Normes internationales de base de l'IB dans divers pays. Normes internationales et russes de protection et de sécurité de l'information

L'un des problèmes et des besoins les plus importants la société moderne est la protection des droits de l'homme dans les conditions de son implication dans les processus d'interaction de l'information, y compris le droit à la protection des informations personnelles dans les processus de traitement automatisé de l'information.

I. N. Malanych, étudiant de 6e année à VSU

L’Institut pour la protection des données personnelles n’est plus aujourd’hui une catégorie qui peut être réglementée uniquement par le droit national. La caractéristique la plus importante des systèmes d'information automatisés modernes est la « supranationalité » de nombre d'entre eux, leur « sortie » au-delà des frontières de l'État, le développement d'un monde accessible au public. réseaux d'information, comme Internet, la formation d'un espace d'information unique dans le cadre de telles structures internationales.

Aujourd'hui, dans la Fédération de Russie, le problème se pose non seulement d'introduire dans le domaine juridique l'institution de la protection des données personnelles dans le cadre de procédures automatisées. processus d'information, mais aussi sa corrélation avec les normes juridiques internationales existantes dans ce domaine.

Il existe trois tendances principales dans la réglementation juridique internationale de l'institution de protection des données personnelles, qui concernent les processus de traitement automatisé de l'information.

1) Déclaration du droit à la protection des données personnelles, en tant que partie intégrante des droits humains fondamentaux, dans les actes à caractère humanitaire général adoptés au sein des organisations internationales.

2) Consolidation et réglementation du droit à la protection des informations personnelles dans les actes réglementaires de l'Union européenne, du Conseil de l'Europe, en partie de la Communauté des États indépendants et de certaines organisations internationales régionales. Cette classe de normes est la plus universelle et concerne directement les droits à la protection des données personnelles dans les processus de traitement automatisé de l'information.

3) Inclusion de règles sur la protection des informations confidentielles (y compris les informations personnelles) dans les traités internationaux.

La première méthode est apparue historiquement plus tôt que les autres. Dans le monde moderne, les droits et libertés à l’information font partie intégrante des droits humains fondamentaux.

La Déclaration universelle des droits de l'homme de 1948 déclare : « Nul ne peut être soumis à des immixtions arbitraires dans sa vie privée ou sa famille, ni à des atteintes arbitraires (...) au secret de sa correspondance » et plus loin : « Toute personne a droit à la protection de la loi contre de telles ingérences ou attaques. Le Pacte international relatif aux droits civils et politiques de 1966 reprend la déclaration dans cette partie. La Convention européenne de 1950 détaille ce droit : « Toute personne a droit à la liberté d'expression. Ce droit inclut la liberté d’avoir des opinions et de recevoir et de communiquer des informations et des idées sans ingérence des autorités publiques et sans considération de frontières. »

Ces documents internationaux établissent le droit à l’information humaine.

Actuellement, un système de points de vue stable sur les droits de l'homme à l'information s'est formé au niveau international. D'une manière générale, il s'agit du droit de recevoir des informations, du droit à la vie privée en termes de protection des informations les concernant, du droit de protéger les informations tant du point de vue de la sécurité de l'État que du point de vue de la sécurité des entreprises, y compris financière. activités.

La deuxième voie - une réglementation plus détaillée du droit à la protection des informations personnelles est associée à l'intensité toujours croissante du traitement des informations personnelles ces dernières années à l'aide de systèmes d'information informatiques automatisés. Au cours des dernières décennies, un certain nombre de documents internationaux ont été adoptés dans le cadre d'un certain nombre d'organisations internationales qui développent les droits fondamentaux à l'information en lien avec l'intensification de l'échange transfrontalier d'informations et l'utilisation des technologies de l'information modernes. Parmi ces documents figurent les suivants :

Le Conseil de l'Europe a élaboré en 1980 la Convention européenne sur la protection personnes en matière de traitement automatisé des données à caractère personnel, entrée en vigueur en 1985. La Convention définit la procédure de collecte et de traitement des données à caractère personnel, les principes de conservation et d'accès à ces données, ainsi que les modalités de protection physique des données. La Convention garantit le respect des droits de l'homme dans la collecte et le traitement des données personnelles, les principes de stockage et d'accès à ces données, les méthodes de protection physique des données, et interdit également le traitement de données sur la race, les opinions politiques, la santé, la religion sans autorisation appropriée. fondements juridiques. La Russie a adhéré à la Convention européenne en novembre 2001.

