Pagrindiniai tarptautiniai ib standartai įvairiose šalyse. Informacijos apsaugos ir informacijos saugumo tarptautiniai ir Rusijos standartai

Viena iš svarbiausių problemų ir poreikių šiuolaikinė visuomenė yra žmogaus teisių apsauga jo įtraukimo į informacijos sąveikos procesus sąlygomis, įskaitant teisę į asmens informacijos apsaugą automatizuoto informacijos tvarkymo procesuose.

I. N. Malanych, VSU VI kurso studentė

Asmens duomenų apsaugos institutas šiandien nebėra kategorija, kurią gali reguliuoti tik nacionalinė teisė. Svarbiausias šiuolaikinių automatizuotų informacinių sistemų bruožas – daugelio jų „viršnacionališkumas“, „išėjimas“ už valstybės sienų, viešai prieinamo pasaulio vystymasis. informaciniai tinklai, pavyzdžiui, internetas, vienos informacinės erdvės formavimas tokių tarptautinių struktūrų rėmuose.

Šiandien Rusijos Federacijoje kyla problemų ne tik įdiegti į teisinę sritį asmens duomenų apsaugos instituciją pagal automatizuotą informaciniai procesai, bet ir jo koreliaciją su esamais tarptautiniais teisės standartais šioje srityje.

Asmens duomenų apsaugos institucijos tarptautiniame teisiniame reglamentavime yra trys pagrindinės tendencijos, susijusios su automatizuoto informacijos tvarkymo procesais.

1) Deklaracija dėl teisės į asmens duomenų apsaugą, kaip neatskiriamą pagrindinių žmogaus teisių dalį, tarptautinėse organizacijose priimtuose bendro humanitarinio pobūdžio aktuose.

2) Teisės apsaugoti asmeninę informaciją įtvirtinimas ir reglamentavimas Europos Sąjungos, Europos Tarybos, iš dalies Nepriklausomų Valstybių Sandraugos ir kai kurių regioninių tarptautinių organizacijų norminiuose aktuose. Ši normų klasė yra universaliausia ir tiesiogiai susijusi su teisėmis į asmens duomenų apsaugą automatizuoto informacijos tvarkymo procesuose.

3) Konfidencialios informacijos (įskaitant asmeninę informaciją) apsaugos taisyklių įtraukimas į tarptautines sutartis.

Pirmasis metodas istoriškai pasirodė anksčiau nei kiti. Šiuolaikiniame pasaulyje informacijos teisės ir laisvės yra neatsiejama pagrindinių žmogaus teisių dalis.

1948 m. Visuotinėje žmogaus teisių deklaracijoje skelbiama: „Niekam negali būti savavališkai kišamasi į jo privatumą ar šeimos gyvenimą, ar savavališkai kėsinamasi į... jo susirašinėjimo privatumą“ ir toliau: „Kiekvienas turi teisę į apsaugą. įstatymo nuo tokio kišimosi ar atakų. 1966 m. Tarptautinis pilietinių ir politinių teisių paktas pakartoja šios dalies deklaraciją. 1950 m. Europos konvencija detalizuoja šią teisę: „Kiekvienas turi teisę į saviraiškos laisvę. Ši teisė apima laisvę turėti savo nuomonę ir gauti bei skleisti informaciją ir idėjas be valdžios institucijų įsikišimo ir nepaisant sienų.

Šie tarptautiniai dokumentai nustato žmogaus teises į informaciją.

Šiuo metu tarptautiniu lygmeniu susiformavusi stabili požiūrių į žmogaus informacines teises sistema. Apskritai tai yra teisė gauti informaciją, teisė į privatumą informacijos apie ją apsaugos požiūriu, teisė saugoti informaciją tiek valstybės saugumo, tiek verslo saugumo, įskaitant finansinį, požiūriu. veikla.

Antrasis būdas – detalesnis teisės į asmens informacijos apsaugą reglamentavimas siejamas su pastaraisiais metais vis intensyvėjančiu asmens informacijos apdorojimu naudojant automatizuotas kompiuterines informacines sistemas. Pastaraisiais dešimtmečiais nemažai tarptautinių dokumentų buvo priimta daugelyje tarptautinių organizacijų, plėtojančių pagrindines informacijos teises, susijusias su tarpvalstybinio keitimosi informacija intensyvėjimu ir šiuolaikinių informacinių technologijų naudojimu. Tarp tokių dokumentų yra šie:

Europos Taryba 1980 m. parengė Europos konvenciją dėl apsaugos asmenys 1985 m. įsigaliojusioje automatinio asmens duomenų tvarkymo srityse. Konvencija apibrėžia asmens duomenų rinkimo ir tvarkymo tvarką, šių duomenų saugojimo ir prieigos principus bei fizinės duomenų apsaugos būdus. Konvencija garantuoja pagarbą žmogaus teisėms renkant ir tvarkant asmens duomenis, saugojimo ir prieigos prie šių duomenų principus, fizinės duomenų apsaugos būdus, taip pat draudžia tvarkyti duomenis apie rasę, politines pažiūras, sveikatą, religiją be tinkamo teisiniai pagrindai. Rusija prie Europos konvencijos prisijungė 2001 m. lapkritį.

