Нарушение правил конфиденциальности

Нарушение конфиденциальности, целостности, работоспособности системы

Горохова Т.Н.

МДК.02.01 «Разработка, внедрение и адаптация отраслевого
программного обеспечения»

ПМ.02 «Разработка, внедрение и адаптация
отраслевого программного обеспечения»

Раздел 1. Информационные системы
и информационная безопасность, темы 1.14-1.17

для студентов специальности
230701 «Прикладная информатика (по отраслям

ОГЛАВЛЕНИЕ

1.ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ.. 3

1.1. Нарушение конфиденциальности, целостности, работоспособности системы.. 3

1.2.Компьютерные вирусы.. 9

2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ АСОИ.. 11

2.1 Фрагментарный и комплексный подходы.. 11

2.2.Создание политики безопасности. Разработка политики безопасности
предприятия. 12

2.3.Разработка политики безопасности предприятия. Построение модели фирмы.. 16

2.4.Анализ информационных потоков и оценка их конфиденциальности. Оценка величины ущерба при потере или разглашении информации. 21

3. ОСНОВНЫЕ МЕХАНИЗМЫ ЗАЩИТЫ. 22

3.1. Механизмы идентификации, аутентификации, авторизации. 22

3.2.Модели управления доступом. Реализация модели конечного автомата. 25

3.3.Модели управления доступом. Реализация модели матрицы доступа. 29

3.4.Механизмы регистрации и контроля целостности. 33

4.КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ. 37

4.1.Виды средств криптографической защиты. Управление механизмами защиты Криптоанализ 37

4.2.Генерация ключей защиты. Подбор кода шифрования информации. 41

ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Нарушение конфиденциальности, целостности, работоспособности системы

Проблемы защиты информации волновали человечество с незапамятных времен. Необходимость защиты информации возникла из потребностей тайной передачи, как военных, так и дипломатических сообщений. Например, античные спартанцы шифровали свои военные сообщения. У китайцев простая запись со­общения с помощью иероглифов делала его тайным для чужестранцев.

Для обозначения всей области тайной (секретной) связи используется термин «криптология», который происходит от греческих корней «cryptos» — тайный и «logos» — сообщение. Криптология довольно четко может быть разделена на два направления: криптографию и криптоанализ.

Задача криптографа — обеспечить конфиденциальность (секретность) и аутентичность (подлинность) передаваемых сообщений.

Задача криптоаналитика — «взломать» систему защиты, разработанную криптографами. Он пытается раскрыть зашифрованный текст или выдать поддельное сообщение за настоящее.

Первые каналы связи были очень простыми, Их организовывали, используя надежных курьеров. Безопасность таких систем связи зависела как от надежности курьера, так и от его способно­сти не попадать в ситуации, при которых могло иметь место раскрытие сообщения.

Создание современных компьютерных систем и появление глобальных компьютерных сетей радикально изменило характер и диапазон проблем защиты информации. В широко компьютеризированном и информатизированном современном обществе обладание реальными ценностями, управление ими, передача ценностей или доступ к ним часто основаны на неовеществленной информации, т.е. на информации, существование которой не обязательно связывается с какой-либо записью на физическом носителе. Аналогичным образом иногда определяются и полномочия физических и юридических лиц на использование, модификацию, копирование имеющей большое значение или конфиденциальной информации. Поэтому весьма важно создавать и применять эффективные средства для реализации всех необходимых функций, связанных с обеспечением конфиденциальности и целостности информации.

Поскольку информация может быть очень ценной или особо важной, возможны разнообразные злонамеренные действия по отношению к компьютерным системам, хранящим, обрабатывающим или передающим такую информацию. Например, нарушитель может попытаться выдать себя за другого пользователя системы, подслушать канал связи или перехватить и изменить информацию, которой обмениваются пользователи системы. Нарушителем может быть и пользователь системы, который отказывается от сообщения, в действительности сформированного им, или который пытается утверждать, что им получено сообщение, которое в действительности не передавалось. Он может попытаться расширить свои полномочия, чтобы получить доступ к информации, к которой ему предоставлен только частичный доступ, или попытаться разрушить систему, несанкционированно изменяя права других пользователей.

Для решения указанных и других подобных проблем не существует какого-то одного технического приема или средства. Однако общим в решении многих из них является использование криптографии и криптоподобных преобразований информации.

Появление новых информационных технологий и интен­сивное развитие компьютерных сетей привлекают все большее внимание пользователей к глобальной сети Internet. Многие ком­пании и организации подключают сегодня свои локальные сети к сети Internet, чтобы воспользоваться ее ресурсами и преимущест­вами. Бизнесмены и государственные организации используют Internet в различных целях, включая обмен электронной почтой, распространение информации среди заинтересованных лиц и т.п. В силу открытости своей идеологии Internet предоставляет злоумышленникам много возможностей для вторжения во внут­ренние сети предприятий и организаций с целью хищения, иска­жения или разрушения важной и конфиденциальной информации. Решение задач по защите внутренних сетей от наиболее вероятных атак через Internet может быть возложено на межсетевые экраны, иногда называемые брандмауэрами или firewall. Применяются и программные методы защиты, к которым относятся защи­щенные криптопротоколы SSL и SKIP.

