Bezpieczeństwo informacji i bezpieczeństwo informacji normy międzynarodowe i rosyjskie. Międzynarodowe normy prawne w zakresie ochrony danych osobowych Międzynarodowe standardy ochrony informacji

W ta sekcja są podane informacje ogólne oraz teksty norm krajowych Federacji Rosyjskiej w zakresie bezpieczeństwa informacji GOST R.

Aktualna lista nowoczesnych GOST opracowanych w ostatnich latach i planowanych do rozwoju. System certyfikacji narzędzi bezpieczeństwa informacji zgodnie z wymogami bezpieczeństwa informacji nr ROSS RU.0001.01BI00 ( FSTEC Rosji). STANDARD PAŃSTWOWY FEDERACJI ROSYJSKIEJ. Ochrona danych. PROCEDURA TWORZENIA SYSTEMÓW ZAUTOMATYZOWANYCH O ZABEZPIECZONEJ WYDAJNOŚCI. Postanowienia ogólne. Moskwa STANDARD PAŃSTWOWY FEDERACJI ROSYJSKIEJ. Budynków Informatyka. Ochrona przed nieuprawnionym dostępem do informacji. Ogólne wymagania techniczne. Data wprowadzenia 1996-01-01 Norma krajowa Federacji Rosyjskiej. Ochrona danych. Podstawowe pojęcia i definicje. ochrona informacji. Podstawowe pojęcia i definicje. Data wprowadzenia 2008-02-01 STANDARD PAŃSTWOWY FEDERACJI ROSYJSKIEJ. OCHRONA DANYCH. SYSTEM NORM. PODSTAWOWE POSTANOWIENIA (BEZPIECZEŃSTWO INFORMACJI. SYSTEM NORM. PODSTAWOWE ZASADY) STANDARD PAŃSTWOWY FEDERACJI ROSYJSKIEJ. Ochrona danych. TESTOWANIE OPROGRAMOWANIA DLA WIRUSÓW KOMPUTEROWYCH. Przykładowa instrukcja (Bezpieczeństwo informacji. Testowanie oprogramowania pod kątem występowania wirusów komputerowych. Przykładowa instrukcja). Technologia informacyjna. Ochrona technologii informatycznych i zautomatyzowanych systemów przed zagrożeniami bezpieczeństwa informacji realizowanych z wykorzystaniem ukrytych kanałów. Część 1. Postanowienia ogólne Technologia informacyjna. Ochrona technologii informatycznych i zautomatyzowanych systemów przed zagrożeniami bezpieczeństwa informacji realizowanych z wykorzystaniem ukrytych kanałów. Część 2. Zalecenia dotyczące organizowania ochrony informacji, technologii informatycznych i zautomatyzowanych systemów przed atakami z wykorzystaniem tajnych kanałów Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Wskazówki dotyczące tworzenia profili ochrony i celów bezpieczeństwa Automatyczna identyfikacja. Identyfikacja biometryczna. Testy wydajnościowe i raporty z testów w biometrii. Część 3. Cechy badań dla różnych modalności biometrycznych Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Metodologia oceny bezpieczeństwa technologii informatycznych GOST R ISO/IEC 15408-1-2008 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Kryteria oceny bezpieczeństwa technologii informatycznych. Część 1. Wprowadzenie i model ogólny (Technologie informacyjne. Techniki bezpieczeństwa. Kryteria oceny bezpieczeństwa IT. Część 1. Wprowadzenie i model ogólny) GOST R ISO/IEC 15408-2-2008: Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Kryteria oceny bezpieczeństwa technologii informatycznych. Część 2. Wymagania funkcjonalne bezpieczeństwa (Technologie informacyjne. Techniki bezpieczeństwa. Kryteria oceny bezpieczeństwa IT. Część 2. Wymagania funkcjonalne bezpieczeństwa) GOST R ISO/IEC 15408-3-2008 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Kryteria oceny bezpieczeństwa technologii informatycznych. Część 3. Wymagania dotyczące zapewnienia bezpieczeństwa (Technologia informacyjna. Techniki bezpieczeństwa. Kryteria oceny bezpieczeństwa IT. Część 3. Wymagania dotyczące zapewnienia bezpieczeństwa) GOST R 53109-2008 System bezpieczeństwa informacji publicznej sieci komunikacyjnej. Paszport organizacji bezpieczeństwa informacji. Bezpieczeństwo informacji systemu zapewniającego publiczną sieć łączności. Paszport organizacji komunikacji bezpieczeństwa informacji. Data wejścia w życie 30.09.2009. GOST R 53114-2008 Bezpieczeństwo informacji. Zapewnienie bezpieczeństwa informacji w organizacji. Podstawowe pojęcia i definicje. ochrona informacji. Zapewnienie bezpieczeństwa informacji w organizacjach. Podstawowe pojęcia i definicje. Data wejścia w życie 30.09.2009. GOST R 53112-2008 Bezpieczeństwo informacji. Kompleksy do pomiaru parametrów fałszywego promieniowania elektromagnetycznego i przetworników. Wymagania techniczne i metody badań. ochrona informacji. Urządzenia do pomiaru bocznego promieniowania elektromagnetycznego i parametrów odbioru. wymagania techniczne i metody badań. Data wejścia w życie 30.09.2009. GOST R 53115-2008 Bezpieczeństwo informacji. Testowanie technicznych środków przetwarzania informacji pod kątem zgodności z wymogami zabezpieczenia przed nieuprawnionym dostępem. Metody i środki. ochrona informacji. Testowanie zgodności urządzeń do przetwarzania informacji technicznych z wymogami ochrony przed nieautoryzowanym dostępem. Metody i techniki. Data wejścia w życie 30.09.2009. GOST R 53113.2-2009 Technologia informacyjna. Ochrona technologii informatycznych i zautomatyzowanych systemów przed zagrożeniami bezpieczeństwa informacji realizowanych z wykorzystaniem ukrytych kanałów. Część 2. Zalecenia dotyczące organizacji ochrony informacji, technologii informacyjnych i systemów zautomatyzowanych przed atakami z wykorzystaniem kanałów ukrytych. technologia informacyjna. Ochrona technologii informatycznych i zautomatyzowanych systemów przed zagrożeniami bezpieczeństwa stwarzanymi przez wykorzystanie kanałów ukrytych. Część 2. Zalecenia dotyczące ochrony informacji, technologii informacyjnej i systemów automatycznych przed atakami z wykorzystaniem ukrytych kanałów. Data wejścia w życie 01.12.2009. GOST R ISO/IEC TO 19791-2008 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Ocena bezpieczeństwa systemów zautomatyzowanych. technologia informacyjna. techniki bezpieczeństwa. Ocena bezpieczeństwa systemów operacyjnych. Data wejścia w życie 30.09.2009. GOST R 53131-2008 Bezpieczeństwo informacji. Rekomendacje dla usług odtwarzania po awarii funkcji i mechanizmów bezpieczeństwa technologii informatycznych i telekomunikacyjnych. Postanowienia ogólne. ochrona informacji. Wytyczne dla usług odzyskiwania funkcji i mechanizmów bezpieczeństwa teleinformatycznego. ogólny. Data wejścia w życie 30.09.2009. GOST R 54581-2011 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Podstawy zaufania w bezpieczeństwie IT. Część 1. Przegląd i podstawy. technologia informacyjna. techniki bezpieczeństwa. Ramy zapewniania bezpieczeństwa IT. Część 1. Przegląd i ramy. Data wejścia w życie 01.07.2012. GOST R ISO/IEC 27033-1-2011 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Bezpieczeństwo sieci. Część 1. Przegląd i koncepcje. technologia informacyjna. techniki bezpieczeństwa. bezpieczeństwo sieci. Część 1. Przegląd i koncepcje. Data wejścia w życie 01.01.2012. GOST