Защита информации и информационная безопасность международные и российские стандарты. Международные правовые нормы в сфере защиты персональных данных Международные стандарты защиты информации

В данном разделе приводятся общие сведения и тексты национальных стандартов Российской Федерации в области защиты информации ГОСТ Р.

Актуальный перечень современных ГОСТов, разработанных в последние годы и планируемых к разработке. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России). ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. Общие положения. Москва ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Дата введения 1996-01-01 Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions. Дата введения 2008-02-01 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ЗАЩИТА ИНФОРМАЦИИ. СИСТЕМА СТАНДАРТОВ. ОСНОВНЫЕ ПОЛОЖЕНИЯ (SAFETY OF INFORMATION. SYSTEM OF STANDARDS. BASIC PRINCIPLES) ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ. Типовое руководство (Information security. Software testing for the existence of computer viruses. The sample manual). Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model) ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 2. Security functional requirements) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements) ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Information security of the public communications network providing system. Passport of the organization communications of information security. Дата введения в действие 30.09.2009. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Protection of information. Information security provision in organizations. Basic terms and definitions. Дата введения в действие 30.09.2009. ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Information protection. Facilities for measuring side electromagnetic radiation and pickup parameters. Technical requirements and test methods. Дата введения в действие 30.09.2009. ГОСТ Р 53115-2008 Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства. Information protection. Conformance testing of technical information processing facilities to unauthorized access protection requirements. Methods and techniques. Дата введения в действие 30.09.2009. ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technology and automated systems against covert channel attacks. Дата введения в действие 01.12.2009. ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems. Дата введения в действие 30.09.2009. ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения. Information protection. Guidelines for recovery services of information and communications technology security functions and mechanisms. General. Дата введения в действие 30.09.2009. ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы. Information technology. Security techniques. A framework for IT security assurance. Part 1. Overview and framework. Дата введения в действие 01.07.2012. ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции. Information technology. Security techniques. Network security. Part 1. Overview and concepts. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems. Дата введения в действие 30.09.2009. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Information technology. Security techniques. Information security management. Measurement. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Information technology. Security techniques. Information security risk management. Дата введения в действие 01.12.2011. ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска (Risk management. Risk assessment methods). Дата введения в действие: 01.12.2012 ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство (Risk management. Principles and guidelines). Дата введения в действие: 31.08.2011 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. Дата введения в действие: 30.06.1990. ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» – вступает в силу 1 сентября 2015 г. ГОСТ Р ИСО/МЭК 27033-3-2014 «Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» – вступает в силу 1 ноября 2015 г ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» – вступает в силу 1 ноября 2015 г. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. Information technology. Security techniques. Code of practice for information security management. Дата введения в действие 01.01.2014. Код ОКС 35.040. ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования (Information protection. Secure Software Development. General requirements). Дата введения в действие 01.06.2017. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Information protection. Sequence of protected operational system formation. General. 01.09.2014 ГОСТ Р 7.0.97-2016 Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов (System of standards on information, librarianship and publishing. Organizational and administrative documentation. Requirements for presentation of documents). Дата введения в действие 01.07.2017. Код ОКС 01.140.20. ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер - Security of Financial (banking) Operations. Information Protection of Financial Organizations. Basic Set of Organizational and Technical Measures. ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования - Business continuity management systems. Requirements. ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению - Business continuity management systems. Guidance for implementation. ГОСТ Р ИСО/МЭК 27031-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса - Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity. ГОСТ Р МЭК 61508-1-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 1. General requirements. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-2-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 2. Requirements for systems. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-3-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ. Требования к программному обеспечению. IEC 61508-3:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements (IDT). ГОСТ Р МЭК 61508-4-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ Часть 4 Термины и определения. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 4. Terms and definitions. Дата введения 2013-08-01. . ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3. IEC 61508-6:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (IDT). ГОСТ Р МЭК 61508-7-2012 Функциональная безопасность систем электрических, Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства. Functional safety of electrical electronic programmable electronic safety-related systems. Part 7. Techniques and measures. Дата введения 2013-08-01. ГОСТ Р 53647.6-2012. Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных

Одной из важнейших проблем и потребностей современного общества является защита прав человека в условиях вовлечения его в процессы информационного взаимодействия в том числе, право на защиту личной (персональной) информации в процессах автоматизированной обработки информации.