Europos Sąjungoje asmens duomenų apsaugos klausimus reglamentuoja visa eilė dokumentų. 1979 m. buvo priimtas Europos Parlamento nutarimas „Dėl asmens teisių apsaugos vykstant informatizacijai“. Rezoliucijoje buvo raginama Europos Bendrijų Taryba ir Komisija parengti ir priimti teisės aktus dėl asmens duomenų apsaugos, susijusių su technikos pažanga informatikos srityje. Europos Sąjungos valstybių narių bendradarbiavimo organizacijos rekomendacijos „Dėl gairių, kaip apsaugoti 1980 m. privatumas tarpvalstybinio keitimosi asmens duomenimis metu“. Šiuo metu asmens duomenų apsaugos klausimus detaliai reglamentuoja Europos Parlamento ir Europos Sąjungos Tarybos direktyvos. Tai 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos Nr. 95/46/EB ir Nr. 2002/58/EB dėl asmenų teisių apsaugos tvarkant asmens duomenis ir dėl tokių duomenų judėjimas, 1997 m. gruodžio 15 d. Europos Parlamento ir Europos Sąjungos Tarybos direktyva Nr. 97/66/EB dėl asmens duomenų naudojimo ir privatumo apsaugos telekomunikacijose ir kituose dokumentuose.

Europos Sąjungos aktams būdingas detalus automatizuoto duomenų tvarkymo principų ir kriterijų, subjektų ir asmens duomenų turėtojų teisių ir pareigų, jų perdavimo tarpvalstybinio pobūdžio klausimų, taip pat atsakomybės ir sankcijų už žalą išaiškinimas. . Vadovaudamasi direktyva Nr.95/46/EB, Europos Sąjunga įsteigė Darbo grupę asmenų apsaugai tvarkant jų asmens duomenis. Ji turi patariamojo organo statusą ir veikia kaip nepriklausoma struktūra. Darbo grupę sudaro kiekvienos valstybės narės įsteigtos įstaigos, kuri prižiūri, kaip jos teritorijoje laikomasi direktyvos nuostatų, atstovas, Bendrijos institucijoms ir struktūroms įsteigtos įstaigos ar įstaigų atstovas ir Europos Komisija.

Ekonominio bendradarbiavimo ir plėtros organizacija (EBPO) turi Privatumo apsaugos ir tarptautinio keitimosi asmens duomenimis sistemą, kuri buvo priimta 1980 metų rugsėjo 23 dieną. Šios direktyvos preambulėje teigiama: „...EBPO valstybės narės manė, kad būtina sukurti sistemas, kurios padėtų suderinti nacionalinius privatumo įstatymus ir, gerbiant atitinkamas žmogaus teises, neleistų blokuoti tarptautinių duomenų mainų...“. Šios nuostatos taikomos tiek viešajame, tiek privačiame sektoriuose asmens duomenims, kurie dėl jų tvarkymo būdo arba dėl savo pobūdžio ar konteksto, kuriame jie naudojami, kelia pavojų pažeisti privatumą ir asmens laisves. Jame apibrėžiamas poreikis užtikrinti asmens duomenims tinkamus apsaugos mechanizmus nuo rizikos, susijusios su jų praradimu, sunaikinimu, pakeitimu ar atskleidimu arba neteisėta prieiga. Rusija, deja, šioje organizacijoje nedalyvauja.

NVS valstybių narių tarpparlamentinė asamblėja 1999 m. spalio 16 d. Priimtas pavyzdinis Asmens duomenų įstatymas.

Pagal įstatymą „Asmens duomenys“ – tai informacija (įrašyta materialioje laikmenoje) apie konkretų asmenį, kuris yra nustatytas arba gali būti su juo tapatinamas. Asmens duomenys apima biografinius ir tapatybės duomenis, asmens charakteristikas, informaciją apie šeimą, socialinę padėtį, išsilavinimą, profesiją, profesinę ir finansinę būklę, sveikatos būklę ir kt. Įstatyme taip pat išvardinti asmens duomenų teisinio reguliavimo principai, operacijų su asmens duomenimis valstybinio reguliavimo formos, subjektų ir asmens duomenų turėtojų teisės ir pareigos.