Важным приложением, нуждающимся в эффективных средствах защиты информации, являются электронные платежные системы. В этих системах в качестве универсального платежного средства используются банковские пластиковые карты. Для обеспечения надежной работы электронная платежная система должна быть надежно защищена. С точки зрения информационной безопасности в системах электронных платежей существует ряд потенциально уязвимых мест, в частности, пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентами. Для обеспечения защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты: управление доступом на оконечных системах, обеспечение целостности и конфиденциальности сообщений, взаимная аутентификация абонентов, гарантии доставки сообщения и т.д. Качество решения указанных проблем существенно зависит от рациональности выбора криптографических средств при реализации механизмов защиты.

Наиболее перспективным видом пластиковых карт являются микропроцессорные смарт-карты, которые благодаря встроенному микропроцессору обеспечивают обширный набор функций защиты и выполнение всех операций взаимодействия владельца карты, банка и торговца,

Все большее значение приобретает электронная торговля через Internet, которая сегодня может рассматриваться как огромный информатизированный рынок, способный охватить практически все население планеты Земля. Интенсивное развитие различных видов коммерческой деятельности в Internet требует принятия надлежащих мер по обеспечению безопасности этого перспектив­ного вида электронной коммерции.

Информатизация является характерной чертой жизни со­временного общества. Новые информационные технологии актив­но внедряются во все сферы народного хозяйства. Компьютеры управляют космическими кораблями и самолетами, контролируют работу атомных электростанций, распределяют электроэнергию и обслуживают банковские системы. Компьютеры являются основой множества автоматизированных систем обработки информации(АСОИ), осуществляющих хранение и обработку информации, предоставление ее потребителям, реализуя тем самым современные информационные технологии.

По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий, от которых порой зависит благополучие, а иногда и жизнь многих людей.

Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:

• резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;

• резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;

• сосредоточение в единых базах данных информации различно­го назначения и различной принадлежности;

• высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых разных сферах деятельности;

• резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам дан­ных;

• бурное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;

• повсеместное распространение сетевых технологий и объединение локальных сетей в глобальные;

• развитие глобальной сети Internet, практически не препятствующей нарушениям безопасности систем обработки инфор­мации во всем мире.

Введем и определим основные понятия информационной безопасности компьютерных систем [18, 75].

Под безопасностью АСОИ понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонентов.

Природа воздействий на АСОИ может быть самой разнообразной. Это и стихийные бедствия (землетрясение, ураган, пожар), и выход из строя составных элементов АСОИ, и ошибки персонала, и попытка проникновения злоумышленника.

Безопасность АСОИ достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.

Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.

Различают санкционированный и несанкционированный доступ к информации.

Санкционированный доступ к информации — это доступ к информации, не нарушающий установленные правила разграничения доступа.

Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.

Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее рас­пространенным видом компьютерных нарушений.

Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации — это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Субъект — это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.

Объект — пассивный компонент системы, хранящий, при­нимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.

Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения.

Целостность компонента или ресурса системы — это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случай­ных или преднамеренных искажений или разрушающих воздействий.

Доступность компонента или ресурса системы — это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.

Под угрозой безопасности АСОИ понимаются возможные воздействия на АСОИ, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в АСОИ. С понятием угрозы безопасности тесно связано понятие уязвимости АСОИ,

Уязвимость АСОИ — это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.

Атака на компьютерную систему — это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Таким образом, атака — это реализация угрозы безопасности.

Противодействие угрозам безопасности является целью защиты систем обработки информации.

Безопасная или защищенная система — это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности АСОИ. Комплекс создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Политика безопасности — это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты АСОИ от заданного множества угроз безопасности.

По цели воздействия различают три основных типа угроз безопасности АСОИ:

• угрозы нарушения конфиденциальностиинформации;

• угрозы нарушения целостности информации;

• угрозы нарушения работоспособности системы (отказы в обслуживании) [33].

Угрозы нарушения конфиденциальности направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен несанкционированный доступ к некоторой закрытой информации, хранящейся в компьютерной системе или передаваемой от одной системы к другой.

Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению. Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации — компьютерных сетей и систем телекоммуникаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое выполняется полномочными лицами с обоснованной целью (например, таким изменением является периодическая коррекция некоторой базы данных).

Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность АСОИ, либо блокируют доступ к некоторым ее ресурсам. Например, если один пользователь системы запрашивает доступ к некоторой службе, а другой предпринимает действия по блокированию этого доступа, то первый пользователь получает отказ в обслуживании. Блокирование доступа к ресурсу может быть постоянным или временным.

Нарушения конфиденциальности и целостности информации, а также доступности и целостности определенных компонен­тов и ресурсов АСОИ могут быть вызваны различными опасными воздействиями на АСОИ.