И. Н. Маланыч, студент 6 курса ВГУ

Институт защиты персональных данных сегодня уже не является той категорией, которую можно регулировать только национальным правом. Важнейшей особенностью современных автоматизированных информационных систем является «наднациональность» многих из них, «выход» их за пределы границ государств, развитие общедоступных мировых информационных сетей, таких, как Интернет, формирование единого информационного пространства в рамках таких международных структур.

Сегодня в Российской Федерации существует проблема не только введения в правовое поле института защиты персональных данных в рамках автоматизированных информационных процессов, но и соотнесения ее с существующими международно-правовыми стандартами в этой области.

Можно выделить три основные тенденции международно-правового регулирования института защиты персональных данных, относимого к процессам автоматизированной обработки информации.

1) Декларирование права на защиту персональных данных, как неотъемлемой части фундаментальных прав человека, в актах общегуманитарного характера, принимаемых в рамках международных организаций.

2) Закрепление и регулирование права за защиту персональной информации в актах регулятивного характера Европейского Союза, Совета Европы, отчасти Содружества Независимых Государств и некоторых региональных международных организаций. Этот класс норм – наиболее универсальный и непосредственно касается прав на защиту персональных данных в процессах автоматизированной обработки информации.

3) Включение норм об охране конфиденциальной информации (в том числе, и персональной) в международные договоры.

Первый способ – исторически появился раньше остальных. В современном мире информационные права и свободы являются неотъемлемой частью фундаментальных прав человека.

Всеобщая декларация прав человека 1948 г. провозглашает: «Никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, произвольным посягательствам на … тайну его корреспонденции» и далее: «Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Международный пакт о гражданских и политических правах 1966 г. в этой части повторяет декларацию. Европейская Конвенция 1950 г. детализирует это право: «Каждый человек имеет право на свободу выражения своего мнения. Это право включает свободу придерживаться своего мнения, получать и распространять информацию и идеи без вмешательства со стороны государственных органов и независимо от государственных границ».

Указанные международные документы закрепляют информационные права человека.

В настоящее время на международном уровне сформировалась устойчивая система взглядов на информационные права человека. В обобщенном плане это - право на получение информации, право на частную жизнь с точки зрения охраны информации о ней, право на защиту информации как с точки зрения безопасности государства, так и с точки зрения безопасности бизнеса, включая финансовую деятельность.

Второй способ - более детального регулирования права на защиту персональной информации связан со все возрастающей в последние годы интенсивностью обработки персональной информации с помощью автоматизированных компьютерных информационных систем. В последние десятилетия в рамках ряда международных организаций был принят ряд международных документов, развивающих основные информационные права в связи с интенсификацией трансграничного обмена информацией и использованием современных информационных технологий. Среди таких документов можно назвать следующие:

Совет Европы в 1980 г. разработал Европейскую конвенцию о защите физических лиц в вопросах, касающихся автоматической обработки личных данных, вступившую в силу в 1985 г. В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, принципы хранения и доступа к этим данным, способы физической защиты данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Россия присоединилась к Европейской Конвенции в ноябре 2001 года.

В Европейском Союзе вопросы защиты персональных данных регулируются целым комплексом документов. В 1979 г. была принята Резолюция Европарламента «О защите прав личности в связи с прогрессом информатизации». Резолюция предложила Совету и Комиссии Европейских сообществ разработать и принять правовые акты по защите данных о личности в связи с техническим прогрессом в области информатики. В 1980 году приняты Рекомендации Организации по сотрудничеству стран-членов Европейского Союза «О руководящих направлениях по защите частной жизни при межгосударственном обмене данными персонального характера». В настоящее время вопросы защиты персональных данных детально регламентируются директивами Европарламента и Совета Европейского Союза. Это Директивы № 95/46/EC и № 2002/58/EC Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», Директива № 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций и другие документы.

Акты Европейского Союза характеризуются детальной проработкой принципов и критериев автоматизированной обработки данных, прав и обязанностей субъектов и держателей персональных данных, вопросов их трансграничной передачи, а также ответственности и санкций за нанесение ущерба. В соответствии с Директивой № 95/46/EC в Европейском Союзе создана Рабочая группа по защите индивидуумов в отношении обработки их персональных данных. Она имеет статус консультативного органа и действует в качестве независимой структуры. Рабочая группа состоит из представителя органа, созданного каждым государством-участником для целей надзора за соблюдением на своей территории положений Директивы, представителя органа или органов, учрежденных для институтов и структур Сообщества, и представителя Еврокомиссии.

