Статья 7.12.Нарушение авторских и смежных прав, изобретательских и патентных прав.
1. Ввоз, продажа, сдача в прокат или иное незаконное использование экземпляров произведений или фонограмм в целях извлечения дохода в случаях, если экземпляры произведений или фонограмм являются контрафактными в соответствии с законодательством Российской Федерации об авторском праве и смежных правах либо на экземплярах произведений или фонограмм указана ложная информация об их изготовителях, о местах их производства, а также об обладателях авторских и смежных прав, а равно иное нарушение авторских и смежных прав в целях извлечения дохода - влечет наложение административного штрафа на граждан в размере от пятнадцати до двадцати минимальных размеров оплаты труда с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения; на должностных лиц - от тридцати до сорока минимальных размеров оплаты труда с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения; на юридических лиц - от трехсот до четырехсот минимальных размеров оплаты труда с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения.
2. Незаконное использование изобретения, полезной модели либо промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной модели либо промышленного образца до официального опубликования сведений о них, присвоение авторства или принуждение к соавторству - влечет наложение административного штрафа на граждан в размере от пятнадцати до двадцати минимальных размеров оплаты труда; на должностных лиц - от тридцати до сорока минимальных размеров оплаты труда; на юридических лиц - от трехсот до четырехсот минимальных размеров оплаты труда.
78. Основные международные договоры в области правовой охраны интеллектуальной собственности
Хотя национальные нормы в отношении интеллектуальной собственности появились в XV в., но лишь в конце XIX в. вступили в силу два первых международных договора: в 1883 г. была принята Парижская конвенция по охране промышленной собственности, а в 1886 г. – Бернская конвенция об охране литературных и художественных произведений.
Нормы и положения этих конвенций стали основой международного права интеллектуальной собственности. В конце XIX – начале XX в. появились новые международные договоры, регулирующие правоотношения, связанные с различными объектами творческой и интеллектуальной деятельности, которые расширили охрану, установленную Бернской и Парижской конвенциями.
Международные договоры в области интеллектуальной собственности делятся на три группы:
– договоры об охране объектов интеллектуальной собственности;
– договоры о регистрации объектов интеллектуальной собственности;
– договоры о классификации объектов интеллектуальной собственности.
Договоры об охране объектов интеллектуальной собственности:
– Парижская конвенция по охране промышленной собственности (1883)*(1);
– Бернская конвенция об охране литературных и художественных произведений (1886);
– Мадридское соглашение о пресечении ложных и вводящих в заблуждение указаний происхождения на товарах (1891);
– Всемирная конвенция об авторском праве (1952);
– Римская конвенция об охране исполнителей, производителей фонограмм и вещательных организаций (1961);
– Международная конвенция по охране сортов растений (1961);
– Женевская конвенция об охране производителей фонограмм от несанкционированного воспроизведения их фонограмм (1971);
– Брюссельская конвенция о распространении несущих программы сигналов, передаваемых через спутники (1974);
– Найробийский договор об охране олимпийского символа (1981);
– Соглашение о торговых аспектах прав интеллектуальной собственности (1994);
– Договор о законах по товарным знакам (1994);
– Договор ВОИС по авторскому праву (1996);
– Договор ВОИС по исполнениям и фонограммам (1996);
– Договор о патентном праве (2000);
– Сингапурский договор о законах по товарным знакам (2006).
Договоры о регистрации объектов интеллектуальной собственности:
– Мадридское соглашение о международной регистрации знаков (1891) и Протокол к Мадридскому соглашению о международной регистрации товарных знаков (1989);
– Гаагское соглашение о международной регистрации промышленных образцов (1925);
– Лиссабонское соглашение об охране указаний мест происхождения и их международной регистрации (1958);
– Договор о патентной кооперации (1970);
– Будапештский договор о международном признании депонирования микроорганизмов для целей патентной процедуры (1977).
Договоры о классификации объектов интеллектуальной собственности:
– Ниццкое соглашение о Международной классификации товаров и услуг для регистрации знаков (1957);
– Локарнское соглашение об учреждении Международной классификации промышленных образцов (1968);
– Страсбургское соглашение о Международной патентной классификации (1971);
– Венское соглашение об учреждении Международной классификации изобразительных элементов знаков (1973).