R ISO/IEC 27006-2008 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Wymagania dla organów przeprowadzających audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. technologia informacyjna. techniki bezpieczeństwa. Wymagania dla organów zapewniających audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. Data wejścia w życie 30.09.2009. GOST R ISO/IEC 27004-2011 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Zarządzanie bezpieczeństwem informacji. Pomiary. technologia informacyjna. techniki bezpieczeństwa. zarządzanie bezpieczeństwem informacji. pomiary. Data wejścia w życie 01.01.2012. GOST R ISO/IEC 27005-2010 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Zarządzanie ryzykiem bezpieczeństwa informacji. technologia informacyjna. techniki bezpieczeństwa. zarządzanie ryzykiem bezpieczeństwa informacji. Data wejścia w życie 01.12.2011. GOST R ISO/IEC 31010-2011 Zarządzanie ryzykiem. Metody oceny ryzyka (Zarządzanie ryzykiem. Metody oceny ryzyka). Data wejścia w życie: 01.12.2012 GOST R ISO 31000-2010 Zarządzanie ryzykiem. Zasady i wytyczne (Zarządzanie ryzykiem. Zasady i wytyczne). Data wejścia w życie: 31.08.2011 GOST 28147-89 Systemy przetwarzania informacji. Ochrona kryptograficzna. Algorytm transformacji kryptograficznej. Data wejścia w życie: 30.06.2019. GOST R ISO/IEC 27013-2014 „Technologia informatyczna. Metody i środki zapewnienia bezpieczeństwa. Przewodnik dzielenie się ISO/IEC 27001 i ISO/IEC 20000-1” – Obowiązuje od 1 września 2015 r. GOST R ISO/IEC 27033-3-2014 „Bezpieczeństwo sieci. Część 3. Scenariusze sieci odniesienia. Zagrożenia, metody projektowania i problemy z zarządzaniem” — obowiązuje od 1 listopada 2015 r. GOST R ISO/IEC 27037-2014 „Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Wytyczne dotyczące identyfikacji, gromadzenia, odbioru i przechowywania dowodów w formie cyfrowej” – obowiązuje od 1 listopada 2015 r. GOST R ISO/IEC 27002-2012 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Kodeks norm i zasad zarządzania bezpieczeństwem informacji. technologia informacyjna. techniki bezpieczeństwa. Kodeks postępowania w zakresie zarządzania bezpieczeństwem informacji. Data wejścia w życie 01.01.2014. Kod OKS 35.040. GOST R 56939-2016 Bezpieczeństwo informacji. Tworzenie bezpiecznego oprogramowania. Wymagania ogólne (Ochrona informacji. Bezpieczne tworzenie oprogramowania. Wymagania ogólne). Data wejścia w życie 06.01.2017. GOST R 51583-2014 Bezpieczeństwo informacji. Kolejność tworzenia zautomatyzowanych systemów w zabezpieczonym wykonaniu. Postanowienia ogólne. ochrona informacji. Sekwencja tworzenia chronionego systemu operacyjnego. ogólny. 09.01.2014 GOST R 7.0.97-2016 System standardów informacji, bibliotekarstwa i publikacji. Dokumentacja organizacyjno-administracyjna. Wymagania dotyczące dokumentacji (System standardów informacji, bibliotekoznawstwa i publikacji. Dokumentacja organizacyjno-administracyjna. Wymagania dotyczące prezentacji dokumentów). Data wejścia w życie 01.07.2017. Kod OKS 01.140.20. GOST R 57580.1-2017 Bezpieczeństwo transakcji finansowych (bankowych). Ochrona informacji organizacji finansowych. Podstawowy zestaw środków organizacyjnych i technicznych - Bezpieczeństwo operacji finansowych (bankowych). Ochrona informacji organizacji finansowych. Podstawowy zestaw środków organizacyjnych i technicznych. GOST R ISO 22301-2014 Systemy zarządzania ciągłością działania. Wymagania ogólne - Systemy zarządzania ciągłością działania. wymagania. GOST R ISO 22313-2015 Zarządzanie ciągłością działania. Przewodnik wdrażania — Systemy zarządzania ciągłością działania. Wytyczne dotyczące wdrożenia. GOST R ISO/IEC 27031-2012 Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Wytyczne dotyczące gotowości technologii informacyjnych i komunikacyjnych do zapewnienia ciągłości działania — technologia informacyjna. techniki bezpieczeństwa. Wytyczne dotyczące gotowości technologii informacyjno-komunikacyjnych do zapewnienia ciągłości działania. GOST R IEC 61508-1-2012 Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych, programowalnych układów elektronicznych związanych z bezpieczeństwem. Część 1. Wymagania ogólne. Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych, programowalnych elektronicznych systemów związanych z bezpieczeństwem. Część 1. Wymagania ogólne. Data wprowadzenia 2013-08-01. GOST R IEC 61508-2-2012 Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych, programowalnych układów elektronicznych związanych z bezpieczeństwem. Część 2. Wymagania dotyczące systemów. Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych, programowalnych elektronicznych systemów związanych z bezpieczeństwem. Część 2. Wymagania dotyczące systemów. Data wprowadzenia 2013-08-01. GOST R IEC 61508-3-2012 BEZPIECZEŃSTWO FUNKCJONALNE ELEKTRYCZNYCH, ELEKTRONICZNYCH, PROGRAMOWALNYCH SYSTEMÓW ELEKTRONICZNYCH ZWIĄZANYCH Z BEZPIECZEŃSTWEM. Wymagania Systemowe. IEC 61508-3:2010 Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem — Część 3: Wymagania dotyczące oprogramowania (IDT). GOST R IEC 61508-4-2012 BEZPIECZEŃSTWO FUNKCJONALNE ELEKTRYCZNYCH, ELEKTRONICZNYCH, PROGRAMOWALNYCH SYSTEMÓW ELEKTRONICZNYCH ZWIĄZANYCH Z BEZPIECZEŃSTWEM Część 4 Terminy i definicje. Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych, programowalnych elektronicznych systemów związanych z bezpieczeństwem. Część 4. Terminy i definicje. Data wprowadzenia 2013-08-01. . GOST R IEC 61508-6-2012 Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych, programowalnych układów elektronicznych związanych z bezpieczeństwem. Część 6. Wytyczne dotyczące stosowania GOST R IEC 61508-2 i GOST R IEC 61508-3. IEC 61508-6:2010. Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem — Część 6: Wytyczne dotyczące stosowania norm IEC 61508-2 i IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 Bezpieczeństwo funkcjonalne układów elektrycznych, Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych, programowalnych układów elektronicznych związanych z bezpieczeństwem. Część 7. Metody i środki. Bezpieczeństwo funkcjonalne elektrycznych elektronicznych programowalnych elektronicznych systemów związanych z bezpieczeństwem. Część 7. Techniki i środki. Data wprowadzenia 2013-08-01. GOST R 53647.6-2012. Zarządzanie ciągłością działania. Wymagania dotyczące systemu zarządzania informacje osobiste w celu zapewnienia ochrony danych

Jeden z najważniejszych problemów i potrzeb nowoczesne społeczeństwo jest ochrona praw człowieka w zakresie angażowania go w procesy wymiana informacji w tym prawo do ochrony danych osobowych (osobowych) w procesach zautomatyzowanego przetwarzania informacji.