В рамках Организации по экономическому сотрудничеству и развитию (ОЭСР) действуют «Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными» , которая была принята 23 сентября 1980 года. В преамбуле этой Директивы говорится: «…Страны - члены ОЭСР сочли необходимым разработать Основные положения, которые могли бы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблюдение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными…». Настоящие положения применяются как в государственном, так и в частном секторе к персональным данным, которые либо в связи с процедурой их обработки, либо в связи с их характером или контекстом их использования несут в себе угрозу нарушения неприкосновенности частной жизни и индивидуальных свобод. В ней определена необходимость обеспечения персональных данных должными механизмами защиты от рисков, связанных с их потерей, уничтожением, изменением или разглашением, несанкционированным доступом. Россия, к сожалению, в этой организации не участвует.

Межпарламентской ассамблеей государств – участников СНГ 16 октября 1999г. принят Модельный Закон «О персональных данных».

По закону «Персональные данные» - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие. В законе также перечислены принципы правового регулирования персональных данных, формы государственного регулирования операций с персональными данными, права и обязанности субъектов и держателей персональных данных.

Представляется, что рассмотренный второй способ нормативного регулирования защиты персональных данных в международных правовых актов является наиболее интересным для анализа. Нормы этого класса не только непосредственно регулируют общественные отношения в этой области, но и способствуют приведению законодательства стран-членов к международным стандартам, тем самым обеспечивая действенность этих норм на их территории. Тем самым, обеспечивается и гарантированность закрепленных во Всеобщей декларации прав человека информационных прав в смысле декларированного в статье 12 последней «права на защиту закона от …вмешательства или …посягательств».

Третий способ закрепления норм о защите персональных данных - закрепление их правовой охраны в международных договорах.

Статьи об обмене информацией включаются в международные договоры о правовой помощи, об избежании двойного налогообложения, о сотрудничестве в определенной общественной, культурной сфере.

По ст. 25 Договора между Российской Федерацией и США об избежании двойного налогообложения и предотвращении уклонения от налогообложения в отношении налогов на доходы и капитал, государства обязаны предоставлять информацию, составляющую профессиональную тайну. Договор между Российской Федерацией и Республикой Индией о взаимной правовой помощи по уголовным делам содержит статью 15 «Конфиденциальность»: запрашиваемая сторона может потребовать сохранения конфиденциальности переданной информации. Практика заключения международных договоров показывает стремление договаривающихся государств соблюдать международные стандарты защиты персональных данных.

Представляется, что наиболее эффективным механизмом регулирования этого института на международно-правовом уровне является издание специальных регулятивных документов в рамках международных организаций. Этот механизм не только способствует соответствующему внутреннему регулированию затронутых в начале статьи актуальных проблем защиты персональной информации внутри этих организаций, но и благотворно влияет на национальное законодательство стран-участниц.

Международные стандарты

• BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
• BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
• BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
• ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
• ISO/IEC 27000 - Словарь и определения.
• ISO/IEC 27001:2005 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
• ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
• ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
• German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

• ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
• Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
• ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
• ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
• ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
• ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
• ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
• ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
• ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
• ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
• ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

Руководящие документы

• РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.

См. также

• Недекларированные возможности

Внешние ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое "Стандарты информационной безопасности" в других словарях:

Аудит информационной безопасности системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности… … Википедия

ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения - Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении; АС в защищенном исполнении:… … Словарь-справочник терминов нормативно-технической документации

СТАНДАРТЫ БЕЗОПАСНОСТИ ТРУДА - документы, в которых в целях добровольного многократного использования устанавливаются характеристики безопасности продукции, правила безопасного осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации … Российская энциклопедия по охране труда

Содержание 1 Определение политики безопасности 2 Методы оценки 3 … Википедия

National Security Agency/Central Security Service … Википедия

Аудит Виды аудита Внутренний аудит Внешний аудит Налоговый аудит Экологический аудит Социальный аудит Пожарный аудит Due diligence Основные понятия Аудитор Материа … Википедия

Государственные стандарты на продукцию, работы и услуги - Государственные стандарты разрабатываются на продукцию, работы и услуги, имеющие межотраслевое значение, и не должны противоречить законодательству Российской Федерации. Государственные стандарты должны содержать: требования к продукции, работам… … Словарь: бухгалтерский учет, налоги, хозяйственное право

МЧС Украины (ЛГУБЖД, ЛДУ БЖД) … Википедия

Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение … Википедия

Книги

• Стандарты информационной безопасности. Защита и обработка конфиденциальных документов. Учебное пособ , Сычев Юрий Николаевич. Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения…
• Международные основы и стандарты информационной безопасности финансово-экономических систем. Учебное пособие , Бекетнова Юлия Михайловна. Издание предназначено для студентов, обучающихся по специальности&171;Информационная безопасность&187;бакалавриата и магистратуры, а также научных работников, преподавателей, аспирантов,…

Под информационной безопасностью подразумевается комплекс мер, нацеленных на обеспечение безопасности информации, подвергаемой процессам сбора, обработки, передачи и хранения. На применении этих же мер основывается защита информации, ограждаемая от деструктивных воздействий внешней среды при помощи свойств конфиденциальности, сигнальной скрытности и целостности.

На государственном уровне под защитой информации понимают все виды организационных, правовых и технических приемов по профилактике и устранению угроз информационной безопасности. Приоритетными задачами таких мероприятий являются определение и устранение вредоносных источников, факторов и ситуаций, негативно влияющих на ценную информацию. В этом же русле рассматривается государственная система обеспечения защиты информационных данных, связанная с проблемой безопасного развития всего мира.

На уровне деятельности ведомственных учреждений информационная безопасность осуществляется за счет следующих мер:

• предупреждение угроз – профилактические мероприятия, проводимые для предотвращения утечки информации, или ее краха;
• определение угроз – систематический анализ и контроль за реальными и потенциальными опасностями;
• обнаружение угроз – работа по выявлению имеющихся угроз и совершаемых противозаконных действий;
• локализация противомерных действий – устранение угроз и конкретных нелегальных действий;
• ликвидация последствий угроз и информационных преступлений.

Все мероприятия, проводимые в целях обеспечения информационной защищенности, нацелены на конфиденциальность, обеспечение авторского права и защиту информации от несанкционированных посягательств, разглашения и нарушения целостности.

Международные стандарты информационной безопасности

Самым известным и действенным стандартом информационной безопасности на международном уровне является ISO/IEC 17799:2000, представляющий собой стандарт нового поколения защиты информационных данных. Понятие информационной безопасности определяется ISO/IEC 17799:2000 как обеспечение конфиденциальности, сохранности и доступности информационных массивов. Данный стандарт ориентирован на решение проблемы информационной безопасности учреждений и содержит в себе следующие направления деятельности:

• непрерывное обеспечение информационной защиты;
• разработка и совершенствование категориального аппарата системы информационной безопасности;
• организация политики информационной безопасности учреждения;
• работа по управлению корпоративными информационными ресурсами;
• управление бизнес-проектами организации через призму информационной безопасности;
• физическая безопасность информации;
• эксплуатация и сопровождение требований информационной безопасности корпоративных информационных ресурсов.

Широкую известность приобрел международный стандарт «Европейские критерии безопасности информационных технологий», оказавший огромное влияние на информационное законодательство и процесс сертификации многих стран. Огромный вклад в международную систему информационной безопасности внесли немецкие коллеги, опубликовавшие «Зеленую книгу» и в комплексе рассмотревшие проблему доступности, целостности и конфиденциальности информационных данных. Перевод данных стандартов послужил основой для многих аспектов информационного законодательства России.

Стандартизация информационной безопасности в России

Из всего многообразия отечественных стандартов информационной безопасности следует выделить документы, регламентирующие отношения в области безопасности открытых систем. К их числу относятся:

• ГОСТ Р ИСО 7498-2-99;
• ГОСТ Р ИСО/МЭК 9594-8-98;
• ГОСТ Р ИСО/МЭК 9594-9-9.

Данные ГОСТы формулируют положения об архитектуре защиты информации, основах аутентификации и дублирования.

Ряд следующих стандартов нацелен на защиту государственной тайны:

• ГОСТ Р 50739-95;
• ГОСТ 28147-89;
• ГОСТ Р 34.10-94;
• ГОСТ Р 34.11-94.

Перечень последних стандартов регламентирует случаи несанкционированного доступа к информации, организацию криптографической защиты, процедуры по проверке электронной подписи и хэширование.

Все российские стандарты, регламентирующие информационную защиту, по своей структуре являются разноуровневыми, а потому могут быть использованы только по определенному уровню назначения. Так, например, для комплексной оценки системы шифрования и качества электронной подписи используют ГОСТ соответствующего назначения. В ходе защиты информационных каналов принято пользоваться протоколом TLS, а в случаях защиты транзакционных операций применяют SET протокол, в составе которого находятся стандарты нижних уровней.

К системе отраслевых стандартов отечественной информационной безопасности относят банковские стандарты, обеспечивающие защиту банковских данных.

В.В. Тихоненко Руководитель Союза специалистов-экспертов по качеству (г. Киев, Украина), к.тех.н., Генеральный директор ЭКТЦ "ВАТТ"

В статье приведено описание основных международных и национальных стандартов безопасности. Рассмотрены определения терминов «безопасность», «опасность», «риск». Сделаны предположения о возможности применения для описания опасностей принципов неопределенности Гейзенберга и дополнительности Бора.

Что такое «безопасность»?

Обеспечение безопасности — одно из важнейших требований, которое должны выполнять все, везде и всегда, так как любая деятельность потенциально опасна. Безопасность связана с риском (они взаимозависимы). Рассмотрим определения этих понятий, приведенные в стандартах .

Безопасность — отсутствие недопустимого риска .

Опасность — потенциальный источник возникновения ущерба .

Риск — эффект от неопределенности целей .

Таким образом, безопасность характеризуется не отсутствием риска вообще, а только отсутствием недопустимого риска. Стандарты определяют допустимый риск как «оптимальный баланс между безопасностью и требованиями, которым должны удовлетворять продукция, процесс или услуга, а также такими факторами, как выгодность для пользователя, эффективность затрат, обычаи и др.». Стандарт , часто используемый предприятиями, трактует допустимый (приемлемый) риск как «риск, уменьшенный до уровня, который организация может допустить, учитывая свои законодательные обязательства и собственную политику в области гигиены и безопасности труда».

В стандартах регламентированы способы уменьшения риска (в порядке приоритетов):

• разработка безопасного проекта;
• защитные устройства и персональное защитное оборудование (это коллективные и индивидуальные средства защиты — прим. авт.);
• информация по установке и применению;
• обучение.

Типы стандартов безопасности

Согласно могут быть следующие типы стандартов безопасности:

• основополагающие, включающие в себя фундаментальные концепции, принципы и требования, относящиеся к основным аспектам безопасности. Эти стандарты применяют для широкого диапазона видов продукции, процессов и услуг;
• групповые, содержащие аспекты безопасности, применимые к нескольким видам или к семейству близких видов продукции, процессов или услуг. В этих документах делают ссылки на основополагающие стандарты безопасности;
• стандарты безопасности продукции, включающие в себя аспекты безопасности определенного вида или семейства продукции, процессов или услуг. В этих документах делают ссылки на основополагающие и групповые стандарты;
• стандарты на продукцию, содержащие аспекты безопасности, но касающиеся не только этих вопросов. В них должны быть сделаны ссылки на основополагающие и групповые стандарты безопасности. В таблице приведены примеры международных стандартов, относящихся к перечисленным типам. Можно рекомендовать ознакомиться с табл. 1 стандарта , в которой указаны международные, европейские и российские нормативные документы, содержащие требования к характеристикам функции безопасности.

Задание требований безопасности в регламентах/стандартах должно основываться на анализе риска причинения вреда людям, имуществу или окружающей среде или их сочетанию - так говорится в стандартах . На рисунке схематически приведены основные риски предприятия с указанием стандартов управления рисками.

Возможно, для описания и анализа опасностей и рисков можно было бы применять дельта-функции Дирака и функции Хевисайда, так как переход от допустимого к недопустимому риску — скачкообразный.

