• Bilgi güvenliği için uluslararası standartlar. Temel güvenlik standartları. Doktrinde Rusya Federasyonu'nun bilgi güvenliğine yönelik tehdit türleri

    VV Tikhonenko Kalite Uzmanları-Uzmanları Birliği Başkanı (Kiev, Ukrayna), Ph.D., ECTC "VATT" Genel Müdürü

    Makale, ana uluslararası ve ulusal güvenlik standartlarının bir tanımını sağlar. "Emniyet", "tehlike", "risk" terimlerinin tanımları dikkate alınır. Tehlikeleri tanımlamak için Heisenberg'in belirsizlik ilkelerini ve Bohr'un tamamlayıcılık ilkelerini kullanma olasılığı hakkında varsayımlar yapılır.

    "Güvenlik" nedir?

    Herhangi bir faaliyet potansiyel olarak tehlikeli olduğundan, güvenliğin sağlanması herkesin, her yerde ve her zaman yerine getirmesi gereken en önemli gerekliliklerden biridir. Güvenlik riskle ilişkilidir (birbirlerine bağlıdırlar). Bu kavramların standartlarda verilen tanımlarını göz önünde bulundurun.

    Emniyet— kabul edilemez bir risk yok.

    Tehlike potansiyel bir hasar kaynağıdır.

    Risk- hedeflerin belirsizliğinin etkisi.

    Bu nedenle güvenlik, riskin hiç olmamasıyla değil, yalnızca kabul edilemez riskin olmamasıyla karakterize edilir. Standartlar, tolere edilebilir riski "güvenlik ile bir ürün, süreç veya hizmetin karşılaması gereken gereksinimler ile kullanıcı yararı, maliyet etkinliği, özel vb. faktörler arasındaki optimum denge" olarak tanımlar. İşletmeler tarafından sıklıkla kullanılan standart, tolere edilebilir (kabul edilebilir) riski, "iş sağlığı ve güvenliği alanında bir kuruluşun yasal yükümlülükleri ve kendi politikası göz önüne alındığında tolere edebileceği düzeye indirilmiş risk" olarak tanımlamaktadır.

    Standartlar, riski azaltmanın yollarını düzenler (öncelik sırasına göre):

    • güvenli bir projenin geliştirilmesi;
    • koruyucu cihazlar ve kişisel koruyucu ekipman (bunlar toplu ve bireysel koruyucu ekipmandır - ed.);
    • kurulum ve uygulama bilgileri;
    • eğitim.

    Güvenlik standardı türleri

    Güvenlik standartları aşağıdaki türlere göre olabilir:

    • güvenliğin ana yönleriyle ilgili temel kavramlar, ilkeler ve gereksinimler dahil olmak üzere temel. Bu standartlar geniş bir ürün, süreç ve hizmet yelpazesi için geçerlidir;
    • ilgili ürün, süreç veya hizmet türlerinin birkaç türü veya ailesi için geçerli olan güvenlik hususlarını içeren grup. Bu belgeler, temel güvenlik standartlarına atıfta bulunur;
    • Belirli bir ürün, süreç veya hizmet tipi veya ailesinin güvenlik özelliklerini içeren ürün güvenlik standartları. Bu belgeler temel ve grup standartlarına atıfta bulunur;
    • güvenlik hususlarını içeren ancak bunlarla sınırlı olmayan ürün standartları. Temel ve grup güvenlik standartlarına atıfta bulunmalıdırlar. Tablo, listelenen türlerle ilgili Uluslararası Standartların örneklerini sunar. Tabloyu okumanızı tavsiye edebilirsiniz. Güvenlik işlevinin özellikleri için gereklilikleri içeren uluslararası, Avrupa ve Rusya düzenleyici belgeleri belirleyen standardın 1'i.

    Yönetmeliklerde/standartlarda güvenlik gerekliliklerinin belirlenmesi, standartların belirttiği gibi insanlara, mülke veya çevreye veya bunların bir kombinasyonuna zarar verme riskinin analizine dayanmalıdır. Şekil şematik olarak işletmenin ana risklerini gösterir ve risk yönetimi standartlarını gösterir.

    Kabul edilebilir riskten kabul edilemez riske geçiş ani olduğundan, Dirac'ın delta fonksiyonlarının ve Heaviside'ın fonksiyonlarının tehlikeleri ve riskleri tanımlamak ve analiz etmek için kullanılması mümkündür.

    Güvenlik ilkeleri ve araçları

    Teorik olarak, aşağıdaki güvenlik ilkeleri ayırt edilebilir:

    • yönetsel (yeterlilik, kontrol, geri bildirim, sorumluluk, planlama, teşvik, yönetim, verimlilik);
    • organizasyonel (zamana göre koruma, bilgi, fazlalık, uyumsuzluk, tayınlama, işe alma, tutarlılık, ergonomi);
    • teknik (engelleme, vakumlama, mühürleme, mesafe koruma, sıkıştırma, güç, zayıf halka, pasifleştirme, koruma);
    • yönlendirme (operatörün faaliyetleri, operatörün değiştirilmesi, sınıflandırma, tehlikenin ortadan kaldırılması, tutarlılık, risk azaltma).

    Sınıflandırma (kategorizasyon) ilkesi üzerinde daha ayrıntılı olarak duralım. Nesneleri tehlikelerle ilişkili işaretlere göre sınıflara ve kategorilere ayırmayı içerir. Örnekler: sıhhi koruma bölgeleri (5 sınıf), patlama tehlikesi için üretim kategorileri (binalar) (A, B, C, D, E), ATEX direktiflerine göre kategoriler / sınıflar (3 ekipman kategorisi, 6 bölge), atık tehlikesi sınıflar (5 sınıf - Rusya'da, 4 sınıf - Ukrayna'da), maddelerin tehlike sınıfları (4 sınıf), tehlikeli malların taşınması için tehlike sınıfları (9 sınıf), vb.

    Bilgi

    Heinrich'in hesaplamalarına göre, ölümcül bir kaza için, daha az ciddi sonuçları olan yaklaşık 30 yaralanma ve neredeyse fark edilmeden gidebilecek yaklaşık 300 başka olay vardır. Aynı zamanda, sonuçları ortadan kaldırmanın dolaylı ekonomik maliyetleri, doğrudan olanlardan dört kat daha fazladır.

    Referans

    tüm olumsuz olayların yaklaşık% 20'si ekipman arızalarıyla ve% 80'i - hataların% 70'i gizli organizasyonel zayıflıklardan (hatalar gizlendi, bunlara yanıt verilmedi) ve yaklaşık% 30'u insan hatasıyla ilişkilidir. bireysel bir çalışanla ilişkilendirildi.

    Pirinç. Şirket riskleri (örnek) ve geçerli standartlar

    notlar:

    ECO - Avrupa Değerleme Standartları (European Group of Appraisers TEGoVA);

    IVS - Uluslararası Değerleme Standartları (Gayrimenkul);

    UFRS - Uluslararası Finansal Raporlama Standartları (UFRS);

    BASEL II - Basel Bankacılık Denetimi Komitesi'nin "Sermaye Ölçümü ve Sermaye Standartlarının Uluslararası Yakınlaşması: Yeni Yaklaşımlar" anlaşması;

    BRC - İngiliz Perakende Konsorsiyumu Küresel standartları (İngiliz Ticaret Konsorsiyumu Standartları);

    COBIT - Bilgi ve İlgili Teknoloji için Kontrol Hedefleri ("Bilgi ve ilgili teknoloji sorunları" - açık belgelerden oluşan bir paket, BT yönetimi, denetimi ve BT güvenliği alanında yaklaşık 40 uluslararası ve ulusal standart ve yönerge); COSO - Treadway Komisyonu Sponsor Kuruluşlar Komitesi (Treadway Komisyonu Sponsor Kuruluşlar Komitesi standardı);

    FERMA - Avrupa Risk Yönetimi Dernekleri Federasyonu (Avrupa Risk Yönetimi Dernekleri Federasyonu standardı); GARP - Küresel Risk Profesyonelleri Birliği (Risk Profesyonelleri Birliği standardı);

    IFS - Uluslararası Öne Çıkan Standartlar (gıda ürünlerinin üretimi ve satışı için uluslararası standartlar);

    ISO/PAS 28000 - Tedarik zinciri için güvenlik yönetim sistemleri için şartname (Tedarik zinciri güvenlik yönetim sistemleri. Özellikler);

    NIST SP 800-30 - Bilgi Teknolojisi Sistemleri için Risk Yönetimi Kılavuzu.