Dans l'Union européenne, les questions de protection des données personnelles sont réglementées par toute une série de documents. En 1979, la résolution du Parlement européen « Sur la protection des droits individuels dans le cadre des progrès de l'informatisation » a été adoptée. La résolution invitait le Conseil et la Commission des Communautés européennes à élaborer et à adopter des actes juridiques sur la protection des données personnelles dans le cadre du progrès technique dans le domaine de l'informatique. En 1980, les Recommandations de l’Organisation de coopération des États membres de l’Union européenne « Sur les lignes directrices pour la protection des confidentialité lors d’un échange interétatique de données personnelles. Actuellement, les questions de protection des données personnelles sont réglementées en détail par les directives du Parlement européen et du Conseil de l'Union européenne. Il s'agit des directives n° 95/46/CE et n° 2002/58/CE du Parlement européen et du Conseil du 24 octobre 1995 relatives à la protection des droits des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données. circulation de ces données, Directive n° 97/66/CE du Parlement européen et du Conseil de l'Union européenne du 15 décembre 1997 concernant l'utilisation des données à caractère personnel et la protection de la vie privée dans les télécommunications et autres documents.

Les actes de l'Union européenne se caractérisent par une élaboration détaillée des principes et critères du traitement automatisé des données, des droits et obligations des sujets et titulaires de données personnelles, des questions de leur transfert transfrontalier, ainsi que de la responsabilité et des sanctions en cas de dommages. . Conformément à la directive n°95/46/CE, l'Union européenne a créé un groupe de travail sur la protection des personnes physiques à l'égard du traitement de leurs données personnelles. Il a le statut d'organe consultatif et agit comme une structure indépendante. Le groupe de travail est composé d'un représentant de l'organisme institué par chaque État membre pour contrôler le respect sur son territoire des dispositions de la directive, d'un représentant de l'organisme ou des organismes institués pour les institutions et structures communautaires et d'un représentant de la Commission européenne.

L'Organisation de coopération et de développement économiques (OCDE) dispose d'un cadre pour la protection de la vie privée et l'échange international de données personnelles, adopté le 23 septembre 1980. Le préambule de cette directive stipule : « …les pays membres de l'OCDE ont jugé nécessaire d'élaborer des cadres qui pourraient contribuer à harmoniser les lois nationales sur la protection de la vie privée et, tout en respectant les droits de l'homme pertinents, ne permettraient pas le blocage des échanges internationaux de données… ». Ces dispositions s'appliquent tant dans le secteur public que privé aux données à caractère personnel qui, soit en raison de la manière dont elles sont traitées, soit en raison de leur nature ou du contexte dans lequel elles sont utilisées, présentent un risque de porter atteinte à la vie privée et aux libertés individuelles. Elle définit la nécessité de doter les données personnelles de mécanismes de protection adéquats contre les risques liés à leur perte, destruction, modification ou divulgation, ou accès non autorisé. Malheureusement, la Russie ne participe pas à cette organisation.

Assemblée interparlementaire des États membres de la CEI le 16 octobre 1999. La loi type « sur les données personnelles » a été adoptée.

Selon la loi, les « données personnelles » sont des informations (enregistrées sur un support matériel) concernant une personne déterminée qui sont identifiées ou peuvent être identifiées avec elle. Les données personnelles comprennent les données biographiques et d'identification, les caractéristiques personnelles, les informations sur la famille, le statut social, l'éducation, la profession, la situation professionnelle et financière, l'état de santé, etc. La loi énumère également les principes de réglementation juridique des données personnelles, les formes de réglementation étatique des opérations avec des données personnelles, les droits et obligations des sujets et des titulaires de données personnelles.

Il semble que la deuxième méthode envisagée de réglementation de la protection des données personnelles dans les actes juridiques internationaux soit la plus intéressante pour l'analyse. Les normes de cette classe non seulement réglementent directement les relations publiques dans ce domaine, mais contribuent également à aligner la législation des pays membres sur les normes internationales, garantissant ainsi l'efficacité de ces normes sur leur territoire. Ainsi, la garantie du droit à l'information consacré dans la Déclaration universelle des droits de l'homme est assurée au sens du « droit à la protection de la loi contre… les ingérences ou… les empiètements » déclaré à l'article 12 de cette dernière.

