Mezinárodní standardy pro informační bezpečnost. Základní bezpečnostní standardy. Typy ohrožení informační bezpečnosti Ruské federace v doktríně

V.V. Tichoněnko Vedoucí Svazu specialistů-expertů na kvalitu (Kyjev, Ukrajina), Ph.D., generální ředitel ECTC „VATT“

Článek poskytuje popis hlavních mezinárodních a národních bezpečnostních standardů. Zvažují se definice pojmů „bezpečnost“, „nebezpečí“, „riziko“. Jsou učiněny předpoklady o možnosti použití Heisenbergových principů neurčitosti a Bohrových principů komplementarity k popisu nebezpečí.

Co je to "zabezpečení"?

Zajištění bezpečnosti je jedním z nejdůležitějších požadavků, které musí každý, všude a vždy splnit, protože jakákoli činnost je potenciálně nebezpečná. Bezpečnost je spojena s rizikem (jsou na sobě závislé). Zvažte definice těchto pojmů uvedené v normách.

Bezpečnost— žádné nepřijatelné riziko.

Nebezpečí je potenciálním zdrojem poškození.

Riziko- vliv nejistoty cílů.

Bezpečnost se tedy nevyznačuje absencí rizika vůbec, ale pouze absencí nepřijatelného rizika. Normy definují tolerovatelné riziko jako „optimální rovnováhu mezi bezpečností a požadavky, které musí produkt, proces nebo služba splňovat, a také faktory, jako je přínos pro uživatele, nákladová efektivita, zvyk atd.“. Standard, často používaný podniky, definuje tolerovatelné (přijatelné) riziko jako „riziko snížené na úroveň, kterou může organizace tolerovat s ohledem na své zákonné povinnosti a vlastní politiku v oblasti bezpečnosti a ochrany zdraví při práci“.

Normy upravují způsoby, jak snížit riziko (v pořadí priority):

• vývoj bezpečného projektu;
• ochranné prostředky a osobní ochranné prostředky (jedná se o kolektivní a individuální ochranné prostředky - red.);
• informace o instalaci a aplikaci;
• vzdělání.

Typy bezpečnostních norem

Podle následujících typů bezpečnostních standardů mohou být:

• základní, včetně základních pojmů, zásad a požadavků souvisejících s hlavními aspekty bezpečnosti. Tyto normy platí pro širokou škálu produktů, procesů a služeb;
• obsahující bezpečnostní aspekty použitelné pro několik typů nebo pro rodinu příbuzných typů výrobků, procesů nebo služeb. Tyto dokumenty odkazují na základní bezpečnostní normy;
• normy bezpečnosti produktů, které zahrnují bezpečnostní aspekty určitého typu nebo skupiny produktů, procesů nebo služeb. Tyto dokumenty odkazují na základní a skupinové normy;
• produktové normy obsahující, ale nejen, bezpečnostní aspekty. Měly by odkazovat na základní a skupinové bezpečnostní normy. Tabulka uvádí příklady mezinárodních norem souvisejících s uvedenými typy. Můžete doporučit k přečtení tabulky. 1 normy, která specifikuje mezinárodní, evropské a ruské regulační dokumenty obsahující požadavky na charakteristiky bezpečnostní funkce.

Stanovení bezpečnostních požadavků v předpisech/normách by mělo vycházet z analýzy rizika poškození osob, majetku nebo životního prostředí, případně jejich kombinace, jak říkají normy. Obrázek schematicky znázorňuje hlavní rizika podniku s vyznačením standardů řízení rizik.

Je možné, že Diracovy delta funkce a Heavisideovy funkce by mohly být použity k popisu a analýze nebezpečí a rizik, protože přechod z přijatelného na nepřijatelné riziko je náhlý.

Bezpečnostní zásady a prostředky

Teoreticky lze rozlišit následující bezpečnostní principy:

• manažerské (přiměřenost, kontrola, zpětná vazba, odpovědnost, plánování, stimulace, řízení, efektivita);
• organizační (ochrana časem, informace, redundance, nekompatibilita, přidělování, nábor, důslednost, ergonomie);
• technické (blokování, vysávání, těsnění, distanční ochrana, komprese, pevnost, slabina, flegmatizace, stínění);
• orientace (činnosti operátora, výměna operátora, klasifikace, odstranění nebezpečí, důslednost, snížení rizika).

Zastavme se podrobněji u principu klasifikace (kategorizace). Spočívá v rozdělení objektů do tříd a kategorií podle znaků spojených s nebezpečím. Příklady: pásma sanitární ochrany (5 tříd), kategorie výroby (prostorů) pro nebezpečí výbuchu (A, B, C, D, E), kategorie / třídy podle směrnic ATEX (3 kategorie zařízení, 6 zón), nebezpečí odpadu třídy (5 tříd - v Rusku, 4 třídy - na Ukrajině), třídy nebezpečnosti látek (4 třídy), třídy nebezpečnosti pro přepravu nebezpečných věcí (9 tříd) atd.

Informace

Podle Heinrichových výpočtů připadá na jednu smrtelnou nehodu asi 30 zranění s méně závažnými následky a asi 300 dalších incidentů, které mohou zůstat téměř bez povšimnutí. Nepřímé ekonomické náklady na odstranění následků jsou přitom čtyřikrát vyšší než přímé.