Panašu, kad nagrinėjamas antrasis asmens duomenų apsaugos reguliavimo reguliavimo tarptautiniuose teisės aktuose būdas yra įdomiausias analizei. Šios klasės normos ne tik tiesiogiai reguliuoja visuomeninius santykius šioje srityje, bet ir padeda valstybių narių teisės aktus suderinti su tarptautiniais standartais, taip užtikrindamos šių normų veiksmingumą jų teritorijoje. Taigi Visuotinėje žmogaus teisių deklaracijoje įtvirtinta informacijos teisių garantija yra užtikrinama pastarosios 12 straipsnyje deklaruojamos „teisės į įstatymo apsaugą nuo ... įsikišimo ar ... kėsinimosi“ prasme.

Trečias būdas konsoliduoti asmens duomenų apsaugos taisykles yra jų teisinės apsaugos įtvirtinimas tarptautinėse sutartyse.

Straipsniai apie keitimąsi informacija yra įtraukti į tarptautines sutartis dėl teisinės pagalbos, dėl dvigubo apmokestinimo išvengimo, dėl bendradarbiavimo tam tikrose viešosiose ir kultūros srityse.

Pagal str. Rusijos Federacijos ir JAV sutarties dėl dvigubo apmokestinimo išvengimo ir mokesčių vengimo prevencijos, susijusios su pajamų ir kapitalo mokesčiais, 25 str., valstybės privalo pateikti informaciją, kuri yra profesinė paslaptis. Rusijos Federacijos ir Indijos Respublikos sutartyje dėl abipusės teisinės pagalbos baudžiamosiose bylose yra 15 straipsnis „Konfidencialumas“: prašomoji šalis gali reikalauti, kad perduodama informacija būtų konfidenciali. Tarptautinių sutarčių sudarymo praktika rodo susitariančiųjų valstybių norą laikytis tarptautinių asmens duomenų apsaugos standartų.

Atrodo, kad efektyviausias šios institucijos reguliavimo mechanizmas tarptautiniu teisiniu lygmeniu yra specialių norminių dokumentų paskelbimas tarptautinių organizacijų rėmuose. Šis mechanizmas ne tik skatina tinkamą vidinį aktualių asmeninės informacijos apsaugos klausimų reguliavimą šiose straipsnio pradžioje paminėtose organizacijose, bet ir teigiamai veikia dalyvaujančių šalių nacionalinius teisės aktus.

Paskaitos metmenys

1. Tarptautinių standartų sukūrimo prielaidos informacijos saugumas(IB)

1.1. Tarptautinės standartizacijos tikslas ir tikslai

1.2. Tarptautinė Standartizacijos Organizacija, ISO

1.3. Pagrindiniai tarptautiniai informacijos saugumo standartai

2. Patikimų kompiuterinių sistemų vertinimo kriterijai (“ Oranžinė knyga")

2.1.Pagrindinė informacija

2.2 Pagrindiniai reikalavimai ir priemonės

3. Pagrindinės sąvokos

4.Saugumo įgyvendinimo mechanizmai

5. Sekcijos ir saugos klasės.

5.1. Apsaugos skyriai

5.2. Saugumo klasės

6. Trumpa klasifikacija

Tarptautiniai informacinių technologijų saugumo užsienio šalyse vertinimo kriterijai

Paskaitos metmenys

1. Suderinti Europos šalių kriterijai

2. Vokiškas standartas BSI

3. Britų standartas BS 7799

4. Tarptautinis standartas IS O/I EC 15408„Informacinių technologijų saugumo vertinimo kriterijai“. „Bendrieji kriterijai“

Tarptautinių informacijos saugumo standartų sukūrimo prielaidos

1.1. Bendrieji klausimai

Užsienyje standartai rengiami nuolat, nuosekliai skelbiami standartų projektai ir versijos skirtinguose derinimo ir tvirtinimo etapuose. Kai kurie standartai palaipsniui gilinami ir detalizuojami standartų grupių, tarpusavyje susijusių sąvokomis ir struktūra, pavidalu.

Visuotinai pripažįstama, kad neatsiejama bendro informacinių technologijų (IT) standartizacijos proceso dalis yra su IT saugumo problema susijusių standartų kūrimas, kuris tampa vis aktualesnis dėl didėjančios abipusės taikomų užduočių integracijos tendencijų, statybos juos paskirstyto duomenų apdorojimo, telekomunikacijų sistemų, elektroninių duomenų mainų technologijų pagrindu.

Plėtra atvirų sistemų standartai , įskaitant IT saugumo srities standartus, įgyvendina daugybė specializuotų tarptautinių organizacijų ir konsorciumų, tokių kaip, pavyzdžiui, ISO, IEC, ITU-T, IEEE, IAB, WOS, ECMA, X/Open, OSF, OMG.