Современная автоматизированная система обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АСОИ можно разбить на следующие группы:

аппаратные средства — ЭВМ и их составные части (процессо­ры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи) и т.д.;

программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

данные — хранимые временно и постоянно, на магнитных носи­телях, печатные, архивы, системные журналы и т.д.;

персонал — обслуживающий персонал и пользователи.

Опасные воздействия на АСОИ можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, из­готовления и эксплуатации АСОИ показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни и функционирования АСОИ. Причинами случайных воздействий при эксплуатации АСОИ могут быть:

• аварийные ситуации из-за стихийных бедствий и отключений электропитания;

• отказы и сбои аппаратуры;

• ошибки в программном обеспечении;

• ошибки в работе обслуживающего персонала и пользователей;

• помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные угрозы связаны с целенаправленными действиями нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник и т.д. Действия нару­шителя могут быть обусловлены разными мотивами: недовольст­вом служащего своей карьерой, сугубо материальным интересом (взятка), любопытством, конкурентной борьбой, стремлением са­моутвердиться любой ценой и т.п.

Исходя из возможности возникновения наиболее опасной ситуации, обусловленной действиями нарушителя, можно соста­вить гипотетическую модель потенциального нарушителя [50]:

• квалификация нарушителя может быть на уровне разработчика данной системы;

• нарушителем может быть как постороннее лицо, так и законный пользователь системы;

• нарушителю известна информация о принципах работы систе­мы;

• нарушитель выберет наиболее слабое звено в защите.

В частности, для банковских АСОИ можно выделить сле­дующие преднамеренные угрозы:

• несанкционированный доступ посторонних лиц, не принадле­жащих к числу банковских служащих, и ознакомление с храни­мой конфиденциальной информацией;

• ознакомление банковских служащих с информацией, к которой они не должны иметь доступ;

• несанкционированное копирование программ и данных;

• кража магнитных носителей, содержащих конфиденциальную информацию;

• кража распечатанных банковских документов;

• умышленное уничтожение информации;

• несанкционированная модификация банковскими служащими финансовых документов, отчетности и баз данных;

• фальсификация сообщений, передаваемых по каналам связи;

• отказ от авторства сообщения, переданного по каналам связи;

• отказ от факта получения информации;

• навязывание ранее переданного сообщения;

• разрушение информации, вызванное вирусными воздействия­ми;

• разрушение архивной банковской информации, хранящейся на магнитных носителях;

Несанкционированный доступ (НСД) является наиболее распространенным и многообразным видом компьютерных нару­шений. Суть НСД состоит в получении пользователем (нарушите­лем) доступа к объекту в нарушение правил разграничения досту­па, установленных в соответствии с принятой в организации поли­тикой безопасности. НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. НСД может быть осущест­влен как штатными средствами АСОИ, так и специально создан­ными аппаратными и программными средствами.

Перечислим основные каналы несанкционированного дос­тупа, через которые нарушитель может получить доступ к компо­нентам АСОИ и осуществить хищение, модификацию и/или раз­рушение информации:

• все штатные каналы доступа к информации (терминалы поль­зователей, оператора, администратора системы; средства ото­бражения и документирования информации; каналы связи) при их использовании нарушителями, а также законными пользова­телями вне пределов их полномочий;

• технологические пульты управления;

• линии связи между аппаратными средствами АСОИ;

• побочные электромагнитные излучения от аппаратуры, линий связи, сетей электропитания и заземления и др.

Из всего разнообразия способов и приемов несанкциони­рованного доступа остановимся на следующих распространенных и связанных между собой нарушениях:

• незаконное использование привилегий.

Перехват паролей осуществляется специально разрабо­танными программами. При попытке законного пользователя войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу пересылаются владельцу программы-перехватчика, после чего на экран выво­дится сообщение об ошибке и управление возвращается операци­онной системе. Пользователь предполагает, что допустил ошибку при вводе пароля. Он повторяет ввод и получает доступ в систе­му. Владелец программы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях. Существуют и другие способы перехвата паролей.

«Маскарад» — это выполнение каких-либо действий одним пользователем от имени другого пользователя, обладающего со­ответствующими полномочиями. Целью «маскарада» является приписывание каких-либо действий другому пользователю либо присвоение полномочий и привилегий другого пользователя.

Примерами реализации «маскарада» являются:

• вход в систему под именем и паролем другого пользователя (этому «маскараду» предшествует перехват пароля);

• передача сообщений в сети от имени другого пользователя.

«Маскарад» особенно опасен в банковских системах элек­тронных платежей, где неправильная идентификация клиента из-за «маскарада» злоумышленника может привести к большим убыт­кам законного клиента банка.

