Добавил третью лекцию

2 files changed, 352 insertions, 1 deletions

diff --git a/legal-infosec.tex b/legal-infosec.tex
index bbf81c8..d751716 100644
--- a/legal-infosec.tex
+++ b/legal-infosec.tex
@@ -2,7 +2,7 @@
 
 \usepackage[ left=2cm, right=2cm
            , top=2.3cm,bottom=2.3cm
-           ,bindingoffset=0cm ]{geometry}
+           , bindingoffset=0cm ]{geometry}
 
 \usepackage[T2A]{fontenc}
 \usepackage[utf8]{inputenc}
@@ -24,5 +24,15 @@
 
 \input{sections/section1.tex}
 \input{sections/section2.tex}
+\input{sections/section3.tex}
+\input{sections/section4.tex}
+\input{sections/section5.tex}
+\input{sections/section6.tex}
+\input{sections/section7.tex}
+\input{sections/section8.tex}
+\input{sections/section9.tex}
+\input{sections/section10.tex}
+\input{sections/section11.tex}
+\input{sections/section12.tex}
 
 \end{document}
\ No newline at end of file
diff --git a/sections/section3.tex b/sections/section3.tex
new file mode 100644
index 0000000..767a0e1
--- /dev/null
+++ b/sections/section3.tex
@@ -0,0 +1,341 @@
+\section{Защита информации по международному праву}
+\newrefsection
+
+\subsection{Международные акты в сфере защиты информации}
+
+Изучение международных нормативных актов в сфере защиты информации представляют
+интерес с двух сторон. С одной стороны исторически они возникли раньше
+российского права в этой области и отражают фундаментальный иногда специфически
+обобщённый подход к этому вопросу. С другой стороны ряд норм международного
+права в этой области был ратифицирован и внесен в российское законодательство и
+здесь можно видеть корни изучаемых далее российских нормативных актов.
+
+Всеобщая декларация прав человека 1948 г. провозглашает: «Никто не может
+подвергаться произвольному вмешательству в личную и семейную жизнь, произвольным
+посягательствам на … тайну его корреспонденции» и далее: «Каждый человек имеет
+право на защиту закона от такого вмешательства или таких посягательств».
+
+1950 г. Европейская Конвенция о Защите Прав Человека и Основных Свобод
+установила, что каждый человек имеет право на:
+\begin{enumerate}
+  \item
+    уважение его личной и семейной жизни, неприкосновенности его жилища и тайны
+    корреспонденции;
+  \item
+    свободу выражения своего мнения. Это право включает свободу придерживаться
+    своего мнения, получать и распространять информацию и идеи без вмешательства
+    со стороны государственных органов и независимо от государственных границ;
+  \item
+    защиту его моральных и материальных интересов, являющихся результатом
+    научных, литературных или художественных трудов, автором которых он
+    является.
+\end{enumerate}
+
+Эти три положения в дальнейшем предопределили направления развития так
+называемого сейчас информационного права, включающего в себя право на защиту
+конфиденциальной информации от посторонних лиц, право на распространение и
+получение жизненно важной информации и так называемое авторские и смежные права.
+
+В дальнейшем мы не будем рассматривать вопросы авторского и смежного права,
+вопросы права на распространение и свободный доступ к информации нами будет
+рассматриваться только в аспекте доступности информации для зарегистрированного
+пользователя.
+
+В 1980 году принята Конвенция Европейского Союза "О защите лиц при
+автоматизированной обработке данных персонального характера"
+
+Согласно этому документу, персональные данные, подвергающиеся автоматизированной
+обработке:
+\begin{enumerate}
+  \item
+    собираются и обрабатываются на справедливой и законной основе;
+  \item
+    хранятся для определенных и законных целей и не используются иным образом,
+    несовместимым с этими целями;
+  \item
+    являются адекватными, относящимися к делу и не чрезмерными для целей их
+    хранения;
+  \item
+    являются точными и, когда это необходимо, обновляются;
+  \item
+    сохраняются в форме, позволяющей идентифицировать субъекты данных, не
+    дольше, чем это требуется для целей хранения этих данных.
+\end{enumerate}
+
+В 1981 году государства-участники Европейского Союза подписали в Страсбурге
+Конвенцию «О защите физических лиц в отношении автоматической обработки
+персональных данных».
+
+В Конвенции декларированы гарантии частным лицам соблюдения права на личную
+жизнь в аспекте автоматизированной обработки данных личного характера, в том
+числе при передаче таких данных через государственные границы, независимо от
+способа передачи.