Odkaz

asi 20 % všech nežádoucích událostí je spojeno se selháním zařízení a 80 % - s lidskou chybou, z nichž 70 % chyb bylo způsobeno skrytými organizačními nedostatky (chyby byly skryté, nebyla na ně žádná reakce) a asi 30 % byly spojeny s jednotlivým pracovníkem .

Rýže. Rizika společnosti (příklad) a platné normy

Poznámky:

ECO - European Valuation Standards (European Group of Appraisers TEGoVA);

IVS - Mezinárodní standardy oceňování (majetek);

IFRS - Mezinárodní standardy účetního výkaznictví (IFRS);

BASEL II – dohoda Basilejského výboru pro bankovní dohled „Mezinárodní konvergence měření kapitálu a kapitálových standardů: nové přístupy“;

BRC – The British Retail Consortium Globální standardy (Standardy Britského obchodního konsorcia);

COBIT - Control Objectives for Information and Related Technology ("Problémy informačních a souvisejících technologií" - balík otevřených dokumentů, cca 40 mezinárodních a národních standardů a směrnic v oblasti IT managementu, auditu a IT bezpečnosti); COSO - Výbor sponzorských organizací Treadway Commission (standard Výboru sponzorských organizací Treadway Commission);

FERMA - Federace evropských asociací pro řízení rizik (standard Federace evropských asociací pro řízení rizik); GARP – Globální asociace rizikových profesionálů (standard Asociace rizikových profesionálů);

IFS - International Featured Standards (mezinárodní standardy pro výrobu a prodej potravinářských výrobků);

ISO / PAS 28000 - Specifikace pro systémy řízení bezpečnosti pro dodavatelský řetězec (Supply chain security management systems. Specifications);

NIST SP 800-30 - Průvodce řízením rizik pro systémy informačních technologií.

Stůl. Bezpečnostní normy (příklady)

Zabezpečovací prostředky se dělí na prostředky kolektivní ochrany (SKZ) a prostředky individuální ochrany (OOPP). Na druhé straně jsou SKZ a OOP rozděleny do skupin podle povahy nebezpečí, konstrukce, rozsahu atd.

Základní bezpečnostní standardy

V Evropské unii jsou požadavky na hodnocení pracovních rizik obsaženy v:

• směrnice 89/391/EHS (požadavky na zavedení hodnocení pracovních rizik v členských státech EU);
• jednotlivé směrnice EU o bezpečnosti práce (89/654/EHS, 89/655/EHS, 89/656/EHS, 90/269/EHS, 90/270/EHS, 1999/92/ES atd.) a o ochrana pracovníků před chemickými, fyzikálními a biologickými riziky, karcinogeny a mutageny (98/24/ES, 2000/54/ES, 2002/44/ES, 2003/10/ES, 2004/40/ES, 2004/37/ES atd.) Směrnice ATEX EU také zaujímají zvláštní místo v oblasti bezpečnosti - jedna pro výrobce a druhá pro uživatele zařízení:
• "Zařízení ATEX 95" (směrnice 94/9/ES) - zařízení a ochranné systémy určené pro použití v prostředí s nebezpečím výbuchu;
• "ATEX 137 Workplace" (směrnice 1999/92/ES) jsou minimální požadavky na zlepšení bezpečnosti, zdraví a bezpečnosti pracovníků potenciálně ohrožených výbušným prostředím.

S ohledem na důležitost hodnocení pracovních rizik pro bezpečnost práce na pracovišti vydala Evropská agentura pro zdraví a bezpečnost pracovníků v roce 1996 Pokyny pro hodnocení rizik při práci a neustále přidává mnoho užitečných příkladů pro identifikaci nebezpečí při hodnocení profesních rizik.

Obecně jsou požadavky evropské směrnice REACH také zaměřeny na zajištění bezpečnosti. Tento systém je založen na řízení rizik spojených s látkami obsaženými v chemických sloučeninách a v některých případech i ve výrobcích.

Důležité místo zaujímají standardy systému bezpečné práce (GOST SSBT). Jsou to dokumenty dobře vybudovaného systému, který existuje v několika zemích světa. Takže bezpečnost technologického zařízení musí odpovídat GOST 12.2.003, bezpečnost technologických procesů - GOST 12.3.002. A pokud se nebezpečné látky vyrábějí, skladují a používají, pak jsou požadavky na bezpečnost stanoveny v souladu s GOST 12.1.007. Bezpečnostní systémy (zařízení, prvky) musí odpovídat GOST 12.4.011 a v případě požáru a výbuchu také GOST 12.1.004.

Požadavky na bezpečnost budov/staveb určují stavební zákony a předpisy.

Velký význam mají i lékařské normy a předpisy (GMP - Správná výrobní praxe, GLP - Správná laboratorní praxe, GDP - Správná distribuční praxe, GPP - Správná lékárnická praxe atd.).

Normy bezpečnosti potravin určuje Komise Codex Alimentarius. Existují také bezpečnostní předpisy ve veterinární medicíně, rostlinné výrobě.

Rozvoj kosmonautiky a jaderné energetiky, komplikace letecké techniky vedly k tomu, že studie bezpečnosti systému byla vyčleněna jako nezávislá samostatná oblast činnosti (např. MAAE zveřejnila novou strukturu bezpečnosti standardy: GS-R-1 "Legislativní a vládní infrastruktura pro jadernou a radiační bezpečnost, bezpečnost radioaktivního odpadu a přepravu"). Již v roce 1969 přijalo americké ministerstvo obrany standard MILSTD-882 „Program spolehlivosti systémů, subsystémů a zařízení“. Stanovuje požadavky na všechny průmyslové dodavatele vojenských programů.

