ОЗИ. Пособие_2019. Основы защиты информации

11
Этап 1 Определение границ исследования
Чтобы определить границы исследования, следует распознать состав и структуру основных информационных активов системы.
Пусть в нашем случае информационными активами системы являются:
– актив 1 – данные, поступившие за день в СУБД из Интернета;
– актив 2 – данные, поступившие за день в СУБД из ВКС;
– актив 3 – данные, поступившие за день в СУБД с РМ пользователей;
– актив 4 – программное обеспечение системы;
– актив 5 – данные в СУБД.
Этап 2 Стоимость ресурсов
Актив
1 2
3 4
5
Стоимость, р.
700 500 3200 100 000 5 000 000
Этап 3 Оценивание угроз и уязвимостей – «Threat and Vulnerability As-
sessment»
Пусть угрозами с наиболее высокими приоритетами выбраны:
– проникновение из Интернета в сеть организации вредоносного про- граммного обеспечения (угроза 1);
– несанкционированный доступ к информационным активам сотрудника кампании, завербованного конкурентами и передающего им информацию
(угроза 2).
Пусть в результате реализации угрозы 1 с вероятностью 60 % наступило последствие «Финансовые потери, связанные с восстановлением ресурсов».
Причем вредоносное ПО проникало в сеть организации шесть раз в год и каж- дый раз повреждало на 100 % активы 1–3 и на 30 % – актив 4. Актив 5 был за- щищен резервным копированием, и повреждением его можно пренебречь.
Кроме того, в результате реализации этой угрозы наступило последствие
«Дезорганизация деятельности компании». За шестикратное проникновение вредоносного ПО в течение года цена ущерба по этому последствию составила
2100 руб.
Пусть в результате реализации угрозы 2 с вероятностью 40 % наступило последствие «Финансовые потери от разглашения и передачи информации кон- курентам». Цена ущерба по этому последствию составила 5600 р.
Кроме того, в результате реализации этой угрозы наступило последствие
«Ущерб репутации организации». Цена ущерба по этому последствию за счет уменьшения потока заказов и неприятностей со стороны государственных ор- ганов составила 8800 р.
Этап 4 Выбор методов парирования угроз
Пусть методом парирования угрозы 1 является закупка определенного набора программных средств фаерволла (брандмауэра) фирмы «CheckPoint»
(Минский филиал), а методом парирования угрозы 2 – разработка и внедрение системы назначения паролей для доступа к информационным активам. Стои-
Би бл ио те ка
БГ
УИ
Р

12 мость наилучшего брандмауэра – 9000 р. Стоимость разработки и внедрения наилучшей системы назначения паролей – 2000 р. Утвержденный годовой бюджет на информационную безопасность составляет 8000 р.
Задание 2.2.1
Найти цену ущерба по угрозе 1.
Задание 2.2.2
Найти цену ущерба по угрозе 2.
Задание 2.2.3
Найти РИСК
общий
Задание 2.2.4
Исходя из критерия «Как, оставаясь в рамках утвержденного годового бюджета на информационную безопасность, достигнуть максимального уровня защищенности информационных активов компании (минимума риска)?», опти- мально распределить средства (80 000 000 р.) на парирование угроз 1 и 2, учи- тывая, что для рассматриваемой корпоративной информационной системы экс- пертным путем установлено, что:
– недостаток каждых х средств (в процентах) от стоимости наилучшего брандмауэра позволяет приобрести более дешевый брандмауэр, оставляющий, однако, риск угрозы в размере
100 58440
x

[р.];
(2.7)
– недостаток каждых у средств (в процентах) от стоимости наилучшей системы назначения паролей позволяет приобрести более дешевую систему, оставляющую, однако, риск угрозы в размере
100 14160
y

[р.].
(2.8)
Задание 2.2.5
Оценить (в процентах) эффективность принятых мер для парирования угроз (E).
Задание 2.2.6
Найти критичность реализации угрозы 1 через уязвимость 1. Опреде- лить для всех выявленных угроз и уязвимостей Th и CTh, если критичность реализации угрозы 1 через уязвимость 2 составляет 20 %, угрозы 2 через уяз- вимость 1 – 40 %, угрозы 2 через уязвимость 2 – 30 %. Реализации угроз че- рез каждую из уязвимостей считать равновероятными.
Би бл ио те ка
БГ
УИ
Р