    Masa. Güvenlik standartları (örnekler)

    standart türü

    standart örnekleri

    Temel Standartlar

    ISO 31000 Risk yönetimi - İlkeler ve yönergeler (Risk yönetimi. İlkeler ve yönergeler);

    IEC/ ISO 31010 Risk yönetimi - Risk değerlendirme teknikleri

    BS 31100 Risk yönetimi Uygulama kuralları (Risk yönetimi. Uygulama kuralları); BS 25999 İş sürekliliği yönetimi (bölüm 1, bölüm 2) (İş sürekliliği yönetimi, bölüm 1, 2);

    IEC 61160 Risk yönetimi. Resmi tasarım incelemesi (Risk yönetimi. Resmi proje analizi);

    BS OHSAS 18001 İş sağlığı ve güvenliği yönetim sistemleri. Gereksinimler. (İş güvenliği ve sağlığı yönetim sistemleri. Gereksinimler);

    GS-R-1 Nükleer, Radyasyon, Radyoaktif Atık ve Taşıma Güvenliği için Yasal ve Devlet Altyapısı. Gereksinimler (Nükleer ve radyasyon güvenliği, radyoaktif atık güvenliği ve nakliyesi için yasal ve resmi altyapı); ISO 22000:2005 Gıda güvenliği yönetim sistemleri - Gıda zincirindeki herhangi bir kuruluş için gereklilikler

    Grup standartları

    ISO 14121 Makine güvenliği - Risk değerlendirmesi

    ISO 12100 Makine güvenliği - Temel kavramlar, tasarım için genel ilkeler

    Temel kavramlar, tasarımın temel ilkeleri);

    ISO 13849 Makine güvenliği - Kontrol sistemlerinin güvenlikle ilgili parçaları

    ATEX 95 direktifi 94/9/EC, Potansiyel olarak patlayıcı ortamlarda kullanılması amaçlanan ekipman ve koruyucu sistemler

    ATEX 137 direktifi 99/92/EC, Patlayıcı ortamlardan potansiyel olarak risk altında olan işçilerin güvenlik ve sağlık korumasını iyileştirmek için minimum gereklilikler);

    IEC 62198 Proje Risk Yönetimi - Uygulama Yönergeleri

    ISO 15190 Tıbbi laboratuvarlar - Güvenlik gereksinimleri

    ISO 14971 Tıbbi cihazlar - Tıbbi cihazlara risk yönetiminin uygulanması

    ISO 14798 Asansörler (asansörler), yürüyen merdivenler ve yürüyen bantlar - Risk değerlendirmesi ve azaltma metodolojisi ISO 15408 Bilgi teknolojisi - Güvenlik teknikleri - BT güvenliği için değerlendirme kriterleri

    Ürün güvenlik standartları

    Endüstriyel ortamlar için ISO 10218 Robotlar - Güvenlik gereksinimleri

    IEC 61010-1:2001 Ölçüm, kontrol ve laboratuvar kullanımı için elektrikli ekipman için güvenlik gereksinimleri-Bölüm 1: Genel gereksinimler

    IEC 60086-4:2000-Birincil piller-Bölüm 4: Lityum pillerin güvenliği. (Birincil piller. Bölüm 4: Lityum pillerin güvenliği);

    EC 61199 Tek başlıklı flüoresan lambalar. Güvenlik özellikleri (Tek uçlu floresan lambalar. Güvenlik gereksinimleri);

    IEC 60335 Ev ve benzeri elektrikli cihazlar - Güvenlik

    IEC 60065 Ses, video ve benzeri elektronik cihazlar - Güvenlik gereksinimleri EN 692 Mekanik presler - Güvenlik (Mekanik presler. Güvenlik); EN 50088 Elektrikli oyuncakların güvenliği

    Ürün standartları

    Codex Alimentarius Komisyonu Standartları. (CODEX STAN 12-1981, CODEX STAN 13-1981, vb. ürünler için Codex Alimentarius Komisyonu standartları);

    ISO 3500: 2005 Gaz silindirleri - Gemilerde sabit yangınla mücadele tesisatları için dikişsiz çelik CO2 silindirleri

    ISO 4706:2008 Gaz tüpleri - Yeniden doldurulabilir kaynaklı çelik silindirler - Test basıncı 60 bar ve altı EN 13109:2002 LPG tankları. Disposa (Sıvılaştırılmış gaz için tüpler. Kullanım); EN 13807:2003 Taşınabilir gaz tüpleri. akülü araçlar. Tasarım, imalat, tanımlama ve test etme (Taşınabilir gaz tüpleri. Akülü arabalar. Tasarım, imalat, tanımlama ve test etme); GOST 10003-90. Stiren. Özellikler; GOST 10007-80. Floroplast-4. Özellikler;

    GOST 10121-76. Seçici saflaştırmanın trafo yağı. Özellikler; GOST 10037-83. İnşaat sektörü için otoklavlar. Özellikler

    Güvenlik ekipmanı, toplu koruma ekipmanı (SKZ) ve bireysel koruma ekipmanı (PPE) olarak ikiye ayrılır. Buna karşılık, SKZ ve KKD tehlikelerin doğasına, tasarımına, kapsamına vb. bağlı olarak gruplara ayrılır.

    Temel Güvenlik Standartları

    Avrupa Birliği'nde, mesleki risk değerlendirmesi gereklilikleri şu belgelerde yer almaktadır:

    • Direktif 89/391/EEC (AB Üye Devletlerinde mesleki risk değerlendirmesinin getirilmesi için gereklilikler);
    • iş güvenliğine ilişkin bireysel AB direktifleri (89/654/EEC, 89/655/EEC, 89/656/EEC, 90/269/EEC, 90/270/EEC, 1999/92/EC, vb.) ve işçilerin kimyasal, fiziksel ve biyolojik riskler, kanserojenler ve mutajenlerden korunması (98/24/EC, 2000/54/EC, 2002/44/EC, 2003/10/EC, 2004/40/EC, 2004/37/EC) vb.) ATEX EU direktifleri de güvenlik alanında özel bir yere sahiptir - biri üreticiler için, diğeri ekipman kullanıcıları için:
    • "ATEX 95 ekipmanı" (Direktif 94/9/EC) - potansiyel olarak patlayıcı ortamlarda kullanılması amaçlanan ekipman ve koruyucu sistemler;
    • "ATEX 137 İşyeri" (Direktif 1999/92/EC), patlayıcı ortamlardan potansiyel olarak risk altında olan işçilerin güvenliğini, sağlığını ve güvenliğini iyileştirmek için minimum gereksinimlerdir.

    İşyerinde iş güvenliği için mesleki risk değerlendirmesinin önemini göz önünde bulunduran Avrupa İşçi Sağlığı ve Güvenliği Ajansı, 1996'da İşyerinde risk değerlendirme rehberi yayınladı ve sürekli olarak mesleki risklerin değerlendirilmesindeki tehlikelerin belirlenmesine yönelik birçok yararlı örnek ekliyor.

    Genel olarak, Avrupa REACH Direktifinin gereklilikleri de güvenliği sağlamayı amaçlamaktadır. Bu sistem, kimyasal bileşiklerde ve bazı durumlarda ürünlerde bulunan maddelerle ilişkili risklerin yönetimine dayanmaktadır.

