• استانداردهای بین المللی برای امنیت اطلاعات استانداردهای اساسی ایمنی انواع تهدیدات برای امنیت اطلاعات فدراسیون روسیه در دکترین

    V.V. تیخوننکورئیس اتحادیه متخصصان و کارشناسان کیفیت (کیف، اوکراین)، دکتری، مدیر کل ECTC "VATT"

    در این مقاله شرحی از استانداردهای اصلی امنیت ملی و بین المللی ارائه شده است. تعاریف اصطلاحات «ایمنی»، «خطر»، «ریسک» در نظر گرفته شده است. مفروضاتی در مورد امکان استفاده از اصول عدم قطعیت هایزنبرگ و اصول مکمل بودن بور برای توصیف خطرات مطرح شده است.

    "امنیت" چیست؟

    اطمینان از ایمنی یکی از مهم ترین الزاماتی است که همه در همه جا و همیشه باید رعایت کنند، زیرا هر فعالیتی بالقوه خطرناک است. امنیت با ریسک مرتبط است (آنها به یکدیگر وابسته هستند). تعاریف این مفاهیم ارائه شده در استانداردها را در نظر بگیرید.

    ایمنی- بدون خطر غیرقابل قبول

    خطرمنبع بالقوه آسیب است.

    خطر- اثر عدم قطعیت اهداف.

    بنابراین، امنیت به هیچ وجه با عدم وجود خطر، بلکه تنها با عدم وجود ریسک غیرقابل قبول مشخص می شود. استانداردها ریسک قابل تحمل را به عنوان "توازن بهینه بین ایمنی و الزاماتی که یک محصول، فرآیند یا خدمات باید برآورده کند، و همچنین عواملی مانند سود کاربر، اثربخشی هزینه، سفارشی و غیره" تعریف می‌کنند. این استاندارد که اغلب توسط شرکت ها مورد استفاده قرار می گیرد، ریسک قابل تحمل (قابل قبول) را به این صورت تعریف می کند: "خطر کاهش می یابد تا سطحی که یک سازمان بتواند با توجه به تعهدات قانونی و خط مشی خود در زمینه بهداشت و ایمنی شغلی تحمل کند."

    استانداردها راه های کاهش ریسک (به ترتیب اولویت) را تنظیم می کنند:

    • توسعه یک پروژه ایمن؛
    • وسایل حفاظتی و تجهیزات حفاظت فردی (اینها تجهیزات حفاظتی جمعی و فردی هستند - ویرایش).
    • اطلاعات نصب و برنامه؛
    • تحصیلات.

    انواع استانداردهای امنیتی

    با توجه به انواع زیر از استانداردهای امنیتی می توان:

    • اساسی، از جمله مفاهیم اساسی، اصول و الزامات مربوط به جنبه های اصلی امنیت. این استانداردها برای طیف وسیعی از محصولات، فرآیندها و خدمات اعمال می شود.
    • گروه، حاوی جنبه های ایمنی قابل اعمال برای چندین نوع یا برای خانواده ای از انواع محصولات، فرآیندها یا خدمات مرتبط. این اسناد به استانداردهای اساسی ایمنی اشاره می کنند.
    • استانداردهای ایمنی محصول که شامل جنبه های ایمنی یک نوع یا خانواده خاص از محصولات، فرآیندها یا خدمات می شود. در این اسناد به استانداردهای بنیادی و گروهی اشاره شده است.
    • استانداردهای محصول شامل، اما نه محدود به، جنبه های ایمنی. آنها باید به استانداردهای ایمنی اساسی و گروهی اشاره کنند. جدول نمونه هایی از استانداردهای بین المللی مربوط به انواع ذکر شده را ارائه می دهد. می توانید خواندن جدول را توصیه کنید. 1 استاندارد، که اسناد نظارتی بین المللی، اروپایی و روسی را شامل الزامات ویژگی های عملکرد ایمنی را مشخص می کند.

    تنظیم الزامات ایمنی در مقررات / استانداردها باید بر اساس تجزیه و تحلیل خطر آسیب به افراد، اموال یا محیط زیست یا ترکیبی از آنها، همانطور که استانداردها می گویند، باشد. شکل به صورت شماتیک ریسک های اصلی شرکت را نشان می دهد که استانداردهای مدیریت ریسک را نشان می دهد.

    این امکان وجود دارد که توابع دلتای دیراک و توابع Heaviside برای توصیف و تحلیل خطرات و خطرات مورد استفاده قرار گیرند، زیرا انتقال از ریسک قابل قبول به غیرقابل قبول ناگهانی است.

    اصول و ابزارهای امنیتی

    از لحاظ نظری، اصول امنیتی زیر را می توان متمایز کرد:

    • مدیریتی (کفایت، کنترل، بازخورد، مسئولیت، برنامه ریزی، تحریک، مدیریت، کارایی)؛
    • سازمانی (محافظت با زمان، اطلاعات، افزونگی، ناسازگاری، سهمیه بندی، استخدام، سازگاری، ارگونومی)؛
    • فنی (مسدود کردن، جاروبرقی، آب بندی، حفاظت از راه دور، فشرده سازی، استحکام، پیوند ضعیف، بلغم، محافظ)؛
    • جهت دهی (فعالیت های اپراتور، جایگزینی اپراتور، طبقه بندی، حذف خطر، ثبات، کاهش ریسک).

    بگذارید با جزئیات بیشتری در مورد اصل طبقه بندی (رده بندی) صحبت کنیم. این شامل تقسیم اشیاء به کلاس ها و دسته ها بر اساس علائم مرتبط با خطرات است. به عنوان مثال: مناطق حفاظت بهداشتی (5 کلاس)، دسته های تولید (محل) برای خطر انفجار (A، B، C، D، E)، دسته ها / طبقات طبق دستورالعمل های ATEX (3 دسته تجهیزات، 6 منطقه)، خطر زباله کلاس ها (5 کلاس - در روسیه، 4 کلاس - در اوکراین)، کلاس های خطر مواد (4 کلاس)، کلاس های خطر برای حمل و نقل کالاهای خطرناک (9 کلاس) و غیره.

    اطلاعات

    بر اساس محاسبات هاینریش، برای یک تصادف مرگبار، حدود 30 جراحت با عواقب کمتر جدی و حدود 300 حادثه دیگر وجود دارد که می تواند تقریباً نادیده گرفته شود. در عین حال، هزینه های غیرمستقیم اقتصادی از بین بردن پیامدها چهار برابر بیشتر از هزینه های مستقیم است.

    ارجاع

    حدود 20٪ از تمام حوادث نامطلوب مربوط به خرابی تجهیزات و 80٪ با خطای انسانی است که 70٪ از خطاها ناشی از ضعف های پنهان سازمانی است (خطاها پنهان بودند، هیچ پاسخی به آنها وجود نداشت) و حدود 30٪ با یک کارگر منفرد مرتبط بودند.

    برنج. ریسک های شرکت (مثال) و استانداردهای قابل اجرا

    یادداشت:

    ECO - استانداردهای ارزش گذاری اروپا (گروه اروپایی ارزیابی کنندگان TEGoVA)؛

    IVS - استانداردهای بین المللی ارزش گذاری (ملاک)؛

    IFRS - استانداردهای بین المللی گزارشگری مالی (IFRS)؛

    بازل II - موافقتنامه "همگرایی بین المللی اندازه گیری سرمایه و استانداردهای سرمایه: رویکردهای جدید" کمیته بازل در مورد نظارت بانکی.

    BRC - استانداردهای جهانی کنسرسیوم خرده فروشی بریتانیا (استانداردهای کنسرسیوم تجارت بریتانیا).

    COBIT - اهداف کنترل برای اطلاعات و فناوری های مرتبط ("مشکلات اطلاعات و فناوری های مرتبط" - بسته ای از اسناد باز، حدود 40 استاندارد بین المللی و ملی و دستورالعمل در زمینه مدیریت فناوری اطلاعات، حسابرسی و امنیت فناوری اطلاعات). COSO - کمیته سازمان های حامی کمیسیون ترد وی (استاندارد کمیته سازمان های حامی کمیسیون ترد وی).