Незаконное использование привилегий. Большинство сис­тем защиты устанавливают определенные наборы привилегий для выполнения заданных функций. Каждый пользователь получает свой набор привилегий: обычные пользователи — минимальный, администраторы — максимальный. Несанкционированный захват привилегий, например, посредством «маскарада», приводит к воз­можности выполнения нарушителем определенных действий в обход системы защиты. Следует отметить, что незаконный захват привилегий возможен либо при наличии ошибок в системе защиты, либо из-за халатности администратора при управлении системой и назначении привилегий.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределе­ны в пространстве. Связь между узлами (объектами) сети осуще­ствляется физически с помощью сетевых линий связи и про­граммно с помощью механизма сообщений. При этом управляю­щие сообщения и данные, пересылаемые между объектами сети, передаются в виде пакетов обмена. При вторжении в компьютер­ную сеть злоумышленник может использовать как пассивные, гак и активные методы вторжения .

При пассивном вторжении (перехвате информации) на­рушитель только наблюдает за прохождением информации по ка­налу связи, не вторгаясь ни в информационный поток, ни в содер­жание передаваемой информации. Как правило, злоумышленник может определить пункты назначения и идентификаторы либо только факт прохождения сообщения, его длину и частоту обмена, если содержимое сообщения не распознаваемо, т.е. выполнить анализ графика (потока сообщений) в данном канале.

При активном вторжении нарушитель стремится подменить информацию, передаваемую в сообщении. Он может выборочно модифицировать, изменить или добавить правильное или ложное сообщение, удалить, задержать или изменить порядок следования сообщений. Злоумышленник может также аннулировать и задержать все сообщения, передаваемые по каналу. Подобные действия можно квалифицировать как отказ в передаче сообщений.

Компьютерные сети характерны тем, что кроме обычных локальных атак, осуществляемых в пределах одной системы, про­тив объектов сетей предпринимают так называемые удаленные атаки, что обусловлено распределенностью сетевых ресурсов и информации. Злоумышленник может находиться за тысячи кило­метров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи. Под удаленной атакой понимают информационное разрушающее воздействие на распределенную компьютерную сеть, программно осуществленное по каналам связи .

В табл.1показаны основные пути реализации угроз безопасности АСОИ при воздействии на ее компоненты. Конечно, табл.1 дает самую общую картину того, что может произойти с системой. Конкретные обстоятельства и особенности должны рассматриваться отдельно. Более подробную классификацию угроз безопасности АСОИ можно найти в [18].

studopedia.ru

3.3 Нарушение правил эксплуатации эвм, системы эвм или их сети (Статья 274)

Объектом этого преступления являются отношения, обеспечивающие нормальную, безопасную эксплуатацию ЭВМ или их сети. Объективная сторона преступления состоит в нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшем уничтожение, блокирование или модификацию охраняемой законом компьютерной информации, если это деяние причинило существенный вред. Состав данного преступления сформулирован как материальный и требует доказывания причинной связи между нарушением правил эксплуатации ЭВМ, системы ЭВМ или их сети, и причиненным существенным вредом. Преступление считается оконченным с момента причинения вреда.[5]

Субъект преступления специальный (например, оператор, программист). С субъективной стороны преступление, предусмотренное ч. 1 ст.274 УК РФ, может быть совершено умышленно — как с прямым, так и с косвенным умыслом. Если же целью виновного было совершение иного преступления с помощью нарушения правил эксплуатации упомянутых технических средств, например, уклонение от уплаты налогов, то содеянное подлежит квалификации по совокупности ст.274 и соответствующей статьи УК РФ. В ч. 2 ст. 274 УК РФ установлена ответственность за квалифицированный состав данного преступления, когда в результате его совершения наступают тяжкие последствия. К таким последствиям может быть отнесено причинение крупного ущерба собственнику или владельцу информации, причинение вреда здоровью людей или гибель людей. Преступление, предусмотренное ч. 2 ст.274 УК РФ, совершается с двойной формой вины.[2]

Можно выделить два основных средства защиты: копирование информации и ограничение доступа к информации. Нарушение режима эксплуатации ЭВМ образуют, например, несанкционированные изменение, уничтожение или передача информации.

Под существенным вредом следует понимать причинение как материального, так и нематериального вреда.

Обязательным признаком объективной стороны преступления является наличие прямой (непосредственнной) причинной связи между уничтожением, модификацией или блокированием охраняемой законом информации и наступлением последствий в виде причинения существенного вреда.

С субъективной стороны преступление может быть совершено как умышленно, так и по неосторожности в виде как небрежности, так и легкомыслия. При установлении умысла на нарушение правил эксплуатации ЭВМ, системы ЭВМ и сети деяние, предусмотренное ст. 274 УК, становится лишь способом совершения преступления. Преступление в этом случае подлежит квалификации по наступившим последствиям, которые предвидел виновный, по совокупности с преступлением, предусмотренным данной статьей УК.

Квалифицирующим признаком ч. 2 ст. 274 УК является наступление тяжких последствий, а субъективная сторона характеризуется неосторожной формой вины по отношению к этим последствиям.[25]

4. Способы защиты компьютерной информации от преступных посягательств

Исследования в направлении усиления контроля в целях защиты информации привели к появлению новой дисциплины: безопасность информации. Специалист в области безопасности информации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности накопленной в организации информации. В его функции входит обеспечение физической (технические средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.