13
2.3 Контрольные вопросы
1 Что такое информационный риск?
2 В чем заключается задача управления информационными рисками?
3 Какие существуют методики оценки рисков и управления ими?
4 Какие формулы используются при количественной оценке информаци- онных рисков?
5 Что такое критичность реализации угрозы?
6. Какие этапы включает в себя методика CRAMM оценки информацион- ных рисков?
Список использованных источников
ГОСТ Р ИСО-МЭК 17799–2005. Информационная технология. Практические правила управления информационной безопасностью. – М. : Стандартинформ, 2006.
Би бл ио те ка
БГ
УИ
Р

14
Практическое занятие №3
Авторское право и смежные права
Цель работы: ознакомиться с видами и структурой патентных докумен- тов; получить навыки проведения патентных исследований и оформления отче- та о патентных исследованиях.
3.1 Теоретические сведения
Авторское право распространяется на произведения науки, литературы и искусства, являющиеся результатом творческой деятельности, независимо от назначения и достоинства произведения, а также от способа его выражения.
В области авторского права и смежных прав белорусское законодатель- ство приведено в соответствие с международными договорами, участницей ко- торых является Республика Беларусь.
Основными законодательными актами Республики Беларусь об авторском праве и смежных правах являются:
– Гражданский кодекс Республики Беларусь, главы 60, 61;
– Закон Республики Беларусь «Об авторском праве и смежных правах».
Авторское право распространяется как на обнародованные, так и на необ- народованные произведения, существующие в какой-либо объективной форме:
– письменной (рукопись, машинопись, нотная запись и т. д.);
– устной (публичное произнесение и чтение речи, публичное исполне- ние и т. д.);
– звуко- или видеозаписи (механической, магнитной, цифровой, оптической и т. д.);
– изображения (рисунок, эскиз, картина, план, чертеж, кино-, теле-, ви- део- или фотокадр и т. д.);
– объемно-пространственной (скульптура, модель, макет, сооружение и т. д.);
– в других формах.
Авторское право не распространяется на идеи, методы, процессы, систе- мы, способы, концепции, принципы, открытия, факты.
Субъект авторского права – физическое лицо, творческим трудом кото- рого создано произведение науки, литературы или искусства.
Объектами авторского права являются:
– литературные произведения (книги, брошюры, статьи и др.);
– драматические и музыкально-драматические произведения, произведе- ния хореографии и пантомимы и другие сценарные произведения;
– музыкальные произведения с текстом и без текста;
– аудиовизуальные произведения (кино-, теле-, видеофильмы, диафильмы и другие кино- и телепроизведения);
– произведения скульптуры, живописи, графики, литографии и другие произведения изобразительного искусства;
Би бл ио те ка
БГ
УИ
Р

15
– произведения прикладного искусства;
– произведения архитектуры, градостроительства и садово-паркового ис- кусства;
– фотографические произведения и произведения, полученные способа- ми, аналогичными фотографии;
– карты, планы, эскизы, иллюстрации и пластические произведения, от- носящиеся к географии, топографии и другим наукам;
– компьютерные программы;
– иные произведения;
– производные произведения (переводы, обработки, аннотации, рефераты, резюме, обзоры, инсценировки, музыкальные аранжировки и другие переработ- ки произведений науки, литературы и искусства);
– сборники (энциклопедии, антологии, базы данных) и другие составные произведения, представляющие собой по подбору или расположению материа- лов результат творческого труда.
В научно-технической сфере наиболее ценными в коммерческом отноше- нии являются компьютерные программы и базы данных.
База данных – компиляция материалов, данных, информации по подбору и расположению материалов, представляющая результат творческого труда.
Понятие базы данных не распространяется на компьютерную программу, с по- мощью которой может осуществляться электронный доступ к материалам базы данных.
Компьютерная программа – упорядоченная совокупность команд и данных для получения определенного результата с помощью компьютера, за- писанная на материальном носителе, а также сопутствующая электронная до- кументация.
Охрана компьютерных программ распространяется на все виды ком- пьютерных программ (в том числе операционные системы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст и объектный код.
Авторское право на произведения науки, литературы и искусства возни- кает в силу факта их создания. Для возникновения и осуществления автор- ского права не требуется соблюдения каких-либо формальностей.
Для оповещения о своих исключительных имущественных правах их об- ладатель вправе использовать знак охраны авторского права, который поме- щается на каждом экземпляре произведения и обязательно состоит из трех эле- ментов:
– латинской буквы «С» в окружности: ©;
– имени (наименования) обладателя исключительных имущественных прав;
– года первого опубликования произведения.
При отсутствии доказательств иного автором произведения считается лицо, указанное в качестве автора на оригинале или экземпляре произведения
(презумпция обладателя авторского права).
Би бл ио те ка
БГ
УИ
Р