    FERMA - فدراسیون انجمن های مدیریت ریسک اروپا (استاندارد فدراسیون انجمن های مدیریت ریسک اروپا)؛ GARP - انجمن جهانی متخصصان ریسک (استاندارد انجمن متخصصان ریسک)؛

    IFS - استانداردهای ویژه بین المللی (استانداردهای بین المللی برای تولید و فروش محصولات غذایی)؛

    ISO / PAS 28000 - مشخصات سیستم های مدیریت امنیتی برای زنجیره تامین (سیستم های مدیریت امنیت زنجیره تامین. مشخصات).

    NIST SP 800-30 - راهنمای مدیریت ریسک برای سیستم های فناوری اطلاعات.

    جدول. استانداردهای ایمنی (مثال)

    نوع استانداردها

    نمونه هایی از استانداردها

    استانداردهای اساسی

    ISO 31000 Risk management - Principles and Guidelines (Risk management. Principles and Guidelines);

    IEC/ISO 31010 مدیریت ریسک - تکنیک های ارزیابی ریسک

    BS 31100 مدیریت ریسک. BS 25999 مدیریت تداوم کسب و کار (قسمت 1، قسمت 2) (مدیریت تداوم کسب و کار، بخش 1، 2).

    IEC 61160 مدیریت ریسک. بررسی رسمی طراحی (مدیریت ریسک. تحلیل رسمی پروژه).

    BS OHSAS 18001 سیستم های مدیریت ایمنی و بهداشت شغلی. الزامات. (سیستم های مدیریت ایمنی و بهداشت شغلی. الزامات).

    GS-R-1 زیرساخت های قانونی و دولتی برای ایمنی هسته ای، تشعشعی، زباله های رادیواکتیو و حمل و نقل. الزامات (زیرساخت های قانونی و دولتی برای ایمنی هسته ای و تشعشعی، ایمنی زباله های رادیواکتیو و حمل و نقل). ISO 22000:2005 سیستم های مدیریت ایمنی مواد غذایی - الزامات برای هر سازمان در زنجیره غذایی

    استانداردهای گروهی

    ISO 14121 ایمنی ماشین آلات - ارزیابی ریسک

    ISO 12100 ایمنی ماشین آلات - مفاهیم اساسی، اصول کلی برای طراحی

    مفاهیم اساسی، اصول اساسی برای طراحی)؛

    ISO 13849 ایمنی ماشین آلات - قطعات مرتبط با ایمنی سیستم های کنترل

    دستورالعمل ATEX 95 94/9/EC، تجهیزات و سیستم های حفاظتی در نظر گرفته شده برای استفاده در جوهای بالقوه انفجاری

    دستورالعمل ATEX 137 99/92/EC، حداقل الزامات برای بهبود ایمنی و حفاظت از سلامت کارگران به طور بالقوه در معرض خطر از جو مواد انفجاری.

    IEC 62198 مدیریت ریسک پروژه - دستورالعمل های کاربردی

    ISO 15190 آزمایشگاه های پزشکی - الزامات ایمنی

    ISO 14971 دستگاه های پزشکی - کاربرد مدیریت ریسک در دستگاه های پزشکی

    ISO 14798 آسانسورها (آسانسور)، پله برقی و پیاده روی متحرک - روش ارزیابی و کاهش ریسک ISO 15408 فناوری اطلاعات - تکنیک های امنیتی - معیارهای ارزیابی امنیت فناوری اطلاعات

    استانداردهای ایمنی محصول

    ISO 10218 ربات برای محیط های صنعتی - الزامات ایمنی

    IEC 61010-1:2001 الزامات ایمنی برای تجهیزات الکتریکی برای اندازه گیری، کنترل و استفاده آزمایشگاهی - قسمت 1: الزامات عمومی

    IEC 60086-4:2000-باتری های اولیه-بخش 4: ایمنی باتری های لیتیومی. (باتری های اولیه. قسمت 4: ایمنی باتری های لیتیومی).

    EC 61199 لامپ های فلورسنت تک سرپوش. مشخصات ایمنی (لامپ های فلورسنت تک سر. الزامات ایمنی).

    IEC 60335 لوازم برقی خانگی و مشابه - ایمنی

    IEC 60065 صوتی، تصویری و دستگاه های الکترونیکی مشابه - الزامات ایمنی EN 692 Mechanical Presses - Safety (Mechanical Presses. Safety); EN 50088 ایمنی اسباب بازی های الکتریکی

    استانداردهای محصول

    استانداردهای کمیسیون Codex Alimentarius. (استانداردهای کمیسیون Codex Alimentarius برای محصولات CODEX STAN 12-1981، CODEX STAN 13-1981، و غیره)؛

    سیلندرهای گاز ISO 3500:2005 - سیلندرهای CO2 فولادی بدون درز برای تاسیسات آتش نشانی ثابت در کشتی ها

    سیلندرهای گاز ISO 4706:2008 - سیلندرهای فولادی جوش داده شده قابل شارژ مجدد - فشار تست 60 بار و کمتر EN 13109:2002 مخازن LPG. Disposa (سیلندرهای گاز مایع. استفاده); EN 13807:2003 سیلندرهای گاز قابل حمل. وسایل نقلیه باتری دار طراحی، ساخت، شناسایی و آزمایش (سیلندرهای گاز قابل حمل. خودروهای باطری. طراحی، ساخت، شناسایی و آزمایش); GOST 10003-90. استایرن. مشخصات فنی؛ GOST 10007-80. فلوئوروپلاست-4. مشخصات فنی؛

    GOST 10121-76. روغن ترانسفورماتور تصفیه انتخابی. مشخصات فنی؛ GOST 10037-83. اتوکلاو برای صنعت ساختمان. مشخصات فنی

    تجهیزات امنیتی به تجهیزات حفاظت جمعی (SKZ) و تجهیزات حفاظت فردی (PPE) تقسیم می شوند. به نوبه خود، SKZ و PPE بسته به ماهیت خطرات، طراحی، محدوده و غیره به گروه هایی تقسیم می شوند.

    استانداردهای ایمنی پایه

    در اتحادیه اروپا، الزامات ارزیابی ریسک شغلی در موارد زیر آمده است:

    • دستورالعمل 89/391/EEC (الزامات برای معرفی ارزیابی ریسک شغلی در کشورهای عضو اتحادیه اروپا)؛
    • دستورالعمل های اتحادیه اروپا در مورد ایمنی در محل کار (89/654/EEC، 89/655/EEC، 89/656/EEC، 90/269/EEC، 90/270/EEC، 1999/92/EC، و غیره) و در مورد حفاظت از کارگران در برابر خطرات شیمیایی، فیزیکی و بیولوژیکی، مواد سرطان زا و جهش زا (98/24/EC, 2000/54/EC, 2002/44/EC, 2003/10/EC, 2004/40/EC, 2004/37/EC و غیره) دستورالعمل های اتحادیه اروپا ATEX نیز جایگاه ویژه ای در زمینه ایمنی دارند - یکی برای تولید کنندگان و دیگری برای کاربران تجهیزات:
    • "تجهیزات ATEX 95" (دستورالعمل 94/9/EC) - تجهیزات و سیستم های حفاظتی در نظر گرفته شده برای استفاده در جوهای بالقوه انفجاری؛
    • "ATEX 137 Workplace" (دستورالعمل 1999/92/EC) حداقل الزامات برای بهبود ایمنی، سلامت و ایمنی کارگرانی است که به طور بالقوه در معرض خطر از جوهای انفجاری هستند.