    Güvenli çalışma sistemi (GOST SSBT) standartları önemli bir yer tutmaktadır. Bunlar dünyada birkaç ülkede var olan sağlam bir sistemin belgeleridir. Bu nedenle teknolojik ekipmanın güvenliği, teknolojik süreçlerin güvenliği - GOST 12.3.002 olan GOST 12.2.003'e uygun olmalıdır. Ve tehlikeli maddeler üretilir, depolanır ve kullanılırsa, güvenlik gereklilikleri GOST 12.1.007'ye göre belirlenir. Güvenlik sistemleri (cihazlar, elemanlar) GOST 12.4.011'e ve yangın ve patlama durumunda - ayrıca GOST 12.1.004'e uygun olmalıdır.

    Binaların/yapıların güvenliğine ilişkin gereksinimler, bina kodları ve yönetmeliklerle belirlenir.

    Tıbbi standartlar ve düzenlemeler de büyük önem taşımaktadır (GMP - İyi Üretim Uygulamaları, GLP - İyi Laboratuvar Uygulamaları, GDP - İyi Dağıtım Uygulamaları, GPP - İyi Eczacılık Uygulamaları vb.).

    Gıda güvenliği standartları Codex Alimentarius Komisyonu tarafından belirlenir. Veteriner hekimlikte, bitkisel üretimde de güvenlik düzenlemeleri vardır.

    Astronotik ve nükleer enerjinin gelişimi, havacılık teknolojisinin karmaşıklığı, sistem güvenliği çalışmasının bağımsız bir ayrı faaliyet alanı olarak seçilmesine yol açtı (örneğin, IAEA yeni bir güvenlik yapısı yayınladı) standartlar: GS-R-1 "Nükleer ve radyasyon güvenliği, radyoaktif atık güvenliği ve nakliyesi için yasal altyapı ve hükümet altyapısı"). 1969'da ABD Savunma Bakanlığı MILSTD-882 "Sistemler, Alt Sistemler ve Ekipman Güvenilirlik Programı" standardını kabul etti. Askeri programlar için tüm endüstriyel yükleniciler için gereklilikleri belirler.

    Önemli belgeler, malzeme güvenlik veri sayfalarıdır (MSDS kartları - Malzeme güvenlik veri sayfaları). MSDS'ler tipik olarak aşağıdaki bölümleri içerir: ürün detayları, tehlikeli bileşenler, potansiyel sağlık etkileri (cilt teması, yutma maruziyeti, doz limitleri, tahriş edici etki, uyarıcı etki, diğer kimyasallarla temasta birbirini pekiştiren etki, kısa süreli maruz kalma, uzun süreli maruz kalma) , üreme üzerindeki etkileri, mutajenite, kanserojenlik), ilk yardım prosedürü (deri, göz, mide, soluma ile teması halinde), yangın ve patlama tehlikesi (alevlenirlik / tutuşabilirlik - hangi koşullar altında, yöntemler yangın söndürme talimatları, tehlikeli yanma ürünleri) , reaktivite verileri (kimyasal kararlılık, reaktif koşullar, tehlikeli bozunma ürünleri), dökülme/sızıntı tepkisi (atık bertarafı, sucul yaşama, toprağa, havaya bozunma/toksisite dahil), maddenin etkileriyle mücadele ve kişisel koruyucu ekipman (teknik ekipman, eldivenler, solunum ve göz koruması, güvenlik ayakkabıları, koruyucu giysi), maddenin depolanması ve taşınması için gereklilikler (depolama, çalışma, nakliye), maddenin fiziksel özellikleri, çevresel, düzenleyici, ek bilgiler. Bu tür MSDS kartları, imalatçı tarafından hazırlanır ve kullanıcıya/tüketiciye teslim edilir. MSDS kartlarından elde edilen veriler, üretim ve işgücü koruma talimatlarına dahil edilmelidir.

    Veri

    Tehlikeleri nedeniyle ürün geri çağırma örnekleri

    • Apple, pil patlaması riski nedeniyle 2009 yılında iPod nano 1G oynatıcıları geri çağırdı (http://proit.com.ua/print/?id=20223).
    • 2010 yılında McDonald's, Amerika Birleşik Devletleri'nde Shrek karikatürünün sembollerini taşıyan 12 milyon koleksiyonluk bardağı, boyandıkları boyada kadmiyum bulunması nedeniyle geri çağırdı (www.gazeta.ru/news/lenta/... / n_1503285.shtml).
    • 2008 yılında Çin'de binlerce bebek melamin içerdiği tespit edilen formül sütle zehirlendikten sonra hastanelere kaldırıldı. Sanlu, süt tedarikçilerinin ürünlerine zehirli maddeler eklediğini belirterek tüketicilerinden resmi bir özür yayınladı (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/). uluslararası/newsid_7620000/7620305.stm).
    • Fransız Tıbbi Ürünler Güvenliği Ofisi, gerekli testleri geçemediği için protez türlerinden birinin (silikon implantlar) 1 Nisan 2010'dan itibaren geri çağrılmasını talep etti (http://www.newsru.co.il/). sağlık/01apr2010/pip301.html ).
    • Thule kısa bir süre önce, ürünle birlikte verilen cıvatanın kırılganlığı nedeniyle portbagaj kitinin yeterince güçlü olmadığını (1 Ocak 2008 ile 28 Şubat 2009 arasında üretilen ürünler için) keşfetti. Şirket tarafından yapılan dahili testler sonucunda tabandaki cıvatanın şirketin güvenlik standartlarını karşılamadığı belirlendi. Tüketiciler için yüksek düzeyde risk nedeniyle (yük altında bir cıvatanın olası arızası, hareket halindeyken rafın ve ağırlığın ayrılmasına neden olabilir), Thule ürünü dolaşımdan derhal çekmeye karar verdi (http://www2.thulegroup. com/en/Ürün Geri Çağırma /Giriş2/).

    Çözüm

    Güvenlik standartlarını geliştiren profesyonellerin, çeşitli alanlarda uygulanan düzenlemelerin uyumlaştırılmasına daha fazla dikkat etmesi gerekir. Örneğin, Heisenberg'in belirsizlik ilkelerinde ve Bohr'un tamamlayıcılığında özetlenen yaklaşımları kullanın. Ayrıca insan hatalarını ve organizasyonel zayıflıkların giderilmesini de unutmayın. İşletmelerde risk yönetiminin getirilmesi, güvenlik seviyesinin artmasına yardımcı olacaktır. Örneğin, son yıllarda risk yönetimi standartları aktif olarak geliştirilmiştir. Bu belgelerin incelenmesi ve uygulanması, güvenlik kültürünün geliştirilmesine de katkıda bulunur.

    Elbette güvenlik alanında standartlar, yönetmelikler, normlar, kurallar, talimatlar gereklidir, ancak bunların uygulanması daha az önemli değildir.

    Güvenliği sağlamak için, soruların cevaplarını bilmeniz gerekir:

    1. Bir olayın meydana gelme olasılığı nedir?

    2. Olumsuz sonuçlar ne olacak?

    3. Nasıl küçültülür?

    4. Bir olay sırasında ve sonrasında faaliyetlere nasıl devam edilir?

    5. Kurtarma öncelikleri ve zaman çerçeveleri nelerdir?

    6. Ne, nasıl, ne zaman ve kimin için yapılması gerekiyor?

    7. Olumsuz sonuçları önlemek / en aza indirmek için hangi önleyici tedbirler alınmalıdır?

    Referanslar

    1. GOST 12.1.007-76 (1999). SSBT. Zararlı maddeler. Sınıflandırma ve genel güvenlik gereksinimleri.

    2. GOST 12.1.004-91. SSBT. Yangın Güvenliği. Genel Gereksinimler.

    3. GOST 12.2.003-91. SSBT. Üretim ekipmanı. Genel güvenlik gereksinimleri.

    4. GOST 12.3.002-75 (2000). SSBT. Üretim süreçleri. Genel güvenlik gereksinimleri.

    5. GOST 12.4.011-89. SSBT. İşçiler için koruma araçları. Genel gereksinimler ve sınıflandırma.

    6. GOST R 51898-2002. Güvenlik yönleri. Standartlara dahil edilme kuralları.

    7. GOST R 12.1.052-97. SSBT. Maddelerin ve malzemelerin güvenliğine ilişkin bilgiler (Güvenlik Bilgi Formu). Temel hükümler.