La troisième manière de consolider les règles en matière de protection des données personnelles est de consolider leur protection juridique dans les traités internationaux.

Des articles sur l'échange d'informations figurent dans les traités internationaux sur l'assistance juridique, sur la prévention de la double imposition et sur la coopération dans certains domaines publics et culturels.

Selon l'art. 25 Accords entre Fédération Russe et les États-Unis sur la prévention de la double imposition et la prévention de l'évasion fiscale en matière d'impôts sur le revenu et sur le capital, les États sont tenus de fournir des informations qui constituent des secrets professionnels. Le Traité d'entraide judiciaire en matière pénale entre la Fédération de Russie et la République de l'Inde contient l'article 15 « Confidentialité » : la partie requise peut exiger que les informations transmises restent confidentielles. La pratique de la conclusion de traités internationaux montre la volonté des États contractants de se conformer aux normes internationales en matière de protection des données personnelles.

Il semble que le mécanisme le plus efficace pour réguler cette institution au niveau juridique international soit la publication de documents réglementaires spéciaux dans le cadre des organisations internationales. Ce mécanisme favorise non seulement une réglementation interne appropriée des questions urgentes de protection des informations personnelles au sein de ces organisations mentionnées au début de l'article, mais a également un effet bénéfique sur la législation nationale des pays participants.

Plan de la conférence

1. Conditions préalables à la création de normes internationales de sécurité de l'information (SI)

1.1. But et objectifs de la normalisation internationale

1.2. Organisation internationale de normalisation, OIN

1.3. Normes internationales de base en matière de sécurité de l'information

2. Critères d'évaluation des systèmes informatiques de confiance (« Livre Orange")

2.1.Informations de base

2.2 Exigences et outils de base

3. Notions de base

4.Mécanismes de mise en œuvre de la sécurité

5. Sections et classes de sécurité.

5.1. Sections de sécurité

5.2. Cours de sécurité

6. Brève classification

Critères internationaux d'évaluation de la sécurité des technologies de l'information dans les pays étrangers

Plan de la conférence

1. Critères harmonisés des pays européens

2. Norme allemande BSI

3. Norme britannique BS 7799

4. Norme internationale EST O/ I EC 15408"Critères d'évaluation de la sécurité des technologies de l'information." "Critères généraux"

Conditions préalables à la création de normes internationales de sécurité de l'information

1.1. Questions générales

À l'étranger, l'élaboration de normes s'effectue en permanence ; les projets et versions de normes sont systématiquement publiés à différentes étapes de coordination et d'approbation. Certaines normes sont progressivement approfondies et détaillées sous la forme d'un ensemble de groupes de normes interconnectées dans leurs concepts et leur structure.

Il est généralement admis que l'élaboration de normes liées au problème de la sécurité informatique fait partie intégrante du processus général de normalisation des technologies de l'information (TI), qui est devenue de plus en plus pertinente en raison des tendances à l'intégration mutuelle croissante des tâches appliquées, en construisant sur la base du traitement distribué des données, des systèmes de télécommunications et des technologies d'échange électronique de données.

Développement normes pour les systèmes ouverts , y compris les normes dans le domaine de la sécurité informatique, est mis en œuvre par un certain nombre d'organisations et de consortiums internationaux spécialisés tels que, par exemple, ISO, CEI, ITU-T, IEEE, IAB, WOS, ECMA, X/Open, OSF, OMG.

Un travail important de normalisation des questions de sécurité informatique est mené par des organismes spécialisés et au niveau national. Tout cela a permis à ce jour de constituer une base méthodologique assez étendue, sous la forme de normes internationales, nationales et industrielles, ainsi que de documents réglementaires et d'orientation réglementant les activités dans le domaine de la sécurité informatique.

1.2. État du cadre réglementaire et méthodologique international

Afin de systématiser l'analyse de l'état actuel du cadre réglementaire et méthodologique international dans le domaine de la sécurité informatique, il est nécessaire d'utiliser certains classification des domaines de normalisation .

En général, on peut distinguer les directions suivantes :

1. Principes généraux gestion de la sécurité de l’information.

2. Modèles de sécurité informatique.

3. Méthodes et mécanismes de sécurité informatique (comme par exemple : méthodes d'authentification, gestion des clés, etc.).