    با توجه به اهمیت ارزیابی ریسک شغلی برای ایمنی شغلی در محیط کار، آژانس اروپایی سلامت و ایمنی کارگران راهنمای ارزیابی ریسک در محل کار را در سال 1996 منتشر کرد و به طور مداوم در حال افزودن مثال های مفید بسیاری برای شناسایی خطرات در ارزیابی ریسک های حرفه ای است.

    به طور کلی، الزامات دستورالعمل REACH اروپا نیز با هدف اطمینان از ایمنی است. این سیستم مبتنی بر مدیریت خطرات مرتبط با مواد موجود در ترکیبات شیمیایی و در برخی موارد در محصولات است.

    جایگاه مهمی توسط استانداردهای سیستم کار ایمن (GOST SSBT) اشغال شده است. اینها اسناد یک سیستم خوش ساخت است که در چند کشور جهان وجود دارد. بنابراین ایمنی تجهیزات تکنولوژیکی باید با GOST 12.2.003، ایمنی فرآیندهای تکنولوژیکی - GOST 12.3.002 مطابقت داشته باشد. و اگر مواد خطرناک تولید، ذخیره و استفاده شود، الزامات ایمنی مطابق با GOST 12.1.007 تعیین می شود. سیستم های امنیتی (دستگاه ها، عناصر) باید با GOST 12.4.011 و در صورت آتش سوزی و انفجار - همچنین با GOST 12.1.004 مطابقت داشته باشند.

    الزامات ایمنی ساختمان ها / سازه ها توسط قوانین و مقررات ساختمانی تعیین می شود.

    استانداردها و مقررات پزشکی نیز از اهمیت بالایی برخوردار هستند (GMP - Good Manufacturing Practice، GLP - Good Laboratory Practice، GDP - Good Distribution Practice، GPP - Good Pharmacy Practice و غیره).

    استانداردهای ایمنی مواد غذایی توسط کمیسیون Codex Alimentarius تعیین می شود. همچنین مقررات ایمنی در دامپزشکی، تولید محصولات زراعی وجود دارد.

    توسعه فضانوردی و انرژی هسته ای، پیچیدگی فناوری هوانوردی منجر به این واقعیت شد که مطالعه ایمنی سیستم به عنوان یک حوزه مستقل مستقل از فعالیت مشخص شد (به عنوان مثال، آژانس بین المللی انرژی اتمی ساختار جدیدی از ایمنی را منتشر کرد. استانداردها: GS-R-1 "زیرساخت های قانونی و دولتی برای ایمنی هسته ای و تشعشعی، ایمنی زباله های رادیواکتیو و حمل و نقل"). در سال 1969، وزارت دفاع ایالات متحده استاندارد MILSTD-882 "Systems, Subsystems, and Equipment Reliability Program" را پذیرفت. این الزامات را برای تمام پیمانکاران صنعتی برای برنامه های نظامی تعیین می کند.

    اسناد مهم برگه های اطلاعات ایمنی مواد هستند (کارت های MSDS - برگه های اطلاعات ایمنی مواد). MSDS معمولاً شامل بخش‌های زیر است: جزئیات محصول، ترکیبات خطرناک، اثرات بالقوه سلامت (تماس با پوست، قرار گرفتن در معرض بلع، محدودیت‌های دوز، اثر تحریک‌کننده، اثر محرک، اثر تقویت‌کننده متقابل در تماس با سایر مواد شیمیایی، قرار گرفتن در معرض کوتاه‌مدت، قرار گرفتن در معرض طولانی‌مدت ، اثرات بر تولید مثل، جهش زایی، سرطان زایی)، روش کمک های اولیه (در صورت تماس با پوست، چشم، معده، استنشاق)، خطر آتش سوزی و انفجار (اشتعال پذیری / قابل اشتعال - در چه شرایطی، روش های دستورالعمل اطفاء حریق، محصولات احتراق خطرناک) داده های واکنش پذیری (پایداری شیمیایی، شرایط واکنش، محصولات تجزیه خطرناک)، پاسخ نشت/نشتی (از جمله دفع زباله، تخریب/سمیت برای آبزیان، خاک، هوا)، مبارزه با اثرات ماده و تجهیزات حفاظت فردی (تجهیزات فنی، دستکش، محافظ تنفسی و چشم، کفش ایمنی، لباس محافظ)، الزامات نگهداری و جابجایی مواد (نگهداری، کار، حمل و نقل)، مشخصات فیزیکی ماده، محیطی، نظارتی، اطلاعات اضافی. چنین کارت های MSDS توسط سازنده تهیه و به کاربر/مصرف کننده تحویل داده می شود. داده های کارت های MSDS باید در دستورالعمل های تولید و حفاظت از کار گنجانده شود.

    داده ها

    نمونه هایی از فراخوان محصولات به دلیل خطر آن ها

    • اپل در سال 2009 پخش کننده های iPod nano 1G را به دلیل خطر انفجار باتری (http://proit.com.ua/print/?id=20223) فراخواند.
    • مک دونالد در سال 2010، 12 میلیون عینک کلکسیونی با نمادهای کارتون شرک در ایالات متحده را به دلیل یافتن کادمیوم در رنگی که با آن نقاشی شده بود، فراخوانی کرد (www.gazeta.ru/news/lenta/... / n_1503285.shtml).
    • در سال 2008، هزاران نوزاد در چین پس از مسمومیت با شیر خشک که حاوی ملامین بود، به بیمارستان‌ها رفتند. سانلو یک عذرخواهی رسمی از مصرف کنندگان خود صادر کرد و بیان کرد که تامین کنندگان شیر مواد سمی را به محصولات خود اضافه کردند (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/ international/newsid_7620000/7620305.stm).
    • دفتر ایمنی فرآورده های پزشکی فرانسه از اول آوریل 2010 به دلیل عدم قبولی در تست لازم، یکی از انواع پروتزها (ایمپلنت های سیلیکونی) را ملزم به فراخوانی کرد (http://www.newsru.co.il/). health/01apr2010/pip301.html).
    • Thule اخیراً کشف کرده است که کیت قفسه سقف آن به اندازه کافی قوی نیست (برای محصولات تولید شده بین 1 ژانویه 2008 تا 28 فوریه 2009) به دلیل شکنندگی پیچ موجود. پس از تست داخلی توسط شرکت، مشخص شد که پیچ موجود در پایه استانداردهای ایمنی شرکت را ندارد. با توجه به سطح بالای خطر برای مصرف کنندگان (شکست احتمالی پیچ در زیر بار می تواند باعث جدا شدن قفسه و وزن در حین حرکت شود)، Thule تصمیم گرفته است که فوراً محصول را از گردش خارج کند (http://www2.thulegroup. com/en/Product-Recall /Introduction2/).

    نتیجه

    متخصصانی که استانداردهای ایمنی را تدوین می کنند باید به هماهنگ سازی مقررات اعمال شده در زمینه های مختلف توجه بیشتری داشته باشند. برای مثال، از رویکردهای مطرح شده در اصول عدم قطعیت هایزنبرگ و مکمل بودن بور استفاده کنید. علاوه بر این خطاهای انسانی و رفع نقاط ضعف سازمانی را فراموش نکنید. معرفی مدیریت ریسک در شرکت ها به افزایش سطح امنیت کمک می کند. به عنوان مثال، در سال های اخیر، استانداردهای مدیریت ریسک به طور فعال توسعه یافته است. مطالعه و به کارگیری این اسناد نیز به بهبود فرهنگ ایمنی کمک می کند.

    البته در حوزه امنیت، استانداردها، مقررات، هنجارها، ضوابط، دستورالعمل ها ضروری است، اما اجرای آنها کم اهمیت نیست.

