Βασικά διεθνή πρότυπα ib σε διάφορες χώρες. Προστασία πληροφοριών και ασφάλεια πληροφοριών διεθνή και ρωσικά πρότυπα

Ένα από τα σημαντικότερα προβλήματα και ανάγκες σύγχρονη κοινωνίαείναι η προστασία των ανθρωπίνων δικαιωμάτων υπό τις συνθήκες εμπλοκής του στις διαδικασίες αλληλεπίδρασης πληροφοριών, συμπεριλαμβανομένου του δικαιώματος προστασίας των προσωπικών πληροφοριών στις διαδικασίες αυτοματοποιημένης επεξεργασίας πληροφοριών.

I. N. Malanych, 6ος φοιτητής στο VSU

Το Ινστιτούτο Προστασίας Προσωπικών Δεδομένων σήμερα δεν είναι πλέον μια κατηγορία που μπορεί να ρυθμιστεί μόνο από την εθνική νομοθεσία. Το πιο σημαντικό χαρακτηριστικό των σύγχρονων αυτοματοποιημένων πληροφοριακών συστημάτων είναι η «υπερεθνικότητα» πολλών από αυτά, η «έξοδός» τους πέρα από τα κρατικά σύνορα, η ανάπτυξη ενός δημοσίως προσβάσιμου κόσμου. δίκτυα πληροφοριών, όπως το Διαδίκτυο, η διαμόρφωση ενός ενιαίου χώρου πληροφοριών στο πλαίσιο τέτοιων διεθνών δομών.

Σήμερα στη Ρωσική Ομοσπονδία υπάρχει πρόβλημα όχι μόνο εισαγωγής στο νομικό πεδίο του θεσμού της προστασίας προσωπικών δεδομένων στο πλαίσιο αυτοματοποιημένων διαδικασίες πληροφόρησης, αλλά και τη συσχέτισή του με τα υφιστάμενα διεθνή νομικά πρότυπα στον τομέα αυτό.

Τρεις είναι οι βασικές τάσεις στη διεθνή νομική ρύθμιση του θεσμού της προστασίας των προσωπικών δεδομένων, που σχετίζεται με τις διαδικασίες αυτοματοποιημένης επεξεργασίας πληροφοριών.

1) Διακήρυξη του δικαιώματος στην προστασία των προσωπικών δεδομένων, ως αναπόσπαστο μέρος των θεμελιωδών ανθρωπίνων δικαιωμάτων, σε πράξεις γενικού ανθρωπιστικού χαρακτήρα που εγκρίνονται στο πλαίσιο διεθνών οργανισμών.

2) Ενοποίηση και ρύθμιση του δικαιώματος προστασίας των προσωπικών δεδομένων σε κανονιστικές πράξεις της Ευρωπαϊκής Ένωσης, του Συμβουλίου της Ευρώπης, εν μέρει της Κοινοπολιτείας Ανεξάρτητων Κρατών και ορισμένων περιφερειακών διεθνών οργανισμών. Αυτή η κατηγορία κανόνων είναι η πιο καθολική και αφορά άμεσα τα δικαιώματα για την προστασία των προσωπικών δεδομένων στις διαδικασίες αυτοματοποιημένης επεξεργασίας πληροφοριών.

3) Συμπερίληψη κανόνων για την προστασία των εμπιστευτικών πληροφοριών (συμπεριλαμβανομένων των προσωπικών πληροφοριών) στις διεθνείς συνθήκες.

Η πρώτη μέθοδος εμφανίστηκε ιστορικά νωρίτερα από τις άλλες. Στον σύγχρονο κόσμο, τα δικαιώματα και οι ελευθερίες της πληροφόρησης αποτελούν αναπόσπαστο μέρος των θεμελιωδών ανθρωπίνων δικαιωμάτων.

Η Οικουμενική Διακήρυξη των Ανθρωπίνων Δικαιωμάτων του 1948 διακηρύσσει: «Κανείς δεν πρέπει να υποβληθεί σε αυθαίρετες παρεμβάσεις στην ιδιωτική του ζωή ή στην οικογένειά του, ή σε αυθαίρετες επιθέσεις στο απόρρητο της αλληλογραφίας του» και περαιτέρω: «Καθένας έχει δικαίωμα στην προστασία του νόμου κατά τέτοιων παρεμβάσεων ή επιθέσεων». Το Διεθνές Σύμφωνο για τα Ατομικά και Πολιτικά Δικαιώματα του 1966 επαναλαμβάνει τη δήλωση σε αυτό το μέρος. Η Ευρωπαϊκή Σύμβαση του 1950 διευκρινίζει αυτό το δικαίωμα: «Καθένας έχει δικαίωμα στην ελευθερία της έκφρασης. Αυτό το δικαίωμα περιλαμβάνει την ελευθερία της γνώμης και της λήψης και μετάδοσης πληροφοριών και ιδεών χωρίς παρέμβαση από δημόσιες αρχές και ανεξαρτήτως συνόρων».

Αυτά τα διεθνή έγγραφα καθιερώνουν τα ανθρώπινα δικαιώματα πληροφόρησης.

Επί του παρόντος, έχει διαμορφωθεί σε διεθνές επίπεδο ένα σταθερό σύστημα απόψεων για τα ανθρώπινα δικαιώματα πληροφόρησης. Σε γενικές γραμμές, αυτό είναι το δικαίωμα λήψης πληροφοριών, το δικαίωμα στην ιδιωτικότητα όσον αφορά την προστασία των πληροφοριών σχετικά με αυτό, το δικαίωμα προστασίας των πληροφοριών τόσο από την άποψη της κρατικής ασφάλειας όσο και από την άποψη της ασφάλειας των επιχειρήσεων, συμπεριλαμβανομένης της οικονομικής δραστηριότητες.

Ο δεύτερος τρόπος - η λεπτομερέστερη ρύθμιση του δικαιώματος στην προστασία των προσωπικών πληροφοριών συνδέεται με τη διαρκώς αυξανόμενη ένταση επεξεργασίας προσωπικών πληροφοριών τα τελευταία χρόνια με τη χρήση αυτοματοποιημένων συστημάτων πληροφορικής. Τις τελευταίες δεκαετίες, μια σειρά από διεθνή έγγραφα έχουν εγκριθεί στο πλαίσιο ορισμένων διεθνών οργανισμών που αναπτύσσουν βασικά δικαιώματα πληροφόρησης σε σχέση με την εντατικοποίηση της διασυνοριακής ανταλλαγής πληροφοριών και τη χρήση σύγχρονων τεχνολογιών πληροφοριών. Μεταξύ αυτών των εγγράφων είναι τα ακόλουθα:

Το Συμβούλιο της Ευρώπης το 1980 ανέπτυξε την Ευρωπαϊκή Σύμβαση για την Προστασία τα άτομασε θέματα που σχετίζονται με την αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία τέθηκε σε ισχύ το 1985. Η Σύμβαση ορίζει τη διαδικασία συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα, τις αρχές αποθήκευσης και πρόσβασης σε αυτά τα δεδομένα και μεθόδους φυσικής προστασίας των δεδομένων. Η Σύμβαση εγγυάται το σεβασμό των ανθρωπίνων δικαιωμάτων στη συλλογή και επεξεργασία προσωπικών δεδομένων, τις αρχές αποθήκευσης και πρόσβασης σε αυτά τα δεδομένα, μεθόδους φυσικής προστασίας των δεδομένων και επίσης απαγορεύει την επεξεργασία δεδομένων για τη φυλή, τις πολιτικές απόψεις, την υγεία, τη θρησκεία χωρίς νομικούς λόγους. Η Ρωσία προσχώρησε στην Ευρωπαϊκή Σύμβαση τον Νοέμβριο του 2001.

