Изготовители: производят (реализуют) средства защиты информации только при наличии сертификата; извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации; маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации; указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя; применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации; обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации; обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации; прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены. Изготовители должны иметь лицензию на соответствующий вид деятельности.
Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации. Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости - решение о проведении и сроках предварительной проверки производства средств защиты информации. Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.
Основными схемами проведения сертификации средств защиты информации являются: для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие Фебованиям по защите информации; для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе.
Срок действия сертификата не может превышать пяти лет.
Представляет практический интерес вопрос о том, будет ли наступать уголовная ответственность за нарушение правил пользования глобальными сетями, например сетью Интернет. Представляется, что на данный вопрос следует ответить положительно.
Сеть Интернет представляет собой глобальное объединение компью-терных сетей и информационных ресурсов, принадлежащих множеству различных людей и организаций. Это объединение является децентрализованным, и единого общеобязательного свода правил (законов) пользования сетью Интернет не установлено. Существуют, однако, общепринятые нормы работы в сети Интернет, направленные на то, чтобы деятельность каждого пользователя сети не мешала работе других пользователей. Фундаментальное положение этих норм таково: правила использования любых ресурсов сети Интернет (от почтового ящика до канала связи) определяют владельцы этих ресурсов, и только они.
Развитие Сети привело к тому, что одной из основных проблем пользователей стал избыток информации. Поэтому сетевое сообщество выработало специальные правила, направленные на ограждение пользователя от ненужной (незапрошенной) информации (спама). В частности, являются недопустимыми:
1.Массовая рассылка не согласованных предварительно электронных писем (mass mailing). Под массовой рассылкой подразумевается как рассылка множеству получателей, так и множественная рассылка одному получателю.
Здесь и далее под электронными письмами понимаются сообщения электронной почты, ICQ и других подобных средств личного обмена информацией.
2.Несогласованная отправка электронных писем объемом более одной границы или содержащих вложенные файлы.
3.Несогласованная рассылка электронных писем рекламного, коммерческого или агитационного характера, а также писем, содержащих грубые и оскорбительные выражения и предложения.
4.Размещение в любой конференции Usenet или другой конференции, форуме или электронном списке рассылки статей, которые не соответствуют тематике данной конференции или списка рассылки (off-topic). Здесь и далее под конференцией понимаются телеконференции (группы новостей) Usenet и другие конференции, форумы и электронные списки рассылки.
5.Размещение в любой конференции сообщений рекламного, коммерческого или агитационного характера, кроме случаев, когда такие сообщения явно разрешены правилами такой конференции либо их размещение было согласовано с владельцами или администраторами такой конференции предварительно.
6.Размещение в любой конференции статьи, содержащей приложенные файлы, кроме случаев, когда вложения явно разрешены правилами такой конференции либо такое размещение было согласовано с владельцами или администраторами такой конференции предварительно.
7.Рассылка информации получателям, высказавшим ранее явное нежелание получать эту информацию.
8.Использование собственных или предоставленных информационных ресурсов (почтовых ящиков, адресов электронной почты, страниц WWW и т.д.) в качестве контактных координат при совершении любого из вышеописанных действий вне зависимости от того, из какой точки Сети были совершены эти действия.
Не допускается осуществление попыток несанкционированного доступа к ресурсам Сети, проведение или участие в сетевых атаках и сетевом взломе за исключением случаев, когда атака на сетевой ресурс проводится с явного разрешения владельца или администратора этого ресурса. В том числе запрещены:
1.Действия, направленные на нарушение нормального функционирования элементов Сети (компьютеров, другого оборудования или программного обеспечения), не принадлежащих пользователю.
2.Действия, направленные на получение несанкционированного доступа, в том числе привилегированного, к ресурсу Сети (компьютеру, другому оборудованию или информационному ресурсу), последующее использование такого доступа, а также уничтожение или модификация программного обеспечения или данных, не принадлежащих пользователю, без согласования с владельцами этого программного обеспечения или данных либо администраторами настоящего информационного ресурса.