    8. GOST R ISO 13849-1-2003. Ekipman güvenliği. Güvenlikle ilgili kontrol sistemlerinin elemanları. Bölüm 1. Genel tasarım ilkeleri.

    9. BS 31100:2008. Risk yönetimi - Uygulama kuralları.

    10.BS OHSAS 18001:2007. İş sağlığı ve güvenliği yönetim sistemleri. Gereksinimler.

    11. CWA 15793:2008. Laboratuvar biyorisk yönetim standardı.

    12. ISO/IEC 51:1999. Güvenlik hususları - Standartlara dahil edilmeleri için yönergeler.

    13. ISO/IEC Kılavuzu 73:2009. Risk yönetimi - Sözlük - Standartlarda kullanım için yönergeler.

    14. ISO 31000:2009. Risk yönetimi - İlkeler ve yönergeler.

    15. IEC/ISO 31010:2009. Risk yönetimi - risk değerlendirme teknikleri.

    16.ISO 15190:2003. Tıbbi laboratuvarlar - Güvenlik gereksinimleri.

    17. Sebep J. İnsan hatası. - New York: Cambridge University Press, 1990. - 316 s.

    18. Kimyasalların Kaydı, Değerlendirilmesi, İzni ve Kısıtlanmasına (REACH) ilişkin 18 Aralık 2006 tarihli ve (EC) 1907/2006 sayılı Avrupa Parlamentosu ve Konseyi Tüzüğü, bir Avrupa Kimyasallar Ajansı kuran, 1999/45/EC sayılı Direktifi tadil eden ve 793/93 sayılı Konsey Tüzüğü (EEC) ve 1488/94 (EC) No. /EC ve 2000/21/EC.

    ISO/IEC 27001- Uluslararası Standardizasyon Örgütü ve Uluslararası Elektroteknik Komisyonu tarafından ortaklaşa geliştirilen uluslararası bir bilgi güvenliği standardı. Standart, Bilgi Güvenliği Yönetim Sisteminin (BGYS) oluşturulması, geliştirilmesi ve bakımı için bilgi güvenliği alanındaki gereklilikleri içerir.

    Standardın amacı. ISO/IEC 27001 (ISO 27001) standardı, bilgi güvenliği yönetimi alanında dünyanın en iyi uygulamalarının açıklamalarını içerir. ISO 27001, bir kuruluşun bilgi kaynaklarını koruma yeteneğini göstermek için bir bilgi güvenliği yönetim sistemi için gereksinimleri belirtir. Bu Uluslararası Standart, bir Bilgi Güvenliği Yönetim Sisteminin (BGYS) geliştirilmesi, uygulanması, işletilmesi, izlenmesi, analizi, bakımı ve iyileştirilmesi için bir model olarak hazırlanmıştır.

    BGYS'nin amacı— bilgi varlıklarını korumak ve paydaş güvenini sağlamak için tasarlanmış uygun güvenlik kontrollerinin seçimi.

    Temel konseptler. Bilgi güvenliği - bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak; ayrıca özgünlük, reddedilemezlik, inandırıcılık gibi başka özellikler de dahil edilebilir.

    Gizlilik - bilgilerin yalnızca uygun yetkiye sahip kişiler (yetkili kullanıcılar) tarafından erişilebilir olmasının sağlanması.

    Bütünlük - bilgilerin doğruluğunun ve eksiksizliğinin yanı sıra işleme yöntemlerinin sağlanması.

    Kullanılabilirlik - gerektiğinde (talep üzerine) yetkili kullanıcılara bilgilere erişim sağlama.

    ISO 27001 standardı şunları sağlar:

    bilgi güvenliği ile ilgili faaliyetin yönünün ve ilkelerinin anlaşılması ve hedeflerin tanımlanması;

    organizasyonda risk değerlendirmesi ve yönetimine yönelik yaklaşımların tanımı;

    yürürlükteki yasa ve yönetmeliklere uygun olarak bilgi güvenliği yönetimi;

    bilgi güvenliği alanındaki hedeflere ulaşılması için yönetim sisteminin oluşturulması, uygulanması, işletilmesi, izlenmesi, analizi, desteklenmesi ve iyileştirilmesinde birleşik bir yaklaşımın kullanılması;

    bilgi güvenliği yönetim sisteminin süreçlerinin tanımlanması;

    bilgi güvenliğini sağlamaya yönelik önlemlerin durumunun belirlenmesi;

    · bilgi güvenliği yönetim sisteminin standardın gerekliliklerine uygunluk derecesini belirlemek için iç ve dış denetimlerin kullanılması;



    · bilgi güvenliği politikası hakkında ortaklara ve diğer ilgili taraflara yeterli bilgi sağlamak.


    27 Temmuz 2006 tarih ve 149-FZ sayılı Rusya Federasyonu Federal Kanununun içeriğine göre bilgi, bilgi teknolojileri ve bilgi koruma alanındaki ilişkilerin yasal düzenleme ilkeleri “Bilgi, Bilgi Teknolojileri ve Bilgi Koruma”.

    Bilgi, bilgi teknolojisi ve bilgi koruma alanında ortaya çıkan ilişkilerin yasal düzenlemesi aşağıdaki ilkelere dayanmaktadır:

    1) herhangi bir yasal yolla bilgi arama, alma, aktarma, üretme ve dağıtma özgürlüğü;

    2) bilgiye erişime ilişkin kısıtlamaların yalnızca federal yasalar tarafından belirlenmesi;

    3) federal yasalar tarafından belirlenen durumlar dışında, devlet organlarının ve yerel yönetimlerin faaliyetleri hakkındaki bilgilerin açıklığı ve bu tür bilgilere ücretsiz erişim;

    4) bilgi sistemlerinin oluşturulmasında ve işletilmesinde Rusya Federasyonu halklarının dillerinin eşitliği;

    5) Rusya Federasyonu'nun bilgi sistemlerinin oluşturulması, işletilmesi ve içerdikleri bilgilerin korunmasında güvenliğinin sağlanması;

    6) bilgilerin güvenilirliği ve sağlanmasının güncelliği;

    7) özel hayatın dokunulmazlığı, kişinin rızası olmaksızın özel hayata ilişkin bilgilerin toplanması, saklanması, kullanılması ve yayılmasının kabul edilemezliği;

    8) devlet bilgi sistemlerinin oluşturulması ve işletilmesi için belirli bilgi teknolojilerini kullanma yükümlülüğü federal yasalar tarafından belirlenmedikçe, düzenleyici yasal düzenlemelerle bazı bilgi teknolojilerini kullanmanın diğerlerine göre herhangi bir avantajı oluşturmanın kabul edilemezliği.


    Rusya Federasyonu'nun 2020'ye Kadar Ulusal Güvenlik Stratejisi”. "Rusya Federasyonu Bilgi Güvenliği Doktrini" nde bilgi güvenliğini sağlamaya yönelik işlevlerinin devlet tarafından yapısı, görevleri, yöntemleri ve uygulama yolları.



    Rusya Federasyonu'nun 2020 yılına kadarki Ulusal Güvenlik Stratejisi, ulusal güvenlik durumunu ve uzun vadede devletin sürdürülebilir kalkınma düzeyini belirleyen, iç ve dış politika alanında resmi olarak tanınan bir stratejik öncelikler, hedefler ve önlemler sistemidir. .