Στην Ευρωπαϊκή Ένωση, τα θέματα προστασίας των προσωπικών δεδομένων ρυθμίζονται από μια ολόκληρη σειρά εγγράφων. Το 1979 εγκρίθηκε το ψήφισμα του Ευρωπαϊκού Κοινοβουλίου «Σχετικά με την προστασία των ατομικών δικαιωμάτων σε σχέση με την πρόοδο της πληροφορικής». Το ψήφισμα καλούσε το Συμβούλιο και την Επιτροπή των Ευρωπαϊκών Κοινοτήτων να αναπτύξουν και να εκδώσουν νομικές πράξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα σε σχέση με την τεχνική πρόοδο στον τομέα της επιστήμης των υπολογιστών. Το 1980, οι Συστάσεις του Οργανισμού Συνεργασίας των Κρατών Μελών της Ευρωπαϊκής Ένωσης «Περί κατευθυντήριων γραμμών για την προστασία των μυστικότητακατά τη διακρατική ανταλλαγή δεδομένων προσωπικού χαρακτήρα». Επί του παρόντος, τα θέματα προστασίας των προσωπικών δεδομένων ρυθμίζονται λεπτομερώς από οδηγίες του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της Ευρωπαϊκής Ένωσης. Πρόκειται για τις οδηγίες αριθ. 95/46/ΕΚ και αριθ. 97/66/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της Ευρωπαϊκής Ένωσης της 15ης Δεκεμβρίου 1997 σχετικά με τη χρήση προσωπικών δεδομένων και την προστασία της ιδιωτικής ζωής στις τηλεπικοινωνίες και άλλα έγγραφα.

Οι πράξεις της Ευρωπαϊκής Ένωσης χαρακτηρίζονται από λεπτομερή επεξεργασία των αρχών και κριτηρίων για την αυτοματοποιημένη επεξεργασία δεδομένων, τα δικαιώματα και τις υποχρεώσεις των υποκειμένων και των κατόχων προσωπικών δεδομένων, τα θέματα της διασυνοριακής διαβίβασής τους, καθώς και την ευθύνη και τις κυρώσεις για ζημίες . Σύμφωνα με την Οδηγία 95/46/ΕΚ, η Ευρωπαϊκή Ένωση έχει συγκροτήσει Ομάδα Εργασίας για την προστασία των ατόμων έναντι της επεξεργασίας των προσωπικών τους δεδομένων. Έχει την ιδιότητα του συμβουλευτικού οργάνου και λειτουργεί ως ανεξάρτητη δομή. Η ομάδα εργασίας αποτελείται από έναν εκπρόσωπο του φορέα που έχει συσταθεί από κάθε κράτος μέλος με σκοπό την εποπτεία της συμμόρφωσης στην επικράτειά του με τις διατάξεις της οδηγίας, έναν εκπρόσωπο του φορέα ή των φορέων που έχουν συσταθεί για τα θεσμικά όργανα και τις δομές της Κοινότητας και έναν εκπρόσωπο της την Ευρωπαϊκή Επιτροπή.

Ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ) διαθέτει Πλαίσιο για την Προστασία της Ιδιωτικής ζωής και τη Διεθνή Ανταλλαγή Προσωπικών Δεδομένων, το οποίο εγκρίθηκε στις 23 Σεπτεμβρίου 1980. Το προοίμιο αυτής της Οδηγίας αναφέρει: «...Τα κράτη μέλη του ΟΟΣΑ θεώρησαν απαραίτητο να αναπτύξουν Πλαίσια που θα μπορούσαν να βοηθήσουν στην εναρμόνιση των εθνικών νόμων περί απορρήτου και, ενώ σέβονται τα σχετικά ανθρώπινα δικαιώματα, δεν θα επέτρεπαν τον αποκλεισμό των διεθνών ανταλλαγών δεδομένων...». Οι διατάξεις αυτές ισχύουν τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα για προσωπικά δεδομένα τα οποία, είτε λόγω του τρόπου επεξεργασίας τους είτε λόγω της φύσης τους ή του πλαισίου στο οποίο χρησιμοποιούνται, ενέχουν κίνδυνο παραβίασης της ιδιωτικής ζωής και των ατομικών ελευθεριών. Καθορίζει την ανάγκη παροχής προσωπικών δεδομένων με επαρκείς μηχανισμούς προστασίας έναντι κινδύνων που σχετίζονται με την απώλεια, την καταστροφή, την τροποποίηση ή την αποκάλυψή τους ή τη μη εξουσιοδοτημένη πρόσβασή τους. Η Ρωσία, δυστυχώς, δεν συμμετέχει σε αυτόν τον οργανισμό.

Διακοινοβουλευτική Συνέλευση των κρατών μελών της ΚΑΚ στις 16 Οκτωβρίου 1999. Εγκρίθηκε ο Πρότυπος Νόμος «Περί Δεδομένων Προσωπικού Χαρακτήρα».

Σύμφωνα με το νόμο, «Προσωπικά δεδομένα» είναι πληροφορίες (που καταγράφονται σε απτό μέσο) για ένα συγκεκριμένο πρόσωπο που ταυτοποιείται ή μπορεί να ταυτιστεί μαζί του. Τα προσωπικά δεδομένα περιλαμβάνουν βιογραφικά και δεδομένα ταυτότητας, προσωπικά χαρακτηριστικά, πληροφορίες σχετικά με την οικογένεια, την κοινωνική θέση, την εκπαίδευση, το επάγγελμα, την επαγγελματική και οικονομική κατάσταση, την κατάσταση υγείας και άλλα. Ο νόμος απαριθμεί επίσης τις αρχές της νομικής ρύθμισης των προσωπικών δεδομένων, τις μορφές κρατικής ρύθμισης των εργασιών με προσωπικά δεδομένα, τα δικαιώματα και τις υποχρεώσεις των υποκειμένων και των κατόχων προσωπικών δεδομένων.