    برای اطمینان از امنیت، باید پاسخ سوالات را بدانید:

    1. احتمال وقوع حادثه چقدر است؟

    2. پیامدهای منفی آن چه خواهد بود؟

    3. چگونه آنها را به حداقل برسانیم؟

    4. چگونه می توان فعالیت ها را در حین و بعد از حادثه ادامه داد؟

    5. اولویت ها و چارچوب های زمانی بازیابی چیست؟

    6. چه، چگونه، چه زمانی و برای چه کسی باید انجام شود؟

    7. چه اقدامات پیشگیرانه ای برای پیشگیری/به حداقل رساندن پیامدهای منفی باید انجام شود؟

    منابع

    1. GOST 12.1.007-76 (1999). SSBT. مواد مضر. طبقه بندی و الزامات ایمنی عمومی

    2. GOST 12.1.004-91. SSBT. ایمنی آتش. الزامات کلی.

    3. GOST 12.2.003-91. SSBT. تجهیزات تولید. الزامات ایمنی عمومی

    4. GOST 12.3.002-75 (2000). SSBT. فرآیندهای تولید الزامات ایمنی عمومی

    5. GOST 12.4.011-89. SSBT. وسایل حفاظتی برای کارگران الزامات عمومی و طبقه بندی.

    6. GOST R 51898-2002. جنبه های امنیتی. قوانین گنجاندن در استانداردها

    7. GOST R 12.1.052-97. SSBT. اطلاعات مربوط به ایمنی مواد و مواد (برگ اطلاعات ایمنی). مقررات اساسی

    8. GOST R ISO 13849-1-2003. ایمنی تجهیزات. عناصر سیستم های کنترل مرتبط با ایمنی. قسمت 1. اصول کلی طراحی.

    9. BS 31100:2008. مدیریت ریسک - آیین نامه عمل.

    10. BS OHSAS 18001:2007. سیستم های مدیریت ایمنی و بهداشت شغلی الزامات.

    11. CWA 15793:2008. استاندارد مدیریت بیوریسک آزمایشگاهی

    12. ISO/IEC 51:1999. جنبه های ایمنی - دستورالعمل هایی برای گنجاندن آنها در استانداردها.

    13. ISO/IEC Guide 73:2009. مدیریت ریسک - واژگان - رهنمودهایی برای استفاده در استانداردها.

    14. ISO 31000:2009. مدیریت ریسک - اصول و دستورالعمل ها.

    15. IEC/ISO 31010:2009. مدیریت ریسک - تکنیک های ارزیابی ریسک.

    16.ISO 15190:2003. آزمایشگاه های پزشکی - الزامات ایمنی.

    17. دلیل J. خطای انسانی. - نیویورک: انتشارات دانشگاه کمبریج، 1990. - 316 ص.

    18. مقررات (EC) شماره 1907/2006 پارلمان اروپا و شورای 18 دسامبر 2006 در مورد ثبت، ارزیابی، مجوز و محدودیت مواد شیمیایی (REACH)، ایجاد آژانس شیمیایی اروپا، اصلاح دستورالعمل 1999/45/EC و لغو مقررات شورای (EEC) شماره 793/93 و مقررات کمیسیون (EC) شماره 1488/94 و همچنین دستورالعمل شورای 76/769/EEC و دستورالعمل های کمیسیون 91/155/EEC، 93/67/EEC، 93/105 /EC و 2000/21/EC.

    ISO/IEC 27001- یک استاندارد بین المللی برای امنیت اطلاعات که به طور مشترک توسط سازمان بین المللی استاندارد و کمیسیون بین المللی الکتروتکنیک توسعه یافته است. این استاندارد شامل الزاماتی در زمینه امنیت اطلاعات برای ایجاد، توسعه و نگهداری سیستم مدیریت امنیت اطلاعات (ISMS) است.

    هدف استاندارداستاندارد ISO/IEC 27001 (ISO 27001) حاوی توضیحاتی از بهترین شیوه های جهان در زمینه مدیریت امنیت اطلاعات است. ISO 27001 الزامات یک سیستم مدیریت امنیت اطلاعات را برای نشان دادن توانایی سازمان در حفاظت از منابع اطلاعاتی خود مشخص می کند. این استاندارد بین المللی به عنوان مدلی برای توسعه، پیاده سازی، بهره برداری، نظارت، تجزیه و تحلیل، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات (ISMS) تهیه شده است.

    هدف ISMS- انتخاب کنترل‌های امنیتی مناسب که برای محافظت از دارایی‌های اطلاعاتی و اطمینان از اطمینان ذینفعان طراحی شده‌اند.

    مفاهیم اساسی.امنیت اطلاعات - حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات؛ علاوه بر این، ویژگی های دیگری مانند اصالت، عدم انکار، اعتبار را می توان گنجاند.

    محرمانه بودن - اطمینان از اینکه اطلاعات فقط در دسترس کسانی است که دارای اختیارات مناسب (کاربران مجاز) هستند.

    صداقت - اطمینان از صحت و کامل بودن اطلاعات و همچنین روش های پردازش آن.

    در دسترس بودن - ارائه دسترسی به اطلاعات برای کاربران مجاز در صورت لزوم (در صورت تقاضا).

    استاندارد ISO 27001 ارائه می دهد:

    تعریف اهداف و درک جهت و اصول فعالیت در خصوص امنیت اطلاعات.

    تعریف رویکردهای ارزیابی و مدیریت ریسک در سازمان؛

    مدیریت امنیت اطلاعات مطابق با قوانین و مقررات قابل اجرا؛

    استفاده از رویکرد واحد در ایجاد، اجرا، بهره برداری، نظارت، تحلیل، پشتیبانی و بهبود سیستم مدیریت به منظور دستیابی به اهداف در زمینه امنیت اطلاعات.

    تعریف فرآیندهای سیستم مدیریت امنیت اطلاعات؛

    تعیین وضعیت اقدامات برای تضمین امنیت اطلاعات؛

    · استفاده از ممیزی داخلی و خارجی برای تعیین میزان انطباق سیستم مدیریت امنیت اطلاعات با الزامات استاندارد.



    · ارائه اطلاعات کافی به شرکا و سایر طرف های ذینفع در مورد خط مشی امنیت اطلاعات.


    اصول تنظیم حقوقی روابط در زمینه اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات طبق محتوای قانون فدرال فدراسیون روسیه مورخ 27 ژوئیه 2006 شماره 149-FZ "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات".

    تنظیم حقوقی روابط ناشی از اطلاعات، فناوری اطلاعات و حفاظت اطلاعات بر اساس اصول زیر است:

    1) آزادی جستجو، دریافت، انتقال، تولید و توزیع اطلاعات به هر طریق قانونی؛

    2) ایجاد محدودیت برای دسترسی به اطلاعات فقط توسط قوانین فدرال.

    3) باز بودن اطلاعات در مورد فعالیت های ارگان های ایالتی و دولت های محلی و دسترسی آزاد به چنین اطلاعاتی، مگر در مواردی که توسط قوانین فدرال تعیین شده است.

    4) برابری زبان های مردم فدراسیون روسیه در ایجاد سیستم های اطلاعاتی و عملکرد آنها.

    5) اطمینان از امنیت فدراسیون روسیه در ایجاد سیستم های اطلاعاتی، عملکرد آنها و حفاظت از اطلاعات موجود در آنها.

    6) قابلیت اطمینان اطلاعات و به موقع بودن ارائه آن؛

    7) مصونیت از زندگی خصوصی، غیرقابل قبول بودن جمع آوری، ذخیره، استفاده و انتشار اطلاعات در مورد زندگی خصوصی یک شخص بدون رضایت او.

    8) عدم پذیرش هرگونه مزیت استفاده از برخی از فناوری های اطلاعاتی نسبت به سایرین توسط قوانین نظارتی قانونی، مگر اینکه الزام استفاده از فناوری های اطلاعاتی خاص برای ایجاد و بهره برداری از سیستم های اطلاعات ایالتی توسط قوانین فدرال تعیین شده باشد.


    استراتژی امنیت ملی فدراسیون روسیه تا سال 2020. ساختار، وظایف، روش ها و روش های اجرا توسط دولت وظایف آن برای تضمین امنیت اطلاعات در "دکترین امنیت اطلاعات فدراسیون روسیه".