4. Algorithmes cryptographiques.

5. Méthodes d'évaluation de la sécurité des systèmes d'information.

6. Sécurité des technologies EDI.

7. Sécurité des interactions inter-réseaux (pare-feu).

8. Certification et certification des objets de normalisation.

But et objectifs de la normalisation internationale

Standard est un document qui établit les caractéristiques des produits, de leur fonctionnement, de leur stockage, de leur transport, de leur vente et de leur élimination, de l'exécution de travaux ou de la prestation de services. Standard peut également contenir des exigences relatives à la terminologie, aux symboles, à l'emballage, aux marquages ​​ou aux étiquettes ainsi que des règles pour leur application.

Standard international - une norme adoptée par une organisation internationale. Dans la pratique, les normes internationales désignent souvent également les normes régionales et les normes élaborées par les sociétés scientifiques et techniques et adoptées comme normes par divers pays du monde.

Normalisation internationale - la normalisation, à laquelle la participation est ouverte aux autorités compétentes de tous les pays.

L'objectif principal des normes internationales - il s'agit de la création au niveau international d'une base méthodologique unifiée pour le développement de nouveaux systèmes qualité et l'amélioration des systèmes qualité existants et leur certification.

La coopération scientifique et technique dans le domaine de la normalisation vise à harmoniser le système national de normalisation avec les systèmes nationaux de normalisation internationaux, régionaux et progressistes.

Les pays industrialisés et les pays en développement qui créent leur propre économie nationale s'intéressent au développement de la normalisation internationale.

Les normes internationales n'ont pas le statut d'obligation pour tous les pays participants. N’importe quel pays dans le monde a le droit de les appliquer ou non. Résoudre la question de l’application d’une norme internationale OIN est principalement lié au degré de participation du pays à la division internationale du travail et à l'état de son commerce extérieur. OIN est la principale organisation internationale dans le domaine de la normalisation.

1.4. Organisation internationale de normalisation, ISO

Organisation internationale de normalisation , IS О (Organisation internationale de normalisation, ISO) - une organisation internationale qui produit des normes.

Organisation internationale EST O a commencé à fonctionner 23 février 1947. en tant qu'organisation bénévole et non gouvernementale. Il a été établi sur la base des résultats obtenus lors d'une réunion à Londres en 1946 accords entre représentants 25 pays industrialisés sur la création d'une organisation ayant le pouvoir de coordonner au niveau international l'élaboration de diverses normes industrielles et de mener à bien la procédure pour leur adoption en tant que normes internationales.

Lors de la création de l'organisation et du choix de son nom, la nécessité a été prise en compte que l'abréviation du nom sonne de la même manière dans toutes les langues. Pour cela, il a été décidé d'utiliser le mot grec ISO- égal, c'est pourquoi dans toutes les langues du monde l'Organisation internationale de normalisation a un nom court EST O (ISO).

Champs d'activité OIN concerne la normalisation dans tous les domaines, sauf électrotechnique et électronique, relevant de la compétence de la Commission Electrotechnique Internationale ( CEI). Certains types de travaux sont réalisés conjointement par ces organisations. En plus de la normalisation OIN traite également des questions de certification.

Objectif ISO - promouvoir le développement de la normalisation à l'échelle mondiale pour faciliter le commerce international et l'assistance mutuelle, ainsi que pour élargir la coopération dans le domaine des activités intellectuelles, scientifiques, techniques et économiques.

Gueorgui Garbouzov,
CISSP, MCSE : Sécurité, Direction de la sécurité de l'information, Groupe d'assurance URALSIB

L'HISTOIRE de la normalisation, en tant que processus d'établissement d'exigences uniformes adaptées à un usage répété, remonte à plusieurs milliers d'années - même lors de la construction des pyramides de l'Égypte ancienne, des blocs de taille standard étaient utilisés et des personnes spéciales contrôlaient le degré de conformité. avec cette ancienne norme. Aujourd’hui, la normalisation occupe une place forte dans presque tous les secteurs de l’activité humaine.

Normalisation dans le domaine de la sécurité de l'information

La normalisation dans le domaine de la sécurité de l'information (SI) est bénéfique tant pour les professionnels que pour les consommateurs de produits et services SI, car elle permet d'établir un niveau optimal de rationalisation et d'unification, d'assurer l'interchangeabilité des produits SI, ainsi que la mesurabilité et répétabilité des résultats obtenus dans différents pays et organisations. Pour les professionnels, c'est un gain de temps dans la recherche de solutions efficaces et éprouvées, et pour les consommateurs, c'est la garantie d'obtenir un résultat à la qualité attendue.

