Европейские критерии безопасности информационных технологий

Выводы

Класс В1. Защита с применением меток безопасности.

Классы безопасности компьютерных систем

Стаття 16. Дисциплінарна відповідальність адвоката

Идея революции стала побеждать в первой третьи 19 века.

Настойчивый призыв к постепенному реформированию общества.

Фрацуа Гизо- феодализм был не так уж и далек для него; предложил 3 признака феодализма:

1)Условный характер собственности.

2) Феодал был не только собственником земли, но и хозяином того, кто на ней работает.

3) Появление феодальной иерархии.

Гизо был против социального расслоения.

Первая треть 19 века стала временем анализов ВФБР.Внимание на борьбу сословий третьего против первого и второго.

Однако,в этой борьбе не была замечена борьба изнутри самого третьего сословия – между рабочими и буржуазией.

Первая треть девятнадцатого века. Была ознаменована появлением теории классовой борьбы.

Стараниями Маркса была теория ОФ.

В конце двадцатого века теория ОФ начала терять свою привлекательность.

Длительно время передовым классом считался рабочий и он наделялся мыслимыми и немыслимыми чертами (организованность рабочего класса, был лишен собственности

Теория классовой борьбы в последствии потребовала продолжения в ходе пролетарской революции (что в последствии и сделали большевики)

Вторая половина 19 века ознаменовалась распространением революционных идей основанных на радикализме.

Распространением революционной идеологии шло разными путями:

1)Вольная типография Герцена

2) Личные встречи (Лопатин)

За порушення вимог цього Закону, інших актів законодав­ства України, що регулюють діяльність адвокатури, Присяги адвоката України рішенням дисциплінарної палати кваліфіка­ційно-дисциплінарної комісії до адвоката можуть бути засто­совані такі дисциплінарні стягнення:

попередження;

зупинення дії свідоцтва про право на заняття адвокатською діяльністю на строк до одного року;

анулювання свідоцтва про право на заняття адвокатською діяльністю.

Рішення про накладення дисциплінарного стягнення може бути оскаржено до Вищої кваліфікаційної комісії адвокатури або в судовому порядку.

Питання про дисциплінарну відповідальність адвоката -члена адвокатського об'єднання регулюється також статутом відповідного об'єднання.

1. Дисциплінарна відповідальність адвоката настає у разі пору­шення законодавства в галузі адвокатури, а також законодавства України і міжнародних актів про права і свободи людини, правил адвокатської етики, котрі грунтовно регулюють професійну діяль­ність адвоката, у тому числі згадані в Присязі принципи адвокат­ської діяльності — принциповість, чесність, повага до професії то­що. Отже не тільки порушення законодавства, а й принципів та правил адвокатської професії є підставою для притягнення до дис­циплінарної відповідальності. Додержуватися їх адвокат клянеть­ся приймаючи Присягу і скріплює цю клятву своїм підписом.

У введених Указом Президента України від ЗО вересня 1999 р. змінах до Положення про кваліфікаційно-дисциплінарну комісію адвокатури встановлено обов'язок КДКА здійснювати контроль за додержанням адвокатами зобов'язань, що випливають з актів законодавства України та Правил адвокатської етики, тобто також йдеться про більш широкий обсяг обов'язків, котрі адвокати зо­бов'язані виконувати і, природньо, відповідати за їх недотриман­ня (ч. 1 ст. 13').

В ч. 2 ст. 13' Положення йдеться також про відповідальність за грубе порушення вимог Закону «Про адвокатуру», інших актів за­конодавства і Присяги адвоката України, тобто адвокат відповідає за порушення будь-якого акта законодавства, а також тих право­вих норм та професійних правил, про які йдеться у Присязі.

2. У Законі «Про адвокатуру» та законодавчих актах не можуть бути передбачені всі конкретні випадки порушень, за вчинення яких адвоката слід притягати до дисциплінарної відповідальності, відсутнє і посилення на обов'язковість застосування дисциплінар­ного стягнення - воно «може», а не «повинно» бути застосоване. Навіть щодо грубого порушення законодавець посилається на «можливість», а не «обов'язковість» анулювання свідоцтва. Разом з тим кримінально-процесуальним законодавством передбачено випадки, коли винуватість адвоката-захисника встановлює суд, наприклад, при перешкоджанні встановленню істини, зловживан­ні своїми правами, затягуванні судового розгляду справи, пору­шенні порядку в судовому засіданні та в інших випадках, передба­чених ч. 4 ст. 61 КПК як підстави для усунення захисника від участі у справі. Постанова судді про усунення захисника оскар­женню не підлягає, що є не тільки порушенням права адвоката на оскарження, а й обмеженням конституційного права клієнта мати захисника за своїм вільним вибором. Адже рішення може бути необ'єктивним, помилковим. Заборона оскарження у таких випад­ках може призвести до неможливості виправлення помилок при прийнятті суддею рішення про усунення захисника.