I. N. Malanych, student VI roku VSU

Instytucja ochrony danych osobowych nie jest już dziś kategorią, którą może regulować jedynie prawo krajowe. Najważniejszą cechą nowoczesnych zautomatyzowanych systemów informatycznych jest „ponadnarodowość” wielu z nich, ich „wyjście” poza granice państw, rozwój ogólnodostępnego świata sieci informacyjne takich jak Internet, tworzenie jednolitej przestrzeni informacyjnej w ramach takich struktur międzynarodowych.

Dziś w Federacji Rosyjskiej istnieje problem nie tylko wprowadzenia do dziedziny prawa instytucji ochrony danych osobowych w ramach zautomatyzowanej procesy informacyjne, ale także jego korelacja z istniejącymi międzynarodowymi standardami prawnymi w tym zakresie.

W międzynarodowym uregulowaniu prawnym instytucji ochrony danych osobowych można wyróżnić trzy główne nurty, związane z procesami zautomatyzowanego przetwarzania informacji.

1) Deklaracja prawa do ochrony danych osobowych, jako integralnej części podstawowych praw człowieka, w aktach o charakterze ogólnohumanitarnym przyjmowanych w ramach organizacji międzynarodowych.

2) Utrwalenie i uregulowanie prawa do ochrony danych osobowych w aktach prawnych Unii Europejskiej, Rady Europy, częściowo Wspólnoty Niepodległych Państw oraz niektórych regionalnych organizacji międzynarodowych. Ta klasa norm jest najbardziej uniwersalna i bezpośrednio dotyczy praw do ochrony danych osobowych w procesach zautomatyzowanego przetwarzania informacji.

3) Włączenie norm dotyczących ochrony informacji poufnych (w tym osobowych) do umów międzynarodowych.

Pierwsza metoda – historycznie pojawiła się wcześniej niż pozostałe. W nowoczesny świat prawa i wolności informacyjne są integralną częścią podstawowych praw człowieka.

Powszechna Deklaracja Praw Człowieka z 1948 r. głosi: „Nikt nie może być narażony na arbitralną ingerencję w jego życie prywatne lub rodzinne, arbitralne ataki na… prywatność jego korespondencji” i dalej: „Każdy ma prawo do ochrony prawo przeciwko takiej ingerencji lub takim atakom”. Międzynarodowy Pakt Praw Obywatelskich i Politycznych z 1966 r. powtarza deklarację w tej części. Konwencja Europejska z 1950 r. wyszczególnia to prawo: „Każdy ma prawo do wolności wypowiedzi. Prawo to obejmuje wolność posiadania opinii oraz otrzymywania i przekazywania informacji i pomysłów bez ingerencji władz publicznych i bez względu na granice”.

Określone dokumenty międzynarodowe ustalają prawa informacyjne osoby.

Obecnie na poziomie międzynarodowym ukształtował się stabilny system poglądów na temat praw człowieka do informacji. W ujęciu ogólnym jest to prawo do otrzymywania informacji, prawo do prywatności w zakresie ochrony informacji o niej, prawo do ochrony informacji zarówno z punktu widzenia bezpieczeństwa państwa, jak i z punktu widzenia bezpieczeństwa biznesu, w tym finansowego zajęcia.

Drugi sposób – bardziej szczegółowe uregulowanie prawa do ochrony danych osobowych wiąże się z coraz większą intensywnością przetwarzania danych osobowych w ostatnich latach przy użyciu zautomatyzowanych systemów informatycznych. W ostatnich dziesięcioleciach w ramach szeregu organizacji międzynarodowych przyjęto szereg dokumentów międzynarodowych, które rozwijają podstawowe prawa informacyjne w związku z intensyfikacją transgranicznej wymiany informacji i wykorzystaniem nowoczesnych technologii informacyjnych. Do takich dokumentów należą:

Rada Europy w 1980 r. opracowała Europejską Konwencję o Ochronie osoby fizyczne w sprawach dotyczących automatycznego przetwarzania danych osobowych, które weszły w życie w 1985 r. Konwencja określa tryb zbierania i przetwarzania danych osobowych, zasady przechowywania i dostępu do tych danych oraz sposoby fizycznej ochrony danych. Konwencja gwarantuje przestrzeganie praw człowieka przy gromadzeniu i przetwarzaniu danych osobowych, zasad przechowywania i dostępu do tych danych, sposobów fizycznej ochrony danych, a także zakazuje przetwarzania danych dotyczących rasy, poglądów politycznych, zdrowia, religii bez odpowiedniej podstawy prawnej. Rosja przystąpiła do Konwencji Europejskiej w listopadzie 2001 roku.

W Unii Europejskiej kwestie ochrony danych osobowych reguluje cały szereg dokumentów. W 1979 roku została przyjęta Rezolucja Parlamentu Europejskiego „W sprawie ochrony praw jednostki w związku z postępem informatyzacji”. Rezolucja wezwała Radę i Komisję Wspólnot Europejskich do opracowania i uchwalenia aktów prawnych dotyczących ochrony danych osobowych w związku z postępem technologicznym w dziedzinie informatyki. W 1980 r. przyjęto Zalecenia Organizacji Współpracy Państw Członkowskich Unii Europejskiej „W sprawie wytycznych dotyczących ochrony prywatności w międzystanowej wymianie danych osobowych”. Obecnie kwestie ochrony danych osobowych szczegółowo regulują dyrektywy Parlamentu Europejskiego i Rady Unii Europejskiej. Są to Dyrektywy nr 95/46/WE oraz nr 2002/58/WE Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 24 października 1995 r. „W sprawie ochrony praw osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych”, Dyrektywa Nr 97/66/WE Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 15 grudnia 1997 r. w sprawie wykorzystywania danych osobowych i ochrony prywatności w dziedzina telekomunikacji i innych dokumentów.

Akty Unii Europejskiej charakteryzują się szczegółowym omówieniem zasad i kryteriów zautomatyzowanego przetwarzania danych, praw i obowiązków podmiotów i posiadaczy danych osobowych, kwestii ich transgranicznego przekazywania, a także odpowiedzialności i sankcji za spowodowanie szkoda. Zgodnie z dyrektywą nr 95/46/WE Unia Europejska ustanowiła: Grupa robocza w sprawie ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Ma status organu doradczego i działa jako niezależna struktura. Grupa robocza składa się z przedstawiciela organu ustanowionego przez każde Państwo Członkowskie w celu nadzorowania przestrzegania na jego terytorium przepisów dyrektywy, przedstawiciela organu lub organów ustanowionych dla instytucji i struktur wspólnotowych oraz przedstawiciela Komisja Europejska.

W ramach Organizacji Współpracy Gospodarczej i Rozwoju (OECD) obowiązują „Wytyczne dotyczące ochrony prywatności i międzynarodowej wymiany danych osobowych”, które zostały przyjęte 23 września 1980 r. Preambuła tej dyrektywy stanowi: „…Kraje członkowskie OECD uznały za konieczne opracowanie podstawowych przepisów, które mogłyby pomóc ujednolicić krajowe przepisy dotyczące prywatności, a jednocześnie zapewniając poszanowanie odpowiednich praw człowieka, jednocześnie nie pozwoliłyby na blokowanie międzynarodowej wymiany danych …”. Przepisy te mają zastosowanie zarówno w sektorze publicznym, jak i prywatnym do danych osobowych, które czy to w związku z procedurą ich przetwarzania, czy też w związku z ich charakterem lub kontekstem ich wykorzystania, stwarzają ryzyko naruszenia prywatności i wolności jednostki. określa konieczność zapewnienia danym osobowym odpowiednich mechanizmów zabezpieczających przed zagrożeniami związanymi z ich utratą, zniszczeniem, zmianą lub ujawnieniem, nieautoryzowany dostęp. Rosja niestety nie uczestniczy w tej organizacji.