Důležitými dokumenty jsou bezpečnostní listy materiálů (MSDS karty - Materiálové bezpečnostní listy). Bezpečnostní listy obvykle obsahují následující části: podrobnosti o produktu, nebezpečné složky, potenciální účinky na zdraví (kontakt s kůží, požití, limity dávek, dráždivý účinek, stimulační účinek, vzájemně se posilující účinek při kontaktu s jinými chemikáliemi, krátkodobá expozice, dlouhodobá expozice , účinky na reprodukci, mutagenita, karcinogenita), postup první pomoci (při kontaktu s kůží, očima, žaludkem, vdechnutím), nebezpečí požáru a výbuchu (hořlavost / hořlavost - za jakých podmínek, způsoby hašení, pokyny k hašení, nebezpečné zplodiny) , údaje o reaktivitě (chemická stabilita, reakční podmínky, nebezpečné produkty rozkladu), reakce na rozlití/únik (včetně likvidace odpadu, degradace/toxicity pro vodní organismy, půdu, vzduch), boj s účinky látky a osobní ochranné prostředky (technické prostředky, rukavice, ochrana dýchacích cest a očí, bezpečnostní obuv, ochranný oděv), požadavky na skladování a manipulaci s látkou (skladování, práce, přeprava), fyzikální vlastnosti látky, environmentální, regulační, doplňující informace. Takové MSDS-karty připravuje výrobce a předává je uživateli/spotřebiteli. Údaje z karet MSDS musí být zahrnuty do pokynů pro ochranu výroby a práce.

Data

Příklady stažení výrobků z důvodu jejich nebezpečnosti

• Apple stáhl přehrávače iPod nano 1G v roce 2009 kvůli riziku výbuchu baterie (http://proit.com.ua/print/?id=20223).
• McDonald's v roce 2010 stáhl ze Spojených států 12 milionů sběratelských sklenic se symboly karikatury Shrek kvůli skutečnosti, že v barvě, kterou byly natřeny, bylo nalezeno kadmium (www.gazeta.ru/news/lenta/... / n_1503285.shtml).
• V roce 2008 skončily tisíce miminek v Číně v nemocnicích poté, co se otrávily umělým mlékem, které obsahovalo melamin. Sanlu vydalo formální omluvu svým spotřebitelům a uvedlo, že dodavatelé mléka přidávají do svých produktů toxické látky (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/ international/newsid_7620000/7620305.stm).
• Francouzský úřad pro bezpečnost zdravotnických produktů požadoval od 1. dubna 2010 stažení jednoho z typů protéz (silikonových implantátů), protože neprošel potřebným testem ( http://www.newsru.co.il/ zdraví/01apr2010/pip301.html).
• Thule nedávno zjistil, že její sada střešního nosiče není dostatečně pevná (pro produkty vyrobené od 1. ledna 2008 do 28. února 2009) kvůli křehkosti přiloženého šroubu. Po interním testování společnosti bylo zjištěno, že šroub v základně nesplňuje bezpečnostní normy společnosti. Vzhledem k vysoké úrovni rizika pro spotřebitele (možné selhání šroubu pod zatížením by mohlo způsobit oddělení nosiče a závaží při pohybu) se společnost Thule rozhodla okamžitě stáhnout produkt z oběhu (http://www2.thulegroup. com/en/Product-Recall /Úvod2/).

Závěr

Odborníci, kteří vyvíjejí bezpečnostní normy, musí věnovat větší pozornost harmonizaci předpisů uplatňovaných v různých oblastech. Použijte například přístupy uvedené v Heisenbergových principech neurčitosti a Bohrově komplementaritě. Kromě toho nezapomínejte na lidské chyby a odstranění organizačních slabin. Zavedení řízení rizik v podnicích pomůže zvýšit úroveň bezpečnosti. V posledních letech se například aktivně vyvíjejí standardy řízení rizik. Studium a aplikace těchto dokumentů rovněž přispívá ke zlepšení kultury bezpečnosti.

Samozřejmě v oblasti bezpečnosti jsou normy, předpisy, normy, pravidla, pokyny nezbytné, ale jejich implementace je neméně důležitá.

Abyste zajistili bezpečnost, musíte znát odpovědi na otázky:

1. Jaká je pravděpodobnost výskytu incidentu?

2. Jaké budou negativní důsledky?

3. Jak je minimalizovat?

4. Jak pokračovat v činnostech během incidentu a po něm?

5. Jaké jsou priority a časové rámce obnovy?

6. Co, jak, kdy a pro koho je třeba udělat?

7. Jaká preventivní opatření by měla být přijata, aby se předešlo / minimalizovalo negativní důsledky?

Reference

1. GOST 12.1.007-76 (1999). SSBT. Škodlivé látky. Klasifikace a obecné požadavky na bezpečnost.

2. GOST 12.1.004-91. SSBT. Požární bezpečnost. Obecné požadavky.

3. GOST 12.2.003-91. SSBT. Výrobní zařízení. Obecné požadavky na bezpečnost.

4. GOST 12.3.002-75 (2000). SSBT. Výrobní proces. Obecné požadavky na bezpečnost.

5. GOST 12.4.011-89. SSBT. Prostředky ochrany pracovníků. Obecné požadavky a klasifikace.

6. GOST R 51898-2002. Aspekty bezpečnosti. Pravidla pro zařazení do norem.

7. GOST R 12.1.052-97. SSBT. Informace o bezpečnosti látek a materiálů (Bezpečnostní list). Základní ustanovení.

8. GOST R ISO 13849-1-2003. Bezpečnost zařízení. Prvky řídicích systémů související s bezpečností. Část 1. Obecné principy návrhu.