L'objet de la normalisation peut être tout produit ou service de sécurité de l'information : méthode d'évaluation, Fonctionnalité fonctionnalités et paramètres de sécurité, propriétés de compatibilité, processus de développement et de production, systèmes de gestion, etc.

La normalisation, selon la composition des participants, peut être internationale, régionale ou nationale, tandis que la normalisation internationale (avec les organismes de normalisation officiels tels que l'ISO) inclut la normalisation des consortiums (par exemple, IEEE ou SAE), et la normalisation nationale peut être étatique ou industrie .

Arrêtons-nous plus en détail sur certaines des normes étrangères demandées aujourd'hui, qui affectent d'une manière ou d'une autre les questions de sécurité de l'information.

Normes internationales dans le domaine de la sécurité de l'information - expérience étrangère

La normalisation dans le domaine de la sécurité de l'information à l'étranger se développe depuis des décennies et certains pays, par exemple le Royaume-Uni, possèdent une vaste expérience dans l'élaboration de normes - de nombreuses normes nationales britanniques, telles que BS7799-1/2, ont acquis au fil du temps un statut international. Commençons par eux.

Normes internationales ISO 27002 et ISO 27001

Ce sont peut-être les normes les plus populaires aujourd'hui dans le domaine de la sécurité de l'information.

La norme ISO 27002 (anciennement ISO 17799) contient un ensemble de recommandations pour l'organisation efficace des systèmes de management de la sécurité de l'information dans une entreprise, couvrant tous les domaines clés, notamment :

• formation d'une politique de sécurité de l'information ;
• sécurité du personnel ;
• sécurité des communications;
• sécurité physique;
• contrôle d'accès;
• traitement des incidents ;
• garantir le respect des exigences légales.

La norme ISO 27001 est un ensemble de critères de certification des systèmes de gestion, sur la base des résultats desquels un certificat international de conformité est délivré par un organisme de certification accrédité, inscrit au registre.

Selon le registre, il existe actuellement en Russie une douzaine d'entreprises enregistrées qui disposent d'un tel certificat, le nombre total de certifications dans le monde dépassant les 5 000. La préparation à la certification peut être effectuée soit par l'organisation elle-même, soit par des sociétés de conseil. et la pratique montre qu'il est beaucoup plus facile d'obtenir un certificat ISO 27001 pour les entreprises qui disposent déjà d'un système de management certifié (par exemple qualité).

Les normes ISO 27001/27002 sont représentatives d'une nouvelle série de normes dont la formation définitive n'est pas encore achevée : normes 27000 (principes de base et terminologie), 27003 (lignes directrices pour la mise en œuvre d'un système de management de la sécurité de l'information), 27004 ( mesurant l'efficacité d'un système de gestion de la sécurité de l'information) et d'autres sont en cours de développement - au total, plus de 30 normes sont attendues dans la série 27000. De plus amples informations sur la composition de la série et l'état actuel de son développement sont disponibles sur le site Web officiel de l'ISO (www.iso.org).

Normes internationales ISO13335 et ISO15408

La norme ISO 13335 est une famille de normes de sécurité des technologies de l'information couvrant la gestion de la sécurité informatique, proposant des mesures et techniques de protection spécifiques. Actuellement, la série 13335 est progressivement remplacée par la nouvelle série 27000. La norme ISO 15408 contient des critères uniformes pour évaluer la sécurité des systèmes informatiques au niveau logiciel et matériel (similaires au célèbre Orange Book, également connu sous le nom d'évaluation TCSEC). (ou critères européens ITSEC), qui permettent de comparer les résultats obtenus dans différents pays.

En général, ces normes, bien qu'elles ne contiennent qu'une partie technologique, peuvent être utilisées aussi bien de manière indépendante que lors de la construction de systèmes de gestion de la sécurité de l'information dans le cadre, par exemple, de la préparation à la certification de conformité à la norme ISO 27001.