При рассмотрении проблем защиты данных в сети возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных “угроз” можно выделить:

сбои кабельной системы;

сбои дисковых систем;

сбои систем архивации данных;

сбои работы серверов, рабочих станций, сетевых карт и т.д.

. Потери информации из-за некорректной работы оборудования:

потеря или изменение данных при ошибках оборудования;

потери при заражении системы компьютерными вирусами;

. Потери, связанные с несанкционированным доступом:

несанкционированное копирование, уничтожение или подделка информации;

ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц;

. Потери информации, связанные с неправильным хранением архивных данных.

. Ошибки обслуживающего персонала и пользователей:

случайное уничтожение или изменение данных;

некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных;

В зависимости от возможных видов нарушений работы сети (под нарушением работы подразумевается и противоправный несанкционированный доступ) многочисленные виды защиты информации объединяются в следующие.основные классы :

средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т.д.

средства защиты от стихийных бедствий — пожаров, землетрясений, наводнений и т.д. — состоит в хранении архивных копий информации или в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях, расположенных, как правило, в других зданиях или, реже, даже в другом районе города или в другом городе.

программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.

административные меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.[4]

Проблема защиты информации от противоправного несанкционированного доступа особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей. Зачастую ущерб наносится не из-за “злого умысла”, а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.[1]

Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации. Шифрование данных может осуществляться в режимах On-line (в темпе поступления информации) и Off-line (автономном). Наибольший интерес и практическое применение имеет первый тип с его основными алгоритмами.

В связи с бурным процессом развития научно-технической революции сформировался новый вид общественных отношений — информационные. Информационные отношения стали новым объектом, а информация — новым предметом преступного посягательства. Неизбежным следствием появления новых общественных отношений стали правонарушения в сфере компьютерной информации, в том числе и в форме преступлений, которые представляют реальную угрозу для нормального развития и течения общественной жизни.

Преступления в сфере компьютерной информации можно определить как умышленные общественно опасные деяния (действие или бездействие), причиняющие вред либо создающие угрозу причинения вреда общественным отношениям, регламентирующим безопасное производственное хранение, использование или распространение информации и информационных ресурсов либо их защиту.

Уголовный Кодекс Российской Федерации установил нормы, объявляющие общественно опасными деяниями конкретные действия в сфере компьютерной информации и устанавливающие уголовную ответственность за их совершение. Такие нормы появились в российском законодательстве впервые

Видовым объектом преступлений в сфере компьютерной информации являются информационные отношения, т. е. отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

Вышеуказанные обстоятельства выступают причиной необходимости разработки системы противодействия преступлениям в сфере компьютерной информации, одной из составляющих которой должен выступить неправомерный доступ к охраняемой законом информации. При этом степень уголовно-правовой защиты информации должна определяться её содержанием, а не свойствами носителя.[5]

Таким образом, можно сделать вывод, что существует необходимость совершенствования уголовно-правовой защиты компьютерной информации в связи с постоянно возрастающим значением и широким применением ЭВМ во многих сферах деятельности и наряду с этим повышенной уязвимостью компьютерной информации.

1. Городов О.А. Информационное право: Учебник / О.А. Городов.- Москва: Проспект, 2008.

. Иванов В.Д. Уголовное право: Общая часть: Учебник / В.Д. Иванов.- Ростов-на-Дону: Феникс, 2002.

. Копылов В.А. Информационное право. — М.: Юристъ, 2002.

. Информатика для юристов: Учебник. / О.Э. Згадзай, С.Я. Казанцев, Л.А. Казанцева; под ред. С.Я. Казанцева. — М.: Мастерство, 2001.

. Пущин В.С. Преступления в сфере компьютерной информации. — М., 2000.

studfiles.net

Ответственность за нарушение требований охраны труда

Какие виды ответственности за нарушение требований охраны труда на предприятии?

Какие наказания могут использоваться в отношении работника, специального должностного лица или для всего предприятия как юридического лица?

Виды ответственности за нарушение требований охраны труда

  1. Дисциплинарная. Предусматривается для работников, указывается в Трудовом кодексе. К видам дисциплинарных взысканий относят замечание, а также выговор и увольнение. Порядок наложения санкций на работника указывается в трудовом законодательстве, а также в локальных нормативных актах (ПВТР – Правила внутреннего распорядка) и других документах.
  2. Материальная. Это также вид ответственности, который предусмотрен для работников. Применяется в случае, когда в результате противоправных деяний работника причинен материальный ущерб имуществу и имущественным интересам нанимателя. Работник обязан возместить только прямой материальный вред, а не упущенную выгоду. Материальная ответственность регулируется нормами трудового законодательства, а также ряда других актов.
  3. Административная. Вид ответственности, который может использоваться как в отношении физлиц, так и в отношении юридических лиц (для юрлиц чаще всего установлена административная ответственность в виде денежной санкции – штрафа).
  4. Уголовная. Предусматривается только для физических лиц (не только работников предприятий, но и должностных лиц: для специалистов по охране труда, для руководителей и других). Уголовная ответственность за нарушение требований ОТ является самой суровой, может предусматривать не только штрафы, но и лишение свободы.