16
Неимущественные права:
– право авторства;
– право на имя;
– право на защиту репутации автора.
Неимущественные права охраняются бессрочно.
Имущественные права – это исключительные права осуществлять или разрешать осуществлять следующие действия:
– воспроизведение произведения;
– распространение оригинала или экземпляров произведения посредством продажи или иной передачи права собственности;
– прокат оригиналов или экземпляров компьютерных программ, баз дан- ных, аудиовизуальных произведений, нотных текстов музыкальных произведе- ний и произведений, воплощенных в фонограммах;
– публичный показ произведения;
– передачу произведения в эфир или иное сообщение произведения для всеобщего сведения;
– перевод произведения на другой язык;
– переделку или иную переработку произведения.
Имущественные права действуют в течение всей жизни автора и 50 лет после его смерти.
Автор имеет право на авторское вознаграждение за каждый вид исполь- зования произведения.
Срок охраны объекта авторского права составляет 50 лет с момента со- здания произведения. Имущественные права на произведение, созданное в со- авторстве, действуют в течение всей жизни и 50 лет после смерти последнего автора, пережившего других соавторов. Истечение срока действия имуще- ственных прав на объекты авторского права или смежных прав означает пере- ход этих объектов в общественное достояние. Они могут свободно использо- ваться любым физическим или юридическим лицом без выплаты вознагражде- ния при соблюдении личных неимущественных прав.
Одним из наиболее простых и распространенных приемов доказательства авторства является посылка самому себе по почте экземпляра произведения.
Письмо (бандероль, посылка) хранится без вскрытия до спорного разбиратель- ства в суде и является доказательством авторства, а почтовый штемпель удо- стоверяет дату создания.
Иным часто используемым приемом для охраны компьютерных про- грамм, баз данных и других объектов авторского права, зафиксированных на магнитных и оптико-механических носителях, является так называемая «обер- точная лицензия». Вы упаковываете, т. е. опечатываете экземпляр произведения на носителе в обертку, на которой указаны правообладатель и условия исполь- зования данного экземпляра произведения. Если потенциальный пользователь вскрывает обертку на приобретенном экземпляре программы и т. п., то это
Би бл ио те ка
БГ
УИ
Р