Svarbų IT saugumo klausimų standartizavimo darbą atlieka specializuotos organizacijos ir nacionaliniu lygiu. Visa tai leido iki šiol suformuoti gana plačią metodinę bazę tarptautinių, nacionalinių ir pramonės standartų, taip pat norminių ir rekomendacinių medžiagų, reglamentuojančių veiklą IT saugumo srityje, forma.

1.2. Tarptautinės reguliavimo ir metodinės bazės būklė

Siekiant susisteminti esamos tarptautinės IT saugumo srities reguliavimo ir metodinės bazės analizę, būtina pasitelkti kai kuriuos standartizacijos sričių klasifikacija .

Apskritai galima išskirti tokias kryptis :

1. Bendri principai informacijos saugumo valdymas.

2. IT saugumo modeliai.

3. IT saugumo metodai ir mechanizmai (tokie kaip, pavyzdžiui: autentifikavimo metodai, raktų valdymas ir kt.).

4. Kriptografiniai algoritmai.

5. Informacinių sistemų saugumo vertinimo metodai.

6. EDI technologijų saugumas.

7. Internetinių tinklų sąveikos (ugniasienės) saugumas.

8. Standartizacijos objektų sertifikavimas ir sertifikavimas.

Tarptautinės standartizacijos tikslas ir tikslai

Standartinis yra dokumentas, nustatantis gaminių, eksploatavimo, sandėliavimo, transportavimo, pardavimo ir utilizavimo, darbų atlikimo ar paslaugų teikimo charakteristikas. Standartinis taip pat gali būti terminų, simbolių, pakuotės, ženklinimo ar etikečių reikalavimų ir jų taikymo taisyklių.

Tarptautinis standartas - tarptautinės organizacijos priimtas standartas. Praktikoje tarptautiniai standartai dažnai reiškia ir regioninius standartus bei mokslo ir technikos draugijų parengtus standartus, kuriuos kaip normas priėmė įvairios pasaulio šalys.

Tarptautinė standartizacija - standartizacija, kurioje gali dalyvauti visų šalių atitinkamos institucijos.

Pagrindinis tarptautinių standartų tikslas - tai vieningos metodinės bazės naujų kūrimo ir esamų kokybės sistemų tobulinimo bei jų sertifikavimo kūrimas tarptautiniu lygiu.

Moksliniu ir techniniu bendradarbiavimu standartizacijos srityje siekiama suderinti nacionalinę standartizacijos sistemą su tarptautinėmis, regioninėmis ir progresyviomis nacionalinėmis standartizacijos sistemomis.

Tiek pramoninės šalys, tiek besivystančios šalys, kuriančios savo nacionalinę ekonomiką, yra suinteresuotos tarptautinės standartizacijos plėtra.

Tarptautiniai standartai nėra privalomi visoms dalyvaujančioms šalims. Bet kuri pasaulio šalis turi teisę jas taikyti arba netaikyti. Tarptautinio standarto taikymo klausimo sprendimas ISO daugiausia susijęs su šalies dalyvavimo tarptautiniame darbo pasidalijime laipsniu ir užsienio prekybos būkle. ISO yra pirmaujanti tarptautinė organizacija standartizacijos srityje.

1.4. Tarptautinė standartizacijos organizacija, ISO

Tarptautinė Standartizacijos Organizacija , IS О (Tarptautinė standartizacijos organizacija, ISO) - tarptautinė organizacija, kurianti standartus.

Tarptautinė organizacija AR O pradėjo veikti 1947 metų vasario 23 d. kaip savanoriška, nevyriausybinė organizacija. Jis buvo nustatytas remiantis tuo, kas buvo pasiekta susitikime Londone m 1946 m atstovų susitarimai 25 išsivysčiusioms šalims dėl organizacijos, turinčios įgaliojimus tarptautiniu lygmeniu koordinuoti įvairių pramonės standartų kūrimą ir atlikti jų priėmimo kaip tarptautinius standartus, sukūrimo.

Kuriant organizaciją ir parenkant jos pavadinimą buvo atsižvelgta į poreikį, kad pavadinimo trumpinys visomis kalbomis skambėtų vienodai. Tam buvo nuspręsta naudoti graikišką žodį isos- lygus, todėl visomis pasaulio kalbomis Tarptautinė standartizacijos organizacija turi trumpą pavadinimą IS O (ISO).

Veiklos sritis ISO susijęs su standartizavimu visose srityse, išskyrus elektrotechniką ir elektroniką, priklausantis Tarptautinės elektrotechnikos komisijos kompetencijai ( IEC). Kai kuriuos darbus šios organizacijos atlieka kartu. Be standartizacijos ISO taip pat sprendžia sertifikavimo klausimus.