    استراتژی امنیت ملی فدراسیون روسیه تا سال 2020 یک سیستم رسمی شناخته شده از اولویت ها، اهداف و اقدامات استراتژیک در زمینه سیاست داخلی و خارجی است که وضعیت امنیت ملی و سطح توسعه پایدار دولت را در دراز مدت تعیین می کند. .

    دکترین امنیت اطلاعات فدراسیون روسیه مجموعه ای از دیدگاه های رسمی در مورد اهداف، اهداف، اصول و جهت گیری های اصلی برای تضمین امنیت اطلاعات فدراسیون روسیه است.

    مؤلفه های منافع ملی فدراسیون روسیه در حوزه اطلاعات در دکترین:

    1) رعایت اجباری حقوق و آزادی های بشر در قانون اساسی در زمینه کسب اطلاعات و استفاده از آن.

    2) پشتیبانی اطلاعاتی از سیاست دولتی فدراسیون روسیه (ارائه دادن به شهروندان فدراسیون روسیه و جامعه بین المللی در مورد سیاست دولتی فدراسیون روسیه، موضع رسمی در مورد رویدادهای مهم در روسیه و جهان) با شهروندان دسترسی به منابع دولتی باز

    3) توسعه فناوری اطلاعات مدرن صنعت داخلی (وسایل اطلاعاتی، مخابرات و ارتباطات). ارائه فناوری اطلاعات برای بازار داخلی روسیه و دسترسی به بازارهای جهانی.

    4) حفاظت از منابع اطلاعاتی از دسترسی غیرمجاز، تضمین امنیت اطلاعات و سیستم های مخابراتی.

    انواع تهدیدات برای امنیت اطلاعات فدراسیون روسیه در دکترین:

    1. تهدیدات علیه حقوق و آزادی های قانون اساسی یک شخص در زمینه فعالیت اطلاعاتی.

    2. تهدید به حمایت اطلاعاتی از سیاست دولتی فدراسیون روسیه.

    3. تهدیدی برای توسعه فناوری اطلاعات مدرن برای صنعت داخلی و همچنین ورود به بازارهای داخلی و جهانی.

    4. تهدید امنیت تاسیسات و سیستم های اطلاعاتی و مخابراتی.

    روش های تضمین امنیت اطلاعات فدراسیون روسیه در دکترین:

    روش های حقوقی

    توسعه قوانین قانونی تنظیم کننده روابط در زمینه فناوری اطلاعات

    روش های سازمانی و فنی

    ایجاد سیستم امنیت اطلاعات فدراسیون روسیه و بهبود آن

    محاکمه کسانی که در این زمینه مرتکب جنایت شده اند

    ایجاد سیستم ها و ابزارهایی برای جلوگیری از دسترسی غیرمجاز به اطلاعات پردازش شده

    روش های اقتصادی

    توسعه برنامه های امنیت اطلاعات و تامین مالی آنها

    تامین مالی کارهای مربوط به تضمین امنیت اطلاعات فدراسیون روسیه


    امروزه تقریباً غیرممکن است که متخصصان امنیت اطلاعات بدون آگاهی از استانداردها و مشخصات مربوطه این کار را انجام دهند. دلایل متعددی برای این امر وجود دارد. رسمی این است که نیاز به پیروی از استانداردهای خاص، مانند استانداردهای "رمز نگاری" یا "اسناد راهنما" در قانون ذکر شده است. با این حال، دلایل اساسی قانع کننده ترین هستند.

    اول اینکه استانداردها و مشخصات یکی از اشکال انباشت دانش، در درجه اول در مورد سطوح رویه ای و نرم افزاری و سخت افزاری امنیت اطلاعات است. آنها راه حل ها و روش های اثبات شده و با کیفیت بالا را که توسط متخصص ترین متخصصان توسعه یافته اند، مستند می کنند.

    ثانیاً، هر دوی آنها ابزار اصلی تضمین سازگاری متقابل سیستم های سخت افزاری-نرم افزاری و اجزای آنها هستند.

    ثالثاً، استانداردهای امنیت اطلاعات با کار دشواری روبرو هستند که سه دیدگاه مختلف، "تولید کننده محافظت"، "مصرف کننده" و "گواهی دهندگان" مختلف و همچنین ایجاد یک مکانیسم موثر برای تعامل همه طرف ها را با یکدیگر تطبیق دهند.

    مصرف کنندگان به روش هایی علاقه مند هستند که به آنها امکان می دهد محصولی را انتخاب کنند که نیازهای آنها را برآورده کند و مشکلات آنها را حل کند، این ممکن است شامل VPS سیستم عامل ویندوز سرور باشد که برای آن به یک مقیاس رتبه بندی امنیتی نیاز دارند. و همچنین مصرف کننده به ابزاری نیاز دارد که با آن بتواند نیازهای خود را به سازنده فرموله کند. متأسفانه، بسیاری از مصرف‌کنندگان اغلب نمی‌دانند که الزامات امنیتی لزوماً نه تنها با سهولت استفاده بلکه سرعت نیز در تضاد است، بلکه اغلب محدودیت‌های خاصی را در مورد سازگاری اعمال می‌کنند و به عنوان یک قاعده، آنها را مجبور می‌کنند که استفاده گسترده و آسان را کنار بگذارند. ابزارهای کمتر امن . .

    گواهی‌دهندگان استانداردها را ابزاری می‌دانند که به آنها کمک می‌کند ایمنی را ارزیابی کنند و مصرف‌کنندگان را قادر می‌سازند تا بهترین انتخاب را برای خود داشته باشند.

    یکی از اولین و مشهورترین اسناد، به اصطلاح "کتاب نارنجی" بود که در دهه 90 به عنوان "معیارهای امنیت سیستم کامپیوتری" وزارت دفاع ایالات متحده توسعه یافت. 4 سطح امنیت را تعریف می کند، A، B، C، D، که در آن A بالاترین سطح امنیت است، که بر این اساس، سختگیرانه ترین الزامات اعمال می شود.

    اگرچه "کتاب نارنجی" به یکی از اولین اسناد معروف تبدیل شد، اما واضح است که هر دولتی که می خواهد امنیت اطلاعات خود را تضمین کند، مستندات خود - "استانداردهای ملی" را در زمینه امنیت اطلاعات توسعه داده است. اینها شامل معیارهای اروپایی برای امنیت فناوری اطلاعات، معیارهای کانادایی برای امنیت سیستم های کامپیوتری، و همچنین آیین نامه عملکرد بریتانیا برای مدیریت امنیت اطلاعات است که بر اساس آن، استانداردهای بین المللی ISO / IEC 17799:2000 (BS 7799- 1:2000). در حال حاضر آخرین نسخه استاندارد ISO / IEC 27001: 2013 و همچنین "اسناد راهنمای کمیسیون فنی دولتی اتحاد جماهیر شوروی" (و بعداً روسیه) وجود دارد.

    لازم به ذکر است که آمریکایی ها از فعالیت های کمیسیون فنی دولتی اتحاد جماهیر شوروی بسیار قدردانی کردند. نشریات آمریکایی نوشتند که سازمان اتحاد جماهیر شوروی برای حفاظت از اطلاعات و مقابله با اطلاعات فنی با دقت تمام آنچه در غرب درباره اتحاد جماهیر شوروی شناخته شده است مطالعه می کند و "مقدار عظیمی از مواد را برای تحریف تصویر واقعی توسعه می دهد." به گفته آنها، این کمیسیون بر تمامی رژه ها و رزمایش های نظامی با حضور خارجی ها، ساخت پایگاه های موشکی و پادگان ها نظارت می کند، دستاوردهایی که در برخی مناطق به طور عمدی پنهان شده است و در برخی دیگر، مانند دفاع موشکی، بسیار اغراق شده است. فعالیت کمیسیون فنی کشور در این حوزه واقعاً خیلی زود اولین ثمرات خود را به همراه داشت. همانطور که روزنامه آمریکایی نیویورک تایمز نوشت ، قبلاً در سال 1977 ، در نتیجه اقدامات انجام شده در کارخانه های کشتی سازی و کشتی سازی اتحاد جماهیر شوروی ، آمریکایی ها با نظارت بر ساخت زیردریایی های شوروی مشکل داشتند.