Φαίνεται ότι η θεωρούμενη δεύτερη μέθοδος ρυθμιστικής ρύθμισης της προστασίας των προσωπικών δεδομένων σε διεθνείς νομικές πράξεις είναι η πιο ενδιαφέρουσα για ανάλυση. Οι κανόνες αυτής της κατηγορίας όχι μόνο ρυθμίζουν άμεσα τις δημόσιες σχέσεις σε αυτόν τον τομέα, αλλά βοηθούν επίσης να φέρει τη νομοθεσία των χωρών μελών στα διεθνή πρότυπα, διασφαλίζοντας έτσι την αποτελεσματικότητα αυτών των κανόνων στην επικράτειά τους. Έτσι, διασφαλίζεται η κατοχύρωση των δικαιωμάτων πληροφόρησης που κατοχυρώνονται στην Οικουμενική Διακήρυξη των Ανθρωπίνων Δικαιωμάτων με την έννοια του «δικαιώματος στην προστασία του νόμου από ... παρέμβαση ή ... καταπάτηση» που διακηρύσσεται στο άρθρο 12 της τελευταίας.

Ο τρίτος τρόπος για την ενοποίηση των κανόνων για την προστασία των προσωπικών δεδομένων είναι η ενοποίηση της νομικής προστασίας τους στις διεθνείς συνθήκες.

Άρθρα σχετικά με την ανταλλαγή πληροφοριών περιλαμβάνονται σε διεθνείς συνθήκες για τη νομική συνδρομή, την αποφυγή της διπλής φορολογίας και τη συνεργασία σε ορισμένους δημόσιους και πολιτιστικούς τομείς.

Σύμφωνα με το άρθ. 25 της Συνθήκης μεταξύ της Ρωσικής Ομοσπονδίας και των Ηνωμένων Πολιτειών για την αποφυγή της διπλής φορολογίας και την πρόληψη της φοροδιαφυγής όσον αφορά τους φόρους εισοδήματος και κεφαλαίου, τα κράτη υποχρεούνται να παρέχουν πληροφορίες που συνιστούν επαγγελματικό απόρρητο. Η Συνθήκη μεταξύ της Ρωσικής Ομοσπονδίας και της Δημοκρατίας της Ινδίας για την αμοιβαία νομική συνδρομή σε ποινικές υποθέσεις περιλαμβάνει το άρθρο 15 «Εμπιστευτικότητα»: το μέρος προς το οποίο απευθύνεται η αίτηση μπορεί να απαιτήσει να τηρούνται εμπιστευτικές οι πληροφορίες που διαβιβάζονται. Η πρακτική της σύναψης διεθνών συνθηκών δείχνει την επιθυμία των συμβαλλόμενων κρατών να συμμορφωθούν με τα διεθνή πρότυπα για την προστασία των προσωπικών δεδομένων.

Φαίνεται ότι ο πιο αποτελεσματικός μηχανισμός ρύθμισης αυτού του θεσμού σε διεθνές νομικό επίπεδο είναι η δημοσίευση ειδικών κανονιστικών εγγράφων στο πλαίσιο διεθνών οργανισμών. Αυτός ο μηχανισμός όχι μόνο προωθεί την κατάλληλη εσωτερική ρύθμιση των πιεστικών θεμάτων προστασίας προσωπικών πληροφοριών εντός αυτών των οργανισμών που αναφέρονται στην αρχή του άρθρου, αλλά έχει επίσης ευεργετική επίδραση στην εθνική νομοθεσία των συμμετεχόντων χωρών.

Περίγραμμα διάλεξης

1. Προϋποθέσεις για τη δημιουργία διεθνών προτύπων ασφάλεια πληροφοριών(IB)

1.1. Σκοπός και στόχοι της διεθνούς τυποποίησης

1.2. Διεθνής Οργανισμός Τυποποίησης, ISO

1.3. Βασικά διεθνή πρότυπα ασφάλειας πληροφοριών

2. Κριτήρια για την αξιολόγηση αξιόπιστων συστημάτων υπολογιστών (“ Πορτοκαλί βιβλίο")

2.1.Βασικές πληροφορίες

2.2 Βασικές απαιτήσεις και εργαλεία

3. Βασικές έννοιες

4.Μηχανισμοί εφαρμογής ασφάλειας

5. Τομές και τάξεις ασφαλείας.

5.1. Τμήματα Ασφαλείας

5.2. Μαθήματα ασφαλείας

6. Σύντομη ταξινόμηση

Διεθνή κριτήρια για την αξιολόγηση της ασφάλειας των τεχνολογιών πληροφοριών σε χώρες του εξωτερικού

Περίγραμμα διάλεξης

1. Εναρμονισμένα κριτήρια ευρωπαϊκών χωρών

2. Γερμανικό πρότυπο BSI

3. Βρετανικό πρότυπο BS 7799

4. Διεθνές πρότυπο IS O/I EC 15408«Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών πληροφοριών». «Γενικά κριτήρια»

Προϋποθέσεις για τη δημιουργία διεθνών προτύπων ασφάλειας πληροφοριών

1.1. Γενικά θέματα

Στο εξωτερικό, η ανάπτυξη προτύπων πραγματοποιείται συνεχώς· προσχέδια και εκδόσεις προτύπων δημοσιεύονται με συνέπεια σε διαφορετικά στάδια συντονισμού και έγκρισης. Ορισμένα πρότυπα βαθμιαία εμβαθύνονται και περιγράφονται λεπτομερώς με τη μορφή ενός συνόλου ομάδων προτύπων που διασυνδέονται σε έννοιες και δομή.

Είναι γενικά αποδεκτό ότι αναπόσπαστο μέρος της γενικής διαδικασίας τυποποίησης της τεχνολογίας πληροφοριών (IT) είναι η ανάπτυξη προτύπων που σχετίζονται με το πρόβλημα της ασφάλειας της πληροφορικής, το οποίο έχει γίνει όλο και πιο επίκαιρο λόγω των τάσεων της αυξανόμενης αμοιβαίας ολοκλήρωσης των εφαρμοζόμενων εργασιών, με βάση την κατανεμημένη επεξεργασία δεδομένων, τα συστήματα τηλεπικοινωνιών, τις ηλεκτρονικές τεχνολογίες ανταλλαγής δεδομένων.

Ανάπτυξη πρότυπα για ανοιχτά συστήματα , συμπεριλαμβανομένων των προτύπων στον τομέα της ασφάλειας πληροφορικής, εφαρμόζεται από μια σειρά εξειδικευμένων διεθνών οργανισμών και κοινοπραξιών όπως, για παράδειγμα, ISO, IEC, ITU-T, IEEE, IAB, WOS, ECMA, X/Open, OSF, OMG.

Σημαντική εργασία για την τυποποίηση των θεμάτων ασφάλειας πληροφορικής γίνεται από εξειδικευμένους οργανισμούς και σε εθνικό επίπεδο. Όλα αυτά κατέστησαν δυνατή μέχρι σήμερα τη διαμόρφωση μιας αρκετά εκτεταμένης μεθοδολογικής βάσης, με τη μορφή διεθνών, εθνικών και βιομηχανικών προτύπων, καθώς και ρυθμιστικού και καθοδηγητικού υλικού που ρυθμίζει δραστηριότητες στον τομέα της ασφάλειας πληροφορικής.