ISO paskirtis - skatinti standartizacijos plėtrą pasauliniu mastu, siekiant palengvinti tarptautinius prekybos mainus ir savitarpio pagalbą, taip pat plėsti bendradarbiavimą intelektinės, mokslinės, techninės ir ekonominės veiklos srityse.

Georgijus Garbuzovas,
CISSP, MCSE: Saugumas, informacijos saugumo direktoratas, URALSIB draudimo grupė

Standartizacijos, kaip vienodų reikalavimų, tinkamų pakartotiniam naudojimui nustatymo proceso, ISTORIJA siekia kelis tūkstančius metų – net statant piramides Senovės Egipte buvo naudojami standartinio dydžio blokai, o atitikties laipsnį kontroliavo specialūs žmonės. su šiuo senoviniu standartu. Šiandien standartizacija užima tvirtą vietą beveik visuose žmogaus veiklos sektoriuose.

Standartizacija informacijos saugumo srityje

Standartizavimas informacijos saugumo (IS) srityje yra naudingas tiek profesionalams, tiek IS produktų ir paslaugų vartotojams, nes leidžia nustatyti optimalų efektyvinimo ir suvienodinimo lygį, užtikrinti IS produktų pakeičiamumą, taip pat išmatuojamumą ir suvienodinimą. skirtingose ​​šalyse ir organizacijose gautų rezultatų pakartojamumas. Profesionalams tai reiškia laiko sutaupymą ieškant efektyvių ir pasiteisinusių sprendimų, o vartotojams – garantą gauti laukiamos kokybės rezultatą.

Standartizacijos objektu gali būti bet koks informacijos saugos produktas ar paslauga: vertinimo metodas, funkcionalumą apsaugos ypatybės ir parametrai, suderinamumo savybės, kūrimo ir gamybos procesas, valdymo sistemos ir kt.

Standartizacija, priklausomai nuo dalyvių sudėties, gali būti tarptautinė, regioninė arba nacionalinė, o tarptautinė standartizacija (kartu su oficialiomis standartizacijos įstaigomis, tokiomis kaip ISO) apima konsorciumų (pvz., IEEE arba SAE) standartizavimą, o nacionalinė standartizacija gali būti valstybinė arba industrija .

Išsamiau pakalbėkime apie kai kuriuos šiandien paklausius užsienio standartus, kurie vienaip ar kitaip turi įtakos informacijos saugumo problemoms.

Tarptautiniai standartai informacijos saugumo srityje – užsienio patirtis

Standartizacija informacijos saugumo srityje užsienyje plėtojama dešimtmečius, o kai kurios šalys, pavyzdžiui, JK, turi didelę standartų kūrimo patirtį – daugelis Didžiosios Britanijos nacionalinių standartų, tokių kaip BS7799-1/2, laikui bėgant įgijo tarptautinį statusą. Pradėkime nuo jų.

Tarptautiniai standartai ISO 27002 ir ISO 27001

Ko gero, tai šiandien populiariausi standartai informacijos saugumo srityje.

ISO 27002 (anksčiau ISO 17799) pateikia rekomendacijų, kaip efektyviai organizuoti informacijos saugos valdymo sistemas įmonėje, rinkinį, apimantį visas pagrindines sritis, ypač:

  • informacijos saugumo politikos formavimas;
  • su personalu susijusi sauga;
  • ryšių saugumas;
  • fizinė apsauga;
  • prieigos kontrolė;
  • incidentų apdorojimas;
  • teisės aktų reikalavimų laikymosi užtikrinimas.

ISO 27001 standartas – tai vadybos sistemos sertifikavimo kriterijų rinkinys, kurio rezultatais remiantis akredituota sertifikavimo įstaiga išduoda tarptautinį atitikties sertifikatą, įtrauktą į registrą.

Registro duomenimis, šiuo metu Rusijoje yra registruota apie keliolika įmonių, turinčių tokį sertifikatą, kurių bendras sertifikatų skaičius pasaulyje viršija 5000. Pasirengimą sertifikavimui gali atlikti pati organizacija arba konsultacinės įmonės, o praktika rodo, kad ISO 27001 sertifikatą gauti kur kas paprasčiau įmonėms, kurios jau turi sertifikuotą vadybos sistemą (pavyzdžiui, kokybės).

ISO 27001/27002 standartai yra naujos standartų serijos, kurios galutinis formavimas dar nebaigtas, atstovai: standartai 27000 (pagrindiniai principai ir terminija), 27003 (informacijos saugumo valdymo sistemos diegimo gairės), 27004. (matuojantis informacijos saugumo valdymo sistemos efektyvumą) ir kiti yra kuriami – iš viso 27000 serijoje tikimasi daugiau nei 30 standartų. Daugiau informacijos apie serijos sudėtį ir dabartinę jos kūrimo būklę rasite oficialioje ISO svetainėje (www.iso.org).