    نتایج کار کمیسیون فنی دولتی اتحاد جماهیر شوروی در دوره شوروی نه تنها افزایش امنیت اطلاعات در شرکت های مجتمع نظامی و صنعتی و آزمایش انواع جدید سلاح ها در سایت های آزمایشی بود. کار جدی برای اطمینان از امنیت اطلاعات پردازش شده در سیستم های کنترل خودکار و رایانه ها انجام شد، به ویژه، سیستم های کنترل رایانه ای ایمن و ابزارهایی برای پردازش اسناد محرمانه برای جلوگیری از نشت اطلاعات محرمانه ایجاد شد، کانال های ارتباطی در سطح دولت معرفی شد. بدنها و فرماندهی عالی ارتش شوروی و خیلی چیزهای دیگر.

    همچنین لازم به ذکر است که نقش استانداردهای قبلاً مشخص شده در قانون فدرال "در مورد مقررات فنی" مورخ 27 دسامبر 2002 N 184-FZ نیز مشخص شده است.

    لازم به ذکر است که از جمله اصول استانداردسازی اعلام شده در قانون مذکور، در ماده 7 «محتوا و اعمال مقررات فنی» اصل بکارگیری استاندارد بین المللی به عنوان مبنای تدوین استاندارد ملی است، مگر در مواردی که چنین درخواستی به دلیل عدم انطباق با الزامات استانداردهای بین المللی با شرایط آب و هوایی و ویژگی های جغرافیایی، ویژگی های فنی یا فناوری یا به دلایل دیگر غیرممکن شناخته می شود، یا اگر فدراسیون روسیه با پذیرش یک استاندارد بین المللی یا یک ماده جداگانه مخالفت کند. از آن

    ماده 7. بند 8:

    استانداردهای بین المللی باید به طور کلی یا جزئی به عنوان مبنایی برای تدوین پیش نویس مقررات فنی مورد استفاده قرار گیرند، مگر در مواردی که استانداردهای بین المللی یا بخش های آنها برای دستیابی به اهداف تعیین شده در ماده 6 این قانون فدرال، از جمله، بی اثر یا نامناسب باشد. به دلیل ویژگی های آب و هوایی و جغرافیایی فدراسیون روسیه، ویژگی های فنی و (یا) فنی. (طبق اصلاح قانون فدرال شماره 189-FZ از 18 ژوئیه 2009)
    استانداردهای ملی فدراسیون روسیه ممکن است به طور کامل یا جزئی به عنوان مبنایی برای توسعه پیش نویس مقررات فنی استفاده شود.

    از آنجایی که از نظر کاربردی تعداد استانداردها و مشخصات اعم از بین المللی، ملی و صنعتی در حوزه امنیت اطلاعات بی پایان است، تنها به تعدادی از آنها می پردازیم، فهرست کاملی از استانداردهای ملی ارائه شده است. وب سایت FSTEC روسیه در بخش مربوطه "استانداردهای ملی".
    تعیین نام به روسی
    GOST R 50739-95 امکانات کامپیوتری. محافظت در برابر دسترسی غیرمجاز به اطلاعات. الزامات فنی عمومی
    GOST R 50922-2006 حفاظت از داده ها. اصطلاحات و تعاریف اولیه
    GOST R 51188-98 حفاظت از داده ها. نرم افزار تست وجود ویروس های کامپیوتری. راهنمای مدل
    GOST R 51583-2014 حفاظت از داده ها. ترتیب ایجاد سیستم های خودکار در اجرای حفاظت شده. مقررات عمومی
    GOST R 53110-2008 سیستم تضمین امنیت اطلاعات یک شبکه ارتباطی عمومی. مقررات عمومی
    GOST R 53111-2008 ثبات عملکرد شبکه ارتباطی عمومی الزامات و روش های تأیید
    GOST R 53113.1-2008 فناوری اطلاعات. حفاظت از فناوری های اطلاعات و سیستم های خودکار در برابر تهدیدات امنیت اطلاعات که با استفاده از کانال های مخفی اجرا می شود. قسمت 1. مقررات عمومی
    GOST R 53113.2-2009 فناوری اطلاعات. حفاظت از فناوری های اطلاعات و سیستم های خودکار در برابر تهدیدات امنیت اطلاعات که با استفاده از کانال های مخفی اجرا می شود. بخش 2. توصیه هایی برای سازماندهی حفاظت از اطلاعات، فناوری اطلاعات و سیستم های خودکار در برابر حملات با استفاده از کانال های مخفی
    GOST R 54581-2011 / I SO/IEC TR 15443-1:2005 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. مبانی اعتماد در امنیت فناوری اطلاعات بخش 1. بررسی اجمالی و اصول
    GOST R 54582-2011 / ISO/IEC TR 15443-2:2005 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. مبانی اعتماد در امنیت فناوری اطلاعات بخش 2. روش های اعتماد
    GOST R 54583-2011 / ISO/IEC TR 15443-3:2007 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. مبانی اعتماد در امنیت فناوری اطلاعات بخش 3. تجزیه و تحلیل روش های تضمین
    GOST R ISO 7498-1-99 فناوری اطلاعات. رابطه سیستم های باز مدل مرجع پایه قسمت 1. مدل پایه
    GOST R ISO 7498-2-99 فناوری اطلاعات. رابطه سیستم های باز مدل مرجع پایه بخش 2. معماری امنیت اطلاعات
    GOST R ISO/IEC به 13335-5-2006 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. بخش 5: راهنمای مدیریت امنیت شبکه
    GOST R ISO/IEC 15408-1-2012 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. معیارهای ارزیابی امنیت فناوری اطلاعات. قسمت 1. مقدمه و مدل کلی

    به عنوان مثال، GOST R 53113.2-2009 "فناوری اطلاعات (IT) را در نظر بگیرید. حفاظت از فناوری‌های اطلاعات و سیستم‌های خودکار در برابر تهدیدات امنیت اطلاعات با استفاده از کانال‌های مخفی اجرا می‌شود.

    این استاندارد نه تنها طرح کلی عملکرد کانال های مخفی در یک سیستم خودکار، قوانین ایجاد یک مدل تهدید، بلکه توصیه های مختلفی برای حفاظت از اطلاعات و تکنیک های مورد استفاده در ساخت یک سیستم امنیت اطلاعات را ارائه می دهد که حضور چنین کانال های مخفی

    شکل 1 زیر یک طرح کلی از عملکرد کانال های مخفی در یک سیستم خودکار را نشان می دهد.

    شکل 1 - طرح کلی مکانیسم عملکرد کانال های مخفی در یک سیستم خودکار

    1 - ناقض امنیت (مزاحم) که هدف آن دسترسی غیرمجاز به اطلاعات محدود شده یا نفوذ غیرمجاز بر روی یک سیستم خودکار است.
    2 - اطلاعات دسترسی محدود یا یک عملکرد مهم.
    3 - موضوعی که دسترسی مجاز به 2 و 5 دارد.
    3" - عامل ناقض امنیت که در یک حلقه بسته با 2 قرار دارد و از طرف موضوع 3 با 2 تعامل دارد.
    4 - بازرس (نرم افزار، سیستم عامل، سخت افزار یا شخص)، تعامل اطلاعات (او) را کنترل می کند 3، عبور از یک حلقه بسته که شی اطلاعات سازی را از محیط خارجی جدا می کند.
    5 - موضوعی خارج از حلقه بسته که 3 با آن تعامل اطلاعاتی مجاز را انجام می دهد

    تهدیدهای امنیتی که می توانند با استفاده از کانال های مخفی اجرا شوند عبارتند از:

    1. معرفی بدافزارها و داده ها.
    2. ارائه دستورات توسط مهاجم به عامل برای اجرا.
    3. نشت کلیدهای رمزنگاری یا رمزهای عبور.
    4. نشت اشیاء اطلاعاتی فردی.