Międzyparlamentarne Zgromadzenie Państw – Członkowie WNP 16 października 1999 r. przyjęto ustawę modelową „O danych osobowych”.

Zgodnie z ustawą „Dane osobowe” – informacja (umocowana na materialnym nośniku) o konkretnej osobie, która jest z nią identyfikowana lub może być z nią utożsamiana. Dane osobowe obejmują dane biograficzne i identyfikacyjne, cechy osobowe, informacje o rodzinie, statusie społecznym, wykształceniu, zawodzie, statusie urzędowym i majątkowym, stanie zdrowia i inne. Ustawa wymienia również zasady regulacji prawnej danych osobowych, formularze państwowa regulacja operacje z danymi osobowymi, prawa i obowiązki podmiotów i posiadaczy danych osobowych.

Wydaje się, że najbardziej interesujący do analizy jest rozważany drugi sposób normatywnej regulacji ochrony danych osobowych w międzynarodowych aktach prawnych. Normy tej klasy nie tylko bezpośrednio regulują public relations w tym obszarze, ale także przyczyniają się do dostosowania ustawodawstwa krajów członkowskich do standardów międzynarodowych, zapewniając tym samym skuteczność tych norm na ich terytorium. Tym samym zapewniona jest również gwarancja praw informacyjnych zawartych w Powszechnej Deklaracji Praw Człowieka w sensie „prawa do ochrony prawa przed… ingerencją lub… ingerencją” zadeklarowanego w art. 12 tej ostatniej .

Trzecim sposobem konsolidacji zasad ochrony danych osobowych jest zapewnienie ich ochrony prawnej w traktatach międzynarodowych.

Artykuły dotyczące wymiany informacji zawarte są w umowach międzynarodowych o pomocy prawnej, o unikaniu podwójnego opodatkowania, o współpracy w określonej sferze publicznej i kulturalnej.

Zgodnie z art. 25 Traktatu między Federacją Rosyjską a Stanami Zjednoczonymi o unikaniu podwójnego opodatkowania i przeciwdziałaniu uchylaniu się od opodatkowania w zakresie podatków dochodowych i kapitałowych, państwa są zobowiązane do przekazywania informacji stanowiących tajemnicę zawodową. Umowa między Federacją Rosyjską a Republiką Indii o wzajemnej pomocy prawnej w sprawach karnych zawiera artykuł 15 „Poufność”: strona wezwana może wymagać poufności przekazywanych informacji. Praktyka zawierania umów międzynarodowych wskazuje na dążenie umawiających się państw do przestrzegania międzynarodowych standardów ochrony danych osobowych.

Wydaje się, że najskuteczniejszym mechanizmem regulacji tej instytucji na poziomie prawa międzynarodowego jest publikacja specjalnych dokumentów regulacyjnych w ramach organizacji międzynarodowych. Mechanizm ten nie tylko przyczynia się do odpowiedniej regulacji wewnętrznej tych wymienionych na początku artykułu rzeczywiste problemy ochrony danych osobowych w ramach tych organizacji, ale ma również korzystny wpływ na ustawodawstwo krajowe krajów uczestniczących.

Międzynarodowe standardy

• BS 7799-1:2005 — norma brytyjska BS 7799 część pierwsza. BS 7799 Część 1 – Kodeks postępowania w zarządzaniu bezpieczeństwem informacji opisuje 127 kontroli potrzebnych do zbudowania systemy zarządzania bezpieczeństwem informacji(ISMS), zidentyfikowane na podstawie najlepszych przykładów światowych doświadczeń (najlepszych praktyk) w tym obszarze. Ten dokument służy jako praktyczny przewodnik po tworzeniu SZBI
• BS 7799-2:2005 — norma brytyjska BS 7799 druga część normy. BS 7799 Część 2 – Zarządzanie bezpieczeństwem informacji – specyfikacja systemów zarządzania bezpieczeństwem informacji określa specyfikację SZBI. Druga część normy jest stosowana jako kryteria w oficjalnej procedurze certyfikacji SZBI organizacji.
• BS 7799-3:2006 — Norma brytyjska BS 7799 trzecia część normy. Nowy standard w zarządzaniu ryzykiem bezpieczeństwa informacji
• ISO / IEC 17799: 2005 - Technologia informacyjna - Technologie bezpieczeństwa - Praktyki zarządzania bezpieczeństwem informacji. Norma międzynarodowa oparta na BS 7799-1:2005.
• ISO/IEC 27000 — Słownictwo i definicje.
• ISO/IEC 27001:2005 – Technologia informacyjna – Praktyki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania. Norma międzynarodowa oparta na BS 7799-2:2005.
• ISO/IEC 27002 - Teraz: ISO/IEC 17799:2005. „Technologia informacyjna - Technologia bezpieczeństwa - Praktyki zarządzania bezpieczeństwem informacji”. Data wydania - 2007.
• ISO/IEC 27005 — Obecnie: BS 7799-3:2006 — Wytyczne dotyczące zarządzania ryzykiem w zakresie bezpieczeństwa informacji.
• Niemiecka Agencja Bezpieczeństwa Informacji. Podręcznik IT Baseline Protection — Standardowe zabezpieczenia.

Państwowe (narodowe) standardy Federacji Rosyjskiej

• GOST R 50922-2006: Bezpieczeństwo informacji. Podstawowe pojęcia i definicje.
• R 50.1.053-2005: Technologie informacyjne. Podstawowe terminy i definicje z dziedziny ochrona techniczna Informacja.
• GOST R 51188-98: Bezpieczeństwo informacji. Testowanie oprogramowania na obecność wirusów komputerowych. Przewodnik po modelach.
• GOST R 51275-2006: Bezpieczeństwo informacji. Obiekt informatyzacji. Czynniki wpływające na informacje. Postanowienia ogólne.
• GOST R ISO/IEC 15408-1-2008: Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Kryteria oceny bezpieczeństwa technologii informatycznych. Część 1. Wprowadzenie i model ogólny.
• GOST R ISO/IEC 15408-2-2008: Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Kryteria oceny bezpieczeństwa technologii informatycznych. Część 2: Wymagania funkcjonalne zabezpieczeń.
• GOST R ISO/IEC 15408-3-2008: Technologia informacyjna. Metody i środki zapewnienia bezpieczeństwa. Kryteria oceny bezpieczeństwa technologii informatycznych. Część 3: Wymagania dotyczące zapewnienia bezpieczeństwa.
• GOST R ISO/IEC 15408 – „Ogólne kryteria oceny bezpieczeństwa technologii informatycznych” – norma określająca narzędzia i metodologię oceny bezpieczeństwa produktów i systemów informatycznych; zawiera listę wymagań, z którymi można porównać wyniki niezależnych ocen bezpieczeństwa – dzięki czemu konsument podejmuje decyzję o bezpieczeństwie produktów. Zakres stosowania „Kryteriów ogólnych” to ochrona informacji przed nieuprawnionym dostępem, modyfikacją lub wyciekiem oraz innymi metodami ochrony realizowanymi przez sprzęt i oprogramowanie.
• GOST R ISO / IEC 17799 - „Technologie informacyjne. Praktyczne zasady zarządzania bezpieczeństwem informacji”. Bezpośrednie zastosowanie międzynarodowej normy z dodatkiem ISO/IEC 17799:2005.
• GOST R ISO / IEC 27001 - „Technologie informacyjne. Metody bezpieczeństwa. System zarządzania bezpieczeństwem informacji. Wymagania". Bezpośrednie zastosowanie międzynarodowej normy ISO/IEC 27001:2005.
• GOST R 51898-2002: Aspekty bezpieczeństwa. Zasady włączania do norm.