1.2. Κατάσταση του διεθνούς ρυθμιστικού και μεθοδολογικού πλαισίου

Προκειμένου να συστηματοποιηθεί η ανάλυση της τρέχουσας κατάστασης του διεθνούς ρυθμιστικού και μεθοδολογικού πλαισίου στον τομέα της ασφάλειας πληροφορικής, είναι απαραίτητο να χρησιμοποιηθούν ορισμένα ταξινόμηση των περιοχών τυποποίησης .

Σε γενικές γραμμές, μπορούν να διακριθούν οι ακόλουθες κατευθύνσεις :

1. Γενικές αρχέςδιαχείριση ασφάλειας πληροφοριών.

2. Μοντέλα ασφάλειας πληροφορικής.

3. Μέθοδοι και μηχανισμοί ασφάλειας πληροφορικής (όπως, για παράδειγμα: μέθοδοι ελέγχου ταυτότητας, διαχείριση κλειδιών, κ.λπ.).

4. Κρυπτογραφικοί αλγόριθμοι.

5. Μέθοδοι αξιολόγησης της ασφάλειας των πληροφοριακών συστημάτων.

6. Ασφάλεια τεχνολογιών EDI.

7. Ασφάλεια αλληλεπιδράσεων διαδικτυακής εργασίας (firewalls).

8. Πιστοποίηση και πιστοποίηση αντικειμένων τυποποίησης.

Σκοπός και στόχοι της διεθνούς τυποποίησης

Πρότυπο είναι ένα έγγραφο που καθορίζει τα χαρακτηριστικά των προϊόντων, τη λειτουργία, την αποθήκευση, τη μεταφορά, τις πωλήσεις και τη διάθεση, την εκτέλεση της εργασίας ή την παροχή υπηρεσιών. Πρότυπομπορεί επίσης να περιέχει απαιτήσεις για ορολογία, σύμβολα, συσκευασία, σημάνσεις ή ετικέτες και κανόνες για την εφαρμογή τους.

Διεθνές πρότυπο - ένα πρότυπο που υιοθετήθηκε από διεθνή οργανισμό. Στην πράξη, τα διεθνή πρότυπα συχνά σημαίνουν επίσης περιφερειακά πρότυπα και πρότυπα που αναπτύχθηκαν από επιστημονικές και τεχνικές εταιρείες και υιοθετήθηκαν ως κανόνες από διάφορες χώρες σε όλο τον κόσμο.

Διεθνής τυποποίηση - τυποποίηση, η συμμετοχή στην οποία είναι ανοιχτή στις αρμόδιες αρχές όλων των χωρών.

Ο κύριος σκοπός των διεθνών προτύπων - πρόκειται για τη δημιουργία σε διεθνές επίπεδο μιας ενιαίας μεθοδολογικής βάσης για την ανάπτυξη νέων και τη βελτίωση των υφιστάμενων συστημάτων ποιότητας και την πιστοποίησή τους.

Η επιστημονική και τεχνική συνεργασία στον τομέα της τυποποίησης αποσκοπεί στην εναρμόνιση του εθνικού συστήματος τυποποίησης με διεθνή, περιφερειακά και προοδευτικά εθνικά συστήματα τυποποίησης.

Τόσο οι βιομηχανικές χώρες όσο και οι αναπτυσσόμενες χώρες που δημιουργούν τις δικές τους εθνικές οικονομίες ενδιαφέρονται για την ανάπτυξη της διεθνούς τυποποίησης.

Τα διεθνή πρότυπα δεν έχουν το καθεστώς των υποχρεωτικών για όλες τις συμμετέχουσες χώρες. Οποιαδήποτε χώρα στον κόσμο έχει το δικαίωμα να τα εφαρμόσει ή να μην τα εφαρμόσει. Επίλυση του ζητήματος της εφαρμογής διεθνούς προτύπου ISOσυνδέεται κυρίως με τον βαθμό συμμετοχής της χώρας στον διεθνή καταμερισμό εργασίας και την κατάσταση του εξωτερικού της εμπορίου. ISOείναι ο κορυφαίος διεθνής οργανισμός στον τομέα της τυποποίησης.

1.4. Διεθνής Οργανισμός Τυποποίησης, ISO

Διεθνής Οργανισμός Τυποποίησης , IS О (Διεθνής Οργανισμός Τυποποίησης, ISO) - ένας διεθνής οργανισμός που παράγει πρότυπα.

Διεθνής Οργανισμός ΕΙΝΑΙ Οάρχισε να λειτουργεί 23 Φεβρουαρίου 1947. ως εθελοντική, μη κυβερνητική οργάνωση. Καθιερώθηκε με βάση τα όσα επιτεύχθηκαν σε μια συνάντηση στο Λονδίνο το 1946συμφωνίες μεταξύ αντιπροσώπων 25βιομηχανικές χώρες σχετικά με τη δημιουργία ενός οργανισμού με την εξουσία να συντονίζει σε διεθνές επίπεδο την ανάπτυξη διαφόρων βιομηχανικών προτύπων και να διεξάγει τη διαδικασία για την υιοθέτησή τους ως διεθνή πρότυπα.

Κατά τη δημιουργία του οργανισμού και την επιλογή του ονόματός του, ελήφθη υπόψη η ανάγκη η συντομογραφία του ονόματος να ακούγεται ίδια σε όλες τις γλώσσες. Για αυτό αποφασίστηκε να χρησιμοποιηθεί η ελληνική λέξη isos- ίσο, γι' αυτό σε όλες τις γλώσσες του κόσμου ο Διεθνής Οργανισμός Τυποποίησης έχει σύντομο όνομα IS O (ISO).

Πεδίο δράσης ISOαφορά την τυποποίηση σε όλους τους τομείς, εκτός από ηλεκτρολογία και ηλεκτρονικά, που εμπίπτουν στην αρμοδιότητα της Διεθνούς Ηλεκτροτεχνικής Επιτροπής ( IEC). Ορισμένοι τύποι εργασιών εκτελούνται από κοινού από αυτούς τους οργανισμούς. Εκτός από την τυποποίηση ISOασχολείται επίσης με θέματα πιστοποίησης.

Σκοπός ISO - προώθηση της ανάπτυξης της τυποποίησης σε παγκόσμια κλίμακα για τη διευκόλυνση του διεθνούς εμπορίου και της αμοιβαίας βοήθειας, καθώς και για την επέκταση της συνεργασίας στον τομέα των πνευματικών, επιστημονικών, τεχνικών και οικονομικών δραστηριοτήτων.

Γκεόργκι Γκαρμπούζοφ,
CISSP, MCSE: Διεύθυνση Ασφάλειας Πληροφοριών, Ασφαλιστικός Όμιλος URALSIB

Η ΙΣΤΟΡΙΑ της τυποποίησης, ως διαδικασία θέσπισης ομοιόμορφων απαιτήσεων κατάλληλων για επαναλαμβανόμενη χρήση, πηγαίνει πίσω αρκετές χιλιάδες χρόνια - ακόμη και κατά την κατασκευή των πυραμίδων στην Αρχαία Αίγυπτο, χρησιμοποιήθηκαν μπλοκ κανονικού μεγέθους και ειδικοί άνθρωποι έλεγχαν τον βαθμό συμμόρφωσης με αυτό το αρχαίο πρότυπο. Σήμερα, η τυποποίηση κατέχει ισχυρή θέση σε όλους σχεδόν τους τομείς της ανθρώπινης δραστηριότητας.