+
+В 1985 году Комиссия ООН по праву международной торговли (ЮНСИТРАЛ) принимает
+Рекомендации ЮНСИТРАЛ о правовой ценности компьютерных записей. Рекомендации
+ставили перед государствами-членами ООН цель изменения национального
+законодательства таким образом, чтобы не только были устранены препятствия для
+допустимости компьютерных записей в качестве доказательств, но и были
+предоставлены суду надлежащие средства для оценки достоверности данных,
+содержащихся в таких записях.
+
+В этом же 1987 году Международная торговая палата принимает Унифицированные
+правила поведения при обмене торговыми данными путем телетрансмиссии (UN-CID).
+Правила формулируют рекомендации по процедурам, связанным с безопасной передачей
+торговой информации: собственно передачей информации, подтверждением передачи,
+подтверждением содержания сообщений, их защиты, регистрацией переданных данных и
+их хранением.
+
+В 1995 году Европейская экономическая комиссия ООН принимает Типовое соглашение
+обмена при международном коммерческом использовании электронного обмена данными
+(Приложение к Рекомендации № 26 «Коммерческое использование соглашений обмена
+при электронном обмене данными», принятой Рабочей группой по содействию
+международным торговым процедурам Европейской экономической комиссии ООН от 23
+июня 1995 г.) Документ регулирует любую электронную передачу сообщений между
+сторонами, особенности обработки сообщений, их действительность и
+доказательственную силу, требования к конфиденциальности.
+
+В 1995 году Европейским парламентом и Советом была принята Директива 95/46/ЕС о
+защите физических лиц в отношении обработки персональных данных и свободном
+движении таких данных. Целью директивы объявлена защита тайны частной жизни
+физических лиц в отношении обработки персональных данных. Директива дает
+определения персональных данных и иные определения; устанавливает общие правила
+правомерности обработки персональных данных; оговаривает средства их правовой
+защиты, ответственность и санкции; условия передачи персональных данных третьим
+странам; кодексы поведения; раскрывает функции надзорного органа и рабочей
+группы по защите физических лиц в отношении обработки персональных данных.
+
+Начиная со второй половины 90-х годов, были приняты наиболее известные и
+значимые документы, предопределившие в последующем особенности правовой защиты
+субъектов, работающих в информационной сфере.
+
+В 1997 году Международная торговая палата (МТП) декларирует Общие обычаи для
+удостоверенной цифровым способом международной коммерции. Документ оговаривает
+содержательную часть процедуры удостоверения сообщений при помощи цифровых
+знаков или символов, связанных с сообщением; вводит понятие сертификата как
+удостоверенного сообщения; сертифицирующего лица; цифровой подписи; владельце
+закрытого ключа; оговаривает технологию удостоверения сообщения и сертификации.
+
+11 августа 1998 года Российской Федерацией была ратифицирована Конвенция
+Содружества Независимых Государств о правах и основных свободах человека. В
+основном она подтверждает принципы, известные из Европейская Конвенция о Защите
+Прав Человека и Основных Свобод 1950 г.
+
+В 1999 году Европейский парламент и Совет принимают Директиву 1999/93/ЕС о
+правовых основах Сообщества для электронных подписей. Вводит современное понятие
+цифровой подписи, ее разновидности, механизм использования и сохранения
+конфиденциальности идентифицирующих данных, систему удостоверения подписанных ею
+документов, основания для ее признания участниками электронного
+документооборота.
+
+В 2000 году страны «Большой восьмерки» принимают долгосрочный документ
+принципиального характера – Окинавскую Хартию Глобального информационного
+общества. В Хартии рассмотрены такие глобальные проблемы информационного
+общества как его экономическая и социальная трансформация под влиянием
+информационных технологий; необходимость обеспечения предоставления всем
+гражданам равной возможности пользоваться преимуществами глобального
+информационного общества; необходимость сокращения разрыва в цифровых
+технологиях; реализация полных экономических, социальных и культурных
+преимуществ глобального информационного общества; эффективное партнерство между
+государственным и частным сектором в IT-технологиях; согласованные действия по
+созданию безопасного и свободного от преступности киберпространства.
+
+В 2000 году государства – участники Содружества Независимых Государств принимают
+Модельный закон «Об электронной цифровой подписи».
+
+В 2001 году Комиссия ООН по праву международной торговли (ЮНСИТРАЛ) принимает
+Типовой закон ЮНСИТРАЛ «Об электронных подписях». В законе учтена складывающаяся
+практика электронной торговли и тот нейтральный, с точки зрения носителей
+информации, подход, который взят за основу в Типовом законе ЮНСИТРАЛ об
+электронной торговле. Единообразные правила не должны препятствовать
+использованию других, помимо криптографических, методов удостоверения
+подлинности подписи и по возможности обязаны учитывать различия в уровнях
+обеспечения надежности таких методов, а также признавать различные юридические
+последствия и объем ответственности в зависимости от различных видов услуг,
+оказываемых в контексте подписей в цифровой форме.