9. BS 31100:2008. Řízení rizik - Zásady správné praxe.

10. BS OHSAS 18001:2007. Systémy managementu bezpečnosti a ochrany zdraví při práci. požadavky.

11. CWA 15793:2008. Laboratorní standard řízení biologického rizika.

12. ISO/IEC 51:1999. Bezpečnostní aspekty - Směrnice pro jejich začlenění do norem.

13. ISO/IEC Guide 73:2009. Řízení rizik - Slovní zásoba - Pokyny pro použití v normách.

14. ISO 31000:2009. Řízení rizik - Principy a směrnice.

15. IEC/ISO 31010:2009. Řízení rizik - techniky hodnocení rizik.

16.ISO 15190:2003. Zdravotnické laboratoře - Požadavky na bezpečnost.

17. Důvod J. Lidská chyba. - New York: Cambridge University Press, 1990. - 316 s.

18. Nařízení Evropského parlamentu a Rady (ES) č. 1907/2006 ze dne 18. prosince 2006 o registraci, hodnocení, povolování a omezování chemických látek (REACH), kterým se zřizuje Evropská agentura pro chemické látky, kterým se mění směrnice 1999/45/ES a kterým se zrušuje nařízení Rady (EHS) č. 793/93 a nařízení Komise (ES) č. 1488/94, jakož i směrnice Rady 76/769/EHS a směrnice Komise 91/155/EHS, 93/67/EHS, 93/105 /ES a 2000/21/ES.

ISO/IEC 27001- mezinárodní standard pro informační bezpečnost, který společně vyvinula Mezinárodní organizace pro normalizaci a Mezinárodní elektrotechnická komise. Norma obsahuje požadavky v oblasti informační bezpečnosti na tvorbu, rozvoj a údržbu Systému řízení bezpečnosti informací (ISMS).

Účel normy. Norma ISO/IEC 27001 (ISO 27001) obsahuje popisy nejlepších světových postupů v oblasti řízení bezpečnosti informací. ISO 27001 specifikuje požadavky na systém řízení bezpečnosti informací, aby prokázala schopnost organizace chránit své informační zdroje. Tato mezinárodní norma byla připravena jako model pro vývoj, implementaci, provoz, monitorování, analýzu, údržbu a zlepšování systému řízení bezpečnosti informací (ISMS).

Účel ISMS— výběr vhodných bezpečnostních kontrol určených k ochraně informačních aktiv a zajištění důvěry zúčastněných stran.

Základní pojmy. Informační bezpečnost – zachování důvěrnosti, integrity a dostupnosti informací; kromě toho lze zahrnout další vlastnosti, jako je autenticita, nepopiratelnost, věrohodnost.

Důvěrnost – zajištění toho, aby informace byly dostupné pouze těm, kteří mají příslušné oprávnění (oprávnění uživatelé).

Integrita - zajištění správnosti a úplnosti informací, jakož i způsobů jejich zpracování.

Dostupnost – poskytování přístupu k informacím oprávněným uživatelům v případě potřeby (na vyžádání).

Norma ISO 27001 poskytuje:

definice cílů a pochopení směru a principů činnosti týkající se informační bezpečnosti;

definice přístupů k hodnocení a řízení rizik v organizaci;

řízení informační bezpečnosti v souladu s platnými zákony a předpisy;

využívání jednotného přístupu při tvorbě, implementaci, provozu, monitorování, analýze, podpoře a zlepšování systému řízení tak, aby bylo dosaženo cílů v oblasti informační bezpečnosti;

definování procesů systému řízení bezpečnosti informací;

stanovení stavu opatření k zajištění informační bezpečnosti;

· využití interních a externích auditů ke zjištění míry souladu systému řízení bezpečnosti informací s požadavky normy;

· poskytování adekvátních informací partnerům a dalším zainteresovaným stranám o politice bezpečnosti informací.

Zásady právní úpravy vztahů v oblasti informací, informačních technologií a ochrany informací podle obsahu federálního zákona Ruské federace ze dne 27. července 2006 č. 149-FZ „O informacích, informačních technologiích a ochraně informací“.

Právní úprava vztahů vznikajících v oblasti informací, informačních technologií a ochrany informací je založena na následujících zásadách:

1) svoboda vyhledávat, přijímat, převádět, vytvářet a distribuovat informace jakýmkoli zákonným způsobem;

2) stanovení omezení přístupu k informacím pouze federálními zákony;

3) otevřenost informací o činnosti státních orgánů a samospráv a volný přístup k těmto informacím, s výjimkou případů stanovených federálními zákony;

4) rovnost jazyků národů Ruské federace při vytváření informačních systémů a jejich provozu;

5) zajištění bezpečnosti Ruské federace při vytváření informačních systémů, jejich provozu a ochraně informací v nich obsažených;

6) spolehlivost informací a včasnost jejich poskytování;

7) nedotknutelnost soukromého života, nepřípustnost shromažďování, uchovávání, používání a šíření informací o soukromém životě osoby bez jejího souhlasu;

8) nepřípustnost zakládat regulačními právními akty jakékoli výhody používání některých informačních technologií oproti jiným, pokud povinnost používat určité informační technologie pro tvorbu a provoz státních informačních systémů nestanoví federální zákony.