Dokumenty z wytycznymi

• RD SVT. Ochrona przed nieuprawnionym dostępem. Wskaźniki bezpieczeństwa od UA do informacji - zawiera opis wskaźników bezpieczeństwa systemów informatycznych oraz wymagania dotyczące klas bezpieczeństwa.

Zobacz też

• Niezadeklarowane możliwości

Linki zewnętrzne

Fundacja Wikimedia. 2010 .

Zobacz, co „Standardy bezpieczeństwa informacji” znajdują się w innych słownikach:

Audyt bezpieczeństwa informacji proces systemowy uzyskanie obiektywnych ocen jakościowych i ilościowych aktualnego stanu bezpieczeństwa informacji firmy zgodnie z określonymi kryteriami i wskaźnikami bezpieczeństwa ... ... Wikipedia

GOST R 53114-2008: Bezpieczeństwo informacji. Zapewnienie bezpieczeństwa informacji w organizacji. Podstawowe terminy i definicje- Terminologia GOST R 53114 2008: Bezpieczeństwo informacji. Zapewnienie bezpieczeństwa informacji w organizacji. Podstawowe terminy i definicje dokument oryginalny: 3.1.19 zautomatyzowany system w zabezpieczonym wykonaniu; Głośniki w wersji chronionej: ... ... Słownik-odnośnik terminów dokumentacji normatywnej i technicznej

STANDARDY BEZPIECZEŃSTWA- dokumenty, w których w celu dobrowolnego ponownego użycia, cechy bezpieczeństwa produktu, zasady bezpiecznej realizacji oraz cechy procesów produkcji, eksploatacji, przechowywania, transportu, sprzedaży... Rosyjska encyklopedia ochrony pracy

Spis treści 1 Definicja polityki bezpieczeństwa 2 Metody oceny 3 ... Wikipedia

Agencja Bezpieczeństwa Narodowego / Centralna Służba Bezpieczeństwa ... Wikipedia

Audyt Rodzaje audytu Audyt wewnętrzny Audyt zewnętrzny Audyt podatkowy Audyt środowiskowy Audyt społeczny Audyt przeciwpożarowy Due diligence Podstawowe pojęcia Audytor Materiał ... Wikipedia

Normy państwowe dotyczące produktów, robót i usług- Normy państwowe są opracowywane dla produktów, robót i usług o znaczeniu międzybranżowym i nie mogą być sprzeczne z ustawodawstwem Federacji Rosyjskiej. Normy państwowe powinny zawierać: wymagania dotyczące produktów, robót ... ... Słownictwo: rachunkowość, podatki, prawo gospodarcze

Ministerstwo Sytuacji Nadzwyczajnych Ukrainy (LGUBZhD, LDU BZD) ... Wikipedia

Klasycznie uważano, że zapewnienie bezpieczeństwa informacji składa się z trzech elementów: Poufność, Integralność, Dostępność. Punktami zastosowania procesu bezpieczeństwa informacji do systemu informatycznego są: Sprzęt komputerowy... Wikipedia

Książki

• Standardy bezpieczeństwa informacji. Ochrona i przetwarzanie dokumentów poufnych. Podręcznik, Syczew Jurij Nikołajewicz. Specjaliści zajmujący się bezpieczeństwem informacji nie mogą obejść się bez znajomości międzynarodowych i krajowych norm i wytycznych. Konieczność użycia...
• Międzynarodowe podstawy i standardy bezpieczeństwa informacji systemów finansowych i gospodarczych. Podręcznik, Julia Michajłowna Beketnowa. Publikacja przeznaczona jest dla studentów studiujących na kierunku Bezpieczeństwo informacji licencjackich i magisterskich, a także pracowników naukowych, nauczycieli, doktorantów,...

Bezpieczeństwo informacji to zespół środków mających na celu zapewnienie bezpieczeństwa informacji podlegających procesom gromadzenia, przetwarzania, przesyłania i przechowywania. Na zastosowaniu tych samych środków opiera się ochrona informacji zabezpieczonych przed niszczącym wpływem środowiska zewnętrznego z wykorzystaniem właściwości poufności, tajemnicy sygnału i integralności.

Na poziomie państwa przez bezpieczeństwo informacji rozumie się wszelkiego rodzaju organizacyjne, prawne i techniczne sposoby zapobiegania i eliminowania zagrożeń bezpieczeństwa informacji. Priorytetowymi zadaniami takich działań jest identyfikacja i eliminacja szkodliwych źródeł, czynników i sytuacji, które niekorzystnie wpływają na cenne informacje. W tym samym duchu jest to rozważane system państwowy zapewnienie ochrony danych informacyjnych, związanych z problemem bezpiecznego rozwoju całego świata.

Na poziomie działalności instytucji resortowych bezpieczeństwo informacji realizowane jest poprzez następujące środki:

• zapobieganie zagrożeniom – działania prewencyjne podejmowane w celu zapobieżenia wyciekowi informacji lub jej upadkowi;
• identyfikacja zagrożeń – systematyczna analiza i kontrola rzeczywistych i potencjalnych zagrożeń;
• wykrywanie zagrożeń – prace mające na celu identyfikację istniejących zagrożeń i trwających działań niezgodnych z prawem;
• lokalizacja działań niezgodnych z prawem - eliminacja zagrożeń i konkretnych działań niezgodnych z prawem;
• likwidacja skutków zagrożeń i przestępstw informacyjnych.

Wszelkie środki podejmowane w celu zapewnienia bezpieczeństwa informacji mają na celu poufność, ochronę praw autorskich oraz ochronę informacji przed nieuprawnionym dostępem, ujawnieniem i naruszeniem integralności.

Międzynarodowe standardy bezpieczeństwa informacji

Najbardziej znanym i najskuteczniejszym standardem bezpieczeństwa informacji na poziomie międzynarodowym jest ISO/IEC 17799:2000, który jest standardem bezpieczeństwa informacji nowej generacji. Pojęcie bezpieczeństwa informacji jest zdefiniowane w ISO/IEC 17799:2000 jako zapewnienie poufności, bezpieczeństwa i dostępności tablic informacyjnych. Norma ta ukierunkowana jest na rozwiązanie problemu bezpieczeństwa informacji instytucji i obejmuje następujące obszary działalności:

• ciągłe zapewnianie ochrony informacji;
• rozwój i doskonalenie aparatu kategorycznego systemu bezpieczeństwa informacji;
• organizacja polityki bezpieczeństwa informacji instytucji;
• prace nad zarządzaniem firmowymi zasobami informacyjnymi;
• zarządzanie projektami biznesowymi organizacji przez pryzmat bezpieczeństwa informacji;
• fizyczne bezpieczeństwo informacji;
• obsługa i utrzymanie wymagań bezpieczeństwa informacji firmowych zasobów informacyjnych.