В каких федеральных законах предусматривается ответственность за нарушение норм охраны труда?

Ответственность работника и нанимателя указывается в ряде нормативно-правовых актов.

  • Трудовой кодекс РФ;
  • Кодекс об административных правонарушениях (это же КоАП);
  • Уголовный кодекс Российской Федерации (он же УК РФ);
  • ФЗ “О промышленной безопасности опасных производственных объектов” (обращайте внимание, чтобы у вас была действующая редакция нормативного акта: в 2016 г. были внесены изменения!). Некоторые из внесенных изменений будут действовать только с 2016—2017 г.

Увольнение за нарушение требований охраны труда как вид дисциплинарной ответственности: основания и порядок

В ст. 192 Трудового кодекса РФ перечисляются виды дисциплинарных взысканий, среди которых есть и увольнение. Ст. 192 Трудового кодекса отсылает к нормам ст.81, в которой перечисляются основания увольнения.

Одним из них является нарушение правил охраны труда. В самой ст. 81 Трудового кодекса содержатся основания увольнения:

  1. Нарушение правил было установлено комиссией по охране труда или же специальными уполномоченным по охране труда.
  2. Нарушение правил охраны труда работником повлекло за собой наступление тяжких последствий (к примеру, произошел несчастный случай на производстве, случилась авария, вышла катастрофа).

Дисциплинарная ответственность в форме увольнения возможна и в таком случае, если нарушение правил охраны труда заведомо создавало реальную угрозу наступления опасных последствий.

В ст. 193 Трудового кодекса содержится общий порядок наложения административных взысканий на работника. Перечисленные здесь нормы справедливы и по отношению к увольнению за нарушение требований ОТ. Схема выглядит следующим образом:

  1. Вы совершаете нарушение требований охраны труда.
  2. Наниматель обязан затребовать у нарушителя письменное объяснение («объяснительную»).
  3. Если вы в течение 2-х дней не предоставили нанимателю объяснительный документ, то он обязан составить соответствующий акт. Отсутствие объяснительной не освобождает нарушителя от дисциплинарной ответственности.
  4. Дисциплинарное взыскание (выговор, увольнение) применяют не позднее 1 месяца со момента обнаружения проступка! Если сроки прошли, то ответственность не применяется. В течение сроков не включают время пребывания работника в отпуске. Максимальный «срок давности» составляет 6 месяцев со дня совершения дисциплинарного проступка (2 года, если проступок был обнаружен в ходе аудиторской проверки или же ревизии).
  5. Издается обязательно приказ о применении дисциплинарного взыскания в виде увольнение за нарушения или нарушение правил охраны труда на предприятии. В течение 3-х дней вас обязаны познакомить с этим приказом под роспись.
  6. Если вас ознакомили с приказом, но вы отказались подписывать, наниматель должен составить соответствующий акт.

Дисциплинарная ответственность в виде увольнения является самой строгой. Будьте внимательными при заполнении всех документов, следите за тем, чтобы была соблюдена вся процедура.

Если хоть один документ отсутствует, если были нарушены сроки наложения дисциплинарного взыскания, то работник смело может обращаться в госинспекцию труда и (или же) в органы, которые занимаются рассмотрением трудовых индивидуальных споров.

Перечень нарушений по охране труда на предприятии составляется на каждом отдельном предприятии и представляет собой внутренний документ.

Ответственность работодателя за нарушение требований ОТ. Смотрим в административный кодекс!

КоАП (административный кодекс) – документ, который предусматривает ответственность юридического лица.

Это значит, что предприятие будет выплачивать штраф за нарушение законодательства в сфере охраны труда (чаще всего).

Для юридических лиц также предусматривается такой вид ответственности, как временный запрет на осуществление деятельности. В этом материале мы перечислим только основные составы правонарушений, которые содержатся в КоАП:

  1. Ст. 5.27 за нарушение трудового законодательства, а также иных актов, содержащих нормы трудового права. По ч5. ст. 5.27 КоАП наступает ответственность в размере штрафа 5 000 рублей для граждан; дисквалификацию на 1-3 года для должностных лиц, штраф от 30 000 руб. для тех, кто осуществляет деятельность без образования юрлица; предусмотрен и штраф на юрлиц от 100 000 рублей до 200 000 руб.
  2. Ст. 5.27.1 за нарушение государственных нормативных требований ОТ. Максимальная санкция для юрлиц по статье предусматривает штраф от 100 000 руб. до 200 000 руб. или же административное приостановление работы на сроки до 90 суток.
  3. Ст. 5.28, предусматривающая ответственность за уклонение от участия нанимателя в переговорах о заключении коллективного договора (КД).
  4. Ст. 5.31 за нарушение или же невыполнение обязательств по коллективному договору, соглашению
  5. Ст. 15.34 за сокрытие страхового случая предусматривает наложение административной ответственности в виде штрафа от 5 000 рублей до 10 000 рублей (касается юридических лиц).
  6. Ст. 19.5 КоАП РФ за невыполнение в прописанный срок законного предписания соответствующих должностных лиц.

Ответственность работодателя в таких случаях не ограничивается только штрафом, но и грозит дополнительными проверками, упущенной прибылью при административном приостановлении деятельности и другими санкциями.

Но самой суровой по праву считается уголовная ответственность. Она не может наступать для юридических лиц, поскольку юридическое лицо не является субъектом уголовного права.

Но нормы УК РФ применяются в отношении должностных лиц, чья деятельность повлекла нарушение правил охраны труда и серьезный ущерб.

Уголовная ответственность за нарушение требований охраны труда

В Уголовном кодексе РФ есть несколько статей, которые связаны с ответственностью за нарушение норм трудового законодательства.

  1. Ст.145 за необоснованный отказ в приеме на работу или же за необоснованное увольнение беременной женщины, а равно с тем — и женщины с детьми в возрасте до 3-х лет. Предусматривает наложение штрафа размером до 200 000 рублей или же штрафа в размере зарплаты или же в размере другого дохода осужденного за срок до 18 месяцев, также в качестве санкции указываются обязательные работы на срок до 360 часов.
  2. Статья 145.1 за невыплату зарплаты, пенсий, стипендий, пособий, а также иных выплат наказывается вплоть до лишения свободы на сроки до 5 лет.

Но ключевой нормой, которая предусматривает уголовную ответственность, является ст. 143 УК РФ. Она носит название «Нарушение требований охраны труда» и содержит 3 части.

Состав преступления обладает рядом особенностей:

  1. Специальный субъект – лицо, на которое были возложены обязанности по обеспечению правил охраны труда. В постановлении Пленума ВС 23 апреля 1991 года (с последующими изменениями) указывается, что к таким субъектам относятся: А) руководители предприятий; Б) главные инженеры; В) главные специалисты, которые не предприняли мер по устранению нарушений Г) другие лица, на которых возложена обязанность охраны труда. Если нарушение норм было допущено лицом, не обладающим специальным статусом, но повлекло по неосторожности тяжкий вред для здоровья человека/смерть по неосторожности, то наступает уголовная ответственность совсем по другой статье — ст. 109, 118 УК.
  2. Необходимо наличие общественно опасных последствий (причинение тяжкого вреда здоровью, смерть человека или нескольких человек). Само собой, необходимо будет доказать и существование причинно-следственной связи между непосредственным нарушением правил и наступлением вреда.
  3. Все деяния, предусмотренные статьей, совершаются по неосторожности.
  4. Ответственность наступает на предприятиях вне зависимости от форм собственности (государственные, частные, иностранные на территории России или другие).
  5. Нарушение правил охраны труда – обширное понятие, которое может включать не только технику безопасности, но и правила безопасного ведения работ, нарушение правил промышленной санитарии, гигиены труда и другие.

Ст. 143 УК РФ и уголовная ответственность за нарушение требований охраны труда

Ч.1 ст. 143 предусматривается уголовную ответственность за нарушение требований охраны труда, повлекшее по неосторожности причинение здоровью тяжкого вреда.

В санкции уголовной статьи предусматриваются следующие виды наказаний:

  • штраф до 400 000 рублей или же штраф в размере зарплаты/другого дохода осужденного за срок до 18 месяцев;
  • обязательные работы на сроки 180-240 часов;
  • исправительные работы на сроки максимум до 2-х лет;
  • принудительные работы на срок максимум до 1 года;
  • лишение свободы до 1 года + лишение специального права занимать определенные должности или на то, чтобы заниматься определенной деятельностью до 1 года (или же без лишения права).

Ч.2 ст. 143 УК РФ и уголовная ответственность за нарушение требований ОТ, повлекшее смерть человека по неосторожности предусматривает следующие санкции:

  • принудительные работы на сроки до 4-х лет;
  • лишение свободы сроком до 4 лет + лишение права на то, чтобы занимать определенные должности/заниматься тем или иным видом деятельности до 3-х лет (или же без лишения права).

Ч.3 ст. 143 УК РФ и уголовная ответственность за нарушение требований ОТ, повлекшее за собой смерть 2-х и больше человек по неосторожности наказывается:

  • принудительными работами на максимальный срок до 5 лет;
  • лишение свободы до 5 лет + лишение права на то, чтобы занимать определенные должности/заниматься определенной деятельностью сроком до 3-х лет (или же без лишения права).

Примечание к ст. 143 прямо указывает, что под требованиями ОТ в этой статье понимаются государственные нормативные требования ОТ, которые находятся в федеральных законах, а также в других актах.

Где содержится перечень нарушений по охране труда на предприятии?

Это могут быть не только локальные акты (хотя в них работникам и должностным лицам ориентироваться проще всего).

Чтобы посмотреть ответственность и правила выполнения работ, загляните в ПВТР, типовую инструкцию по безопасности, а также в должностную инструкцию.

Перед приемом работника наниматель обязан провести вводный инструктаж + первичный инструктаж по технике безопасности. Об этом работник расписывается в специальном журнале.

Также на предприятии должна быть установлена периодичность проведения текущих инструктажей по безопасности и охране труда (к примеру, они проводятся 1 раз в 6 месяцев).

Каждый работник должен пройти текущий инструктаж + расписаться в соответствующем журнале. Дополнительно есть случаи так называемых «экстренных инструктажей», которые проводятся после несчастного случая на предприятии. О них также работники расписываются.

Существуют и отраслевые правила по ОТ, в которым относятся:

  1. Приказ Минтруда и соцзащиты РФ от 25 февраля 2016 г. N 76н под названием «Об утверждении Правил по ОТ в сельском хозяйстве». Есть такие же постановления, утверждающие правила ОТ в строительстве, в ЖКХ (жилищно-коммунальном хозяйстве), в области производства пищевой продукции и другие.
  2. Приказ Минсельхоза РФ за 20 июня 2003 г. N 890 под названием «Об утверждении Правил по ОТ в мясной промышленности». Также есть отдельные приказы для предприятий, работающих в сфере хранения семян сахарной свеклы, хранения и переработки зерна, растениеводства, животноводства, в табачной промышленности и других сферах.
  3. Распоряжения ОАО «РЖД» по охране труда для сотрудников российских железных дорог (машинистов, работников тепловых сетей, строителей и многих других).

Межотраслевые документы, которые регулируют правила охраны труда

  1. Приказ Минтруда и соцзащиты РФ от 16 ноября 2015 г. за N 873н под названием «Об утверждении Правил по охране труда при хранении, при транспортировании, а также реализации нефтепродуктов»
  2. Постановление Минтруда РФ за 28 марта 2014 г. N 155н под названием «Об утверждении Правил по ОТ при работе на высоте».

Есть такие же постановления о правилах безопасности при переработке пластмасс, работе на автомобильном транспорте, эксплуатации газового хозяйства организаций, при выполнении пайки изделий.

3 вывода из статьи

  1. Есть 4 вида ответственности за нарушение правил охраны труда: от дисциплинарной до уголовной
  2. Перечень нарушений по охране труда на предприятии находится в должностных инструкциях, ПВТР и др. локальных документах. Также есть утвержденные приказами и постановлениями требования, правила и инструкции
  3. Применение дисциплинарного взыскания — увольнения должно соответствовать установленным в ст. 193 ТК правилам.

Видео: Ответственность за нарушение требований охраны труда

ugolovnyi-expert.com

Популярное:

  • Приказ мчс по службе Приказ МЧС России от 6 июля 2017 г. № 285 “Об утверждении примерной формы контракта о прохождении службы в федеральной противопожарной службе Государственной противопожарной службы” (не вступил в силу) В соответствии с частью 8 […]
  • Адвокат тарасова екатерина Адвокат тарасова Хочу проверить является ли адвокатом Тарасова Екатерина Ивановна в Москве по адресу Житная 14 МО РЕБЕНКА как второй раз не вынесла это процессура, и только в суде доказать подлежащее разрешению в отношении него […]
  • Химия пособие по егэ Химия, Новые задания ЕГЭ, Доронькин В.Н., 2016 Химия, Новые задания ЕГЭ, Доронькин В.Н., 2016. Пособие составлено в соответствии с изменениями формулировок и содержания заданий в тестах ЕГЭ по новой спецификации и предназначено […]
  • Беженец получение гражданства Гражданство РФ для украинцев: как получить российское гражданство? Гражданство РФ для украинцев 2017-2018. Как получить гражданство РФ беженцу Граждане Украины могут стать гражданами России как в общем, так и в упрощенном […]
  • Справки об отсутствии судимости минск Справки о судимости Для получения справки об отсутствии судимости и (или) привлечении к административной ответственности на несовершеннолетнего ребенка с заявлением обращается один из родителей. При подаче заявления родителю […]
  • Расторжение договора сроки возврата денег Как расторгнуть договор ДДУ и вернуть деньги? Расторжение сделки в одностороннем порядке, через суд или по соглашению сторон. Волнительный процесс приобретения желанной недвижимости в новостройке не всегда заканчивается как […]
  • Номер закона о бухгалтерском учете Новый Федеральный Закон "О бухгалтерском учете" Статьи по теме: Оформление операций в бухучете в 2014 году Правильное оформление хозяйственных операций – одна из краеугольных проблем, как бухгалтерской практики, так и […]
  • Приказ 262 от 25082018 Приказ 262 от 25082018 В ДЕМО-режиме вам доступны первые несколько страниц платных и бесплатных документов.Для просмотра полных текстов бесплатных документов, необходимо войти или зарегистрироваться.Для получения полного доступа […]