Strategie národní bezpečnosti Ruské federace do roku 2020“. Struktura, úkoly, metody a způsoby provádění státem jeho funkcí k zajištění informační bezpečnosti v "Doktríně informační bezpečnosti Ruské federace".

Strategie národní bezpečnosti Ruské federace do roku 2020 je oficiálně uznávaný systém strategických priorit, cílů a opatření v oblasti vnitřní a zahraniční politiky, které určují stav národní bezpečnosti a úroveň udržitelného rozvoje státu v dlouhodobém horizontu. .

Doktrína informační bezpečnosti Ruské federace je soubor oficiálních názorů na cíle, cíle, principy a hlavní směry pro zajištění informační bezpečnosti Ruské federace.

Složky národních zájmů Ruské federace v informační sféře v doktríně:

1) Povinné dodržování ústavních lidských práv a svobod v oblasti získávání informací a jejich využívání.

2) Informační podpora státní politiky Ruské federace (přibližování občanům Ruské federace a mezinárodnímu společenství o státní politice Ruské federace, oficiální stanovisko k významným událostem v Rusku a ve světě) s občany přístup k otevřeným státním zdrojům.

3) Rozvoj moderních IT tuzemského průmyslu (prostředky informatizace, telekomunikace a spoje). Poskytování IT pro domácí trh Ruska a přístup na světové trhy.

4) Ochrana informačních zdrojů před neoprávněným přístupem, zajištění bezpečnosti informačních a telekomunikačních systémů.

Typy hrozeb pro informační bezpečnost Ruské federace v doktríně:

1. Ohrožení směřující k ústavním právům a svobodám člověka v oblasti informační činnosti.

2. Ohrožení informační podpory státní politiky Ruské federace.

3. Ohrožení rozvoje moderních IT pro tuzemský průmysl i vstup na domácí a světové trhy.

4. Ohrožení bezpečnosti informačních a telekomunikačních zařízení a systémů.

Metody zajištění informační bezpečnosti Ruské federace v doktríně:

Právní metody

Vývoj regulačních právních aktů upravujících vztahy v oblasti IT

Organizační a technické metody

Vytvoření systému informační bezpečnosti Ruské federace a jeho zdokonalování

Přivést před soud ty, kteří se v této oblasti dopustili zločinů

Vytváření systémů a prostředků k zamezení neoprávněného přístupu ke zpracovávaným informacím

Ekonomické metody

Vývoj programů informační bezpečnosti a jejich financování

Financování prací souvisejících se zajištěním informační bezpečnosti Ruské federace

Za druhé, oba jsou hlavním prostředkem k zajištění vzájemné kompatibility hardwarově-softwarových systémů a jejich komponent.

Za třetí, standardy informační bezpečnosti stojí před obtížným úkolem sladit tři různá hlediska, „výrobce ochrany“, „spotřebitele“ a různé „certifikátory“, a také vytvořit účinný mechanismus pro interakci všech stran.

Spotřebitelé se zajímají o metody, které jim umožní vybrat si produkt, který splňuje jejich potřeby a řeší jejich problémy, což může zahrnovat VPS s operačním systémem Windows Server, pro který potřebují stupnici hodnocení bezpečnosti. A také spotřebitel potřebuje nástroj, pomocí kterého může výrobci formulovat své požadavky. Mnoho spotřebitelů bohužel často nechápe, že bezpečnostní požadavky nutně odporují nejen snadnému použití, ale také rychlosti, ale častěji ukládají určitá omezení kompatibility a zpravidla je nutí opustit široce používané, snadno použitelné, ale méně bezpečné nástroje..

Certifikátoři považují normy za nástroj, který jim pomáhá vyhodnotit bezpečnost a umožňuje spotřebitelům, aby si sami vybrali tu nejlepší volbu.

Jedním z prvních a nejznámějších dokumentů byla tzv. „Oranžová kniha“ vyvinutá v 90. letech jako „kritéria bezpečnosti počítačového systému“ Ministerstva obrany USA. Definuje 4 úrovně zabezpečení, A, B, C, D, kde A je nejvyšší úroveň zabezpečení, na kterou jsou tedy kladeny nejpřísnější požadavky.

Přestože se „Oranžová kniha“ stala jedním z prvních nejznámějších dokumentů, je zřejmé, že každý stát, který chce zajistit svou informační bezpečnost, si vypracoval vlastní dokumentaci – „národní standardy“ v oblasti informační bezpečnosti. Patří mezi ně evropská kritéria pro bezpečnost informačních technologií, kanadská kritéria pro bezpečnost počítačových systémů a také britský Kodex pro řízení informační bezpečnosti, na jehož základě mimochodem vycházejí mezinárodní normy ISO/IEC 17799:2000 (BS 7799-1:2000). V tuto chvíli je k dispozici nejnovější verze normy ISO / IEC 27001: 2013, stejně jako "Vůdčí dokumenty Státní technické komise SSSR" (a později Ruska).