Административные функции в отношении большинства вышеперечисленных договоров выполняет Всемирная организация интеллектуальной собственности (ВОИС). Всемирная торговая организация (далее – ВТО) выполняет такие функции в отношении Соглашения по Торговым Аспектам Прав Интеллектуальной Собственности (ТРИПС). ЮНЕСКО выполняет административные функции в отношении Всемирной конвенции об авторском праве. Административные функции в отношении Римской конвенции выполняются ЮНЕСКО и Международной организацией труда совместно с ВОИС, а в отношении Международной конвенции по охране селекционных достижений – Международным союзом по охране селекционных достижений (УПОВ).
Помимо действующих международных договоров существуют договоры, которые были приняты на дипломатических конференциях, но не вступили в силу, например:
– Договор о международной регистрации научных открытий (1978);
– Договор об интеллектуальной собственности в отношении интегральных микросхем (1989).
С другой стороны, действие Договора о международной регистрации аудиовизуальных произведений (1989) было приостановлено, а затем и прекращено в 2000 г. по решению Генеральной ассамблеи ВОИС из-за убыточности учрежденного Регистра аудиовизуальных произведений.
Несколько проектов договоров было предложено секретариатом ВОИС, но они либо не обсуждались, либо не были приняты:
– Договор ВОИС по интеллектуальной собственности и отношении баз данных (1996);
– Договор ВОИС по аудиовизуальным исполнениям (2000).
Действующие договоры образуют международную систему интеллектуальной собственности.
С точки зрения международных правоотношений система интеллектуальной собственности относится к международному частному праву. Это прямо признано в Соглашении ТРИПС: "Право интеллектуальной собственности является частным правом"*(2).
Деление права на публичное и частное появилось в Древнем Риме, причем публичное право относилось к правам общества, а частное – к правам физических и юридических лиц. Такое деление права легло в основу правовых систем ряда европейских стран и международного права.
На международном уровне международное публичное право, которое обычно называют международным правом, регулирует отношения между государствами, а международное частное право – взаимоотношения с участием иностранных физических и юридических лиц (иностранный элемент). В основе международного частного права лежат международные договоры.
Права и обязанности государств, вытекающие из международных договоров, регулирует Венская конвенция о праве международных договоров, принятая 23 мая 1969 г. и вступившая в силу 27 января 1980 г. Конвенция применяется к договорам, заключенным между государствами, а также к любому договору, принятому в рамках международной организации, являющейся межправительственной. Такими организациями являются ВОИС, ВТО, ЮНЕСКО и т.д., в рамках которых приняты перечисленные выше договоры, и поэтому к ним применяются положения Венской конвенции. Знание положений этой конвенции необходимо для правильной интерпретации положений международных договоров.
Основные принципы международного права, установленные Венской конвенцией и относящиеся к договорам, принятым в рамках международных организаций, заключаются в следующем:
1. Договоры обязательны для его участников и должны ими добросовестно выполняться.
2. Участник не может ссылаться на положения национального законодательства в качестве оправдания невыполнения им договора.
Другими словами, нормы международных договоров имеют приоритет перед нормами национального законодательства. Поэтому все страны, являющиеся членами международных договоров, должны применять эти нормы, а не нормы национального законодательства, если последние не соответствуют международным нормам.
3. Договоры не имеют обратной силы, т.е. "положения договора необязательны для участника договора в отношении любого действия или факта, которые имели место до даты вступления договора в силу для указанного участника". Однако принцип ретроактивности (обратная сила договора) допускается, если это явствует из договора.
Ряд международных договоров в области интеллектуальной собственности содержит принцип ретроактивности: ст. 18 Бернской конвенции, ст. 13 Договора ВОИС по авторскому праву, ст. 22 Договора ВОИС по исполнениям и фонограммам, ст. 9 и 14 Соглашения ТРИПС.
4. Договоры должны толковаться добросовестно в соответствии с обычным значением, которое следует придавать терминам договора в их контексте, а также в свете объекта и целей договора. Контекст охватывает текст, преамбулу и приложения, например, любое соглашение, достигнутое между всеми участниками в связи с заключением договора; любой документ, составленный одними участниками и принятый другими участниками в качестве документа, относящегося к договору.
Данное положение придает силу международных норм всевозможным оговоркам, согласованным заявлениям, предлагавшимся заинтересованными делегациями.
5. Возможно обращение к дополнительным средствам толкования, в том числе к подготовительным материалам и обстоятельствам заключения договора.