Τυποποίηση στον τομέα της ασφάλειας πληροφοριών

Η τυποποίηση στον τομέα της ασφάλειας πληροφοριών (IS) είναι επωφελής τόσο για τους επαγγελματίες όσο και για τους καταναλωτές προϊόντων και υπηρεσιών IS, καθώς επιτρέπει σε κάποιον να δημιουργήσει ένα βέλτιστο επίπεδο εξορθολογισμού και ενοποίησης, διασφαλίζει την εναλλαξιμότητα των προϊόντων IS, καθώς και τη δυνατότητα μέτρησης και επαναληψιμότητα των αποτελεσμάτων που λαμβάνονται σε διάφορες χώρες και οργανισμούς. Για τους επαγγελματίες, αυτό σημαίνει εξοικονόμηση χρόνου στην αναζήτηση αποτελεσματικών και δοκιμασμένων λύσεων και για τους καταναλωτές αποτελεί εγγύηση για την απόκτηση αποτελέσματος της αναμενόμενης ποιότητας.

Το αντικείμενο της τυποποίησης μπορεί να είναι οποιοδήποτε προϊόν ή υπηρεσία ασφάλειας πληροφοριών: μέθοδος αξιολόγησης, λειτουργικότηταχαρακτηριστικά και ρυθμίσεις ασφαλείας, ιδιότητες συμβατότητας, διαδικασία ανάπτυξης και παραγωγής, συστήματα διαχείρισης κ.λπ.

Η τυποποίηση, ανάλογα με τη σύνθεση των συμμετεχόντων, μπορεί να είναι διεθνής, περιφερειακή ή εθνική, ενώ η διεθνής τυποποίηση (μαζί με επίσημους φορείς τυποποίησης όπως το ISO) περιλαμβάνει τυποποίηση κοινοπραξιών (για παράδειγμα, IEEE ή SAE) και η εθνική τυποποίηση μπορεί να είναι κρατική ή βιομηχανία.

Ας σταθούμε λεπτομερέστερα σε ορισμένα από τα ξένα πρότυπα που ζητούνται σήμερα, τα οποία με τον ένα ή τον άλλο τρόπο επηρεάζουν θέματα ασφάλειας πληροφοριών.

Διεθνή πρότυπα στον τομέα της ασφάλειας πληροφοριών - ξένη εμπειρία

Η τυποποίηση στον τομέα της ασφάλειας πληροφοριών στο εξωτερικό αναπτύσσεται εδώ και δεκαετίες και ορισμένες χώρες, για παράδειγμα το Ηνωμένο Βασίλειο, έχουν μεγάλη εμπειρία στην ανάπτυξη προτύπων - πολλά βρετανικά εθνικά πρότυπα, όπως το BS7799-1/2, έχουν αποκτήσει διεθνή κύρος με την πάροδο του χρόνου. Ας ξεκινήσουμε με αυτούς.

Διεθνή πρότυπα ISO 27002 και ISO 27001

Ίσως αυτά είναι τα πιο δημοφιλή πρότυπα στον τομέα της ασφάλειας πληροφοριών σήμερα.

Το ISO 27002 (πρώην ISO 17799) περιέχει ένα σύνολο συστάσεων για την αποτελεσματική οργάνωση συστημάτων διαχείρισης ασφάλειας πληροφοριών σε μια επιχείρηση, καλύπτοντας όλους τους βασικούς τομείς, ιδίως:

διαμόρφωση πολιτικής ασφάλειας πληροφοριών·
ασφάλεια που σχετίζεται με το προσωπικό·
ασφάλεια των επικοινωνιών·
σωματική ασφάλεια;
έλεγχος πρόσβασης?
επεξεργασία περιστατικών·
διασφαλίζοντας τη συμμόρφωση με τις νομικές απαιτήσεις.

Το πρότυπο ISO 27001 είναι μια συλλογή κριτηρίων για την πιστοποίηση του συστήματος διαχείρισης, με βάση τα αποτελέσματα των οποίων εκδίδεται διεθνές πιστοποιητικό συμμόρφωσης από διαπιστευμένο φορέα πιστοποίησης, το οποίο περιλαμβάνεται στο μητρώο.

Σύμφωνα με το μητρώο, υπάρχουν επί του παρόντος περίπου δώδεκα εταιρείες εγγεγραμμένες στη Ρωσία που διαθέτουν τέτοιο πιστοποιητικό, με τον συνολικό αριθμό των πιστοποιήσεων στον κόσμο να ξεπερνά τις 5.000. Η προετοιμασία για την πιστοποίηση μπορεί να πραγματοποιηθεί είτε από τον ίδιο τον οργανισμό είτε από εταιρείες συμβούλων, και η πρακτική δείχνει ότι είναι πολύ πιο εύκολο να αποκτήσετε πιστοποιητικό ISO 27001 για εταιρείες που διαθέτουν ήδη πιστοποιημένο σύστημα διαχείρισης (για παράδειγμα, ποιότητα).

Τα πρότυπα ISO 27001/27002 αντιπροσωπεύουν μια νέα σειρά προτύπων, η τελική διαμόρφωση των οποίων δεν έχει ακόμη ολοκληρωθεί: πρότυπα 27000 (βασικές αρχές και ορολογία), 27003 (κατευθυντήριες γραμμές για την εφαρμογή ενός συστήματος διαχείρισης ασφάλειας πληροφοριών), 27004 ( μέτρηση της αποτελεσματικότητας ενός συστήματος διαχείρισης ασφάλειας πληροφοριών) και άλλα βρίσκονται σε εξέλιξη - συνολικά, αναμένονται περισσότερα από 30 πρότυπα στη σειρά 27000. Περισσότερες πληροφορίες για τη σύνθεση της σειράς και την τρέχουσα κατάσταση ανάπτυξής της μπορείτε να βρείτε στην επίσημη ιστοσελίδα του ISO (www.iso.org).

Διεθνή πρότυπα ISO13335 και ISO15408

Το πρότυπο ISO 13335 είναι μια οικογένεια προτύπων ασφάλειας τεχνολογίας πληροφοριών που καλύπτουν τη διαχείριση ασφάλειας πληροφορικής, προσφέροντας συγκεκριμένα μέτρα και τεχνικές προστασίας. Επί του παρόντος, η σειρά 13335 αντικαθίσταται σταδιακά από τη νεότερη σειρά 27000. Το πρότυπο ISO 15408 περιέχει ενιαία κριτήρια για την αξιολόγηση της ασφάλειας των συστημάτων πληροφορικής σε επίπεδο λογισμικού και υλικού (παρόμοιο με το περίφημο Orange Book, το οποίο είναι επίσης γνωστό ως αξιολόγηση TCSEC κριτήρια ή ευρωπαϊκά κριτήρια ITSEC), τα οποία επιτρέπουν τη σύγκριση των αποτελεσμάτων που λαμβάνονται σε διαφορετικές χώρες.