Tarptautiniai standartai ISO13335 ir ISO15408

ISO 13335 standartas yra informacinių technologijų saugos standartų šeima, apimanti IT saugumo valdymą, siūlanti konkrečias apsaugos priemones ir metodus. Šiuo metu seriją 13335 palaipsniui keičia naujesnė serija 27000. ISO 15408 standarte pateikiami vienodi IT sistemų saugumo vertinimo kriterijai programinės ir techninės įrangos lygmeniu (panašiai į garsiąją Orange Book, kuri dar žinoma kaip TCSEC vertinimas). kriterijai, arba Europos ITSEC kriterijai), leidžiantys palyginti skirtingose ​​šalyse gautus rezultatus.

Apskritai, šie standartai, nors juose yra tik technologinė dalis, gali būti naudojami tiek savarankiškai, tiek kuriant informacijos saugos valdymo sistemas, pavyzdžiui, rengiantis sertifikuoti atitiktį ISO 27001.

CobiT

CobiT yra maždaug 40 tarptautinių standartų ir gairių IT valdymo, audito ir saugumo srityse rinkinys, kuriame yra susijusių procesų ir metrikų aprašymai. Pagrindinis CobiT tikslas – rasti bendrą kalbą tarp konkrečius tikslus turinčio verslo ir prie jų siekimo prisidedančių IT, leidžiančių sukurti adekvačius organizacijos informacinių technologijų plėtros planus.

CobiT naudojamas organizacijos IT valdymo sistemos auditui ir kontrolei ir yra detalius aprašymus valdymo tikslai, principai ir objektai, galimi IT procesai ir saugumo valdymo procesai. Išsamumas, aiškūs konkrečių veiksmų ir įrankių aprašymai bei orientacija į verslą daro CobiT geru pasirinkimu kuriant informacinę infrastruktūrą ir valdymo sistemą.

Kitoje straipsnio dalyje apžvelgsime keletą įdomių nacionalinių ir konkrečiai pramonės šakų užsienio standartų, tokių kaip NIST SP 800, BS, BSI, PCI DSS, ISF, ITU ir kt.

Eksperto komentaras

Aleksejus Pleškovas,
„Gazprombank“ (atviroji akcinė bendrovė) Informacinių technologijų saugumo departamento vadovas

Be pirmiau pateiktos tarptautinių standartų apžvalgos, norėčiau atkreipti dėmesį į kitą informacijos saugumo norminį dokumentą, kuris nėra plačiai paplitęs Rusijos Federacijoje. Vienas iš šių standartų yra dokumentas iš EBIOS metodų šeimos.

Informacijos saugumo valdymo informacinėse sistemose metodų ir priemonių kūrimo projektą EBIOS remia Prancūzijos vyriausybė, o DCSSI komisija prie Prancūzijos ministro pirmininko jį propaguoja visos Europos lygmeniu. Šio projekto tikslas – padėti pagerinti viešųjų ar privačių organizacijų informacinių sistemų saugumą (http://www.securiteinfo.com/conseils/ebios.shtml).

Oficialioje Prancūzijos vyriausybės svetainėje buvo paskelbtas informacinio saugumo palaikymo vertinimo užduočių automatizavimo produkto „Metodinės priemonės informacinių sistemų EBIOS saugumui pasiekti (poreikių apibrėžimas ir saugumo tikslų nustatymas)“ dokumentų rinkinio tekstas. skirta automatizuotų sistemų informacijos saugumo užtikrinimo klausimams 2004 m.

Prancūzijos krašto apsaugos ministerijos generalinio sekretoriato pasiūlytas EBIOS metodas, pavadintas „Poreikių apibrėžimas ir saugumo tikslų nustatymas“ (EBIOS), buvo sukurtas atsižvelgiant į tarptautinius standartus, skirtus informacijos saugumui užtikrinti. Jis formalizuoja rizikos vertinimo ir apdorojimo metodą informacinių sistemų saugumo srityje ir yra naudojamas įvertinti sukurtų ir esamų sistemų informacijos saugumo lygį.
Metodo tikslas – leisti bet kuriai vyriausybės kontroliuojamai organizacijai nustatyti saugumo veiksmų, kurių reikia imtis pirmiausia, sąrašą. Metodą gali diegti organizacijos saugos skyriaus administratoriai ir jis gali būti taikomas visuose sukurtos ar esamos informacinės sistemos (posistemių, taikomųjų programų) struktūros lygmenyse.