Данное положение позволяет придавать особый смысл любому положению подготовительных материалов дипломатической конференции, принявшей договор. Например, перед Дипломатической конференцией по некоторым вопросам авторского права и смежных прав Секретариат ВОИС подготовил Основные предложения в отношении положений, регулирующих материальные нормы права, отдельные положения которых использовались для рекомендаций ВОИС по модернизации национального законодательства стран с переходной экономикой, хотя ни одно из них не вошло в текст договора.
В связи с тем, что страны с переходной экономикой являются членами большинства международных договоров в области интеллектуальной собственности, они обязаны следовать международным нормам при модернизации национального законодательства. Кроме того, многие международные договоры содержат положения, которые обязывают государства принимать эффективные меры для обеспечения норм этих договоров. Другими словами, страны должны формировать правоохранительную практику для соответствия международным договорам.
Следует особо подчеркнуть, что развитые страны стремятся придать международному частному праву интеллектуальной собственности статус публичного международного права. С этой целью делается все возможное для того, чтобы право частного лица на защиту в суде своей интеллектуальной собственности превратить в обязанность государства защищать его без суда и следствия.
79. Институты права интеллектуальной собственности
Система правовой охраны интеллектуальной собственности – четыре самостоятельных института, представляющих российское законодательство об интеллектуальной собственности:
· Авторское право
· Патентное право
· Законодательство о средствах индивидуализации участников гражданского оборота и производимой ими продукции (работ, услуг)
· Законодательство о нетрадиционных объектах интеллектуальной собственности.
Прежде всего необходимо выделить институт авторского права и смежных прав. Им регулируются отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства (авторское право), фонограмм, исполнений, постановок, передач организаций эфирного и кабельного вещания (смежные права). Объединение в едином институте, который в дальнейшем для краткости будет именоваться просто авторским правом, двух указанных групп норм объясняется теснейшей зависимостью возникновения и осуществления смежных прав авторов творческих произведений, а также урегулированностью соответствующих отношений единым законом.
Вторым правовым институтом, входящим в систему подотрасли «право интеллектуальной собственности», является патентное право. Оно регулирует имущественные, а также связанные с ними личные неимущественные отношения, возникающие в связи с созданием и использованием изобретений, полезных моделей и промышленных образцов. Объединение трех названных объектов интеллектуальной собственности в рамках единого института патентного права объясняется следующими соображениями. Во-первых, изобретения, полезные модели и промышленные образцы обладают значительным сходством по отношению друг к другу, с одной стороны, и существенно отличаются от иных объектов интеллектуальной собственности, с другой. Все они являются результатами творческой деятельности, имеют конкретных создателей, права некоторых признаются и охраняются законом, совпадают друг с другом по ряду признаков и т.д. Во-вторых, их охрана осуществляется посредством единой формы, а именно путем выдачи патента (хотя охранный документ на полезную модель именуется в Патентном законе РФ свидетельством, по своей сути, он также является патентом, поскольку закрепляет за владельцем исключительное право на использование полезной модели). В-третьих, правовое регулирование связанных с этими тремя объектами общественных отношений имеет гораздо больше сходства, чем различий, и к тому же осуществляется в России единым законодательным актом, а именно Патентным законом РФ.
С развитием товарно-денежных отношений в России все более важным элементом рыночной экономики становятся такие объекты промышленной собственности, как фирменные наименования, товарные знаки, знаки обслуживания и наименования мест происхождения товаров. Создание равных условий хозяйствования для различных типов товаровладельцев, внедрение конкурентных начал в их деятельности и повышение ответственности за ее результаты, необходимость насыщения рынка товарами для удовлетворения потребностей населения обусловливают объективную потребность в правовом механизме, обеспечивающем должную индивидуализацию предприятий и организаций, а также производимых ими товаров и услуг. Такой правовой механизм представлен институтом рассматриваемой подотрасли гражданского права, а именно институтом правовой охраны средств индивидуализации участников гражданского оборота и производимой ими продукции (работ, услуг).
Данный правовой институт, как и патентное право, имеет дело с так называемой промышленной собственностью, т.е. исключительными правами, реализуемыми в сфере производства, торгового обращения, оказания услуг и т.п. Однако обеспечиваемая им охрана интересов обладателей исключительных прав строится на несколько иных началах и принципах, нежели охрана прав патентообладателей и изобретателей. Основной функцией рассматриваемого института интеллектуальной собственности является обеспечение должной индивидуализации производителей и их товаров, работ и услуг. Сам институт состоит, однако, из двух тесно взаимосвязанных, но все же относительно самостоятельных частей, а именно субинститута средств индивидуализации участников гражданского оборота и субинститута средств индивидуализации продукции, работ и услуг. Хотя в главном своем назначении указанные средства индивидуализации совпадают, каждое из них играет и свою особую роль в хозяйственном обороте.