Je třeba poznamenat, že Američané vysoce ocenili činnost Státní technické komise SSSR. Americké publikace psaly, že sovětský orgán pro ochranu informací a potírání technické rozvědky pečlivě studuje vše, co je na Západě známo o Sovětském svazu, a vyvíjí „obrovské množství materiálů, aby zkreslil skutečný obraz“. Komise podle nich dohlíží na všechny vojenské přehlídky a cvičení, kterých se účastní cizinci, na výstavbu raketových základen a kasáren, přičemž úspěchy jsou v některých oblastech záměrně skryté a v jiných značně zveličené, jako je protiraketová obrana. Činnost Státní technické komise v této oblasti přinesla opravdu velmi brzy první ovoce. Jak napsal americký list The New York Times, již v roce 1977 měli Američané v důsledku opatření přijatých v loděnicích a loděnicích SSSR problémy s monitorováním stavby sovětských ponorek.

Výsledky práce Státní technické komise SSSR v sovětském období nebyly pouze zvýšením bezpečnosti informací v podnicích vojensko-průmyslového komplexu a testováním nových typů zbraní na zkušebních místech. Byly provedeny seriózní práce na zajištění bezpečnosti informací zpracovávaných v automatizovaných řídicích systémech a počítačích, zejména byly vytvořeny bezpečné počítačové řídicí systémy a prostředky pro zpracování důvěrných dokumentů k zamezení úniku tajných informací, byly zavedeny komunikační kanály na úrovni státní správy orgány a vrchní velení sovětské armády a mnoho dalšího.

Je třeba také poznamenat, že dříve uvedená úloha norem je také stanovena ve federálním zákoně „o technickém předpisu“ ze dne 27. prosince 2002 N 184-FZ

Je třeba poznamenat, že mezi zásadami normalizace proklamovanými ve zmíněném zákoně je v čl. 7 „Obsah a použití technických předpisů“ zásada aplikace mezinárodní normy jako základu pro vypracování národní normy, s výjimkou případů, kdy taková aplikace je považována za nemožnou z důvodu nesouladu požadavků mezinárodních norem s klimatickými podmínkami a geografickými vlastnostmi, technickými nebo technologickými vlastnostmi nebo z jiných důvodů, nebo pokud se Ruská federace postavila proti přijetí mezinárodní normy nebo zvláštního ustanovení toho.

Článek 7. Ustanovení 8:

Mezinárodní normy by měly být zcela nebo částečně použity jako základ pro vypracování návrhů technických předpisů, s výjimkou případů, kdy by mezinárodní normy nebo jejich části byly neúčinné nebo nevhodné pro dosažení cílů stanovených článkem 6 tohoto federálního zákona, včetně kvůli klimatickým a geografickým zvláštnostem Ruská federace, technickým a (nebo) technologickým zvláštnostem. (ve znění federálního zákona č. 189-FZ ze dne 18. července 2009)
Národní normy Ruské federace mohou být zcela nebo částečně použity jako základ pro vypracování návrhů technických předpisů.

Zvažte například GOST R 53113.2-2009 „Informační technologie (IT). Ochrana informačních technologií a automatizovaných systémů před hrozbami zabezpečení informací implementovanými pomocí skrytých kanálů.

Tato norma představuje nejen obecné schéma fungování skrytých kanálů v automatizovaném systému, pravidla pro generování modelu ohrožení, ale také různá doporučení pro ochranu informací a techniky používané při budování systému informační bezpečnosti, které berou v úvahu přítomnost takové skryté kanály.

Obrázek 1 níže ukazuje obecné schéma provozu skrytých kanálů v automatizovaném systému.

Obrázek 1 - Obecné schéma mechanismu fungování skrytých kanálů v automatizovaném systému

1 - narušitel bezpečnosti (narušitel), jehož účelem je neoprávněný přístup k omezeným informacím nebo neoprávněné ovlivňování automatizovaného systému;
2 - informace o omezeném přístupu nebo kritické funkci;
3 - subjekt s oprávněným přístupem k 2 a 5;
3" - agent narušitele bezpečnosti, umístěný v uzavřené smyčce s 2 a interagující s 2 jménem subjektu 3;
4 - inspektor (software, firmware, hardware nebo osoba), řídící (její) interakci informací 3, překračování uzavřené smyčky oddělující objekt informatizace od vnějšího prostředí;
5 - subjekt mimo uzavřenou smyčku, se kterým 3 provádí autorizovanou informační interakci

Mezi bezpečnostní hrozby, které lze implementovat pomocí skrytých kanálů, patří:

1. Představení malwaru a dat;
2. Předkládání příkazů útočníkem agentovi k provedení;
3. Únik kryptografických klíčů nebo hesel;
4. Únik jednotlivých informačních objektů.

Ochrana informací, informačních technologií a automatizovaných systémů před útoky realizovanými pomocí skrytých kanálů je cyklický proces, který zahrnuje následující kroky, které se opakují při každé iteraci procesu:

1. Analýza rizik pro aktiva organizace, včetně identifikace hodnotných aktiv a posouzení možných důsledků provádění útoků pomocí skrytých kanálů
2. Identifikace skrytých kanálů a posouzení jejich nebezpečnosti pro majetek organizace
3. Implementace ochranných opatření proti skrytým kanálům
4. Organizace kontroly proti působení skrytých kanálů.

Cyklická povaha procesu ochrany před hrozbami informační bezpečnosti realizovaného pomocí skrytých kanálů je určena vznikem nových způsobů budování skrytých kanálů, které nebyly v době předchozích iterací známy.

Na základě posouzení nebezpečnosti skrytých kanálů, s přihlédnutím k výsledkům analýzy rizik, je učiněn závěr o vhodnosti či nevhodnosti působení proti těmto kanálům.