CobiT

CobiT est un ensemble d'environ 40 normes et directives internationales dans les domaines de la gouvernance informatique, de l'audit et de la sécurité et contient des descriptions des processus et des mesures associés. L'objectif principal de CobiT est de trouver un langage commun entre une entreprise ayant des objectifs spécifiques et l'informatique qui contribue à leur réalisation, permettant la création de plans adéquats pour le développement des technologies de l'information de l'organisation.

CobiT est utilisé pour auditer et contrôler le système de gestion informatique d'une organisation et contient descriptions détaillées objectifs, principes et objets de gestion, processus informatiques possibles et processus de gestion de la sécurité. L'exhaustivité, les descriptions claires des actions et des outils spécifiques, ainsi que l'orientation business font de CobiT bon choix lors de la création d'une infrastructure d'information et de son système de gestion.

Dans la prochaine partie de l'article, nous examinerons quelques normes étrangères intéressantes, nationales et spécifiques à l'industrie, telles que NIST SP 800, BS, BSI, PCI DSS, ISF, ITU et autres.

Commentaire d'expert

Alexeï Pleshkov,
Chef du département de sécurité des technologies de l'information, Gazprombank (société par actions ouverte)

Outre l'examen ci-dessus des normes internationales, je voudrais attirer l'attention sur un autre document réglementaire sur la sécurité de l'information, qui n'est pas répandu dans la Fédération de Russie. L'une de ces normes est un document de la famille de méthodes EBIOS.

Le projet EBIOS pour le développement de méthodes et d'outils pour la gestion de la sécurité de l'information dans les systèmes d'information est soutenu par le gouvernement français et promu par la Commission DCSSI du Premier ministre français au niveau paneuropéen. L'objectif de ce projet est de contribuer à améliorer la sécurité des systèmes d'information des organismes publics ou privés (http://www.securiteinfo.com/conseils/ebios.shtml).

Le texte d'un ensemble de documentation du produit d'automatisation des tâches d'évaluation du support à la sécurité de l'information « Outils méthodologiques pour parvenir à la sécurité des systèmes d'information EBIOS (définition des besoins et identification des objectifs de sécurité) » a été publié sur le site officiel du gouvernement français dédié aux questions de sécurité de l'information systèmes automatisés en 2004

La méthode EBIOS, proposée par le Secrétariat général du ministère de la Défense nationale et baptisée « Définition des besoins et identification des objectifs de sécurité » (EBIOS), a été développée en tenant compte des normes internationales visant à assurer la sécurité de l'information. Il formalise la démarche d'évaluation et de traitement des risques dans le domaine de la sécurité des systèmes d'information et permet d'évaluer le niveau de sécurité de l'information dans les systèmes développés et existants.
Le but de cette méthode est de permettre à toute organisation contrôlée par le gouvernement de déterminer une liste de mesures de sécurité à prendre en premier. La méthode peut être mise en œuvre par les administrateurs du service de sécurité d'une organisation et peut être appliquée à tous les niveaux de la structure d'un système d'information développé ou existant (sous-systèmes, programmes applicatifs).

L'approche EBIOS prend en compte trois propriétés principales de la sécurité de l'information : la confidentialité, l'intégrité et la disponibilité des informations et des systèmes, ainsi que de l'environnement dans lequel ils se trouvent. Dans certains cas, il est suggéré de veiller à garantir les besoins de non-répudiation, d'autorisation et d'authentification.

Normes internationales

• BS 7799-1:2005 - Norme britannique BS 7799, première partie. BS 7799 Partie 1 - Code de bonnes pratiques pour la gestion de la sécurité de l'information décrit les 127 contrôles requis pour construire systèmes de gestion de la sécurité de l'information(ISMS) de l'organisation, déterminé sur la base des meilleurs exemples d'expérience mondiale (meilleures pratiques) dans ce domaine. Ce document sert de guide pratique pour créer un SMSI
• BS 7799-2:2005 - La norme britannique BS 7799 est la deuxième partie de la norme. BS 7799 Partie 2 - Gestion de la sécurité de l'information - spécification pour les systèmes de gestion de la sécurité de l'information spécifie la spécification ISMS. La deuxième partie de la norme est utilisée comme critère lors de la procédure officielle de certification du SMSI de l'organisation.
• BS 7799-3:2006 - British Standard BS 7799, troisième partie de la norme. Une nouvelle norme en matière de gestion des risques liés à la sécurité de l’information
• ISO/CEI 17799:2005 - " Informatique- Technologies de sécurité - Règles pratiques pour la gestion de la sécurité de l'information. Norme internationale basée sur BS 7799-1:2005.
• ISO/IEC 27000 - Vocabulaire et définitions.
• ISO/IEC 27001 - "Technologies de l'information - Techniques de sécurité - Systèmes de gestion de la sécurité de l'information - Exigences." Norme internationale basée sur BS 7799-2:2005.
• ISO/IEC 27002 - Maintenant : ISO/IEC 17799:2005. "Technologies de l'information - Technologies de sécurité - Règles pratiques pour la gestion de la sécurité de l'information." Date de sortie : 2007.
• ISO/IEC 27005 - Maintenant : BS 7799-3:2006 - Guide sur la gestion des risques liés à la sécurité de l'information.
• Agence allemande de sécurité de l'information. Manuel de protection informatique de base - Mesures de sécurité standard.