Принципы и средства обеспечения безопасности

Теоретически можно выделить следующие принципы обеспечения безопасности:

• управленческие (адекватности, контроля, обратной связи, ответственности, плановости, стимулирования, управления, эффективности);
• организационные (защиты временем, информации, резервирования, несовместимости, нормирования, подбора кадров, последовательности, эргономичности);
• технические (блокировки, вакуумирования, герметизации, защиты расстоянием, компрессии, прочности, слабого звена, флегматизации, экранирования);
• ориентирующие (активности оператора, замены оператора, классификации, ликвидации опасности, системности, снижения опасности).

Остановимся подробнее на принципе классификации (категорирования). Он состоит в делении объектов на классы и категории по признакам, связанным с опасностями. Примеры: санитарнозащитные зоны (5 классов), категории производств (помещений) по взрывопожарной опасности (А, Б, В, Г, Д), категории/классы по директивам АТЕХ (3 категории оборудования, 6 зон), классы опасности отходов (5 классов — в России, 4 класса — в Украине), классы опасности веществ (4 класса), классы опасности при перевозках опасных грузов (9 классов) и др.

Информация

По расчетам Гейнриха на один несчастный случай со смертельным исходом приходится около 30 травм с менее тяжелыми последствиями и около 300 других инцидентов, которые могут пройти практически незамеченными. При этом косвенные экономические затраты на ликвидацию последствий в четыре раза превышают прямые.

Справка

около 20% всех неблагоприятных событий связаны с отказами оборудования, а 80% - с человеческой ошибкой, из которых 70% ошибок произошли из-за скрытых организационных слабостей (ошибки скрывались, не было реакции на них), а около 30% связаны с индивидуальным работником.

Рис. Риски компании (пример) и применимые к ним стандарты

Примечания:

ЕСО — Европейские стандарты оценки (Европейская группа оценщиков TEGoVA);

МСО — Международные стандарты оценки (имущества);

МСФО — Международные стандарты финансовой отчетности (IFRS);

BASEL II — соглашение «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» Базельского комитета по банковскому надзору;

BRC — The British Retail Consortium Global standards (Стандарты Консорциума Британской торговли);

COBIT — Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий» — пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности); COSO — Committee of Sponsoring Organizations of the Treadway Commission (стандарт комитета спонсорских организаций комиссии Тредвея);

FERMA — Federation of European Risk Management Associations (стандарт Федерации европейских ассоциаций риск-менеджеров); GARP — Global Association of Risk Professionals (стандарт Ассоциации риск-профессионалов);

IFS — International Featured Standards (Международные стандарты по производству и реализации продуктов питания);

ISO/PAS 28000 — Specification for security management systems for the supply chain (Системы менеджмента безопасности цепи поставок. Технические условия);

NIST SP 800-30 — Risk Management Guide for Information Technology Systems (Руководство по управлению рисками в системах информационных технологий).

Таблица. Стандарты безопасности (примеры)

Средства обеспечения безопасности делятся на средства коллективной (СКЗ) и индивидуальной защиты (СИЗ). В свою очередь, СКЗ и СИЗ делятся на группы в зависимости от характера опасностей, конструктивного исполнения, области применения и т.д.

Основные стандарты безопасности

В Европейском Союзе требования по оценке профессиональных рисков содержатся в:

• Директиве 89/391/ЕЕС (требования по введению оценки профессиональных рисков в государствахчленах ЕС);
• индивидуальных директивах Евросоюза о безопасности труда на рабочих местах (89/654/ЕЕС, 89/655/ЕЕС, 89/656/ЕЕС, 90/269/ЕЕС, 90/270/ ЕЕС, 1999/92/ЕС и др.) и о защите работников от химических, физических и биологических рисков, канцерогенов и мутагенов (98/24/ЕС, 2000/54/ЕС, 2002/44/ЕС, 2003/10/ ЕС, 2004/40/ЕС, 2004/37/ЕС и др.) Свое особое место в сфере безопасности занимают и АТЕХ директивы ЕС — одна для изготовителей, а другая для пользователей оборудования:
• «ATEX 95 оборудование» (Директива 94/9/EC) — оборудование и защитные системы, предназначенные для применения в потенциально взрывоопасных атмосферах;
• «ATEX 137 рабочее место» (Директива 1999/92/EC) — минимальные требования для улучшения безопасности, охраны труда и здоровья работников, подвергаемых потенциальному риску от воздействия взрывоопасной атмосферы.