Międzynarodowa norma „European Information Technology Security Criteria” zyskała dużą popularność, co wywarło ogromny wpływ na ustawodawstwo informacyjne i proces certyfikacji w wielu krajach. Ogromny wkład w międzynarodowy system bezpieczeństwa informacji wnieśli niemieccy koledzy, którzy wydali „Zieloną Księgę” i kompleksowo rozpatrzyli problem dostępności, integralności i poufności danych informacyjnych. Tłumaczenie tych standardów stanowiło podstawę wielu aspektów rosyjskiego ustawodawstwa informacyjnego.

Standaryzacja bezpieczeństwa informacji w Rosji

Z całej gamy krajowych standardów bezpieczeństwa informacji należy wyodrębnić dokumenty regulujące stosunki w zakresie bezpieczeństwa systemy otwarte. Obejmują one:

• GOST R ISO 7498-2-99;
• GOST R ISO/IEC 9594-8-98;
• GOST R ISO/IEC 9594-9-9.

Te GOST formułują przepisy dotyczące architektury bezpieczeństwa informacji, podstaw uwierzytelniania i powielania.

Szereg następujących norm ma na celu ochronę tajemnic państwowych:

• GOST R 50739-95;
• GOST 28147-89;
• GOST R 34.10-94;
• GOST R 34.11-94.

Lista najnowszych standardów reguluje przypadki nieuprawnionego dostępu do informacji, organizację ochrony kryptograficznej, procedury weryfikacji podpisu elektronicznego i hashowania.

Wszystkie rosyjskie normy regulujące ochrona informacji, w swojej strukturze są wielopoziomowe, a zatem mogą być używane tylko do określonego poziomu przeznaczenia. Na przykład do kompleksowej oceny systemu szyfrowania i jakości podpisu elektronicznego stosuje się GOST odpowiedniego celu. W trakcie zabezpieczania kanałów informacyjnych zwyczajowo wykorzystuje się protokół TLS, a w przypadku zabezpieczania operacji transakcyjnych stosuje się protokół SET, który obejmuje standardy niższego poziomu.

System standardów branżowych krajowego bezpieczeństwa informacji obejmuje standardy bankowe, które zapewniają ochronę danych bankowych.

W.W. Tichonienki Przewodniczący Związku Specjalistów-Ekspertów ds. Jakości (Kijów, Ukraina), dr, Dyrektor Generalny ECTC „VATT”

Artykuł zawiera opis głównych międzynarodowych i krajowych standardów bezpieczeństwa. Uwzględniono definicje pojęć „bezpieczeństwo”, „niebezpieczeństwo”, „ryzyko”. Przyjmuje się założenia o możliwości wykorzystania zasad nieoznaczoności Heisenberga i zasad komplementarności Bohra do opisu zagrożeń.

Co to jest „bezpieczeństwo”?

Zapewnienie bezpieczeństwa jest jednym z najważniejszych wymagań, które każdy, wszędzie i zawsze, musi spełnić, ponieważ każda czynność jest potencjalnie niebezpieczna. Bezpieczeństwo wiąże się z ryzykiem (są współzależne). Rozważ definicje tych pojęć podane w normach.

Bezpieczeństwo— brak niedopuszczalnego ryzyka.

Zagrożenie jest potencjalnym źródłem uszkodzeń.

Ryzyko- efekt niepewności celów.

Tak więc bezpieczeństwo charakteryzuje się nie całkowitym brakiem ryzyka, a jedynie brakiem niedopuszczalnego ryzyka. Normy definiują tolerowane ryzyko jako „optymalną równowagę między bezpieczeństwem a wymaganiami, które musi spełniać produkt, proces lub usługa, a także czynnikami, takimi jak korzyści dla użytkownika, opłacalność, niestandardowe itp.”. Norma, często stosowana przez przedsiębiorstwa, definiuje tolerowane (akceptowalne) ryzyko jako „ryzyko zredukowane do poziomu, który organizacja może tolerować, biorąc pod uwagę jej zobowiązania prawne i własną politykę w dziedzinie bezpieczeństwa i higieny pracy”.

Standardy regulują sposoby ograniczania ryzyka (w kolejności priorytetów):

• opracowanie bezpiecznego projektu;
• środki ochronne i środki ochrony indywidualnej (są to środki ochrony zbiorowej i indywidualnej – przyp. red.);
• informacje dotyczące instalacji i aplikacji;
• Edukacja.

Rodzaje standardów bezpieczeństwa

Według następujących rodzajów standardów bezpieczeństwa mogą być:

• fundamentalne, w tym podstawowe pojęcia, zasady i wymagania związane z głównymi aspektami bezpieczeństwa. Normy te mają zastosowanie do szerokiej gamy produktów, procesów i usług;
• grupę, zawierającą aspekty bezpieczeństwa mające zastosowanie do kilku typów lub do rodziny powiązanych typów wyrobów, procesów lub usług. Dokumenty te zawierają odniesienia do podstawowych norm bezpieczeństwa;
• normy bezpieczeństwa produktów, które obejmują aspekty bezpieczeństwa określonego typu lub rodziny produktów, procesów lub usług. Dokumenty te zawierają odniesienia do norm podstawowych i grupowych;
• normy produktów zawierające między innymi aspekty bezpieczeństwa. Powinny odnosić się do podstawowych i grupowych norm bezpieczeństwa. Tabela zawiera przykłady Norm Międzynarodowych związanych z wymienionymi typami. Możesz polecić przeczytanie tabeli. 1 normy, która określa międzynarodowe, europejskie i rosyjskie dokumenty regulacyjne zawierające wymagania dotyczące charakterystyki funkcji bezpieczeństwa.

Ustalenie wymagań bezpieczeństwa w przepisach/normach powinno opierać się na analizie ryzyka szkód dla ludzi, mienia lub środowiska lub ich kombinacji, jak mówią normy. Rysunek przedstawia schematycznie główne ryzyka przedsiębiorstwa, wskazując standardy zarządzania ryzykiem.

Jest możliwe, że funkcje delta Diraca i funkcje Heaviside'a mogłyby zostać użyte do opisania i analizy zagrożeń i ryzyka, ponieważ przejście od akceptowalnego do niedopuszczalnego ryzyka jest gwałtowne.

Zasady i środki bezpieczeństwa

Teoretycznie można wyróżnić następujące zasady bezpieczeństwa:

• zarządcze (adekwatność, kontrola, informacja zwrotna, odpowiedzialność, planowanie, stymulacja, zarządzanie, efektywność);
• organizacyjne (ochrona czasowa, informacyjna, redundancja, niezgodność, racjonowanie, rekrutacja, spójność, ergonomia);
• techniczne (blokowanie, odkurzanie, uszczelnianie, ochrona dystansowa, ściskanie, wytrzymałość, słabe ogniwo, flegmatyzacja, ekranowanie);
• orientowanie (działania operatora, zastępowanie operatora, klasyfikacja, eliminacja zagrożenia, konsekwencja, redukcja ryzyka).

Zajmijmy się bardziej szczegółowo zasadą klasyfikacji (kategoryzacji). Polega na podzieleniu obiektów na klasy i kategorie według znaków związanych z zagrożeniami. Przykłady: strefy ochrony sanitarnej (5 klas), kategorie produkcji (pomieszczenia) ze względu na zagrożenie wybuchem (A, B, C, D, E), kategorie/klasy wg dyrektyw ATEX (3 kategorie urządzeń, 6 stref), zagrożenie odpadami klasy (5 klas - w Rosji, 4 klasy - na Ukrainie), klasy zagrożenia substancji (4 klasy), klasy zagrożenia dla transportu towarów niebezpiecznych (9 klas) itp.

Informacja

Według obliczeń Heinricha na jeden śmiertelny wypadek przypada około 30 obrażeń z mniej poważnymi konsekwencjami i około 300 innych incydentów, które mogą pozostać prawie niezauważone. Jednocześnie pośrednie koszty ekonomiczne eliminowania skutków są czterokrotnie wyższe niż koszty bezpośrednie.

sprawdzenie

około 20% wszystkich zdarzeń niepożądanych jest związanych z awariami sprzętu, a 80% - z błędem ludzkim, z czego 70% błędów wynikało z ukrytych słabości organizacyjnych (błędy były ukryte, nie było na nie odpowiedzi), a około 30% były związane z indywidualnym pracownikiem.

Ryż. Ryzyka firmy (przykład) i obowiązujące standardy

Uwagi:

ECO - Europejskie Standardy Wyceny (Europejska Grupa Rzeczoznawców TEGoVA);

IVS - Międzynarodowe Standardy Wyceny (Nieruchomości);

MSSF – Międzynarodowe Standardy Sprawozdawczości Finansowej (MSSF);

BASEL II - umowa „Międzynarodowa konwergencja pomiaru kapitału i standardów kapitałowych: nowe podejścia” Bazylejskiego Komitetu Nadzoru Bankowego;

BRC - Standardy Brytyjskiego Konsorcjum Handlu Detalicznego (Standards of the British Trade Consortium);

COBIT - Cele Kontroli Informatyki i Technologii Pokrewnych ("Problemy technologii informacyjnych i pokrewnych" - pakiet dokumentów otwartych, około 40 międzynarodowych i krajowych norm i wytycznych z zakresu zarządzania IT, audytu i bezpieczeństwa IT); COSO - Komitet Organizacji Sponsorujących Komisję Treadway (standard Komitetu Organizacji Sponsorujących Komisji Treadway);

FERMA - Federacja Europejskich Stowarzyszeń Zarządzania Ryzykiem (standard Federacji Europejskich Stowarzyszeń Zarządzania Ryzykiem); GARP – Global Association of Risk Professionals (standard Association of Risk Professionals);

IFS - International Featured Standards (Międzynarodowe standardy produkcji i sprzedaży produktów spożywczych);

ISO/PAS 28000 - Specyfikacja systemów zarządzania bezpieczeństwem łańcucha dostaw (Systemy zarządzania bezpieczeństwem łańcucha dostaw. Specyfikacje);

NIST SP 800-30 — Przewodnik zarządzania ryzykiem dla systemów informatycznych.

Stół. Normy bezpieczeństwa (przykłady)

Środki ochrony dzieli się na środki ochrony zbiorowej (SKZ) i środki ochrony indywidualnej (PPE). Z kolei SKZ i ŚOI dzielą się na grupy w zależności od charakteru zagrożeń, konstrukcji, zastosowania itp.

Podstawowe normy bezpieczeństwa

W Unii Europejskiej wymagania dotyczące oceny ryzyka zawodowego zawarte są w:

• Dyrektywa 89/391/EWG (wymogi wprowadzenia oceny ryzyka zawodowego w państwach członkowskich UE);
• poszczególnych dyrektyw UE dotyczących bezpieczeństwa pracy (89/654/EEC, 89/655/EEC, 89/656/EEC, 90/269/EEC, 90/270/EEC, 1999/92/EC itd.) oraz ochrona pracowników przed zagrożeniami chemicznymi, fizycznymi i biologicznymi, czynnikami rakotwórczymi i mutagenami (98/24/WE, 2000/54/WE, 2002/44/WE, 2003/10/WE, 2004/40/WE, 2004/37/WE itp.) Dyrektywy UE ATEX zajmują również szczególne miejsce w dziedzinie bezpieczeństwa - jedna dla producentów, a druga dla użytkowników urządzeń:
• „Urządzenia ATEX 95” (Dyrektywa 94/9/WE) – urządzenia i systemy ochronne przeznaczone do użytku w przestrzeniach zagrożonych wybuchem;
• "Miejsce pracy ATEX 137" (Dyrektywa 1999/92/WE) - minimalne wymagania poprawa bezpieczeństwa, zdrowia i bezpieczeństwa pracowników potencjalnie zagrożonych atmosferą wybuchową.

Biorąc pod uwagę znaczenie oceny ryzyka zawodowego dla bezpieczeństwa pracy w miejscu pracy, Europejska Agencja Zdrowia i Bezpieczeństwa Pracowników opublikowała w 1996 r. Poradnik dotyczący oceny ryzyka w miejscu pracy i stale dodaje wiele przydatnych przykładów identyfikacji zagrożeń w ocenie ryzyka zawodowego.

Ogólnie rzecz biorąc, wymagania europejskiej dyrektywy REACH mają również na celu zapewnienie bezpieczeństwa. System ten opiera się na zarządzaniu ryzykiem związanym z substancjami zawartymi w związkach chemicznych oraz w niektórych przypadkach w produktach.

Ważne miejsce zajmują standardy systemu bezpiecznej pracy (GOST SSBT). Są to dokumenty dobrze zbudowanego systemu, który istnieje w kilku krajach na świecie. Tak więc bezpieczeństwo urządzeń procesowych musi być zgodne z GOST 12.2.003, bezpieczeństwo procesy technologiczne- GOST 12.3.002. A jeśli niebezpieczne substancje są produkowane, przechowywane i używane, wymagania bezpieczeństwa są określane zgodnie z GOST 12.1.007. Systemy bezpieczeństwa (urządzenia, elementy) muszą być zgodne z GOST 12.4.011, aw przypadku pożaru i wybuchu - również z GOST 12.1.004.

Wymagania dotyczące bezpieczeństwa budynków/konstrukcji określają przepisy budowlane i przepisy.

Duże znaczenie mają również standardy i regulacje medyczne (GMP - Dobra Praktyka Wytwarzania, GLP - Dobra Praktyka Laboratoryjna, GDP - Dobra Praktyka Dystrybucyjna, GPP - Dobra Praktyka Farmaceutyczna, itp.).

Normy bezpieczeństwa żywności określa Komisja Kodeksu Żywnościowego. Istnieją również przepisy bezpieczeństwa w weterynarii, produkcji roślinnej.

Rozwój astronautyki i energetyki jądrowej, komplikacje technologii lotniczej doprowadziły do ​​tego, że badanie bezpieczeństwa systemu zostało wyodrębnione jako niezależny oddzielny obszar działalności (na przykład MAEA opublikowała nową strukturę bezpieczeństwa normy: GS-R-1 „Infrastruktura ustawodawcza i rządowa dla bezpieczeństwa jądrowego i radiacyjnego, bezpieczeństwa i transportu odpadów promieniotwórczych”. W 1969 roku Departament Obrony Stanów Zjednoczonych przyjął standard MILSTD-882 „Systems, Subsystems and Equipment Reliability Program”. Określa wymagania dla wszystkich wykonawców przemysłowych programów wojskowych.