За таких умов дисциплінарна палата кваліфікаційно-дисциплі­нарної комісії адвокатури фактично зобов'язана на підставі пові­домлення суду про усунення захисника від участі у справі, яке надсилається для вирішення питання про відповідальність адвока­та (ч. 5 ст. 61' КПК), виходити з обставин, викладених у постанові судді про усунення захисника. Рішення кваліфікаційно-дисцип­лінарної комісії адвокатури про застосування дисциплінарного стягнення адвокат може оскаржити як до Вищої кваліфікаційної комісії, так і до суду, але ж у даному випадку рішення дисцип­лінарної палати КДКА буде виходити з постанови судді, яка не підлягає перегляду.

Основні положення про роль адвокатів, прийняті VIII Конгре­сом 00Н, встановлюють, що дисциплінарне провадження проти адвоката здійснюється безсторонніми дисциплінарними комісі­ями, створеними адвокатурою, за можливості оскарження їх рі­шення до суду.

3. Законодавець встановлює перелік дисциплінарних стягнень; застосування кожного з них у конкретній справі є компетенцією дисциплінарної палати кваліфікаційно-дисциплінарної комісії ад­вокатури, яка вирішує питання про притягнення адвоката до дис­циплінарної відповідальності та розглядає порушені з цих питань справи, приймає рішення про застосування дисциплінарного стяг­нення або про відмову у притягненні адвоката до дисциплінарної відповідальності. Кваліфікаційно-дисциплінарна комісія адвока­тури, керуючись рішенням дисциплінарної палати про накладан­ня дисциплінарного стягнення на адвоката, приймає рішення про припинення адвокатської діяльності та анулювання свідоцтва. Ко­місія може не погодитися з рішенням палати, скасувати його і по­вернути справу на новий розгляд у цю ж палату або закрити дис­циплінарну справу своїм рішенням.

Адвокатська діяльність припиняється у разі анулювання свідо­цтва про право на заняття адвокатською діяльністю або тимчасово зупиняється на строк до одного року рішенням дисциплінарної палати КДКА. Іншого порядку припинення або тимчасового зупи­нення адвокатської діяльності Закон «Про адвокатуру» не перед­бачає. Разом з тим Кримінально-процесуальним кодексом Укра­їни передбачена підстава заборони діяльності адвоката як захис­ника (тобто зупинення права займатися на невизначений строк певним видом адвокатської діяльності) у разі, коли щодо нього порушено кримінальну справу (п. 4 ч. 1 ст. 61). Така норма супере­чить ст. 2, 17 Закону «Про адвокатуру», оскільки свідоцтво про право на заняття адвокатською діяльністю видається на здійснен­ня всіх видів цієї діяльності (ст. 5) і може бути анульоване щодо усіх, а не одного виду діяльності, у разі засудження адвоката за вчинення злочину - після набрання вироком законної сили. Адвокатом не може бути особа, яка має судимість, отже тільки за зазначених умов адвоката можна позбавити права займатися будь-яким видом адвокатської діяльності.

У ст. 19 Основних положень про роль адвокатів зазначено, що суд або адміністративний орган не повинні відмовляти у праві ад­воката, який має допуск до практики, представляти інтереси свого клієнта, якщо він не був дискваліфікований відповідно до націо­нального права і практики його застосування й даних Положень.

4. Підставою для розгляду питання про дисциплінарну відпо­відальність адвоката є не тільки скарги і заяви громадян, окремі ухвали судів, постанови суддів, постанови, подання слідчих орга­нів, голови або членів КДКА, заяви адвокатських об'єднань, під­приємств, установ, організацій на дії адвокатів. Однією з форм звернення до КДКА є повідомлення суду про порушення захисни­ком порядку судового засідання, коли він, незважаючи на зробле­ні головуючим попередження, допускає подальше непідкорення розпорядженням головуючого, що призводить до відкладення розгляду справи (ч. 2 ст. 272 КПК). За порушення порядку в судо­вому засіданні чи невиконання розпоряджень головуючого під час судового розгляду справи захисник може бути усунутий від участі у справі (ч. 4 ст. 61 КПК), про що повідомляється «відповід­ному органу» для вирішення питання про відповідальність адво­ката (ч. 5 ст. 61 КПК). Таким органом є кваліфікаційно-дисциплінарна комісія адвокатури, оскільки саме вона наділена повно­важеннями щодо застосування дисциплінарної відповідальності до адвокатів. Повідомлення може направлятися і до адвокатсько­го об'єднання, якщо адвокат є його членом. Статутом адвокат­ського об'єднання, як правило, передбачаються заходи дисцип­лінарного впливу.