Помимо традиционных объектов, охраняемых авторским и патентным правом, а также институтом средств индивидуализации участников гражданского оборота (фирменные наименования, товарные знаки, наименования мест происхождения товаров), российское право предоставляет охрану селекционным достижениям, топологиям интегральных микросхем, информации, составляющей служебную и коммерческую тайны, и некоторым другим результатам интеллектуальной деятельности.
При этом отдельные объекты правовой охраны, в частности, научные открытия и рационализаторские предложения, являются специфическими для российского права, поскольку в большинстве государств мира они особо не выделяются. Другие же объекты, в частности, селекционные достижения, секреты производства, топологии интегральных микросхем, пользуются специальной правовой охраной в большинстве развитых стран.
Несмотря на это, и первый, и второй вид результатов интеллектуальной деятельности можно отнести к особым, нетрадиционным объектам интеллектуальной собственности. Конечно, данное их название является сугубо условным и призвано лишь подчеркивать их отличие от объектов авторского и патентного права, а также средств индивидуализации участников гражданского оборота и производимой ими продукции (работ, услуг). Столь же условно и объединение в рамках единого правового института тех правил действующего российского законодательства, которые посвящены регулированию связанных с ними отношений. Бесспорно, что каждый из нетрадиционных результатов интеллектуальной деятельности обладает значительными особенностями по отношению ко всем остальным. Опираясь на отличия рассматриваемых результатов интеллектуальной деятельности от традиционных объектов интеллектуальной собственности, все их можно, условно, отнести к сфере единогоправового института, а именно института охраны нетрадиционных объектов интеллектуальной собственности.
Причины введения правовой охраны нетрадиционных объектов интеллектуальной собственности можно подразделить на общие, которые касаются всех этих объектов, и специфические, которыми обусловлена охрана каждого конкретного объекта. К общим причинам следует отнести прежде всего то, что рассматриваемые объекты являются результатами интеллектуального труда. Как и результаты всякого другого труда, они не могут быть безосновательно отчуждены от их создателей. Наконец, важной причиной такой охраны служит то, что традиционные институты гражданского права – авторское и патентное право, а также институт средств индивидуализации участников гражданского оборота – не могут обеспечивать в силу присущих рассматриваемым объектам особенностей их надлежащую правовую охрану. Так, авторское право охраняет форму, а не содержание творческих произведений. Между тем ценность открытий, топологий интегральных микросхем, селекционных достижений, рационализаторских предложений и других нетрадиционных объектов прежде всего состоит в содержании соответствующих положений и решений.
Конечно, любой творческий результат, выраженный в объективной форме и доступный для восприятия третьих лиц, охраняется в качестве объекта авторского права. Но такая охрана не обеспечивает признания и защиты основного творческого вклада его создателя – разработки существа научной проблемы или содержания решения.
Охрана содержания новых решений практических задач обеспечивается патентным правом. Однако лежащие в основе данного института принципы не позволяют использовать его без существенной модификации для охраны нетрадиционных объектов интеллектуальной собственности. Поэтому, несмотря на близость рассматриваемых объектов к изобретениям, полезным моделям и промышленным образцам, они не могут охраняться в рамках патентного права. Таким образом, выделение в праве интеллектуальной собственности института охраны нетрадиционных результатов интеллектуальной деятельности имеет под собой достаточно весомые основания.
Итак, подотрасль гражданского права, регулирующая отношения, связанные с интеллектуальной собственностью, представлена четырьмя названными выше самостоятельными институтами, образующими соответственно авторское право, патентное право, институт средств индивидуализации участников гражданского оборота и производимой ими продукции (работ, услуг) и институт охраны нетрадиционных объектов интеллектуальной собственности.
80. Институт авторского и смежных прав
81. Роль стандартов информационной безопасности
Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов ИТ. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.
Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. Потребители также нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения. К сожалению, многие потребители не понимают, что требования безопасности обязательно противоречат функциональным требованиям (удобству работы, быстродействию и т. д.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств.
Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов, в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора. С точки зрения производителя требования безопасности должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т. д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов. Однако такой подход также нельзя признать в качестве доминирующего, так как он не учитывает нужд пользователей и пытается подогнать требования защиты под существующие системы и технологии.
Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами ИТ, и предоставить потребителям возможность сделать обоснованный выбор. Эксперты по квалификации находятся в двойственном положении: с одной стороны, они, как и производители, заинтересованы в четких и простых критериях, над которыми не надо ломать голову, как их применить к конкретному продукту, а с другой стороны, они должны дать обоснованный ответ пользователям — удовлетворяет продукт их нужды или нет.
Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартови спецификаций. На то имеется несколько причин. Формальная состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Однако наиболее убедительны содержательные причины. Во-первых,стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.
Таким образом, перед стандартами информационной безопасности стоит непростая задача — примирить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них приведет к невозможности взаимопонимания и взаимодействия и, следовательно, не позволит решить общую задачу — создание защищенной системы обработки информации.
Отмеченная роль стандартов зафиксирована в основных понятиях закона РФ "О техническом регулировании" от 27 декабря 2002 года под номером 184-ФЗ (принят Государственной Думой 15 декабря 2002 года):
· стандарт - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения;
· стандартизация - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг.
Примечательно также, что в число принципов стандартизации, провозглашенных в статье 12 упомянутого закона, входит принцип применения международного стандарта как основы разработки национального, за исключением случаев, если "такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация, в соответствии с установленными процедурами, выступала против принятия международного стандарта или отдельного его положения". С практической точки зрения, количество стандартов и спецификаций (международных, национальных, отраслевых и т.п.) в областиинформационной безопасности бесконечно.
82. Международные стандарты информационной безопасности
Первым и наиболее известным документом была Оранжевая книга (по цвету обложки) «Критерии безопасности компьютерных систем» Министерства обороны США. В этом документе определены 4 уровня безопасности — D, С, В и А. По мере перехода от уровня D до А к надежности системы предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (CI, С2, Bl, В2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять оговоренным требованиям. К другим важным стандартам информационной безопасности этого поколения относятся: «Руководящие документы Гостехкомиссии России», «Европейские критерии безопасности информационных технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем».
В последнее время в разных странах появилось новое поколение стандартов, посвященных практическим вопросам управления информационной безопасностью компании. Это прежде всего международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие. Представляется целесообразным проанализировать наиболее важные из этих документов, сопоставить содержащиеся в них требования и критерии, а также оценить эффективность их практического применения.
"Оранжевая книга"
Мы приступаем к обзору стандартов и спецификаций двух разных видов:
· оценочных стандартов, направленных на классификацию информационных систем и средств защиты по требованиям безопасности;
· технических спецификаций, регламентирующих различные аспекты реализации средств защиты.
Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.
Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем ".
Данный труд, называемый чаще всего по цвету обложки "Оранжевой книгой", был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказать определенную степень доверия.
"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".
Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.
В "Оранжевой книге" доверенная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".
Обратим внимание, что в рассматриваемых Критериях и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической). Вопросы доступности "Оранжевая книга" не затрагивает.
Степень доверия оценивается по двум основным критериям.
1. Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности - это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
2. Уровень гарантированности - мера доверия, которая может быть оказана архитектуре и реализации ИС. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие зареализацию политики безопасности. Это пассивный аспект защиты.
"Критерии ..." Министерства обороны США открыли путь к ранжированию информационных систем по степени доверия безопасности.
В "Оранжевой книге" определяется четыре уровня доверия - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия.
Всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям, из которых мы упомянем лишь важнейшие.
Класс C1:
· доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;
· пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия, контролируемые доверенной вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа;
· доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы;
· должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы ;
· защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестированиедолжно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защитыдоверенной вычислительной базы ;
· должны быть описаны подходы к безопасности, используемые производителем, и применение этих подходов при реализациидоверенной вычислительной базы.
Класс C2 (в дополнение к C1):
· права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа;
· при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования;
· каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем;
· доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой;
· тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.
Класс B1 (в дополнение к C2):
· доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом;
· доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам;
· доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств ;
· группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию ;
· должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.
Класс B2 (в дополнение к B1):
· снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам;
· к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации ;
· должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью;
· доверенная вычислит<