Учитывая важность оценки профессиональных рисков для безопасности труда на рабочих местах, Европейское агентство по обеспечению здоровья и безопасности работников в 1996 г. опубликовало Руководство о порядке проведения оценки рисков (Guidance on risk assessment at work) и постоянно добавляет много полезных примеров для определения опасностей при оценке профессиональных рисков.

В целом также и требования европейской Директивы REACH направлены на обеспечение безопасности. Эта система основана на управлении рисками, связанными с веществами, которые содержатся в химических соединениях, а в отдельных случаях и в изделиях.

Важное место занимают стандарты системы безопасного труда (ГОСТ ССБТ). Это документы хорошо выстроенной системы, которая существует в немногих странах мира. Так безопасность технологического оборудования должна соответствовать ГОСТ 12.2.003 , безопасность технологических процессов — ГОСТ 12.3.002 . А если производятся, сохраняются и применяются опасные вещества, то требования к безопасности определяются по ГОСТ 12.1.007 . Системы (устройства, элементы) безопасности должны соответствовать ГОСТ 12.4.011 , а при пожаре и взрыве — еще и ГОСТ 12.1.004 .

Требования к безопасности строений/сооружений определяются по строительным нормам и правилам.

Большое значение имеют также медицинские стандарты и регламенты (GMP — надлежащая производственная практика, GLP — надлежащая лабораторная практика, GDP — надлежащая дистрибьюторская практика, GPP — надлежащая аптечная практика и др.).

Стандарты безопасности в продовольственной сфере определяются Комиссией Codex Alimentarius. Есть также регламенты безопасности в ветеринарии, растениеводстве.

Развитие космонавтики и ядерной энергетики, усложнение авиационной техники привело к тому, что изучение безопасности систем было выделено в независимую отдельную область деятельности (например, МАГАТЭ была опубликована новая структура стандартов по безопасности: GS-R-1 «Законодательная и правительственная инфраструктура для ядерной и радиационной безопасности, безопасности радиоактивных отходов и транспортировки»). Еще в 1969 г. Министерство обороны США приняло стандарт MILSTD-882 «Программа по обеспечению надежности систем, подсистем и оборудования». В нем изложены требования для всех промышленных подрядчиков по военным программам.

Важными документами являются карты безопасности материала (MSDSкарты — Material safety data sheet) . MSDS-карты, как правило, содержат следующие разделы: сведения о продукте, опасные составляющие, потенциальное воздействие на здоровье (контакт с кожей, воздействие при приеме пищи, предельные дозы, раздражающее действие, возбуждающее действие, взаимно усиливающее действие в контакте с другими химическими веществами, кратковременное воздействие, долговременное воздействие, влияние на репродуктивность, мутагенность, канцерогенность), порядок оказания первой медицинской помощи (при попадании на кожу, в глаза, желудок, при вдыхании), пожаро- и взрывоопасность (огнеопасность/горючесть — при каких условиях, способы тушения, особые инструкции по тушению огня, опасные продукты сгорания), данные по химической активности (химическая стабильность, условия химической активности, опасные продукты распада), действия в случае розлива/утечки (включая утилизацию отходов, распад/токсичность для водной флоры/фауны, грунта, воздуха), борьба с воздействием вещества и средства индивидуальной защиты (технические средства, перчатки, средства защиты органов дыхания и зрения, защитная обувь, защитная одежда), требования к хранению и работе с веществом (хранение, работа, порядок транспортировки), физические характеристики вещества, экологическая, нормативная, дополнительная информация. Такие MSDS-карты готовит производитель и передает пользователю/потребителю. Данные из MSDS-карт необходимо включить в инструкции производственные и по охране труда.