5. Відповідно до ст. 18¹ Положення про кваліфікаційно-дис­циплінарну комісію адвокатури члени КДКА можуть проводити перевірки якості подання правової допомоги у зв'язку з перевір­кою достовірності поданих адвокатськими об'єднаннями звітів про якість наданої правової допомоги. За результатами таких пе­ревірок голова КДКА може вносити подання до дисциплінарної палати про притягнення адвоката до дисциплінарної відповідаль­ності у зв'язку з вчиненими ним порушеннями або низьким рів­нем наданої ним правової допомоги.

6. Оскаржити рішення про накладення дисциплінарного стяг­нення можна незалежно від того, ким воно було прийнято - ква­ліфікаційно-дисциплінарною комісією, дисциплінарною палатою чи адвокатським об'єднанням.

Оскаржується таке рішення до ВККА або до суду. За результатами розгляду справи ВККА приймає рішення: за­лишити рішення палати або КДКА без зміни; змінити рішення;

скасувати рішення і надіслати справу до КДКА для нового розгля­ду або закрити справу чи прийняти її до свого провадження і роз­глянути по суті (див. коментар до ст. 14). Оскаржуватись можуть також дії КДКА, їх палат і членів палат.

Поскольку «Оранжевая книга» достаточно подробно освещалась в отечественных исследованиях [б], ограни­чимся только кратким обзором классов безопасности.

«Оранжевая книга» предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формаль­но доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D1 и А1 соответственно), группа С — классы Cl, C2, а группа В — Bl, B2, ВЗ, характери­зующиеся различными наборами требований безопасно­сти. Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.

Рис. 2.1 Таксономия требований «Оранжевой книги»

• Группа D. Минимальная защита

Класс D1. Минимальная защити. К этому классу относятся все системы, которые не удовлетворяют требо­ваниям других классов.

• Группа С. Дискреционная защита

Группа С характеризуется наличием произвольного управления доступом и регистрацией действий субъектов.

Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разде­ления пользователей и информации и включают средст­ва контроля и управления доступом, позволяющие зада­вать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс С1 рассчи­тан на многопользовательские системы, в которых осу­ществляется совместная обработка данных одного уров­ня секретности.

Класс С1. Управление доступом. Системы этого клас­са осуществляют более избирательное управление досту­пом, чем системы класса С1, с помощью применения средств индивидуального контроля за действиями поль­зователей, регистрацией, учетом событий и выделением ресурсов.

• Группа В. Мандатная защита

Основные требования этой группы — нормативное управление доступом с использованием меток безопас­ности, поддержка модели и политики безопасности, а также наличие спецификаций на функции ТСВ. Для сис­тем этой группы монитор взаимодействий должен кон­тролировать все события в системе.

Системы класса BI должны соответствовать всем требо­ваниям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасности, маркировку данных и норматив­ное управление доступом. При экспорте из системы ин­формация должна подвергаться маркировке. Обнару­женные в процессе тестирования недостатки должны быть устранены.

Класс В2. Структурированная защита. Для соответст­вия классу В2 ТСВ системы должно поддерживать фор­мально определенную и четко документированную мо­дель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распростра­няется по сравнению с системами класса В1 на все субъек­ты. Кроме того, должен осуществляться контроль скры­тых каналов утечки информации. В структуре ТСВ долж­ны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс ТСВ должен быть четко опреде­лен, а его архитектура и реализация должны быть выпол­нены с учетом возможности проведения тестовых испыта­ний. По сравнению с классом В1 должны быть усилены средства аутентификации. Управление безопасностью осуществляется администраторами системы. Должны быть предусмотрены средства управления конфигурацией.

Класс ВЗ. Домены безопасности. Для соответствия этому классу ТСВ системы должно поддерживать мони­тор взаимодействий, который контролирует все типы доступа субъектов к объектам и который невозможно обойти. Кроме того, ТСВ должно быть структурировано с целью исключения из него подсистем, не отвечающих за реализацию функции защиты, и быть достаточно ком­пактно для эффективного тестирования и анализа. В ходе разработки и реализации ТСВ должны применяться мето­ды и средства, направленные на минимизацию его слож­ности. Средства аудита должны включать механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы.

• Группа А. Верифицированная защита

Данная группа характеризуется применением фор­мальных методов верификации корректное ги работы механизмов управления доступом (произвольного и нормативного). Требуется дополнительная документа­ция, демонстрирующая, что архитектура и реализация ТСВ отвечают требованиям безопасности.

Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам классаВЗ, и к ним не предъявляется никаких дополнительных функ­циональных требований. В отличие от систем класса ВЗ в ходе разработки должны применяться формальные ме­тоды верификации, что позволяет с высокой уверенно­стью получить корректную реализацию функций защиты. Процесс доказательства адекватности реализации начинается на ранней стадии разработки с построения формальной модели политики безопасности и специфи­каций высокого уровня. Для обеспечения методов вери­фикации системы класса А1 должны содержать более мощные средства управления конфигурацией и защи­щенную процедуру дистрибуции.