    حفاظت از اطلاعات، فناوری‌های اطلاعات و سیستم‌های خودکار در برابر حملاتی که با استفاده از کانال‌های مخفی اجرا می‌شوند، یک فرآیند چرخه‌ای است که شامل مراحل زیر است که در هر تکرار فرآیند تکرار می‌شود:

    1. تجزیه و تحلیل ریسک برای دارایی های سازمان، از جمله شناسایی دارایی های ارزشمند و ارزیابی پیامدهای احتمالی اجرای حملات با استفاده از کانال های مخفی.
    2. شناسایی کانال های مخفی و ارزیابی خطر آنها برای دارایی های سازمان
    3. اجرای اقدامات حفاظتی برای مقابله با کانال های مخفی
    4. سازماندهی کنترل بر مقابله با کانال های مخفی.

    ماهیت چرخه‌ای فرآیند محافظت در برابر تهدیدات امنیت اطلاعات که با استفاده از کانال‌های مخفی اجرا می‌شود، با ظهور روش‌های جدید برای ساخت کانال‌های مخفی تعیین می‌شود که در زمان تکرارهای قبلی ناشناخته است.

    بر اساس ارزیابی خطر کانال های مخفی، با در نظر گرفتن نتایج تجزیه و تحلیل ریسک، در مورد مناسب یا نامناسب بودن مقابله با چنین کانال هایی نتیجه گیری می شود.

    بر اساس نتایج شناسایی کانال های مخفی، برنامه عملیاتی برای مقابله با تهدیدات اجرا شده با استفاده از آنها شکل می گیرد. این اقدامات ممکن است شامل اجرای یکی از روش های شناخته شده (یا بهبود روش های موجود) برای مقابله با تهدیدات امنیت اطلاعات باشد که با استفاده از کانال های مخفی اجرا شده است.

    به عنوان اقدامات حفاظتی، توصیه می شود از:

    1. کاهش پهنای باند کانال انتقال اطلاعات.
    2. راه حل های معماری برای ساخت سیستم های خودکار.
    3. نظارت بر اثربخشی حفاظت از سیستم های خودکار.

    انتخاب روش‌های مقابله با تهدیدات امنیت اطلاعات سرور VDS که اجاره می‌کنید، که با استفاده از کانال‌های مخفی اجرا می‌شود و تشکیل برنامه‌ای برای اجرای آن‌ها بر اساس ویژگی‌های فردی سیستم خودکار محافظت شده توسط کارشناسان تعیین می‌شود.

    همانطور که می بینید، حتی فهرست کوتاهی از استانداردها، به دور از کوتاه بودن، به جز قوانین و توصیه ها، لازم است حداقل دانش اولیه در این زمینه داشته باشید تا بتوانید نه تنها مسیریابی کنید، بلکه در عمل به آن عمل کنید. استانداردهای لازم

    یکی از مهمترین مشکلات و نیازهای جامعه مدرن، حمایت از حقوق بشر به لحاظ مشارکت دادن او در فرآیندهای تعامل اطلاعاتی از جمله حق حفاظت از اطلاعات شخصی (شخصی) در فرآیندهای پردازش خودکار اطلاعات است.

    I. N. Malanych، دانشجوی سال ششم VSU

    نهاد حفاظت از داده های شخصی امروزه دیگر مقوله ای نیست که فقط توسط قوانین ملی قابل تنظیم باشد. مهم‌ترین ویژگی سیستم‌های اطلاعات خودکار مدرن «فراملیتی» بسیاری از آنها، «خروج» آنها از مرزهای دولت‌ها، توسعه شبکه‌های اطلاعات عمومی جهانی مانند اینترنت، تشکیل یک فضای اطلاعاتی واحد در داخل است. چنین ساختارهای بین المللی

    امروزه در فدراسیون روسیه مشکل نه تنها معرفی نهاد حفاظت از داده های شخصی در چارچوب فرآیندهای خودکار اطلاعات در زمینه حقوقی، بلکه در ارتباط آن با استانداردهای حقوقی بین المللی موجود در این زمینه نیز وجود دارد.

    سه گرایش اصلی در مقررات حقوقی بین‌المللی نهاد حفاظت از داده‌های شخصی، مربوط به فرآیندهای پردازش خودکار اطلاعات وجود دارد.

    1) اعلامیه حق حمایت از داده های شخصی، به عنوان بخشی جدایی ناپذیر از حقوق اساسی بشر، در اعمالی با ماهیت عمومی بشردوستانه که در چارچوب سازمان های بین المللی به تصویب رسیده است.

    2) تحکیم و تنظیم حق حفاظت از اطلاعات شخصی در قوانین نظارتی اتحادیه اروپا، شورای اروپا، تا حدی کشورهای مشترک المنافع و برخی سازمان های بین المللی منطقه ای. این دسته از هنجارها جهانی ترین است و مستقیماً به حقوق حفاظت از داده های شخصی در فرآیندهای پردازش خودکار اطلاعات مربوط می شود.

    3) گنجاندن هنجارهای حفاظت از اطلاعات محرمانه (از جمله اطلاعات شخصی) در معاهدات بین المللی.

    روش اول - از نظر تاریخی زودتر از بقیه ظاهر شد. در دنیای مدرن، حقوق و آزادی های اطلاعاتی بخشی جدایی ناپذیر از حقوق اساسی بشر است.

    اعلامیه جهانی حقوق بشر 1948 اعلام می کند: "هیچ کس نباید مورد مداخله خودسرانه در زندگی خصوصی و خانوادگی خود قرار گیرد، حملات خودسرانه به ... محرمانه بودن مکاتبات او" و همچنین: "هر فردی حق دارد از حمایت از قانون علیه چنین مداخلات یا حملاتی از این دست.» میثاق بین المللی حقوق مدنی و سیاسی 1966 اعلامیه این قسمت را تکرار می کند. کنوانسیون 1950 اروپا این حق را شرح می دهد: «هر کس حق آزادی بیان دارد. این حق شامل آزادی داشتن عقیده و دریافت و انتشار اطلاعات و عقاید بدون مداخله مقامات دولتی و بدون توجه به مرزها می باشد.

    اسناد بین المللی مشخص شده حقوق اطلاعاتی افراد را تثبیت می کند.

    در حال حاضر یک سیستم پایدار از دیدگاه ها در مورد حقوق اطلاعات بشر در سطح بین المللی شکل گرفته است. به طور کلی، این حق دریافت اطلاعات، حق حفظ حریم خصوصی از نظر حفاظت از اطلاعات مربوط به آن، حق حفاظت از اطلاعات هم از نظر امنیت دولتی و هم از نظر امنیت تجاری، از جمله مالی است. فعالیت ها.

    راه دوم - مقررات دقیق تر حق حفاظت از اطلاعات شخصی با شدت روزافزون پردازش اطلاعات شخصی در سال های اخیر با استفاده از سیستم های اطلاعات کامپیوتری خودکار همراه است. در دهه‌های اخیر، تعدادی از اسناد بین‌المللی در چارچوب تعدادی از سازمان‌های بین‌المللی به تصویب رسیده است که حقوق اولیه اطلاعات را در ارتباط با تشدید تبادل اطلاعات فرامرزی و استفاده از فناوری‌های نوین اطلاعاتی توسعه می‌دهند. چنین اسنادی شامل موارد زیر است:

    شورای اروپا در سال 1980 کنوانسیون اروپایی برای حمایت از افراد با توجه به پردازش خودکار داده های شخصی را تدوین کرد که در سال 1985 لازم الاجرا شد. این کنوانسیون جمع آوری و پردازش داده های شخصی، اصول ذخیره سازی و دسترسی به آن را تعریف می کند. داده ها، روش های حفاظت از داده های فیزیکی این کنوانسیون رعایت حقوق بشر در جمع آوری و پردازش داده های شخصی، اصول ذخیره سازی و دسترسی به این داده ها، روش های حفاظت فیزیکی از داده ها را تضمین می کند و همچنین پردازش داده ها در مورد نژاد، دیدگاه های سیاسی، سلامت، مذهب را ممنوع می کند. بدون دلایل قانونی مناسب روسیه در نوامبر 2001 به کنوانسیون اروپا پیوست.

    در اتحادیه اروپا، مسائل مربوط به حفاظت از داده های شخصی توسط طیف وسیعی از اسناد تنظیم می شود. در سال 1979، قطعنامه پارلمان اروپا "در مورد حمایت از حقوق فردی در ارتباط با پیشرفت اطلاعات" به تصویب رسید. این قطعنامه از شورا و کمیسیون جوامع اروپایی دعوت می کند تا اقدامات قانونی را در مورد حفاظت از داده های شخصی در ارتباط با پیشرفت فناوری در زمینه انفورماتیک تدوین و تصویب کنند. در سال 1980، توصیه های سازمان همکاری کشورهای عضو اتحادیه اروپا "در مورد دستورالعمل های حفاظت از حریم خصوصی در تبادل بین ایالتی داده های شخصی" به تصویب رسید. در حال حاضر، مسائل مربوط به حفاظت از داده های شخصی به طور دقیق توسط دستورالعمل های پارلمان اروپا و شورای اتحادیه اروپا تنظیم می شود. اینها دستورالعمل های شماره 95/46 / EC و شماره 2002/58 / EC پارلمان اروپا و شورای اتحادیه اروپا در 24 اکتبر 1995 "در مورد حمایت از حقوق افراد در مورد پردازش داده های شخصی و در مورد جابجایی آزادانه این داده ها، دستورالعمل شماره 97/66 / EC پارلمان اروپا و شورای اتحادیه اروپا در 15 دسامبر 1997، در مورد استفاده از داده های شخصی و حفاظت از حریم خصوصی در رشته مخابرات و سایر اسناد.

    اقدامات اتحادیه اروپا با مطالعه دقیق اصول و معیارهای پردازش خودکار داده‌ها، حقوق و تعهدات افراد و دارندگان داده‌های شخصی، مسائل مربوط به انتقال فرامرزی آنها، و همچنین مسئولیت و تحریم‌ها برای ایجاد اطلاعات مشخص می‌شود. خسارت. بر اساس دستورالعمل شماره 95/46/EC، کارگروه حمایت از افراد با توجه به پردازش داده های شخصی آنها در اتحادیه اروپا ایجاد شده است. این نهاد دارای وضعیت یک نهاد مشورتی است و به عنوان یک ساختار مستقل عمل می کند. کارگروه متشکل از یک نماینده از نهادی است که توسط هر کشور عضو به منظور نظارت بر رعایت مفاد این دستورالعمل در قلمرو خود، یک نماینده از بدن یا نهادهای ایجاد شده برای مؤسسات و ساختارهای جامعه، و یک نماینده کمیسیون اروپا

    در چارچوب سازمان همکاری اقتصادی و توسعه (OECD)، "راهنمای حفاظت از حریم خصوصی و مبادلات بین المللی داده های شخصی" در حال اجرا است که در 23 سپتامبر 1980 به تصویب رسید. در مقدمه این دستورالعمل آمده است: «...کشورهای عضو OECD، تدوین دستورالعمل‌هایی را ضروری تشخیص داده‌اند که می‌تواند به یکپارچه‌سازی قوانین ملی حریم خصوصی کمک کند و ضمن احترام به حقوق بشر مربوطه، در عین حال اجازه مسدود کردن مبادلات بین‌المللی داده را ندهد. ..". این مقررات هم در بخش عمومی و هم در بخش خصوصی برای داده‌های شخصی اعمال می‌شود که چه در ارتباط با رویه پردازش آنها یا در ارتباط با ماهیت یا زمینه استفاده از آنها، خطر نقض حریم خصوصی و آزادی‌های فردی را به همراه دارد. این نیاز به ارائه داده های شخصی با مکانیسم های مناسب برای محافظت در برابر خطرات مرتبط با از دست دادن، تخریب، تغییر یا افشای آنها، دسترسی غیرمجاز را تعریف می کند. روسیه متأسفانه در این سازمان مشارکت ندارد.

    مجمع بین پارلمانی کشورها - اعضای CIS 16 اکتبر 1999 قانون نمونه "در مورد داده های شخصی" به تصویب رسید.

    طبق قانون "داده های شخصی" - اطلاعات (ثابت شده بر روی یک حامل مواد) در مورد یک شخص خاص که شناسایی شده است یا می توان با او شناسایی کرد. داده‌های شخصی شامل داده‌های بیوگرافی و هویت، ویژگی‌های شخصی، اطلاعات خانواده، وضعیت اجتماعی، تحصیلات، حرفه، وضعیت رسمی و مالی، وضعیت سلامتی و غیره است. قانون همچنین اصول تنظیم حقوقی داده های شخصی، اشکال تنظیم دولتی عملیات با داده های شخصی، حقوق و تعهدات افراد و دارندگان داده های شخصی را فهرست می کند.

    به نظر می رسد دومین روش در نظر گرفته شده تنظیم هنجاری حفاظت از داده های شخصی در قوانین حقوقی بین المللی جالب ترین روش برای تجزیه و تحلیل باشد. هنجارهای این طبقه نه تنها مستقیماً روابط اجتماعی را در این زمینه تنظیم می کند، بلکه به رساندن قوانین کشورهای عضو به استانداردهای بین المللی کمک می کند و در نتیجه کارایی این هنجارها را در قلمرو آنها تضمین می کند. بنابراین، تضمین حقوق اطلاعات مندرج در اعلامیه جهانی حقوق بشر به معنای «حق حمایت از قانون از ... مداخله یا ... تجاوز» اعلام شده در ماده 12 این اعلامیه نیز تضمین می شود. .

    سومین راه برای تجمیع قوانین مربوط به حفاظت از داده های شخصی، تضمین حمایت قانونی آنها در معاهدات بین المللی است.

    مواد مربوط به تبادل اطلاعات در معاهدات بین المللی در مورد کمک های حقوقی، در مورد اجتناب از مالیات مضاعف، در مورد همکاری در یک حوزه اجتماعی و فرهنگی خاص گنجانده شده است.

    با توجه به هنر. 25 معاهده بین فدراسیون روسیه و ایالات متحده در مورد اجتناب از مالیات مضاعف و جلوگیری از فرار مالیاتی در رابطه با مالیات بر درآمد و سرمایه، دولت ها موظفند اطلاعاتی را ارائه دهند که محرمانه حرفه ای است. معاهده بین فدراسیون روسیه و جمهوری هند در مورد کمک حقوقی متقابل در امور کیفری حاوی ماده 15 "محرمانه بودن" است: طرف درخواست شونده ممکن است محرمانه بودن اطلاعات ارسال شده را بخواهد. رویه انعقاد معاهدات بین المللی نشان دهنده تمایل کشورهای متعاهد به رعایت استانداردهای بین المللی برای حفاظت از داده های شخصی است.

    به نظر می رسد موثرترین سازوکار برای تنظیم این نهاد در سطح حقوقی بین المللی، انتشار اسناد نظارتی ویژه در چارچوب سازمان های بین المللی باشد. این مکانیسم نه تنها به تنظیم داخلی مناسب مشکلات موضوعی حفاظت از اطلاعات شخصی در این سازمان ها که در ابتدای مقاله ذکر شد کمک می کند، بلکه تأثیر مفیدی بر قوانین ملی کشورهای شرکت کننده دارد.

    بیشتر بخوانید: