«Критерії оцінки безпеки інформаційних технологій» (Information Technology Security Evaluation Criteria, ITSEC) [6], відомі під назвою «Гармонізований критерії Європейських країн», опубліковані в 1991 році від імені відповідних органів Франції, Німеччини, Голландії та Великобританії;
Керівні документи Гостехкомісіі Росії [7-11], які є російськими нормативними документами за критеріями оцінки захищеності засобів обчислювальної техніки і автоматизованих систем, прийняті в 1992 році.
І нарешті, «Загальні критерії оцінки безпеки інформаційних технологій» (далі - Загальні критерії), що є міжнародним стандартом, в якому відображена сучасна нормативна база оцінки безпеки інформаційних технологій; прийняті в червні 1999 року. У розробці цього стандарту брали участь США, Канада, Англія, Франція, Голландія.
З позицій перерахованих нормативно-технічних документів оцінка безпеки інформаційних технологій - це методологія дослідження властивостей безпеки продукту або системи інформаційних технологій.
Зауваження. Під безпекою тут розуміється забезпечення цілісності, доступності, конфіденційності об'єкта оцінки.
Оцінка безпеки інформаційних технологій має якісне, а не кількісне вираження, і являє собою певним чином впорядковані якісні вимоги до механізмів забезпечення безпеки, їх ефективності та гарантованості реалізації.
Розглянемо базові поняття документів з оцінки безпеки інформаційних технологій, які слід застосовувати для оцінки надійності методів і механізмів захисту.
Надійність об'єкта оцінки розглядається як ступінь довіри, яку розумно надати даному об'єкту.
Гарантованість визначається як міра упевненості, з якою можна стверджувати, що заходи безпеки об'єкта ефективні і коректно реалізовані.
Для перевірки спроможності механізмів (методів) захисту протистояти зовнішнім (спроби злому) і внутрішнім (неправильна експлуатація) загрозам необхідно провести оцінку вразливості механізму (методу) захисту.
При оцінці вразливості з точки зору протидії зовнішнім загрозам необхідно:
провести аналіз вразливості (слабких місць) механізму;
оцінити потужність механізму.
Аналіз вразливості передбачає виявлення можливих недоліків механізму захисту, які могли б бути використані зловмисником для злому захисту. Передбачається різний рівень підготовленості та оснащеності зловмисника.
На основі аналізу уразливості оцінюється потужність механізму захисту.
Потужність механізму захисту - здатність захисного механізму протистояти прямим атакам.
Зауваження. У Загальних критеріях потужність механізму захисту отримала назву сили функції безпеки.
Для потужності механізму захисту визначені три градації потужності - базова, середня і висока.
Потужність механізму захисту оцінюється як базова, якщо аналіз показує, що механізм забезпечує адекватний захист проти ненавмисного або випадкового порушення безпеки об'єкта оцінки нападниками, що володіють низьким потенціалом нападу.
Іншими словами, механізм захисту має базової потужністю, якщо він здатний протистояти окремим випадковим загрозам (атак).
Потужність механізму захисту оцінюється як середня, якщо аналіз показує, що механізм забезпечує адекватний захист проти нападників, що володіють помірним потенціалом нападу.
Іншими словами, механізм захисту володіє середньою потужністю, якщо він здатний протистояти зловмисникові з обмеженими ресурсами і можливостями.
Потужність механізму захисту оцінюється як висока, якщо аналіз показує, що механізм забезпечує адекватний захист проти нападників, що володіють високим потенціалом нападу.
Про високої потужності механізму захисту варто говорити у разі, якщо захист може бути порушена тільки зловмисником з високою кваліфікацією, набір можливостей і ресурсів якого виходить за межі практичності.
3. ЮРИДИЧНІ АСПЕКТИ ЗАХИСТУ АВТОРСЬКИХ ПРАВ НА КОМП'ЮТЕРНІ ПРОГРАМИ
3.1 Основні положення законодавства про авторське право
Авторські права охороняються спеціальними законами як на національному, так і на міжнародному рівні. Республіка Білорусь має сучасне законодавство про авторське право.
Законодавство Республіки Білорусь про авторське право складається з положень Конституції Республіки Білорусь, Цивільного кодексу Республіки Білорусь, Закону «Про авторське право і суміжні права», декретів і указів Президента та інших актів законодавства.
Розглянемо найбільш істотні для розробників програмних продуктів положення законодавства про авторське право, що застосовується до комп'ютерних програм.
Комп'ютерні програми Законом Республіки Білорусь «Про авторське право і суміжні права» належать до об'єктів авторського права [13, ст. 6]. Комп'ютерна програма визначається в Законі як «впорядкована сукупність команд і даних для одержання певного результату за допомогою комп'ютера, записана на матеріальному носії, а також супутня електронна документація» [13, ст. 4]. «Комп'ютерні програми охороняються як літературні твори, і така охорона поширюється на всі види програм, в тому числі на прикладні програми та операційні системи, які можуть бути виражені на будь-якій мові і в будь-якій формі, включаючи вихідний текст і об'єктний код» [13, ст . 7 п. 3].
Авторське право на комп'ютерну програму виникає в силу факту її створення, а «для виникнення і здійснення авторського права не вимагається дотримання будь-яких формальностей» [13, ст. 9 п.1].
Тут розробникам слід звернути увагу на те, що для визнання і здійснення авторського права на комп'ютерну програму закон не вимагає обов'язкової реєстрації програм.
Автором комп'ютерної програми визнається фізична особа, творчою працею якої вона створена.
Право авторства, право на ім'я і право на захист репутації автора охороняються безстроково. Майнові права діють протягом усього життя автора і 50 років після його смерті. Щодо анонімного твори або твори під псевдонімом термін охорони становить 50 років з моменту першого правомірного опублікування твору [13, ст. 22].
Розробники програм слід враховувати, що надається охорона не поширюється на ідеї і принципи, що лежать в основі комп'ютерної програми. У тому числі ця охорона не поширюється на методи функціонування програми [13, ст. 8, п. 2]. Отже, охороняється Законом не ідея, закладена в алгоритм, а лише конкретна реалізація цього алгоритму у вигляді послідовності операторів і дій над цими операторами.
Таким чином, захищати розробнику необхідно насамперед цю конкретну форму - вихідний текст і / або об'єктний код програми.
Особливо необхідно підкреслити, що Закон визначає поняття інформації про управління правами. «Інформація про управління правами - будь-яка інформація, яка ідентифікує автора, твір ... або інформація про умови використання твору ... і будь-які цифри або коди, в яких представлена така інформація, коли будь-який з цих елементів інформації прикладений до примірника твору ... »[13, ст. 4]. Усунення або зміну будь-якої електронної інформації про управління правами без дозволу правовласника є порушенням авторського права [13, ст. 39, п.5].
Для оповіщення про своїх виключних майнових правах їх власник має право використовувати знак охорони авторського права, який вміщується на кожному примірнику твору і обов'язково складається з трьох елементів:
латинської літери "С" у колі:;
імені (найменування) власника виключних майнових прав;
року першого опублікування твору [13, ст. 9, п. 2].
Специфічною рисою авторського права є його суворо територіальний характер, тобто сфера дії права на програму визначається територією держави, де це право виникло і обмежується межами цієї держави. В іншій державі за відсутності міжнародної угоди це право не визнається. Для того, щоб комп'ютерні програми забезпечувалися захистом в інших державах, необхідно, щоб ці держави або уклали між собою угоди про взаємне визнання та захисту авторських прав, або були учасниками міжнародних актів про авторське право.
При наданні на території Республіки Білорусь охорони твору відповідно до міжнародних договорів Республіки Білорусь володар авторських прав твору визначається за законодавством держави, на території якої мала місце дія або подія, що стали підставою для володіння авторським правом [ст. 991 п.3 ГК РБ].
3.2 Права авторів комп'ютерних программ
Права авторів комп'ютерних програм підрозділяються на особисті немайнові та майнові права. Необхідно підкреслити, що особисті немайнові права належать авторові незалежно від його майнових прав.
Звернемо увагу на особисті немайнові права, що належать автору програми:
право авторства - тобто право визнаватися автором твору [13, ст. 15].
Розробники програм у зв'язку з цим слід мати на увазі, що відповідно до п.3 ст. 9 Закону «Про авторське право і суміжні права» за відсутності доказів іншого автором твору вважається особа, зазначена як автор на оригіналі або примірнику твору (презумпція авторського права). А якщо виникають сумніви в авторство якого-небудь особи відносно певної комп'ютерної програми, то ці сумніви можуть бути дозволені тільки судом.
Право на ім'я - тобто «право використовувати або дозволяти використовувати твір під справжнім ім'ям автора, псевдонімом або без зазначення імені, тобто анонімно» [13, ст. 15].
Зауважимо, що якщо програма для ЕОМ не має вказівки на ім'я автора, організація, назва якої зазначена на програмний продукт, за відсутності доказів іншого вважається представником автора і в цій якості має право захищати права автора, а також забезпечувати їх здійснення.
Право на захист репутації - тобто «право на захист твору, включаючи його назву, від усякого перекручування чи іншого посягання, здатного завдати шкоди честі і гідності автора» [13, ст. 15].
Це право у відношенні до комп'ютерних програм передбачає, що для цих творів найбільше значення має внесення до них без відома автора таких змін і уточнень, які можуть позначитися на функціональних властивостях і характерстіках. Збиток честі і гідності автора програми може бути наслідком несанкціонованого втручання інших осіб.
Страницы: 1, 2, 3, 4