Γενικά, αυτά τα πρότυπα, αν και περιέχουν μόνο ένα τεχνολογικό μέρος, μπορούν να χρησιμοποιηθούν τόσο ανεξάρτητα όσο και κατά την κατασκευή συστημάτων διαχείρισης ασφάλειας πληροφοριών ως μέρος, για παράδειγμα, της προετοιμασίας για πιστοποίηση για συμμόρφωση με το ISO 27001.

CobiT

Το CobiT είναι ένα σύνολο περίπου 40 διεθνών προτύπων και κατευθυντήριων γραμμών στους τομείς της διακυβέρνησης, του ελέγχου και της ασφάλειας πληροφορικής και περιέχει περιγραφές σχετικών διαδικασιών και μετρήσεων. Ο κύριος στόχος του CobiT είναι να βρει μια κοινή γλώσσα μεταξύ μιας επιχείρησης που έχει συγκεκριμένους στόχους και της πληροφορικής που συμβάλλει στην επίτευξή τους, επιτρέποντας τη δημιουργία επαρκών σχεδίων για την ανάπτυξη της πληροφορικής του οργανισμού.

Το CobiT χρησιμοποιείται για τον έλεγχο και τον έλεγχο του συστήματος διαχείρισης πληροφορικής ενός οργανισμού και περιέχει λεπτομερείς περιγραφέςστόχους, αρχές και αντικείμενα διαχείρισης, πιθανές διαδικασίες πληροφορικής και διαδικασίες διαχείρισης ασφάλειας. Η πληρότητα, οι σαφείς περιγραφές συγκεκριμένων ενεργειών και εργαλείων, καθώς και η επιχειρηματική εστίαση καθιστούν το CobiT μια καλή επιλογή κατά τη δημιουργία μιας πληροφοριακής υποδομής και συστήματος διαχείρισης.

Στο επόμενο μέρος του άρθρου θα δούμε μερικά ενδιαφέροντα εθνικά και ειδικά για τη βιομηχανία ξένα πρότυπα, όπως NIST SP 800, BS, BSI, PCI DSS, ISF, ITU και άλλα.

Σχολιασμός ειδικών

Alexey Pleshkov,
Επικεφαλής του Τμήματος Ασφάλειας Τεχνολογίας Πληροφορικής, Gazprombank (Open Joint Stock Company)

Εκτός από την παραπάνω ανασκόπηση των διεθνών προτύπων, θα ήθελα να επιστήσω την προσοχή σε ένα άλλο κανονιστικό έγγραφο για την ασφάλεια των πληροφοριών, το οποίο δεν είναι ευρέως διαδεδομένο στη Ρωσική Ομοσπονδία. Ένα από αυτά τα πρότυπα είναι ένα έγγραφο από την οικογένεια μεθόδων EBIOS.

Το έργο EBIOS για την ανάπτυξη μεθόδων και εργαλείων για τη διαχείριση της ασφάλειας πληροφοριών σε συστήματα πληροφοριών υποστηρίζεται από τη γαλλική κυβέρνηση και προωθείται από την Επιτροπή DCSSI υπό τον Πρωθυπουργό της Γαλλίας σε πανευρωπαϊκό επίπεδο. Σκοπός αυτού του έργου είναι να βοηθήσει στη βελτίωση της ασφάλειας των πληροφοριακών συστημάτων δημόσιων ή ιδιωτικών οργανισμών (http://www.securiteinfo.com/conseils/ebios.shtml).

Το κείμενο ενός συνόλου τεκμηρίωσης για το προϊόν για την αυτοματοποίηση εργασιών αξιολόγησης υποστήριξης ασφάλειας πληροφοριών "Μεθοδολογικά εργαλεία για την επίτευξη της ασφάλειας των πληροφοριακών συστημάτων EBIOS (καθορισμός αναγκών και προσδιορισμός στόχων ασφάλειας)" δημοσιεύτηκε στον επίσημο ιστότοπο της γαλλικής κυβέρνησης αφιερωμένο στα ζητήματα της διασφάλισης της ασφάλειας πληροφοριών των αυτοματοποιημένων συστημάτων το 2004.

Η μέθοδος EBIOS, που προτάθηκε από τη Γενική Γραμματεία του Γαλλικού Υπουργείου Εθνικής Άμυνας και ονομάζεται «Ορισμός αναγκών και προσδιορισμός στόχων ασφάλειας» (EBIOS), αναπτύχθηκε λαμβάνοντας υπόψη τα διεθνή πρότυπα που στοχεύουν στη διασφάλιση της ασφάλειας των πληροφοριών. Επισημοποιεί την προσέγγιση για την αξιολόγηση και την επεξεργασία των κινδύνων στον τομέα της ασφάλειας συστημάτων πληροφοριών και χρησιμοποιείται για την αξιολόγηση του επιπέδου ασφάλειας των πληροφοριών σε ανεπτυγμένα και υπάρχοντα συστήματα.
Ο σκοπός της μεθόδου είναι να επιτρέψει σε κάθε οργανισμό που ελέγχεται από την κυβέρνηση να καθορίσει μια λίστα ενεργειών ασφαλείας που πρέπει να γίνουν πρώτα. Η μέθοδος μπορεί να εφαρμοστεί από διαχειριστές του τμήματος ασφαλείας ενός οργανισμού και μπορεί να εφαρμοστεί σε όλα τα επίπεδα της δομής ενός ανεπτυγμένου ή υπάρχοντος πληροφοριακού συστήματος (υποσυστήματα, προγράμματα εφαρμογών).

Η προσέγγιση EBIOS λαμβάνει υπόψη τρεις κύριες ιδιότητες της ασφάλειας πληροφοριών: εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα τόσο των πληροφοριών όσο και των συστημάτων, καθώς και το περιβάλλον στο οποίο βρίσκονται. Σε ορισμένες περιπτώσεις, προτείνεται να λαμβάνεται μέριμνα ώστε να διασφαλίζονται οι ανάγκες μη απόρριψης, εξουσιοδότησης και ελέγχου ταυτότητας.

Διεθνή πρότυπα

BS 7799-1:2005 - British Standard BS 7799 πρώτο μέρος. Το BS 7799 Part 1 - Code of Practice for Information Security Management περιγράφει τα 127 στοιχεία ελέγχου που απαιτούνται για τη δημιουργία συστήματα διαχείρισης ασφάλειας πληροφοριών(ISMS) του οργανισμού, που προσδιορίζεται με βάση τα καλύτερα παραδείγματα παγκόσμιας εμπειρίας (βέλτιστες πρακτικές) στον τομέα αυτό. Αυτό το έγγραφο χρησιμεύει ως πρακτικός οδηγός για τη δημιουργία ενός ISMS
BS 7799-2:2005 - Το Βρετανικό Πρότυπο BS 7799 είναι το δεύτερο μέρος του προτύπου. BS 7799 Μέρος 2 - Διαχείριση ασφάλειας πληροφοριών - η προδιαγραφή για συστήματα διαχείρισης ασφάλειας πληροφοριών καθορίζει την προδιαγραφή ISMS. Το δεύτερο μέρος του προτύπου χρησιμοποιείται ως κριτήρια κατά την επίσημη διαδικασία πιστοποίησης για το ISMS του οργανισμού.
BS 7799-3:2006 - Βρετανικό Πρότυπο BS 7799 τρίτο μέρος του προτύπου. Ένα νέο πρότυπο στη διαχείριση κινδύνων ασφάλειας πληροφοριών
ISO/IEC 17799:2005 - " ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ- Τεχνολογίες ασφαλείας - Πρακτικοί κανόνες για τη διαχείριση της ασφάλειας πληροφοριών. Διεθνές πρότυπο με βάση το BS 7799-1:2005.
ISO/IEC 27000 - Λεξιλόγιο και ορισμοί.
ISO/IEC 27001 - "Τεχνολογία πληροφοριών - Τεχνικές ασφάλειας - Συστήματα διαχείρισης ασφάλειας πληροφοριών - Απαιτήσεις." Διεθνές πρότυπο με βάση το BS 7799-2:2005.
ISO/IEC 27002 - Τώρα: ISO/IEC 17799:2005. «Τεχνολογίες πληροφοριών - Τεχνολογίες ασφάλειας - Πρακτικοί κανόνες διαχείρισης ασφάλειας πληροφοριών». Ημερομηνία κυκλοφορίας: 2007.
ISO/IEC 27005 - Τώρα: BS 7799-3:2006 - Καθοδήγηση για τη διαχείριση κινδύνων ασφάλειας πληροφοριών.
Γερμανική Υπηρεσία Ασφάλειας Πληροφοριών. Εγχειρίδιο IT Baseline Protection - Τυπικές διασφαλίσεις ασφαλείας.

Κρατικά (εθνικά) πρότυπα της Ρωσικής Ομοσπονδίας

GOST R 50922-2006 - Προστασία πληροφοριών. Βασικοί όροι και ορισμοί.
R 50.1.053-2005 - Τεχνολογίες πληροφοριών. Βασικοί όροι και ορισμοί στον τομέα της ασφάλειας τεχνικών πληροφοριών.
GOST R 51188-98 - Προστασία πληροφοριών. Δίκη λογισμικόγια διαθεσιμότητα ιούς υπολογιστών. Εγχειρίδιο μοντέλου.
GOST R 51275-2006 - Προστασία πληροφοριών. Αντικείμενο πληροφοριών. Παράγοντες που επηρεάζουν τις πληροφορίες. Γενικές προμήθειες.
GOST R ISO/IEC 15408-1-2012 - Τεχνολογία πληροφοριών. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών της πληροφορίας. Μέρος 1. Εισαγωγή και γενικό μοντέλο.
GOST R ISO/IEC 15408-2-2013 - Τεχνολογία πληροφοριών. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών της πληροφορίας. Μέρος 2. Απαιτήσεις λειτουργικής ασφάλειας.
GOST R ISO/IEC 15408-3-2013 - Τεχνολογία πληροφοριών. Μέθοδοι και μέσα διασφάλισης της ασφάλειας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών της πληροφορίας. Μέρος 3. Απαιτήσεις διασφάλισης ασφάλειας.
GOST R ISO/IEC 15408 - «Γενικά κριτήρια για την αξιολόγηση της ασφάλειας των τεχνολογιών πληροφοριών» - ένα πρότυπο που ορίζει εργαλεία και μεθόδους για την αξιολόγηση της ασφάλειας προϊόντων και συστημάτων πληροφοριών. περιέχει έναν κατάλογο απαιτήσεων με τις οποίες μπορούν να συγκριθούν τα αποτελέσματα ανεξάρτητων αξιολογήσεων ασφάλειας - επιτρέποντας στον καταναλωτή να λάβει αποφάσεις σχετικά με την ασφάλεια των προϊόντων. Το πεδίο εφαρμογής των «Γενικών κριτηρίων» είναι η προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, τροποποίηση ή διαρροή και άλλες μέθοδοι προστασίας που εφαρμόζονται από υλικό και λογισμικό.
GOST R ISO/IEC 17799 - «Τεχνολογίες πληροφοριών. Πρακτικοί κανόνες για τη διαχείριση της ασφάλειας πληροφοριών." Άμεση εφαρμογή του διεθνούς προτύπου με την προσθήκη ISO/IEC 17799:2005.
GOST R ISO/IEC 27001 - «Τεχνολογίες πληροφοριών. Μέθοδοι ασφαλείας. Σύστημα διαχείρισης ασφάλειας πληροφοριών. Απαιτήσεις". Η άμεση εφαρμογή του διεθνούς προτύπου είναι το ISO/IEC 27001:2005.
GOST R 51898-2002: Θέματα ασφάλειας. Κανόνες για ένταξη στα πρότυπα.

Διασφάλιση της ασφάλειας των πληροφοριακών συστημάτων σε Επί του παρόντος, είναι αδύνατο χωρίς ικανή και υψηλής ποιότητας δημιουργία συστημάτων ασφάλειας πληροφοριών. Αυτό καθόρισε το έργο της παγκόσμιας κοινότητας για τη συστηματοποίηση και τον εξορθολογισμό των βασικών απαιτήσεων και χαρακτηριστικών τέτοιων συστημάτων όσον αφορά την ασφάλεια των πληροφοριών.

Ένα από τα κύρια αποτελέσματα τέτοιων δραστηριοτήτων ήταν Σύστημαδιεθνή και εθνικά πρότυπαασφάλεια πληροφοριών,που περιέχει περισσότερα από εκατό διαφορετικά έγγραφα.

Αυτό ισχύει ιδιαίτερα για τα λεγόμενα ανοιχτά συστήματα για εμπορική χρήση, επεξεργάζεται περιορισμένες πληροφορίες που δεν περιέχουν κρατικά απόρρητα και αναπτύσσονται ραγδαία στη χώρα μας.

Κάτω από κατανοούν τα ανοιχτά συστήματα μια συλλογή όλων των ειδών υπολογιστικού και τηλεπικοινωνιακού εξοπλισμού από διαφορετικούς κατασκευαστές, η κοινή λειτουργία του οποίου διασφαλίζεται από τη συμμόρφωση με τις απαιτήσεις των προτύπων, κυρίως των διεθνών.

Ο όρος " Άνοιξε " υπονοεί επίσης ότι εάν ένα υπολογιστικό σύστημα συμμορφώνεται με πρότυπα, τότε θα είναι ανοιχτό στη διασύνδεση με οποιοδήποτε άλλο σύστημα πληροί τα ίδια πρότυπα. Αυτό, ειδικότερα, ισχύει για μηχανισμούς προστασίας κρυπτογραφικών πληροφοριών ή προστασίας από μη εξουσιοδοτημένη πρόσβαση ( NSD)σε πληροφορίες.