Na základě výsledků identifikace skrytých kanálů je vytvořen akční plán proti hrozbám realizovaným pomocí nich. Tato opatření mohou zahrnovat implementaci některé z již známých (nebo zlepšení stávajících) metod boje proti hrozbám informační bezpečnosti realizovaných pomocí skrytých kanálů.

Jako ochranná opatření se doporučuje použít:

1. Snížení šířky pásma kanálu pro přenos informací;
2. Architektonická řešení pro budování automatizovaných systémů;
3. Sledování účinnosti ochrany automatizovaných systémů.

Výběr metod, jak čelit hrozbám informační bezpečnosti vámi pronajatého serveru VDS, implementovaných pomocí skrytých kanálů a vytvoření plánu jejich implementace, určují odborníci na základě individuálních charakteristik chráněného automatizovaného systému.

Jak je vidět, i krátký výčet norem, zdaleka ne krátký, o předpisech a doporučeních nemluvě, je však nutné mít v této oblasti alespoň základní znalosti, abyste se v nich mohli nejen orientovat, ale i uvést do praxe. potřebné normy.

Jedním z nejdůležitějších problémů a potřeb moderní společnosti je ochrana lidských práv z hlediska jeho zapojení do procesů informační interakce, včetně práva na ochranu osobních (osobních) informací v procesech automatizovaného zpracování informací.

I. N. Malanych, student 6. ročníku VSU

Institut ochrany osobních údajů dnes již není kategorií, kterou lze regulovat pouze vnitrostátním právem. Nejdůležitějším rysem moderních automatizovaných informačních systémů je „nadnárodnost“ řady z nich, jejich „exit“ za hranice států, rozvoj veřejných globálních informačních sítí, jako je internet, vytvoření jednotného informačního prostoru uvnitř takové mezinárodní struktury.

Dnes je v Ruské federaci problém nejen zavést do právní oblasti institut ochrany osobních údajů v rámci automatizovaných informačních procesů, ale také jej uvést do souladu se stávajícími mezinárodními právními standardy v této oblasti.

V mezinárodně právní úpravě institutu ochrany osobních údajů, související s procesy automatizovaného zpracování informací, existují tři hlavní trendy.

1) Deklaraci práva na ochranu osobních údajů jako nedílné součásti základních lidských práv v aktech obecně humanitární povahy přijatých v rámci mezinárodních organizací.

2) Upevnění a úprava práva na ochranu osobních údajů v regulačních aktech Evropské unie, Rady Evropy, částečně Společenství nezávislých států a některých regionálních mezinárodních organizací. Tato třída norem je nejuniverzálnější a přímo se týká práv na ochranu osobních údajů v procesech automatizovaného zpracování informací.

3) Začlenění norem o ochraně důvěrných informací (včetně osobních informací) do mezinárodních smluv.

První metoda - historicky se objevila dříve než ostatní. V moderním světě jsou práva a svobody na informace nedílnou součástí základních lidských práv.

Všeobecná deklarace lidských práv z roku 1948 hlásá: „Nikdo nesmí být vystaven svévolnému zasahování do svého soukromého a rodinného života, svévolným útokům na... tajemství své korespondence“ a dále: „Každý má právo na ochranu zákon proti takovému zásahu nebo takovým útokům.“ Mezinárodní pakt o občanských a politických právech z roku 1966 deklaraci v této části opakuje. Evropská úmluva z roku 1950 toto právo podrobně popisuje: „Každý má právo na svobodu projevu. Toto právo zahrnuje svobodu zastávat názory a přijímat a rozšiřovat informace a myšlenky bez zasahování veřejných orgánů a bez ohledu na hranice.“

Uvedené mezinárodní dokumenty upravují informační práva osoby.

V současné době se na mezinárodní úrovni vytvořil stabilní systém názorů na lidská práva na informace. Obecně se jedná o právo na informace, právo na soukromí z hlediska ochrany informací o nich, právo na ochranu informací jak z hlediska bezpečnosti státu, tak z hlediska bezpečnosti podnikání, včetně finanční činnosti.

Druhý způsob - podrobnější úprava práva na ochranu osobních údajů je spojena se stále se zvyšující intenzitou zpracování osobních údajů v posledních letech pomocí automatizovaných počítačových informačních systémů. V posledních desetiletích byla v rámci řady mezinárodních organizací přijata řada mezinárodních dokumentů, které rozvíjejí základní informační práva v souvislosti s intenzifikací přeshraniční výměny informací a využíváním moderních informačních technologií. Mezi takové dokumenty patří:

Rada Evropy v roce 1980 vypracovala Evropskou úmluvu o ochraně jednotlivců s ohledem na automatické zpracování osobních údajů, která vstoupila v platnost v roce 1985. Úmluva definuje shromažďování a zpracování osobních údajů, zásady uchovávání a přístupu k těmto údajům. dat, způsoby fyzické ochrany dat. Úmluva zaručuje dodržování lidských práv při shromažďování a zpracování osobních údajů, zásady uchovávání a přístupu k těmto údajům, způsoby fyzické ochrany údajů a dále zakazuje zpracování údajů o rase, politických názorech, zdravotním stavu, náboženském vyznání. bez patřičných právních důvodů. Rusko se připojilo k Evropské úmluvě v listopadu 2001.