3.Передача компьютерам или оборудованию Сети бессмысленной или бесполезной информации, создающей паразитную нагрузку на эти компьютеры или оборудование, а также промежуточные участки сети, в объемах, превышающих минимально необходимые для проверки связности сети и доступности отдельных ее элементов.
Помимо вышеперечисленного, владелец любого информационного или технического ресурса Сети может установить для этого ресурса собственные правила его использования.
Правила использования ресурсов либо ссылка на них публикуются владельцами или администраторами этих ресурсов в точке подключения к таким ресурсам и являются обязательными к исполнению всеми пользователями этих ресурсов. Пользователь обязан соблюдать правила использования ресурса либо немедленно отказаться от его использования.
Значительная часть ресурсов Сети не требует идентификации пользователя и допускает анонимное использование. Однако в ряде случаев от пользователя требуется предоставить информацию, идентифицирующую его и используемые им средства доступа к Сети. При этом пользователю запрещается:
1.Использование идентификационных данных (имен, адресов, телефонов и т.п.) третьих лиц, кроме случаев, когда эти лица уполномочили пользователя на такое использование. В то же время пользователь должен принять меры по предотвращению использования ресурсов Сети третьими лицами от его имени (обеспечить сохранность паролей и прочих кодов авторизованного доступа).
2.Фальсификация своего IP-адреса, а также адресов, используемых в других сетевых протоколах, при передаче данных в Сеть.
3.Использование несуществующих обратных адресов при отправке электронных писем.
При работе в сети Интернет пользователь становится ее полноправным участником, что создает потенциальную возможность для использования сетевых ресурсов, принадлежащих пользователю, третьими лицами. В связи с этим пользователь должен принять надлежащие меры по такой настройке ресурсов, которая препятствовала бы недобросовестному использованию этих ресурсов третьими лицами, а также оперативно реагировать при обнаружении случаев такого использования.
Примерами потенциально проблемной настройки сетевых ресурсов понимаются:
- открытый ретранслятор электронной почты (SMTP-relay);
- общедоступные для неавторизованной
публикации серверы новостей
(конференций, трупп);
- средства, позволяющие третьим лицам неавторизованно скрыть источник соединения (открытые прокси-серверы и т.п.);
- общедоступные широковещательные адреса локальных сетей;
- электронные списки рассылки с
недостаточной авторизацией подписки
или без возможности ее отмены.
Таким образом, нарушения правил эксплуатации ЭВМ могут быть подразделены на физические (неправильное подключение периферийного оборудования, отсутствие устройств бесперебойного питания, нарушение типового режима в помещении, неправильное подключение ЭВМ к источникам питания, нерегулярное техническое обслуживание, использование несертифицированных средств защиты и самодельных узлов и приборов и пр.) и интеллектуальные (невыполнение процедуры резервного копирования, несанкционированная замена программного обеспечения, параметров настройки системы ЭВМ или компьютерной сети и пр.).
При этом вряд ли можно согласиться с точкой зрения Ю.И. Ляпунова и B.C. Максимова, отмечавших что «поскольку речь идет о правилах эксплуатации именно ЭВМ, т.е. аппаратно-технической структуры, то и нарушение их должно затрагивать только техническую сторону несоблюдения требований безопасности компьютерной информации, а не организационную или правовую. К таковым можно отнести: блокировку системы защиты от несанкционированного доступа, нарушение правил электро- и противо-пожарной безопасности, использование ЭВМ в условиях, не отвечающих тем, которые установлены документацией по ее применению (по температурному режиму, влажности, величине магнитных полей и т.п.), отключение сигнализации, длительное оставление без присмотра и многие другие»[84]. Представляется, что пренебрежение организационными мерами защиты компьютерной информации (предоставление посторонним лицам доступа в служебное помещение, несанкционированное разглашение сетевого имени и пароля законного пользователя, уже упомянутое невыполнение процедуры резервного копирования и пр.) также составляют деяния, подпадающие под запрет, установленный диспозицией ст. 274 УК РФ.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16