ειδικοί σε θέματα ασφάλειας πληροφοριών ( ΕΙΝΑΙ) σήμερα είναι σχεδόν αδύνατο να γίνει χωρίς γνώση των σχετικών προτύπων.

Πρώτα, Τα πρότυπα και οι προδιαγραφές είναι μία από τις μορφές συσσώρευσης γνώσης, κυρίως σχετικά με τα διαδικαστικά και τα επίπεδα λογισμικού και υλικού ασφάλειας πληροφοριών. Τεκμηριώνουν δοκιμασμένες, υψηλής ποιότητας λύσεις και μεθοδολογίες που αναπτύχθηκαν από τους πιο καταρτισμένους ειδικούς.

κατα δευτερον , και τα δύο αποτελούν τα κύρια μέσα για τη διασφάλιση της αμοιβαίας συμβατότητας των συστημάτων υλικού-λογισμικού και των στοιχείων τους, και σε Διαδίκτυο:-κοινότηταΑυτό το προϊόν λειτουργεί πραγματικά και είναι πολύ αποτελεσματικό.

Πρόσφατα, μια νέα γενιά προτύπων στον τομέα της ασφάλειας πληροφοριών εμφανίστηκε σε διάφορες χώρες, αφιερωμένη σε πρακτικά ζητήματα διαχείρισης της ασφάλειας πληροφοριών μιας εταιρείας. Αυτά είναι, πρώτα απ 'όλα, διεθνή και εθνικά πρότυπα διαχείρισης ασφάλειας πληροφοριών ISO 15408, ΕΙΝΑΙO 17799 (Βμικρό7799), ΒΣΙ.; πρότυπα ελέγχου για πληροφοριακά συστήματα και πληροφορίες

on-line ασφάλεια ΚΟΥΚΟΥΒΑΓΙΑΕγώΤ,μικρόΕΝΑντο, COμικρόΣΧΕΤΙΚΑ ΜΕκαι κάποια άλλα παρόμοια με αυτά.

Τα διεθνή πρότυπα έχουν ιδιαίτερη σημασία ISO 15408, ISO 17799 χρησιμεύουν ως βάση για οποιαδήποτε εργασία στον τομέα ασφάλεια πληροφοριών, συμπεριλαμβανομένου του ελέγχου.

ISO 15408 - ορίζει αναλυτικά απαιτήσεις για εργαλεία ασφάλειας πληροφοριών λογισμικού και υλικού.

ISO 17799 - επικεντρώθηκε σε θέματα οργάνωση και διαχείριση ασφάλειας.

Χρήση διεθνών και εθνικών πρότυπα Η διασφάλιση της ασφάλειας των πληροφοριών βοηθά στην επίλυση των ακόλουθων πέντε εργασιών:

- Πρώτα , καθορισμός στόχων για τη διασφάλιση της ασφάλειας των πληροφοριών των συστημάτων υπολογιστών.

- κατα δευτερον , δημιουργία ενός αποτελεσματικού συστήματος διαχείρισης ασφάλειας πληροφοριών.

- Τρίτον , υπολογισμός ενός συνόλου λεπτομερών όχι μόνο ποιοτικών, αλλά και ποσοτικών δεικτών για την αξιολόγηση της συμμόρφωσης της ασφάλειας των πληροφοριών με τους δηλωμένους στόχους.

- τέταρτον , εφαρμογή εργαλείων ασφάλειας πληροφοριών και αξιολόγηση της τρέχουσας κατάστασής τους.

- πέμπτον , τη χρήση τεχνικών διαχείρισης ασφάλειας με ένα καλά θεμελιωμένο σύστημα μετρήσεων και μέτρων για την υποστήριξη προγραμματιστών πληροφοριακών συστημάτων που τους επιτρέπουν να αξιολογούν αντικειμενικά την ασφάλεια των πληροφοριών και να διαχειρίζονται την ασφάλεια πληροφοριών της εταιρείας.

Εστίαση στα διεθνή πρότυπα ISO/ 15408 και τα ρωσικά του ανάλογο του GOST R ISO/IEC15408 -2002 «Κριτήρια για την αξιολόγηση της ασφάλειας των τεχνολογιών πληροφοριών»και Προδιαγραφές "Διαδίκτυο- κοινότητες».

Διεξαγωγή ελέγχουΗ ασφάλεια των πληροφοριών βασίζεται στη χρήση πολλών συστάσεων, οι οποίες ορίζονται κυρίως σε διεθνή πρότυπα ΕΙΝΑΙ.

Ξεκινώντας από την αρχή δεκαετία του '80, έχουν δημιουργηθεί δεκάδες διεθνή και εθνικά πρότυπα στον τομέα της ασφάλειας πληροφοριών, τα οποία σε ένα βαθμό αλληλοσυμπληρώνονται.

Η διάλεξη συζητά τα πιο σημαντικά πρότυπα, η γνώση των οποίων είναι απαραίτητη για τους προγραμματιστές και τους αξιολογητές προϊόντων ασφαλείας, τους διαχειριστές συστημάτων, τους επικεφαλής υπηρεσιών ασφάλειας πληροφοριών και τους χρήστες σύμφωνα με τη χρονολογία δημιουργίας τους, όπως:

Κριτήριο για την αξιολόγηση της αξιοπιστίας των υπολογιστικών συστημάτων " Πορτοκαλί βιβλίο"(ΗΠΑ);

Εναρμονισμένα κριτήρια ευρωπαϊκών χωρών;

Γερμανικό πρότυπο BSI;

Βρετανικό πρότυπο B.S. 7799 ;

Τυπικό " Γενικά κριτήρια»ISO 15408;

Πρότυπο ISO 17799;

Πρότυπο COBIT

Αυτά τα πρότυπα μπορούν να χωριστούν σε δύο διαφορετικούς τύπους:

Πρότυπα Αξιολόγησης , με στόχο την ταξινόμηση των συστημάτων πληροφοριών και των μέσων προστασίας σύμφωνα με τις απαιτήσεις ασφαλείας·

Τεχνικές προδιαγραφές ρύθμιση διαφόρων πτυχών της εφαρμογής προστατευτικού εξοπλισμού.

Είναι σημαντικό να σημειωθεί ότι μεταξύ αυτών των τύπων κανονιστικών εγγράφωνδεν υπάρχει κενός τοίχος, αντίθετα, υπάρχει μια λογική σχέση.

Πρότυπα Αξιολόγησης επισημάνετε τις πιο σημαντικές πτυχές της ασφάλειας των πληροφοριών από την άποψη της ασφάλειας των πληροφοριών, παίζοντας το ρόλο των αρχιτεκτονικών προδιαγραφών.

Τεχνικές προδιαγραφές καθορίστε πώς να δημιουργήσετε ένα IS μιας προδιαγεγραμμένης αρχιτεκτονικής. Στη συνέχεια περιγράφονται τα χαρακτηριστικά αυτών των προτύπων.

2. Κριτήρια αξιολόγησης αξιόπιστων υπολογιστικών συστημάτων

(« Πορτοκαλί βιβλίο")