Problematiku ochrany osobních údajů v Evropské unii upravuje celá řada dokumentů. V roce 1979 bylo přijato usnesení Evropského parlamentu „O ochraně práv jednotlivce v souvislosti s pokrokem informatizace“. Usnesení vyzvalo Radu a Komisi Evropských společenství k vypracování a přijetí právních aktů o ochraně osobních údajů v souvislosti s technologickým pokrokem v oblasti informatiky. V roce 1980 byla přijata Doporučení Organizace pro spolupráci členských států Evropské unie „O směrnicích pro ochranu soukromí při mezistátní výměně osobních údajů“. V současné době je problematika ochrany osobních údajů podrobně upravena směrnicemi Evropského parlamentu a Rady Evropské unie. Jedná se o směrnice Evropského parlamentu a Rady Evropské unie č. 95/46/ES a č. 2002/58/ES ze dne 24. října 1995 „O ochraně práv fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů“, Směrnice Evropského parlamentu a Rady Evropské unie č. 97/66/ES ze dne 15. prosince 1997 o nakládání s osobními údaji a ochraně soukromí v oblasti telekomunikací a dalších dokumentů.

Akty Evropské unie se vyznačují podrobným studiem zásad a kritérií pro automatizované zpracování údajů, práv a povinností subjektů a držitelů osobních údajů, problematiky jejich přeshraničního předávání, jakož i odpovědnosti a sankcí za způsobení poškození. V souladu se směrnicí č. 95/46/ES byla v Evropské unii zřízena Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním jejich osobních údajů. Má statut poradního orgánu a působí jako nezávislá struktura. Pracovní skupina se skládá ze zástupce orgánu zřízeného každým členským státem za účelem dohledu nad dodržováním ustanovení směrnice na jeho území, zástupce orgánu nebo orgánů zřízených pro orgány a struktury Společenství a zástupce Evropská komise.

V rámci Organizace pro hospodářskou spolupráci a rozvoj (OECD) platí „Směrnice pro ochranu soukromí a mezinárodní výměnu osobních údajů“, která byla přijata 23. září 1980. V preambuli této směrnice se uvádí: „... členské země OECD považovaly za nezbytné vypracovat Směrnice, které by mohly pomoci sjednotit národní zákony na ochranu soukromí a při respektování příslušných lidských práv by zároveň neumožňovaly blokování mezinárodní výměny dat . ...". Tato ustanovení se ve veřejném i soukromém sektoru vztahují na osobní údaje, které buď v souvislosti s postupem jejich zpracování nebo v souvislosti s jejich povahou či kontextem jejich použití, představují riziko narušení soukromí a svobod jednotlivce. Definuje potřebu poskytovat osobní údaje náležitými mechanismy na ochranu před riziky spojenými s jejich ztrátou, zničením, změnou nebo zveřejněním, neoprávněným přístupem. Rusko se bohužel této organizace neúčastní.

Meziparlamentní shromáždění států – členové SNS 16. října 1999 byl přijat vzorový zákon „O osobních údajích“.

Podle zákona "Osobní údaje" - informace (upevněné na hmotném nosiči) o konkrétní osobě, která je identifikována nebo s ní lze identifikovat. Osobní údaje zahrnují biografické a identifikační údaje, osobní charakteristiky, informace o rodině, sociálním postavení, vzdělání, profesi, služebním a finančním postavení, zdravotním stavu a další. Zákon dále uvádí zásady právní úpravy osobních údajů, formy státní regulace operací s osobními údaji, práva a povinnosti subjektů a držitelů osobních údajů.

Zdá se, že zvažovaný druhý způsob normativní úpravy ochrany osobních údajů v mezinárodních právních aktech je pro analýzu nejzajímavější. Normy této třídy nejen přímo upravují sociální vztahy v této oblasti, ale přispívají i k přibližování legislativy členských zemí k mezinárodním standardům, a tím zajišťují účinnost těchto norem na jejich území. Je tak zajištěna i garance práv na informace zakotvených ve Všeobecné deklaraci lidských práv ve smyslu „práva na ochranu práva před ... zásahy nebo ... zásahy“ deklarovaného v čl. 12 této Všeobecné deklarace lidských práv. .

Třetím způsobem, jak sjednotit pravidla o ochraně osobních údajů, je zajistit jejich právní ochranu v mezinárodních smlouvách.

Články o výměně informací jsou obsaženy v mezinárodních smlouvách o právní pomoci, o zamezení dvojího zdanění, o spolupráci v určité sociální a kulturní oblasti.

Podle Čl. 25 Smlouvy mezi Ruskou federací a Spojenými státy o zamezení dvojího zdanění a zabránění daňovým únikům v oblasti daní z příjmu a majetku jsou státy povinny poskytovat informace zakládající služební tajemství. Smlouva mezi Ruskou federací a Indickou republikou o vzájemné právní pomoci v trestních věcech obsahuje článek 15 „Důvěrnost“: dožádaná strana může požadovat důvěrnost předávaných informací. Praxe uzavírání mezinárodních smluv svědčí o vůli smluvních států dodržovat mezinárodní standardy ochrany osobních údajů.

Zdá se, že nejúčinnějším mechanismem regulace této instituce na mezinárodně právní úrovni je zveřejňování speciálních regulačních dokumentů v rámci mezinárodních organizací. Tento mechanismus nejen přispívá k odpovídající vnitřní úpravě aktuálních problémů ochrany osobních údajů v rámci těchto organizací zmíněných na začátku článku, ale má také příznivý vliv na národní legislativu zúčastněných zemí.