    Rusya Federasyonu'nun bilgi güvenliği doktrini, Rusya Federasyonu'nun bilgi güvenliğini sağlamaya yönelik amaçlar, hedefler, ilkeler ve ana yönergeler hakkında bir dizi resmi görüştür.

    Doktrindeki bilgi alanındaki Rusya Federasyonu'nun ulusal çıkarlarının bileşenleri:

    1) Bilgi edinme ve kullanma alanında anayasal insan hak ve özgürlüklerinin zorunlu olarak gözetilmesi.

    2) Rusya Federasyonu devlet politikasının bilgi desteği (Rusya Federasyonu vatandaşlarına ve uluslararası topluma Rusya Federasyonu devlet politikası, Rusya'daki ve dünyadaki önemli olaylara ilişkin resmi pozisyon hakkında vatandaşlarla bilgi vermek) açık durum kaynaklarına erişim.

    3) Yerli sanayinin modern BT'sinin geliştirilmesi (bilgilendirme, telekomünikasyon ve iletişim araçları). Rusya'nın iç pazarı için BT sağlamak ve dünya pazarlarına erişim.

    4) Bilgi kaynaklarının yetkisiz erişimden korunması, bilgi ve telekomünikasyon sistemlerinin güvenliğinin sağlanması.

    Doktrinde Rusya Federasyonu'nun bilgi güvenliğine yönelik tehdit türleri:

    1. Bilişim faaliyetleri alanında kişinin anayasal hak ve özgürlüklerine yönelik tehditler.

    2. Rusya Federasyonu devlet politikasının bilgi desteğine yönelik tehditler.

    3. Yerli endüstri için modern BT'nin gelişimine ve ayrıca iç ve küresel pazarlara girişe yönelik bir tehdit.

    4. Bilgi ve telekomünikasyon tesisleri ve sistemlerinin güvenliğine yönelik tehditler.

    Doktrinde Rusya Federasyonu'nun bilgi güvenliğini sağlama yöntemleri:

    Yasal Yöntemler

    BT alanındaki ilişkileri düzenleyen düzenleyici yasal düzenlemelerin geliştirilmesi

    Organizasyonel ve teknik yöntemler

    Rusya Federasyonu bilgi güvenliği sisteminin oluşturulması ve iyileştirilmesi

    Bu bölgede suç işleyenleri adalete teslim etmek

    İşlenen bilgilere yetkisiz erişimi önleyecek sistemlerin ve araçların oluşturulması

    Ekonomik Yöntemler

    Bilgi güvenliği programlarının geliştirilmesi ve finansmanı

    Rusya Federasyonu'nun bilgi güvenliğinin sağlanmasına ilişkin çalışmaların finansmanı


    Günümüzde bilgi güvenliği uzmanlarının ilgili standartlar ve spesifikasyonlar hakkında bilgi sahibi olmadan yapması neredeyse imkansızdır. Bunun birkaç nedeni var. Resmi olan, "kriptografik" standartlar veya "kılavuz belgeler" gibi belirli standartları takip etme ihtiyacının kanunda yer almasıdır. Bununla birlikte, maddi nedenler en zorlayıcı olanlardır.

    Birincisi, standartlar ve spesifikasyonlar, öncelikle bilgi güvenliğinin prosedürel ve yazılım ve donanım seviyeleri hakkında bilgi birikimi biçimlerinden biridir. En kalifiye uzmanlar tarafından geliştirilen kanıtlanmış, yüksek kaliteli çözümleri ve metodolojileri belgeliyorlar.

    İkincisi, her ikisi de donanım-yazılım sistemlerinin ve bileşenlerinin karşılıklı uyumluluğunu sağlamanın ana yoludur.

    Üçüncüsü, bilgi güvenliği standartları, üç farklı bakış açısını, "koruma üreticisi", "tüketici" ve çeşitli "onaylayıcıları" uzlaştırmanın yanı sıra tüm tarafların etkileşimi için etkili bir mekanizma oluşturma gibi zorlu bir görevle karşı karşıyadır.

    Tüketiciler, ihtiyaçlarını karşılayan ve sorunlarını çözen bir ürün seçmelerine olanak tanıyan yöntemlerle ilgileniyorlar; bu, bir güvenlik derecelendirme ölçeğine ihtiyaç duydukları Windows Server işletim sistemi çalıştıran VPS'yi içerebilir. Ayrıca tüketicinin, gereksinimlerini üreticiye formüle edebileceği bir araca ihtiyacı vardır. Ne yazık ki, birçok tüketici genellikle güvenlik gereksinimlerinin yalnızca kullanım kolaylığıyla değil, aynı zamanda hızla da çeliştiğini anlamıyor, ancak daha sıklıkla uyumluluk konusunda belirli kısıtlamalar getiriyor ve bir kural olarak onları yaygın olarak kullanılan, kullanımı kolay terk etmeye zorluyor, ancak daha az güvenli araçlar. .

    Onaylayıcılar, standartları, güvenliği değerlendirmelerine yardımcı olacak ve tüketicilerin kendileri için en iyi seçimi yapmalarını sağlayacak bir araç olarak görürler.

    İlk ve en ünlü belgelerden biri, ABD Savunma Bakanlığı'nın "Bilgisayar Sistemi Güvenlik Kriterleri" olarak 90'lı yıllarda geliştirdiği sözde "Turuncu Kitap" idi. A, B, C, D olmak üzere 4 güvenlik seviyesi tanımlar; burada A, en yüksek güvenlik seviyesidir ve buna göre en katı gereklilikler uygulanır.

    "Turuncu Kitap" ilk en ünlü belgelerden biri olmasına rağmen, bilgi güvenliğini sağlamak isteyen her devletin kendi belgelerini - bilgi güvenliği alanında "ulusal standartları" geliştirdiği açıktır. Bunlar arasında Avrupa Bilgi Teknolojisi Güvenliği Kriterleri, Kanada Bilgisayar Sistemleri Güvenliği Kriterleri ve bu arada ISO / IEC 17799:2000 uluslararası standartlarının temel aldığı Bilgi Güvenliği Yönetimi için İngiliz Uygulama Kuralları yer alır. (BS 7799-1:2000). Şu anda, ISO / IEC 27001: 2013 standardının en son sürümü ve "SSCB Devlet Teknik Komisyonu'nun Kılavuz Belgeleri" (ve daha sonra Rusya).

    Amerikalıların, SSCB Devlet Teknik Komisyonu'nun faaliyetlerini çok takdir ettikleri belirtilmelidir. Amerikan yayınları, Sovyet teşkilatının bilgiyi korumak ve teknik istihbarata karşı koymak için Batı'da Sovyetler Birliği hakkında bilinen her şeyi dikkatlice incelediğini ve "gerçek resmi çarpıtmak için çok miktarda malzeme" geliştirdiğini yazdı. Komisyonun, yabancıların katıldığı tüm askeri geçit törenlerini ve tatbikatları, füze üsleri ve kışlaların inşasını denetlediğini, başarıların bazı alanlarda kasıtlı olarak gizlendiğini ve füze savunması gibi diğer alanlarda büyük ölçüde abartıldığını söylediler. Devlet Teknik Komisyonu'nun bu alandaki faaliyetleri gerçekten çok kısa sürede ilk meyvelerini verdi. Amerikan gazetesi The New York Times'ın yazdığı gibi, daha 1977'de, SSCB'nin tersanelerinde ve tersanelerinde alınan önlemlerin bir sonucu olarak, Amerikalılar Sovyet denizaltılarının inşasını izlemede sorunlar yaşadılar.