Ważnymi dokumentami są karty charakterystyki substancji (karty MSDS - karty charakterystyki substancji). Karty charakterystyki zazwyczaj zawierają następujące sekcje: szczegóły produktu, składniki niebezpieczne, potencjalne skutki zdrowotne (kontakt ze skórą, narażenie po spożyciu, dawki graniczne, działanie drażniące, działanie pobudzające, wzajemnie wzmacniające się działanie w kontakcie z innymi chemikaliami, narażenie krótkotrwałe, narażenie długotrwałe , wpływ na rozrodczość, mutagenność, rakotwórczość), udzielanie pierwszej pomocy (w przypadku kontaktu ze skórą, oczami, żołądkiem, drogi oddechowe), zagrożenie pożarem i wybuchem (palność / zapalność - w jakich warunkach, metody postępowania w przypadku pożaru, niebezpieczne produkty spalania) , dane dotyczące reaktywności (stabilność chemiczna, warunki reaktywne, niebezpieczne produkty rozkładu), reakcja na wyciek/wyciek (w tym usuwanie odpadów, degradacja/toksyczność dla organizmów wodnych, gleby, powietrza), zwalczanie skutków substancji i środki ochrony osobistej (techniczne sprzęt ochronny, rękawice, ochrona dróg oddechowych i oczu, obuwie ochronne, odzież ochronna), wymagania dotyczące przechowywania i obchodzenia się z substancją (przechowywanie, obchodzenie się, transport), właściwości fizyczne substancji, środowiskowe, prawne, dodatkowe informacje. Takie karty MSDS są przygotowywane przez producenta i przekazywane użytkownikowi/konsumentowi. Dane z kart MSDS muszą być zawarte w instrukcjach dotyczących produkcji i ochrony pracy.

Dane

Przykłady wycofania produktów z rynku ze względu na ich niebezpieczeństwo

• Firma Apple wycofała odtwarzacze iPod nano 1G w 2009 roku ze względu na ryzyko eksplozji baterii (http://proit.com.ua/print/?id=20223).
• McDonald's w 2010 roku wycofał 12 milionów kolekcjonerskich szklanek z symbolami kreskówek Shrek w Stanach Zjednoczonych ze względu na fakt, że kadm został znaleziony w farbie, którą były malowane (www.gazeta.ru/news/lenta/... / n_1503285.shtml).
• W 2008 roku tysiące dzieci w Chinach trafiło do szpitali po zatruciu mlekiem modyfikowanym zawierającym melaminę. Sanlu wystosowało formalne przeprosiny do swoich konsumentów, stwierdzając, że dostawcy mleka dodawali do swoich produktów substancje toksyczne (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/ international/newsid_7620000/7620305.stm).
• Francuski Urząd ds. Bezpieczeństwa Produktów Medycznych zażądał wycofania jednego z typów protez (implantów silikonowych) od 1 kwietnia 2010 r., ponieważ nie przeszedł on wymaganego testu (http://www.newsru.co.il/ zdrowie/01apr2010/pip301.html ).
• Firma Thule niedawno odkryła, że ​​jej zestaw bagażnika dachowego nie jest wystarczająco mocny (dla produktów wyprodukowanych od 1 stycznia 2008 do 28 lutego 2009) ze względu na kruchość dołączonej śruby. Po wewnętrznych testach przeprowadzonych przez firmę ustalono, że śruba w podstawie nie spełnia norm bezpieczeństwa firmy. Ze względu na wysokie ryzyko dla konsumentów (możliwe uszkodzenie śruby pod obciążeniem może spowodować odczepienie bagażnika i ciężaru podczas jazdy) firma Thule podjęła decyzję o natychmiastowym wycofaniu produktu z obrotu (http://www2.thulegroup.com/ pl/Wycofanie produktu /Wprowadzenie2/).

Wniosek

Specjaliści opracowujący normy bezpieczeństwa muszą zwracać większą uwagę na harmonizację przepisów stosowanych w różnych dziedzinach. Na przykład użyj podejścia przedstawionego w zasadach nieoznaczoności Heisenberga i komplementarności Bohra. Ponadto nie zapominaj o błędach ludzkich i eliminacji słabości organizacyjnych. Wprowadzenie zarządzania ryzykiem w przedsiębiorstwach pomoże zwiększyć poziom bezpieczeństwa. W ostatnich latach aktywnie rozwijano m.in. standardy zarządzania ryzykiem. Badanie i stosowanie tych dokumentów przyczynia się również do poprawy kultury bezpieczeństwa.

Oczywiście w dziedzinie bezpieczeństwa standardy, przepisy, normy, zasady, instrukcje są niezbędne, ale ich wdrożenie jest nie mniej ważne.

Aby zapewnić bezpieczeństwo, musisz znać odpowiedzi na pytania:

1. Jakie jest prawdopodobieństwo wystąpienia incydentu?

2. Jakie będą negatywne konsekwencje?

3. Jak je zminimalizować?

4. Jak kontynuować działania w trakcie i po zdarzeniu?

5. Jakie są priorytety i ramy czasowe odzyskiwania?

6. Co, jak, kiedy i dla kogo należy zrobić?

7. Jakie środki zapobiegawcze należy podjąć, aby zapobiec / zminimalizować negatywne konsekwencje?

Bibliografia

1. GOST 12.1.007-76 (1999). SSBT. Szkodliwe substancje. Klasyfikacja i ogólne wymagania bezpieczeństwa.

2. GOST 12.1.004-91. SSBT. Bezpieczeństwo przeciwpożarowe. Ogólne wymagania.

3. GOST 12.2.003-91. SSBT. Sprzęt produkcyjny. Ogólne wymagania bezpieczeństwa.

4. GOST 12.3.002-75 (2000). SSBT. Proces produkcji. Ogólne wymagania bezpieczeństwa.

5. GOST 12.4.011-89. SSBT. Środki ochrony pracowników. Wymagania ogólne i klasyfikacja.

6. GOST R 51898-2002. Aspekty bezpieczeństwa. Zasady włączania do norm.

7. GOST R 12.1.052-97. SSBT. Informacje o bezpieczeństwie substancji i materiałów (Karta Charakterystyki). Postanowienia podstawowe.

8. GOST R ISO 13849-1-2003. Bezpieczeństwo sprzętu. Elementy systemów sterowania związane z bezpieczeństwem. Część 1. Ogólne zasady projektowania.

9. BS 31100:2008. Zarządzanie ryzykiem – Kodeks postępowania.

10. BS OHSAS 18001:2007. Systemy zarządzania bezpieczeństwem i higieną pracy. wymagania.

11. CWA 15793:2008. Standard zarządzania bioryzykiem laboratoryjnym.

12. ISO/IEC 51:1999. Aspekty bezpieczeństwa – wytyczne dotyczące ich włączenia do norm.

13. Przewodnik ISO/IEC 73:2009. Zarządzanie ryzykiem - Słownictwo - Wytyczne do stosowania w normach.

14. ISO 31000:2009. Zarządzanie ryzykiem - Zasady i wytyczne.

15. IEC/ISO 31010:2009. Zarządzanie ryzykiem – techniki oceny ryzyka.

16.ISO 15190:2003. Laboratoria medyczne - Wymagania bezpieczeństwa.

17. Powód J. Błąd ludzki. - Nowy Jork: Cambridge University Press, 1990. - 316 s.

18. Rozporządzenie (WE) nr 1907/2006 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2006 r. w sprawie rejestracji, oceny, udzielania zezwoleń i stosowanych ograniczeń w zakresie chemikaliów (REACH), ustanawiające Europejską Agencję Chemikaliów, zmieniające dyrektywę 1999/45/WE oraz uchylające rozporządzenie Rady (EWG) nr 793/93 i rozporządzenie Komisji (WE) nr 1488/94 oraz dyrektywę Rady 76/769/EWG i dyrektywy Komisji 91/155/EWG, 93/67/EWG, 93/105 /WE i 2000/21/WE.