Taikant EBIOS metodą atsižvelgiama į tris pagrindines informacijos saugumo savybes: informacijos ir sistemų konfidencialumą, vientisumą ir prieinamumą, taip pat aplinką, kurioje jos yra. Tam tikrais atvejais siūloma pasirūpinti, kad nebūtų atsisakymo, autorizacijos ir autentifikavimo poreikiai.

Tarptautiniai standartai

  • BS 7799-1:2005 – britų standarto BS 7799 pirmoji dalis. BS 7799 1 dalyje – Informacijos saugumo valdymo praktikos kodeksas aprašo 127 valdiklius, reikalingus sukurti informacijos saugumo valdymo sistemos(ISMS) organizacijos, nustatytos remiantis geriausiais pasaulinės patirties pavyzdžiais (geriausia praktika) šioje srityje. Šis dokumentas yra praktinis vadovas kuriant ISMS
  • BS 7799-2:2005 – Didžiosios Britanijos standartas BS 7799 yra antroji standarto dalis. BS 7799 2 dalis. Informacijos saugumo valdymas. Informacijos saugumo valdymo sistemų specifikacijoje nurodoma ISMS specifikacija. Antroji standarto dalis naudojama kaip kriterijai oficialios organizacijos ISMS sertifikavimo procedūroje.
  • BS 7799-3:2006 – Britų standartas BS 7799 trečioji standarto dalis. Naujas informacijos saugumo rizikos valdymo standartas
  • ISO/IEC 17799:2005 – " Informacinės technologijos– Saugumo technologijos – Praktinės informacijos saugumo valdymo taisyklės. Tarptautinis standartas, pagrįstas BS 7799-1:2005.
  • ISO/IEC 27000 – žodynas ir apibrėžimai.
  • ISO/IEC 27001 – „Informacinės technologijos – Saugos metodai – Informacijos saugumo valdymo sistemos – Reikalavimai“. Tarptautinis standartas, pagrįstas BS 7799-2:2005.
  • ISO/IEC 27002 – dabar: ISO/IEC 17799:2005. „Informacinės technologijos – Saugumo technologijos – Praktinės informacijos saugumo valdymo taisyklės“. Išleidimo data: 2007 m.
  • ISO/IEC 27005 – dabar: BS 7799-3:2006 – Informacijos saugumo rizikos valdymo gairės.
  • Vokietijos informacijos saugumo agentūra. IT bazinės apsaugos vadovas – standartinės saugos priemonės.

Rusijos Federacijos valstybiniai (nacionaliniai) standartai

  • GOST R 50922-2006 - Informacijos apsauga. Pagrindiniai terminai ir apibrėžimai.
  • R 50.1.053-2005 - Informacinės technologijos. Pagrindiniai terminai ir apibrėžimai techninės informacijos saugumo srityje.
  • GOST R 51188-98 - Informacijos apsauga. Teismo procesas programinė įranga dėl prieinamumo kompiuteriniai virusai. Modelio vadovas.
  • GOST R 51275-2006 - Informacijos apsauga. Informacinis objektas. Informaciją įtakojantys veiksniai. Bendrosios nuostatos.
  • GOST R ISO/IEC 15408-1-2012 – Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacinių technologijų saugumo vertinimo kriterijai. 1 dalis. Įvadas ir bendras modelis.
  • GOST R ISO/IEC 15408-2-2013 – Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacinių technologijų saugumo vertinimo kriterijai. 2 dalis. Funkcinės saugos reikalavimai.
  • GOST R ISO/IEC 15408-3-2013 – Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacinių technologijų saugumo vertinimo kriterijai. 3 dalis. Saugumo užtikrinimo reikalavimai.
  • GOST R ISO/IEC 15408 – „Bendrieji informacinių technologijų saugumo vertinimo kriterijai“ – standartas, apibrėžiantis informacinių produktų ir sistemų saugumo vertinimo priemones ir metodus; jame pateikiamas reikalavimų, su kuriais galima palyginti nepriklausomų saugos vertinimų rezultatus, sąrašas, leidžiantis vartotojui priimti sprendimus dėl gaminių saugos. „Bendrųjų kriterijų“ taikymo sritis – informacijos apsauga nuo neteisėtos prieigos, modifikavimo ar nutekėjimo bei kiti techninės ir programinės įrangos įgyvendinami apsaugos būdai.
  • GOST R ISO/IEC 17799 - „Informacinės technologijos. Praktinės informacijos saugumo valdymo taisyklės“. Tiesioginis tarptautinio standarto taikymas su jo papildymu – ISO/IEC 17799:2005.
  • GOST R ISO/IEC 27001 - „Informacinės technologijos. Apsaugos metodai. Informacijos saugumo valdymo sistema. Reikalavimai“. Tiesioginis tarptautinio standarto taikymas yra ISO/IEC 27001:2005.
  • GOST R 51898-2002: Saugos aspektai. Įtraukimo į standartus taisyklės.