Приведенные классы безопасности надолго опреде­лили основные концепции безопасности и ход развития средств защиты.

2.5.4. Интерпретация и развитие «Оранжевой книги»

Опубликование «Оранжевой книги» с гало важным этапом и сыграло значительною роль в развитии техно­логий обеспечения безопасности компьютерных систем. Тем не менее в ходе применения ее положений выясни­лось, что часть практически важных вопросов осталась за рамками данного стандарта и, кроме того, с течением времени (с момента опубликования прошло пятнадцать лег) ряд положений устарел и потребовал пересмотра.

Круг специфических вопросов по обеспечению безо­пасности компьютерных сетей и систем управления ба­зами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безо­пасности США в виде дополнений к «Оранжевой кни­ге» — «Интерпретация <«Оранжевой книги»> для ком­пьютерных сетей» («Trusted Network Interpretation» [8]) и «Интерпретация <«Оранжевой книги»> для систем управления базами данных» («Trusted Database Manage­ment System Interpretation» [9]). Эти документы содержат трактовку основных положений «Оранжевой книги» применительно к соответствующим классам систем, об­работки информации.

Потеря актуальности рядом положений «Оран­жевой книги» вызвана прежде всего интенсивным раз­витием компьютерных технологий и переходов с мэйнфреймов (типа вычислительных комплексов IBM-360, 370; советский аналог — машины серии ЕС) к рабочим станциям, высокопроизводительным персо­нальным компьютерам и сетевой модели вычислений. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений «Оранжевой книги», адаптиро­вать их к современным условиям и сделать адекватны­ми нуждам разработчиков и пользователей программ­ного обеспечения, и была проделана огромная работа по интерпретации и развитию положений этого стан­дарта. В результате возник целый ряд сопутствующих «Оранжевой книге» документов, многие их которых стали ее неотъемлемой частью. К наиболее часто упо­минаемым относятся:

Руководство по произвольному управлению досту­пом в безопасных системах («A guide to understanding discretionary access control in trusted systems») [10].

Руководство по управлению паролями («Password management guideline») [11].

Руководство по применению Критериев безопасности компьютерных систем в специфических средах («Gui­dance for applying the Department of Defence Trusted Com­puter System Evaluation Criteria in specific environment») [12].

Руководство по аудиту в безопасных системах («A Guide to Understanding Audit in Trusted Systems») [13].

Руководство по управлению конфигурацией в безо­пасных системах («Guide to understanding configuration management in trusted systems) [14].

Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило объем первоначального документа, и в 1995 году Нацио­нальным центром компьютерной безопасности США был опубликован документ под названием «Пояснения к кри­териям безопасности компьютерных систем» [15]. объе­диняющий все дополнения и разъяснения. При его подго­товке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях раз­работчиков и пользователей защищенных систем обра­ботки информации. В результате открытого обсуждения была создана база данных, включающая все спорные во­просы, которые затем в полном объеме были проработа­ны специально созданной рабочей группой. В итоге по­явился документ, объединивший все изменения и допол­нения к «Оранжевой книге», сделанные с момента ее опубликования, что привело к обновлению стандарта и позволило применять его в современных условиях.

«Критерии безопасности компьютерных систем» ми­нистерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов но сертификации компьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точкой для многочисленных исследований и разработок. Основной отличительной чертой этого доку­мента является его ориентация на системы военного при­менения, в основном на операционные системы. Это пред­определило доминирование требований, направленных на обеспечение секретности обрабатываемой информации и исключение возможностей ее разглашения. Большое вни­мание уделено меткам (грифам секретности) и правилам экспорта секретной информации.

При этом критерии адекватности реализации средств защиты и политики безопасности отражены слабо, соответствующий раздел ограничивастся требованиями кон­троля целостности средств защиты и поддержания их работоспособности, чего явно недостаточно.

Высший класс безопасности, требующий осуществ­ления верификации средств защиты, построен на доказа­тельстве соответствия программного обеспечения его спецификациям с помощью специальных методик, одна­ко это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операци­онных систем) не подтверждает корректность и адекват­ность реализации политики безопасности.

«Оранжевая книга» послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в каче­стве руководящего документа при сертификации компь­ютерных систем обработки информации.

Проблемы информационной безопасности актуаль­ны не только для Соединенных Штатов. Вслед за выхо­дом «Оранжевой книги» страны Европы совместно раз­работали общие «Критерии безопасности информаци­онных технологий» («Information Technology Security Evaluation Criteria», далее «Европейские критерии») [16]. Данный обзор основывается на версии 1.2. опублико­ванной в июне 1991 года от имени соответствующих ор­ганов четырех стран: Франции, Германии, Нидерландов и Великобритании.