Факты

Примеры отзывов продукции по причине ее опасности

• Компания Apple отзывала в 2009 г. плееры iPod nano 1G из-за опасности взрывов аккумуляторной батареи (http://proit.com.ua/print/?id=20223).
• McDonald"s в 2010 г. отзывал в США 12 миллионов коллекционных стаканов с символикой мультфильма «Шрек» из-за того, что в краске, которой они окрашены, был обнаружен кадмий (www.gazeta.ru/news/lenta/.../n_1503285.shtml).
• В 2008 г. тысячи младенцев в Китае попали в больницы после отравления молочной смесью, в которой был обнаружен меламин. Компания Sanlu официально извинилась перед своими потребителями, заявив, что токсичные вещества добавляли в свою продукцию поставщики молока (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/international/newsid_7620000/7620305.stm).
• Французское Управление по безопасности медицинской продукции требовало отозвать один из видов протезов (силиконовые импланты) с 1 апреля 2010 г., так как он не прошел необходимую проверку (http://www.newsru.co.il/health/01apr2010/pip301.html).
• Компания Thule недавно обнаружила, что предлагаемый ею набор для крепления багажника к крыше автомобиля является недостаточно надежным (для изделий выпущенных с 1 января 2008 г. по 28 февраля 2009 г.) по причине хрупкости входящего в комплект болта. После проведения фирмой внутренних испытаний было установлено, что болт в основании не соответствует стандартам компании по технике безопасности. Из-за высокой степени риска для потребителей (возможное разрушение болта при нагрузке может привести к отсоединению рейки и груза во время движения) компания Thule приняла решение немедленно отозвать продукцию из обращения (http://www2.thulegroup.com/en/Product-Recall/Introduction2/).

Заключение

Специалистам, разрабатывающим стандарты безопасности, нужно больше внимания уделять гармонизации нормативов, применяемых в различных областях. Например, использовать подходы, изложенные в принципах неопределенности Гейзенберга и дополнительности Бора. Кроме того, не забывать о человеческих ошибках и устранении организационных слабостей. Введение риск-менеджмента на предприятиях поможет повысить уровень безопасности. В последние годы активно развиваются стандарты риск-менеджмента, например . Изучение и применение этих документов также способствует улучшению культуры безопасности.

Безусловно, в сфере безопасности стандарты, регламенты, нормы, правила, инструкции необходимы, но не менее важно их выполнение.

Для обеспечения безопасности необходимо знать ответы на вопросы:

1. Какова вероятность возникновения инцидента?

2. Каковы будут негативные последствия?

3. Как их минимизировать?

4. Как продолжать деятельность во время и после инцидента?

5. Каковы приоритеты и временные рамки восстановления?

6. Что, как, когда и кому необходимо сделать?

7. Какие предупреждающие меры надо предпринимать, чтобы упредить/ минимизировать негативные последствия?

Использованная литература

1. ГОСТ 12.1.007-76 (1999). ССБТ. Вредные вещества. Классификация и общие требования безопасности.

2. ГОСТ 12.1.004-91. ССБТ. Пожарная безопасность. Общие требования.

3. ГОСТ 12.2.003-91. ССБТ. Оборудование производственное. Общие требования безопасности.

4. ГОСТ 12.3.002-75 (2000). ССБТ. Процессы производственные. Общие требования безопасности.

5. ГОСТ 12.4.011-89. ССБТ. Средства защиты работающих. Общие требования и классификация.

6. ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты.

7. ГОСТ Р 12.1.052-97. ССБТ. Информация о безопасности веществ и материалов (Паспорт безопасности). Основные положения.

8. ГОСТ Р ИСО 13849-1-2003. Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования.

9. BS 31100:2008. Risk management — Code of practice.

10. BS OHSAS 18001:2007. Occupational health and safety management systems. Requirements.

11. CWA 15793:2008. Laboratory biorisk management standard.

12. ISO/IEC 51:1999. Safety aspects - Guidelines for their inclusion in standards.

13. ISO/IEC Guide 73:2009. Risk management — Vocabulary — Guidelines for use in standards.

14. ISO 31000:2009. Risk management - Principles and guidelines.

15. IEC/ISO 31010:2009. Risk management — Risk assessment techniques.

16. ISO 15190:2003. Medical laboratories - Requirements for safety.

17. Reason J. Human error. — New York: Cambridge University Press, 1990. — 316 p.

18. Regulation (EC) № 1907/2006 of the European Parliament and the Council of 18 December 2006 concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH), establishing a European Chemicals Agency, amending Directive 1999/45/EC and repealing Council Regulation (EEC) № 793/93 and Commission Regulation (EC) № 1488/94 as well as Council Directive 76/769/EEC and Commission Directives 91/155/EEC, 93/67/ EEC, 93/105/EC and 2000/21/EC.