    SSCB Devlet Teknik Komisyonu'nun Sovyet dönemindeki çalışmalarının sonuçları, yalnızca askeri-endüstriyel kompleks işletmelerde bilgi güvenliğinde bir artış ve test alanlarında yeni silah türlerinin test edilmesi değildi. Özellikle otomatik kontrol sistemlerinde ve bilgisayarlarda işlenen bilgilerin güvenliğini sağlamak için ciddi çalışmalar yapıldı, gizli bilgilerin sızmasını önlemek için güvenli bilgisayar kontrol sistemleri ve gizli belgeleri işleme araçları oluşturuldu, hükümet düzeyinde iletişim kanalları tanıtıldı organları ve Sovyet Ordusunun yüksek komutanlığı ve çok daha fazlası.

    Ayrıca, standartların önceden belirtilen rolünün 27 Aralık 2002 N 184-FZ tarihli "Teknik Yönetmelik Üzerine" Federal Yasada da belirlendiği belirtilmelidir.

    Anılan kanunda ilan edilen standardizasyon ilkelerinden “Teknik düzenlemelerin içeriği ve uygulanması” başlıklı 7. maddesinde, aşağıdaki durumlar dışında, ulusal bir standardın geliştirilmesine temel olarak uluslararası bir standardın uygulanması ilkesinin yer aldığına dikkat edilmelidir. uluslararası standartların gerekliliklerine iklim koşulları ve coğrafi özellikler, teknik veya teknolojik özellikler veya diğer nedenlerle uyulmaması veya Rusya Federasyonu'nun uluslararası bir standardın veya ayrı bir hükmün kabulüne karşı çıkması nedeniyle bu tür bir uygulamanın imkansız olarak kabul edilmesi onun

    Madde 7. Madde 8:

    Uluslararası standartların veya bölümlerinin, bu Federal Yasanın 6. maddesinde belirtilen hedeflere ulaşmak için etkisiz veya uygun olmadığı durumlar dışında, uluslararası standartlar tamamen veya kısmen taslak teknik düzenlemelerin geliştirilmesine temel olarak kullanılmalıdır. iklimsel ve coğrafi özellikler nedeniyle Rusya Federasyonu, teknik ve (veya) teknolojik özellikler. (18 Temmuz 2009 tarih ve 189-FZ sayılı Federal Yasa ile değiştirildiği şekliyle)
    Rusya Federasyonu'nun ulusal standartları, taslak teknik düzenlemelerin geliştirilmesinde kısmen veya tamamen kullanılabilir.

    Pratik bir bakış açısıyla, bilgi güvenliği alanında uluslararası, ulusal ve sektörel olanlar da dahil olmak üzere standartların ve şartnamelerin sayısı sonsuz olduğundan, bunlardan sadece birkaçını vereceğiz, ulusal standartların tam listesi Rusya FSTEC web sitesinde ilgili "Ulusal standartlar" bölümünde.
    atama Rusça isim
    GOST R 50739-95 Bilgisayar olanakları. Bilgilere yetkisiz erişime karşı koruma. Genel teknik gereksinimler
    GOST R 50922-2006 Veri koruması. Temel terimler ve tanımlar
    GOST R 51188-98 Veri koruması. Bilgisayar virüslerinin varlığı için test yazılımı. Model Rehberi
    GOST R 51583-2014 Veri koruması. Korumalı yürütmede otomatik sistemlerin oluşturulma sırası. Genel Hükümler
    GOST R 53110-2008 Bir kamu iletişim ağının bilgi güvenliğini sağlamaya yönelik sistem. Genel Hükümler
    GOST R 53111-2008 Kamu iletişim ağının işleyişinin kararlılığı. Gereksinimler ve doğrulama yöntemleri
    GOST R 53113.1-2008 Bilgi Teknolojisi. Gizli kanallar kullanılarak uygulanan bilgi güvenliği tehditlerinden bilgi teknolojilerinin ve otomatik sistemlerin korunması. Bölüm 1. Genel Hükümler
    GOST R 53113.2-2009 Bilgi Teknolojisi. Gizli kanallar kullanılarak uygulanan bilgi güvenliği tehditlerinden bilgi teknolojilerinin ve otomatik sistemlerin korunması. Bölüm 2. Gizli kanalları kullanan saldırılardan bilgi, bilgi teknolojileri ve otomatik sistemlerin korunmasını organize etmek için öneriler
    GOST R 54581-2011 / I SO/IEC TR 15443-1:2005 Bilgi Teknolojisi. Güvenliği sağlama yöntemleri ve araçları. BT güvenliğine güvenin temelleri. Bölüm 1. Genel Bakış ve Temel Bilgiler
    GOST R 54582-2011 / ISO/IEC TR 15443-2:2005 Bilgi Teknolojisi. Güvenliği sağlama yöntemleri ve araçları. Bilgi teknolojisi güvenliğine güvenin temelleri. Bölüm 2. Güven yöntemleri
    GOST R 54583-2011 / ISO/IEC TR 15443-3:2007 Bilgi Teknolojisi. Güvenliği sağlama yöntemleri ve araçları. Bilgi teknolojisi güvenliğine güvenin temelleri. Bölüm 3. Güvence yöntemlerinin analizi
    GOST R ISO 7498-1-99 Bilgi Teknolojisi. Açık sistemlerin ilişkisi. Temel referans modeli. Bölüm 1. Temel Model
    GOST R ISO 7498-2-99 Bilgi Teknolojisi. Açık sistemlerin ilişkisi. Temel referans modeli. Bölüm 2. Bilgi güvenliği mimarisi
    GOST R ISO/IEC TO 13335-5-2006 Bilgi Teknolojisi. Güvenliği sağlama yöntemleri ve araçları. Bölüm 5: Ağ Güvenliği Yönetim Kılavuzu
    GOST R ISO/IEC 15408-1-2012 Bilgi Teknolojisi. Güvenliği sağlama yöntemleri ve araçları. Bilgi teknolojisi güvenliğini değerlendirme kriterleri. Bölüm 1. Giriş ve genel model

    Örneğin, GOST R 53113.2-2009 “Bilgi teknolojisi (IT)'ni ele alalım. Gizli Kanallar Kullanılarak Gerçekleştirilen Bilgi Güvenliği Tehditlerinden Bilgi Teknolojileri ve Otomatik Sistemlerin Korunması.

    Bu standart, yalnızca otomatik bir sistemdeki gizli kanalların işleyişinin genel şemasını, bir tehdit modeli oluşturma kurallarını değil, aynı zamanda varlığını dikkate alan bir bilgi güvenliği sistemi oluştururken kullanılan bilgi ve teknikleri korumak için çeşitli tavsiyeler sunar. böyle gizli kanallar

    Aşağıdaki Şekil 1, otomatik bir sistemde gizli kanalların işleyişinin genel bir şemasını göstermektedir.

    Şekil 1 - Otomatik bir sistemde gizli kanalların işleyiş mekanizmasının genel şeması

    1 - amacı, kısıtlanmış bilgilere yetkisiz erişim veya otomatik bir sistem üzerinde yetkisiz etki olan bir güvenlik ihlalcisi (davetsiz misafir);
    2 - sınırlı erişim veya kritik bir işlev bilgisi;
    3 - konu 2 ve 5'e erişim yetkisine sahip;
    3" - 2 ile kapalı bir döngüde bulunan ve konu 3 adına 2 ile etkileşime giren güvenlik ihlali yapanın temsilcisi;
    4 - bilgi etkileşimini kontrol eden denetçi (yazılım, bellenim, donanım veya kişi) 3, bilgi nesnesini dış ortamdan ayıran kapalı bir döngüyü geçerek;
    5 - 3'ün yetkili bilgi etkileşimi gerçekleştirdiği kapalı döngü dışındaki bir konu

    Gizli kanallar kullanılarak uygulanabilen güvenlik tehditleri şunları içerir:

    1. Kötü amaçlı yazılım ve verilerin tanıtılması;
    2. Komutların saldırgan tarafından yürütme için aracıya sunulması;
    3. Kriptografik anahtarların veya şifrelerin sızması;
    4. Bireysel bilgi nesnelerinin sızması.