17 означает, что он согласен с условиями, которые на ней указаны, и в дальней- шем при нарушении ваших прав пользователю можно предъявить претензии.
Произведение принадлежит соавторам совместно, каждый из соавторов вправе использовать созданную им самостоятельную часть произведения, или, если произведение – неразрывное целое, не вправе без достаточных к тому ос- нований запретить использование произведения.
Смежные права возникают при приобретении имущественных автор- ских прав на основании заключенных с авторами и наследниками авторских до- говоров.
Субъекты смежных прав – исполнители (если песня написана не ими), производители фонограмм, организации эфирного или кабельного вещания, т.е. физические и юридические лица.
Авторский договор (АД) – гражданско-правовой договор по передаче имущественных прав автора на произведение.
Передача имущественных прав может осуществляться на основе автор- ского договора о передаче исключительных прав (автор уступает исключитель- ные права на произведение полностью) или на основе авторского договора о передаче неисключительных прав (частичная передача прав).
Наиболее распространенные виды авторского договора:
– издательский;
– постановочный;
– сценарный;
– художественного заказа;
– об использовании в промышленности неопубликованного произведения декоративно-прикладного искусства;
– о публичном исполнении.
Имущественные авторские права могут передаваться только по авторско- му договору, за исключением случаев, когда на произведение дается ссылка
(имя автора и источник заимствования) – например, цитирования, при воспро- изведении в единичном экземпляре библиотеками, архивами и образователь- ными учреждениями, при воспроизведении программ для ЭВМ и баз данных лицами, правомерно владеющими их экземплярами, и при воспроизведении свободных записей краткосрочного пользования, производимых организациями эфирного вещания.
При передаче исключительных прав разрешается использование произ- ведения определенным способом и в установленных договором пределах толь-
ко лицу, которому эти права передаются, и дает такому лицу право запрещать подобное использование произведения другим лицам.
При передаче неисключительных прав разрешается использование про- изведения обладателю прав и (или) другим лицам, получившим разрешение на использование этого произведения таким же способом. Права, передаваемые по авторскому договору, считаются неисключительными, если в договоре не предусмотрено иное.
Би бл ио те ка
БГ
УИ
Р

18
Авторский договор должен предусматривать:
– способы использования произведения (конкретные права, передаваемые по данному договору);
– срок и территорию, на которые передается право;
– размер вознаграждения и (или) порядок определения размера возна- граждения за каждый способ использования произведения;
– порядок и сроки его выплаты, а также другие условия, которые стороны сочтут необходимыми.
При отсутствии в авторском договоре условия о сроке передачи прав до- говор может быть расторгнут автором по истечении пяти лет с даты его заклю- чения, если пользователь будет письменно уведомлен об этом за шесть месяцев до расторжения договора.
При отсутствии в авторском договоре условия о территории, на которую передается право, действие передаваемого по договору права ограничивается территорией Республики Беларусь.
Вознаграждение может определяться в виде процента от дохода за соот- ветствующий способ использования произведения.
Если в авторском договоре о воспроизведении произведения вознагражде- ние определяется в виде твердо зафиксированной суммы, то в договоре должен быть установлен максимальный тираж экземпляров произведения в виде твердо зафиксированной суммы. При этом размер твердо зафиксированной суммы не может быть ниже минимальных ставок, устанавливаемых Кабинетом Мини- стров Республики Беларусь.
Авторский договор должен быть заключен в письменной форме (кроме
АД об использовании произведения в периодической печати, который может быть заключен в устной форме). При продаже экземпляров программ для ЭВМ и баз данных и предоставлении массовому пользователю доступа к ним условия договора (условия использования программы и базы данных) должны быть из- ложены на экземплярах программы или базы данных.
В случае нарушения обязательств по авторскому договору виновная сто- рона несет ответственность в соответствии с Законом Республики Беларусь «Об авторском праве и смежных правах».
3.2 Практические задания
Задание 3.2.1
Заполните авторский договор заказа на создание статьи (приложение А).
Задание 3.2.1
Расскажите об авторском праве и смежных правах в следующих ситуациях:
1) три автора написали слова к песне;
2) два автора написали музыку к ней;
3) песню исполнили одновременно четыре исполнителя;
4) два режиссера отсняли видеоклип с песней;
Би бл ио те ка
БГ
УИ
Р

19 5) три специалиста участвовали в обработке и монтаже видеоклипа;
6) телевизионный канал показал этот видеоклип по телевидению.
3.3 Контрольные вопросы
1 Какие права возникли у каждого из участников при условии, что автор- ские права никак не оформлялись?
2 Как правильно оформить права с точки зрения интересов авторов музыки?
3 Как правильно оформить права с точки зрения интересов исполнителей?
4 Как правильно оформить права с точки зрения интересов режиссеров?
5 Как правильно оформить права с точки зрения телеканала?
6 Найдите патентные документы в указанных справочно- информационных базах в соответствии с темой, заданной преподавателем.