Normes nationales (nationales) de la Fédération de Russie

• GOST R 50922-2006 - Protection des informations. Termes et définitions de base.
• R 50.1.053-2005 - Technologies de l'information. Termes et définitions de base dans le domaine de la sécurité de l'information technique.
• GOST R 51188-98 - Protection des informations. Procès logiciel pour la disponibilité virus informatiques. Manuel du modèle.
• GOST R 51275-2006 - Protection des informations. Objet d'information. Facteurs influençant l'information. Dispositions générales.
• GOST R ISO/IEC 15408-1-2012 - Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Critères d'évaluation de la sécurité des technologies de l'information. Partie 1. Introduction et modèle général.
• GOST R ISO/IEC 15408-2-2013 - Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Critères d'évaluation de la sécurité des technologies de l'information. Partie 2. Exigences de sécurité fonctionnelle.
• GOST R ISO/IEC 15408-3-2013 - Technologies de l'information. Méthodes et moyens pour assurer la sécurité. Critères d'évaluation de la sécurité des technologies de l'information. Partie 3. Exigences en matière d'assurance de sécurité.
• GOST R ISO/IEC 15408 - « Critères généraux d'évaluation de la sécurité des technologies de l'information » - une norme qui définit les outils et méthodes d'évaluation de la sécurité des produits et systèmes d'information ; il contient une liste d'exigences auxquelles peuvent être comparés les résultats d'évaluations indépendantes de sécurité, permettant ainsi au consommateur de prendre des décisions concernant la sécurité des produits. Le champ d'application des « Critères généraux » est la protection des informations contre l'accès non autorisé, la modification ou la fuite, ainsi que d'autres méthodes de protection mises en œuvre par le matériel et les logiciels.
• GOST R ISO/IEC 17799 - « Technologies de l'information. Règles pratiques pour la gestion de la sécurité de l’information. Application directe de la norme internationale avec l'ajout de la norme ISO/IEC 17799:2005.
• GOST R ISO/IEC 27001 - « Technologies de l'information. Méthodes de sécurité. Système de gestion de la sécurité de l'information. Exigences". L'application directe de la norme internationale est ISO/IEC 27001:2005.
• GOST R 51898-2002 : Aspects de sécurité. Règles à inclure dans les normes.

Assurer la sécurité des systèmes d’information dans Actuellement, cela est impossible sans une création compétente et de haute qualité de systèmes de sécurité de l'information. Cela a déterminé le travail de la communauté mondiale pour systématiser et rationaliser les exigences et caractéristiques de base de ces systèmes en termes de sécurité de l'information.

L'un des principaux résultats de ces activités a été systèmenormes internationales et nationalesla sécurité des informations, qui contient plus d'une centaine de documents différents.

Cela est particulièrement vrai pour ce qu'on appelle systèmes ouverts à usage commercial, traitant des informations restreintes ne contenant pas de secrets d'État, et se développant rapidement dans notre pays.

Sous comprendre les systèmes ouverts un ensemble de toutes sortes d'équipements informatiques et de télécommunications de différents fabricants, dont le fonctionnement commun est assuré par le respect des exigences des normes, notamment internationales.

Le terme " ouvrir " implique également que si un système informatique est conforme aux normes, alors il sera ouvert à l'interconnexion avec tout autre système répondant aux mêmes normes. Cela s'applique notamment aux mécanismes de protection des informations cryptographiques ou de protection contre les accès non autorisés ( NSD) aux informations.