    Gizli kanallar kullanılarak gerçekleştirilen saldırılardan bilgi, bilgi teknolojileri ve otomatik sistemlerin korunması, sürecin her yinelemesinde tekrarlanan aşağıdaki adımları içeren döngüsel bir süreçtir:

    1. Değerli varlıkların tanımlanması ve gizli kanallar kullanılarak yapılan saldırıların olası sonuçlarının değerlendirilmesi dahil olmak üzere, kuruluşun varlıkları için risk analizi
    2. Gizli kanalların belirlenmesi ve bunların örgütün varlıklarına yönelik tehlikelerinin değerlendirilmesi
    3. Gizli kanallara karşı koruyucu önlemlerin uygulanması
    4. Gizli kanalların karşı konulması üzerindeki kontrolün organizasyonu.

    Gizli kanallar kullanılarak uygulanan bilgi güvenliği tehditlerine karşı koruma sürecinin döngüsel doğası, önceki yinelemeler sırasında bilinmeyen gizli kanallar oluşturmak için yeni yolların ortaya çıkmasıyla belirlenir.

    Gizli kanalların tehlikesinin değerlendirilmesine dayanarak, risk analizinin sonuçları dikkate alınarak, bu tür kanallara karşı önlem almanın uygunluğu veya uygunsuzluğu hakkında bir sonuca varılır.

    Örtülü kanalların tespit edilmesinin sonuçlarına göre, bu kanallar kullanılarak uygulanan tehditlere karşı bir eylem planı oluşturulur. Bu önlemler, gizli kanallar kullanılarak uygulanan bilgi güvenliği tehditlerine karşı koymak için halihazırda bilinen (veya mevcut olanların iyileştirilmesi) yöntemlerinden birinin uygulanmasını içerebilir.

    Koruyucu önlemler olarak aşağıdakilerin kullanılması tavsiye edilir:

    1. Bilgi iletim kanalının bant genişliğinin azaltılması;
    2. Otomatik sistemler oluşturmak için mimari çözümler;
    3. Otomatik sistemlerin korunmasının etkinliğinin izlenmesi.

    Gizli kanallar kullanılarak uygulanan, kiraladığınız VDS sunucusunun bilgi güvenliğine yönelik tehditlere karşı koyma yöntemlerinin seçimi ve bunların uygulanması için bir planın oluşturulması, korunan otomatik sistemin bireysel özelliklerine göre uzmanlar tarafından belirlenir.

    Gördüğünüz gibi, kısa bir standartlar listesi bile, kısa olmaktan çok, yönetmelikler ve tavsiyelerden bahsetmiyorum bile, ancak bu alanda en azından temel bilgilere sahip olmak gereklidir, böylece sadece gezinemez, aynı zamanda uygulamaya da koyabilirsiniz. gerekli standartlar.

    Modern toplumun en önemli sorunlarından ve ihtiyaçlarından biri, otomatik bilgi işleme süreçlerinde kişisel (kişisel) bilgileri koruma hakkı da dahil olmak üzere, bilgi etkileşimi süreçlerine dahil edilmesi açısından insan haklarının korunmasıdır.

    I. N. Malanych, VSU'nun 6. sınıf öğrencisi

    Kişisel verilerin korunması kurumu günümüzde artık sadece ulusal hukukla düzenlenebilen bir kategori değildir. Modern otomatikleştirilmiş bilgi sistemlerinin en önemli özelliği, birçoğunun “uluslarüstü” olması, devlet sınırlarının ötesine “çıkışları”, İnternet gibi halka açık küresel bilgi ağlarının gelişmesi, içinde tek bir bilgi alanının oluşmasıdır. Bu tür uluslararası yapılar.

    Bugün Rusya Federasyonu'nda, yalnızca otomatik bilgi süreçleri çerçevesinde kişisel verilerin korunması kurumunu yasal alana sokmakla kalmayıp, aynı zamanda bu alandaki mevcut uluslararası yasal standartlarla ilişkilendirme sorunu da var.

    Kişisel verileri koruma kurumunun uluslararası yasal düzenlemesinde, otomatikleştirilmiş bilgi işleme süreçleriyle ilgili üç ana eğilim vardır.

    1) Uluslararası kuruluşlar çerçevesinde kabul edilen genel insani nitelikteki eylemlerde, temel insan haklarının ayrılmaz bir parçası olarak kişisel verilerin korunması hakkının beyanı.

    2) Avrupa Birliği, Avrupa Konseyi, kısmen Bağımsız Devletler Topluluğu ve bazı bölgesel uluslararası kuruluşların düzenleyici kanunlarında kişisel bilgilerin korunması hakkının sağlamlaştırılması ve düzenlenmesi. Bu norm sınıfı en evrensel olanıdır ve doğrudan otomatik bilgi işleme süreçlerinde kişisel verilerin korunma haklarıyla ilgilidir.

    3) Gizli bilgilerin (kişisel bilgiler dahil) korunmasına ilişkin normların uluslararası anlaşmalara dahil edilmesi.

    İlk yöntem - tarihsel olarak diğerlerinden daha önce ortaya çıktı. Modern dünyada bilgi hakları ve özgürlükleri temel insan haklarının ayrılmaz bir parçasıdır.

    1948 tarihli İnsan Hakları Evrensel Beyannamesi, “Hiç kimsenin özel ve aile hayatına keyfi müdahaleye, yazışmalarının gizliliğine ... keyfi saldırılara maruz bırakılamayacağını” ilan eder ve ayrıca: “Herkesin korunmaya hakkı vardır. bu tür müdahalelere veya bu tür saldırılara karşı yasa.” 1966 Medeni ve Siyasi Haklara İlişkin Uluslararası Sözleşme, bu bölümde bildirgeyi tekrarlamaktadır. 1950 Avrupa Sözleşmesi bu hakkı detaylandırmaktadır: “Herkesin ifade özgürlüğü hakkı vardır. Bu hak, kanaat sahibi olma ve kamu makamlarının müdahalesi olmaksızın ve sınır tanımadan bilgi ve fikir alma ve verme özgürlüğünü içerir.”

    Belirtilen uluslararası belgeler, kişinin bilgi haklarını düzenler.

    Şu anda, uluslararası düzeyde insan bilgi haklarına ilişkin istikrarlı bir görüş sistemi oluşturulmuştur. Genel anlamda, bu bilgi alma hakkı, onunla ilgili bilgilerin korunması açısından mahremiyet hakkı, bilgileri hem devlet güvenliği açısından hem de finansal dahil olmak üzere iş güvenliği açısından koruma hakkıdır. faaliyetler.

    İkinci yol - kişisel bilgileri koruma hakkının daha ayrıntılı düzenlenmesi, son yıllarda otomatik bilgisayar bilgi sistemleri kullanılarak kişisel bilgilerin işlenmesinin giderek artan yoğunluğuyla ilişkilidir. Son yıllarda, sınır ötesi bilgi alışverişinin yoğunlaştırılması ve modern bilgi teknolojilerinin kullanımı ile bağlantılı olarak temel bilgi haklarını geliştiren bir dizi uluslararası kuruluş çerçevesinde bir dizi uluslararası belge kabul edilmiştir. Bu tür belgeler aşağıdakileri içerir:

    1980 yılında Avrupa Konseyi, 1985 yılında yürürlüğe giren Kişisel Verilerin Otomatik İşlenmesi Karşılığında Bireylerin Korunmasına İlişkin Avrupa Sözleşmesini geliştirmiştir. veri, fiziksel veri koruma yöntemleri. Sözleşme, kişisel verilerin toplanmasında ve işlenmesinde insan haklarına uyulmasını, bu verilerin saklanması ve bu verilere erişim ilkelerini, verilerin fiziksel koruma yöntemlerini garanti eder ve ayrıca ırk, siyasi görüş, sağlık, din ile ilgili verilerin işlenmesini yasaklar. uygun yasal dayanak olmadan. Rusya, Avrupa Sözleşmesi'ne Kasım 2001'de katıldı.