+
+В 2001 году были приняты базовые нормативные документы, регламентирующие
+основные аспекты международного сотрудничества в сфере противодействия
+компьютерным преступлениям: Конвенция Совета Европы по киберпреступности и
+Соглашение о сотрудничестве государств – участников Содружества Независимых
+Государств в борьбе с преступлениями в сфере компьютерной информации, которые
+установили нормы и порядок сотрудничества в случае расследования трансграничных
+преступлений.
+
+И, наконец, в 2002 году Европейский парламент и Совет принял Директиву
+2002/58/ЕС, касающуюся обработки персональных данных и охраны тайны частной
+жизни в секторе электронных коммуникаций. Ею устанавливается, что
+конфиденциальность относительно обработки персональных данных и защита частной
+жизни в электронном коммуникационном секторе заключается в запрете просмотра,
+записи или хранения, а также других способов вмешательства или наблюдения за
+сообщениями и относящихся к ним данным по трафику, осуществляемых лицами или
+другими пользователями без согласия самого пользователя.
+
+
+\subsection{Первые иностранные оценочные стандарты по защите информации}
+
+Исторически первым оценочным стандартом был стандарт Министерства обороны США
+"Критерии оценки доверенных компьютерных систем". Данный труд, называемый по
+цвету обложки "Оранжевой книгой", был опубликован в августе 1983 года. В
+"Оранжевой книге" доверенная система определяется как "система, использующая
+достаточные аппаратные и программные средства, чтобы обеспечить одновременную
+обработку информации разной степени секретности группой пользователей без
+нарушения прав доступа". Введены понятия: Политика безопасности (набор законов,
+правил и норм поведения, определяющих, как организация обрабатывает, защищает и
+распространяет информацию), гарантированность (мера доверия, которая может быть
+оказана архитектуре и реализации системы, определяемая на основе тестирования),
+механизм подотчетности (протоколирование), монитор обращений (средство контроля
+допустимости выполнения субъектами определенных операций над объектами).
+
+Здесь впервые был использован подход описания требований безопасности и
+классификация систем согласно степени жесткости этих требований.
+
+В "Оранжевой книге" предложены три категории требований безопасности: политика
+безопасности, аудит и корректность.
+
+Требования политики безопасности:
+\begin{enumerate}
+  \setcounter{enumi}{4}
+  \item
+    Возможность доступа субъектов к объектам должна определяться на основании их
+    идентификации и набора правил управления доступом.
+  \item
+    Доступ может быть дискреционный (произвольный - владелец объекта может по
+    своему усмотрению предоставлять или отбирать другим субъектам права на
+    доступ к объекту) и мандатный (строго согласно меткам объекта и субъекта)
+\end{enumerate}
+
+Требования подотчетности:
+\begin{enumerate}
+  \setcounter{enumi}{3}
+  \item
+    Идентификация и аутентификация. Все субъекты должны иметь уникальные
+    идентификаторы, связанные с указанием на права доступа.
+  \item
+    Регистрация и учет. Все события, имеющие значение с точки зрения
+    безопасности, должны отслеживаться и регистрироваться в защищенном
+    протоколе.
+\end{enumerate}
+
+Требования гарантии:
+\begin{enumerate}
+  \setcounter{enumi}{5}
+  \item
+    Контроль корректности функционирования средств защиты. Все средства защиты
+    находятся под контролем средств, проверяющих корректность их
+    функционирования. Средства контроля должны быть полностью независимы от
+    средств защиты.
+  \item
+    Непрерывность защиты. Все средства защиты должны быть защищены от
+    несанкционированного вмешательства, и эта за­щита должна быть постоянной и
+    непрерывной.
+\end{enumerate}
+
+В "Оранжевой книге" предложены 7 классов защищенности компьютерной системы.
+Каждый класс описан по группам требований плюс требования к наличию
+определённого объема и детализации документации.
+
+Группа D. Минимальная защита.
+Класс D. Минимальная защита. Класс D зарезервирован для тех систем, которые были представлены на сертификацию (оценку), но по какой-либо причине ее не прошли.
+Группа С. Дискреционная защита
+Класс С1. Системы на основе дискреционного разграничения доступа.
+Класс С2. Системы, построенные на основе управляемого дискреционного разграничения доступа (обеспечивающего тонкую индивидуальную настройку).
+Группа В. Мандатное управление доступом.
+Класс В1. Тоже самое, что класс С2, но с использованием мониторинга меток и требованием изолированной программной среды.
+Класс В2. Структурированная защита. Дифференциация политики безопасности для критичных и некритичных областей.
+Класс ВЗ. Домены безопасности. Введение централизованного управления и мониторинга для системы компьютеров и поддержка восстановления.
+Группа А. Верифицированная защита.
+Класс А1. Формальная верификация. Требования дополнительных проверок на корректность работы информационной системы и системы защиты, для гарантии соответствия спецификациям верхнего уровня безопансости.
+
+В 1987 году Национальный центр компьютерной безопасности США выпустил в свет
+Интерпретацию "Оранжевой книги" для сетевых конфигураций. Данный документ
+состоит из двух частей. Первая содержит собственно интерпретацию, во второй
+рассматриваются сервисы безопасности, специфичные или особенно важные для
+сетевых конфигураций.
+
+Интерпретация отличается от самой «Оранжевой книги» учетом динамичности сетевых
+конфигураций. В интерпретациях предусматривается наличие средств проверки
+подлинности и корректности функционирования компонентов перед их включением в
+сеть, наличие протокола взаимной проверки компонентами корректности
+функционирования друг друга, а также присутствие средств оповещения
+администратора о неполадках в сети.
+
+Среди защитных механизмов в сетевых конфигурациях на первое место выдвигается
+криптография, помогающая поддерживать как конфиденциальность, так и целостность.
+Следствием использования криптографических методов является необходимость
+реализации механизмов управления ключами.
+
+В интерпретациях «Оранжевой книги» впервые систематически рассматривается вопрос
+обеспечения доступности информации.
+
+Для обеспечения непрерывности функционирования могут применяться следующие
+защитные меры:
+\begin{itemize}
+  \item
+    внесение в конфигурацию той или иной формы избыточности (резервное
+    оборудование, запасные каналы связи и т.п.);
+  \item
+    наличие средств реконфигурирования для изоляции и/или замены узлов либо
+    коммуникационных каналов, отказавших или подвергшихся атаке на доступность;
+  \item
+    рассредоточенность сетевого управления, отсутствие единой точки отказа;
+  \item
+    наличие средств нейтрализации отказов (обнаружение отказавших компонентов,
+    оценка последствий, восстановление после отказов);
+  \item
+    выделение подсетей и изоляция групп пользователей друг от друга.
+\end{itemize}
+
+Архитектура безопасности для взаимодействия открытых систем для приложений
+МККТТ. Рекомендации X.800 - это оценочный стандарт для распределённых систем.
+Появился 1991 году.
+
+Вводит понятие неотказуемости от выполненных действий, автоматически
+регистрируемых в журналах ИС.
+
+Вводятся функции безопасности:
+\begin{itemize}
+  \item
+    аутентификация партнёров по общению и источника данных,
+  \item
+    управление доступом,
+  \item
+    конфиденциальность данных (общения, отдельных полей данных и трафика),
+  \item
+    целостность данных,
+  \item
+    неотказуемость (с подтверждением подлинности источника данных и доставки).
+\end{itemize}
+
+Указывается на каких уровнях модели OSI могут эти функции реализовываться.
+
+Вводятся:
+\begin{itemize}
+  \item
+    механизмы безопасности ( шифрование, электронная подпись (выработка и
+    проверка))
+  \item
+    механизмы управления доступом (включающие следующие источники информации:
+    базы данных со списками управления доступом, пароли, токены, билеты
+    удостоверения, метки безопасности, время, маршрут и длительность
+    запрашиваемого доступа),
+  \item
+    механизмы контроля целостности данных (отдельного сообщения - с
+    использованием контрольных сумм и потока данных - с использованием временных
+    штампов и связанного шифрования )
+  \item
+    механизмы аутентификации (односторонняя и двусторонняя)
+  \item
+    механизмы дополнения трафика (выработка и поддержание правил, задающих
+    характеристики дополняющих сообщений — частоту отправки, размер и т.п.),
+  \item
+    управление маршрутизацией (выделение доверенных путей),
+  \item
+    механизмы нотаризации (служит для заверения целостность, время, личности
+    отправителя и получателей. Заверение обеспечивается надежной третьей
+    стороной, которая обладает достаточной информацией, чтобы ее подтверждению
+    можно было доверять. Обычно нотаризация опирается на механизм электронной
+    подписи.)
+\end{itemize}
+
+\printbibliography
\ No newline at end of file