Spécialistes de la sécurité de l'information ( EST) il est aujourd'hui presque impossible de se passer de la connaissance des normes en vigueur.

Premièrement, les normes et les spécifications sont l'une des formes d'accumulation de connaissances, principalement sur les niveaux procéduraux, logiciels et matériels de sécurité de l'information. Ils documentent des solutions et des méthodologies éprouvées et de haute qualité développées par les spécialistes les plus qualifiés.

Deuxièmement , les deux sont le principal moyen d'assurer la compatibilité mutuelle des systèmes matériels-logiciels et de leurs composants, et dans l'Internet:-communauté Ce produit fonctionne vraiment et est très efficace.

Récemment, une nouvelle génération de normes dans le domaine de la sécurité de l'information est apparue dans différents pays, dédiées aux questions pratiques de gestion de la sécurité de l'information d'une entreprise. Il s'agit avant tout des normes internationales et nationales de gestion de la sécurité de l'information. OIN 15408, ESTO 17799 (BS7799), B.SI.; normes d'audit des systèmes d'information et des informations

sécurité en ligne HIBOUjeT,SUNC, COSÀ PROPOS et quelques autres semblables à eux.

Les normes internationales revêtent une importance particulière OIN 15408, OIN 17799 servir de base à tout travail dans le domaine sécurité de l’information, y compris l’audit.

OIN 15408 - définit en détail exigences relatives aux outils logiciels et matériels de sécurité de l'information.

OIN 17799 - concentré sur les questions gestion de l'organisation et de la sécurité.

Utilisation des ressources internationales et nationales normes assurer la sécurité des informations permet de résoudre les cinq tâches suivantes :

- Premièrement , détermination des objectifs pour assurer la sécurité des informations des systèmes informatiques ;

- Deuxièmement , création d'un système efficace de gestion de la sécurité de l'information ;

- Troisièmement , calcul d'un ensemble d'indicateurs détaillés non seulement qualitatifs, mais également quantitatifs pour évaluer la conformité de la sécurité de l'information avec les objectifs déclarés ;

- quatrièmement , application des outils de sécurité de l'information et évaluation de son état actuel ;

- cinquièmement , l’utilisation de techniques de gestion de la sécurité avec un système bien fondé de métriques et de mesures pour soutenir les développeurs de systèmes d’information qui leur permettent d’évaluer objectivement la sécurité des actifs informationnels et de gérer la sécurité de l’information de l’entreprise.

Focus sur la norme internationale OIN/ 15408 et son russe analogue de GOST R ISO/IEC15408 -2002 « Critères d'évaluation de la sécurité des technologies de l'information » et Caractéristiques "l'Internet-communautés."

Réaliser un audit la sécurité de l'information repose sur l'utilisation de nombreuses recommandations, qui sont principalement énoncées dans des normes internationales EST.

Depuis le début années 80, des dizaines de normes internationales et nationales dans le domaine de la sécurité de l'information ont été créées, qui se complètent dans une certaine mesure.

La conférence aborde les normes les plus importantes dont la connaissance est nécessaire aux développeurs et évaluateurs de produits de sécurité, aux administrateurs système, aux responsables des services de sécurité de l'information et aux utilisateurs selon la chronologie de leur création, notamment :

Critère d'évaluation de la fiabilité des systèmes informatiques " Livre orange"(ETATS-UNIS);

Critères harmonisés des pays européens;

Norme allemande BSI;

Norme britannique BS. 7799 ;

Standard " Critères généraux"OIN 15408;

Standard OIN 17799;

Standard COBIT

Ces normes peuvent être divisées en deux types différents :

Normes d'évaluation , visant à classer les systèmes d'information et les moyens de protection selon les exigences de sécurité ;

Spécifications techniques réglementant divers aspects de la mise en œuvre des équipements de protection.

Il est important de noter que entre ces types de documents réglementaires il n'y a pas de mur blanc, bien au contraire, il y a une relation logique.

Normes d'évaluation mettre en évidence les aspects les plus importants de la sécurité de l'information du point de vue de la sécurité de l'information, jouer le rôle de spécifications architecturales.

Spécifications techniques déterminer comment construire un SI d'une architecture prescrite. Ce qui suit décrit les caractéristiques de ces normes.

2. Critères d'évaluation des systèmes informatiques de confiance

(« Livre Orange")