    Avrupa Birliği'nde, kişisel verilerin korunması konuları bir dizi belge ile düzenlenmektedir. 1979'da Avrupa Parlamentosu'nun "Bilişimin ilerlemesiyle bağlantılı olarak bireysel hakların korunmasına ilişkin" Kararı kabul edildi. Karar, Avrupa Toplulukları Konseyini ve Komisyonunu bilişim alanındaki teknolojik ilerlemeyle bağlantılı olarak kişisel verilerin korunmasına ilişkin yasal düzenlemeler geliştirmeye ve kabul etmeye davet etti. 1980 yılında, Avrupa Birliği Üye Ülkeleri İşbirliği Teşkilatı'nın "Kişisel verilerin eyaletler arası alışverişinde mahremiyetin korunmasına ilişkin yönergeler hakkında" Tavsiyeleri kabul edildi. Halihazırda kişisel verilerin korunmasına ilişkin hususlar Avrupa Parlamentosu ve Avrupa Birliği Konseyi direktifleri ile detaylı bir şekilde düzenlenmektedir. Bunlar, Avrupa Parlamentosu ve Avrupa Birliği Konseyi'nin 24 Ekim 1995 tarih ve 95/46/EC ve 2002/58/EC sayılı "Verilerin işlenmesine ilişkin olarak bireylerin haklarının korunmasına ilişkin" Direktifleridir. kişisel verilerin kullanımı ve bu tür verilerin serbest dolaşımına ilişkin", Avrupa Parlamentosu ve Avrupa Birliği Konseyi'nin 15 Aralık 1997 tarih ve 97/66 /EC sayılı Direktifi, kişisel verilerin kullanımı ve gizliliğin korunmasına ilişkin telekomünikasyon ve diğer belgeler alanı.

    Avrupa Birliği'nin eylemleri, otomatik veri işlemeye ilişkin ilke ve kriterler, kişisel verilerin öznelerinin ve sahiplerinin hakları ve yükümlülükleri, bunların sınır ötesi aktarım sorunları ve neden olma yükümlülüğü ve yaptırımları hakkında ayrıntılı bir çalışma ile karakterize edilir. zarar. 95/46/EC sayılı Direktif uyarınca, Avrupa Birliği'nde bireylerin kişisel verilerinin işlenmesine ilişkin olarak korunmasına ilişkin Çalışma Grubu oluşturulmuştur. Bir danışma organı statüsüne sahiptir ve bağımsız bir yapı olarak hareket eder. Çalışma grubu, kendi topraklarında Direktif hükümlerine uyumu denetlemek amacıyla her Üye Devlet tarafından kurulan organın bir temsilcisinden, Topluluk kurumları ve yapıları için kurulmuş olan organ veya organların bir temsilcisinden ve bir temsilciden oluşur. Avrupa Komisyonu.

    Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) çerçevesinde, 23 Eylül 1980'de kabul edilen “Gizliliğin korunması ve kişisel verilerin uluslararası değişimine ilişkin yönergeler” yürürlüktedir. Bu Yönerge'nin önsözü şöyledir: "... OECD üyesi ülkeler, ulusal gizlilik yasalarını birleştirmeye yardımcı olabilecek ve ilgili insan haklarına saygı gösterirken aynı zamanda uluslararası veri alışverişinin engellenmesine izin vermeyecek Kılavuz İlkeler geliştirmeyi gerekli bulmuşlardır . .." Bu hükümler, hem kamu hem de özel sektörde, gerek işlenme prosedürüyle bağlantılı olarak gerekse kullanımlarının niteliği veya bağlamıyla bağlantılı olarak özel hayatın gizliliğini ve bireysel özgürlükleri ihlal etme riski taşıyan kişisel veriler için geçerlidir. Kişisel verilerin kaybolması, yok edilmesi, değiştirilmesi veya ifşa edilmesi, yetkisiz erişim ile ilgili risklere karşı korunmak için uygun mekanizmalarla sağlanması ihtiyacını tanımlar. Rusya maalesef bu organizasyona katılmıyor.

    Parlamentolararası Devletler Meclisi - BDT Üyeleri 16 Ekim 1999 “Kişisel Verilere İlişkin” Model Kanun kabul edildi.

    "Kişisel veriler" yasasına göre - belirli bir kişi hakkında, onunla tanımlanmış veya tanımlanabilecek bilgiler (maddi bir taşıyıcıya sabitlenmiştir). Kişisel veriler, biyografik ve kimlik bilgilerini, kişisel özellikleri, aile, sosyal durum, eğitim, meslek, resmi ve mali durum, sağlık durumu ve diğer bilgileri içerir. Kanun ayrıca kişisel verilerin yasal düzenleme ilkelerini, kişisel verilerle yapılan işlemlerin devlet düzenleme biçimlerini, öznelerin ve kişisel veri sahiplerinin hak ve yükümlülüklerini listeler.

    Görünüşe göre, uluslararası yasal düzenlemelerde kişisel verilerin korunmasına ilişkin normatif düzenlemenin ikinci yöntemi, analiz için en ilginç olanıdır. Bu sınıfa ait normlar, sadece bu alandaki sosyal ilişkileri doğrudan düzenlemekle kalmaz, aynı zamanda üye ülkelerin mevzuatlarının uluslararası standartlara getirilmesine katkıda bulunur ve bu normların kendi topraklarında etkinliğini sağlar. Böylece, İnsan Hakları Evrensel Beyannamesi'nin 12. maddesinde yer alan “... müdahale veya ... tecavüzlere karşı kanunla korunma hakkı” anlamında düzenlenen bilgi edinme haklarının güvencesi de sağlanmış olur. .

    Kişisel verilerin korunmasına ilişkin kuralları pekiştirmenin üçüncü yolu, uluslararası anlaşmalarda hukuki koruma altına almaktır.

    Hukuki yardım, çifte vergilendirmeyi önleme, belirli bir sosyal ve kültürel alanda işbirliğine ilişkin uluslararası anlaşmalarda bilgi alışverişine ilişkin maddeler yer almaktadır.

    Sanata göre. Rusya Federasyonu ile Amerika Birleşik Devletleri arasında gelir ve sermaye üzerinden alınan vergilerde çifte vergilendirmenin önlenmesi ve vergi kaçakçılığının önlenmesine ilişkin Anlaşmanın 25. maddesinde, devletlerin mesleki sır oluşturan bilgileri sağlamaları gerekmektedir. Rusya Federasyonu ile Hindistan Cumhuriyeti arasında Cezai Konularda Karşılıklı Adli Yardım Anlaşması, Madde 15 “Gizlilik” içermektedir: talepte bulunulan taraf, aktarılan bilgilerin gizliliğini talep edebilir. Uluslararası anlaşmalar akdetme uygulaması, sözleşme yapan devletlerin kişisel verilerin korunmasına yönelik uluslararası standartlara uyma arzusunu göstermektedir.

    Bu kurumun uluslararası hukuk düzeyinde düzenlenmesi için en etkili mekanizmanın uluslararası kuruluşlar çerçevesinde özel düzenleyici belgelerin yayınlanması olduğu görülmektedir. Bu mekanizma, yalnızca makalenin başında belirtilen bu kuruluşlardaki kişisel bilgilerin korunmasına ilişkin güncel sorunların uygun iç düzenlemesine katkıda bulunmakla kalmaz, aynı zamanda katılımcı ülkelerin ulusal mevzuatı üzerinde de yararlı bir etkiye sahiptir.

    Devamını oku: