mest v zashite kompyuternoj sistemy i setej ot nesankcionirovannogo dostupa k nim naprimer otsutstvie sistemy proverki koda Skrytoe izmenenie ili dopolnenie kompyuternyh programm funkcioniruyushih v sisteme Nezakonnoe ispolzovanie universalnyh programm primenyaemyh v avarijnyh situaciyah Sushestvuet bolee ustoyavshayasya klassifikaciya sposobov na kotoruyu orientiruyutsya bolshinstvo avtorov i kotoraya postroena na osnove analiza zarubezhnogo zakonodatelstva V osnovu dannoj klassifikacii polozhen metod ispolzovaniya prestupnikom teh ili inyh dejstvij napravlennyh na poluchenie dostupa k sredstvam kompyuternoj tehniki s razlichnymi namereniyami Metody perehvata informacii Metod nesankcionirovannogo dostupa Metod manipulyacii Kompleksnye metody Posledstviya nesankcionirovannogo dostupa k informaciiV literature pomimo ukazannoj v state 272 UK RF Arhivnaya kopiya ot 6 aprelya 2016 na Wayback Machine predlozhena bolee obshaya klassifikaciya vozmozhnyh posledstvij dannogo prestupleniya Narushenie funkcij Vklyuchaet 4 vida vremennye narusheniya privodyashie k putanice v grafikah raboty raspisanii teh ili inyh dejstvij i t p nedostupnost sistemy dlya polzovatelej povrezhdyonnaya apparatura ustranimye i neustranimye povrezhdeniya programmnogo obespecheniya Poteri znachimyh resursov Poterya monopolnogo ispolzovaniya Narushenie prav avtorskih smezhnyh patentnyh izobretatelskih Takzhe posledstviyami nesankcionirovannogo dostupa k informacii yavlyayutsya utechka personalnyh dannyh sotrudnikov kompanii i organizacij partnyorov utechka kommercheskoj tajny i nou hau utechka sluzhebnoj perepiski utechka gosudarstvennoj tajny polnoe libo chastichnoe lishenie rabotosposobnosti sistemy bezopasnosti kompanii tochnaya utechka informacii Predotvrashenie utechekOsnovnaya statya Predotvrashenie utechek Dlya predotvrasheniya nesankcionirovannogo dostupa k informacii ispolzuyutsya programmnye i tehnicheskie sredstva naprimer DLP sistemy ZakonodatelstvoZakon SShA angl kritikovalsya za rasplyvchatost dopuskayushuyu popytki ispolzovaniya ego dlya togo chtoby traktovat kak nesankcionirovannyj dostup s nakazaniem do desyatkov let lisheniya svobody narushenie uslovij ispolzovaniya angl terms of service informacionnoj sistemy naprimer veb sajta Sm takzhe Vredonosnaya programma Yuridicheskie aspekty Shvarc Aaron en United States v Lori Drew Sm takzheBezopasnost v besprovodnyh samoorganizuyushihsya setyah Vzlom programmnogo obespecheniya Prava dostupaPrimechaniyaMazurov V A Ugolovno pravovye aspekty informacionnoj bezopasnosti Barnaul 2004 S 92 288 s ISBN 5 7904 0340 9 Ohrimenko S A Chernej G A Ugrozy bezopasnosti avtomatizirovannym informacionnym sistemam programmnye zloupotrebleniya NTI Ser 1 Org i metodika inform raboty zhurnal 1996 5 S 5 13 Skoromnikov K S Posobie dlya sledovatelya Rassledovanie prestuplenij povyshennoj obshestvennoj opasnosti Dvorkin A I Selivanov N A Moskva Liga Razum 1998 S 346 347 444 s Ryan J Reilly Zoe Lofgren Introduces Aaron s Law To Honor Swartz On Reddit neopr The Huffington Post AOL 15 yanvarya 2013 Data obrasheniya 9 marta 2013 Arhivirovano 11 marta 2013 goda Tim Wu Fixing the Worst Law in Technology blog News Desk The New Yorker Arhivirovano 27 marta 2013 Data obrasheniya 28 marta 2013 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite news title Shablon Cite news cite news a Neizvestnyj parametr datepublished ignoriruetsya spravka V state ne hvataet ssylok na istochniki sm rekomendacii po poisku Informaciya dolzhna byt proveryaema inache ona mozhet byt udalena Vy mozhete otredaktirovat statyu dobaviv ssylki na avtoritetnye istochniki v vide snosok 23 iyunya 2012