Užtikrinti informacinių sistemų saugumą Šiuo metu tai neįmanoma be kompetentingo ir kokybiško informacijos saugumo sistemų sukūrimo. Tai nulėmė pasaulinės bendruomenės darbą siekiant susisteminti ir supaprastinti pagrindinius tokių sistemų reikalavimus ir charakteristikas informacijos saugumo požiūriu.

Vienas pagrindinių tokios veiklos rezultatų buvo sistematarptautinius ir nacionalinius standartusinformacijos saugumas, kuriame yra daugiau nei šimtas įvairių dokumentų.

Tai ypač pasakytina apie vadinamuosius atviros sistemos komerciniam naudojimui, apdorojanti riboto naudojimo informaciją, kurioje nėra valstybės paslapčių, ir sparčiai besivystanti mūsų šalyje.

Pagal suprasti atviras sistemas įvairių gamintojų visų rūšių skaičiavimo ir telekomunikacijų įrangos kolekcija, kurios bendrą veikimą užtikrina standartų, pirmiausia tarptautinių, reikalavimų laikymasis.

Terminas " atviras " taip pat reiškia, kad jei kompiuterinė sistema atitinka standartus, ji bus atvira sujungimui su bet kuria kita sistema, kuri atitinka tuos pačius standartus. Tai visų pirma taikoma kriptografinės informacijos apsaugos arba apsaugos nuo neteisėtos prieigos mechanizmams ( NSD) prie informacijos.

Informacijos saugumo specialistai ( YRA) šiandien beveik neįmanoma išsiversti be atitinkamų standartų žinių.

Pirma, standartai ir specifikacijos yra viena iš žinių kaupimo formų, visų pirma apie informacijos saugumo procedūrinius ir programinės bei techninės įrangos lygius. Juose dokumentuojami patikrinti, kokybiški sprendimai ir metodikos, sukurtos kvalifikuotų specialistų.

Antra , abi jos yra pagrindinės priemonės, užtikrinančios abipusį techninės-programinės įrangos sistemų ir jų komponentų suderinamumą. internetas:-bendruomenėŠis produktas tikrai veikia ir yra labai efektyvus.

Pastaruoju metu įvairiose šalyse pasirodė naujos kartos standartai informacijos saugumo srityje, skirti praktiniams įmonės informacijos saugumo valdymo klausimams. Tai visų pirma tarptautiniai ir nacionaliniai informacijos saugumo valdymo standartai ISO 15408, YRAO 17799 (BS7799), BS.I.; informacinių sistemų ir informacijos audito standartai

saugumas internete PELĖDAT,SAC, COSAPIE ir kai kurie kiti panašūs į juos.

Tarptautiniai standartai yra ypač svarbūs ISO 15408, ISO 17799 būti bet kokio darbo šioje srityje pagrindas informacijos saugumas, įskaitant auditą.

ISO 15408 - apibrėžia išsamiai programinės ir techninės įrangos informacijos saugos priemonių reikalavimus.

ISO 17799 - sutelktas į klausimus organizavimo ir saugumo valdymas.

Naudojimas tarptautiniu ir nacionaliniu standartus informacijos saugumo užtikrinimas padeda išspręsti šias penkias užduotis:

- Pirmiausia , kompiuterinių sistemų informacijos saugumo užtikrinimo tikslų nustatymas;

- Antra , efektyvios informacijos saugumo valdymo sistemos sukūrimas;

- Trečia , detalių ne tik kokybinių, bet ir kiekybinių rodiklių rinkinio skaičiavimas, siekiant įvertinti informacijos saugumo atitiktį užsibrėžtiems tikslams;

- ketvirta , informacijos saugumo priemonių taikymas ir esamos jos būklės įvertinimas;

- penkta , saugumo valdymo metodų panaudojimas su pagrįsta metrikų sistema ir informacinių sistemų kūrėjų palaikymo priemonėmis, leidžiančiomis objektyviai įvertinti informacinio turto saugumą ir valdyti įmonės informacijos saugumą.

Dėmesys tarptautiniam standartui ISO/ 15408 ir jo rusų kalba GOST R ISO/IEC15408 -2002 analogas „Informacinių technologijų saugumo vertinimo kriterijai“ ir specifikacijos"internetas-bendruomenės."

Audito atlikimas informacijos saugumas grindžiamas daugelio rekomendacijų, kurios daugiausia išdėstytos tarptautiniuose standartuose, naudojimu YRA.

Pradedant nuo pradžios 80-ieji, sukurta dešimtys tarptautinių ir nacionalinių standartų informacijos saugumo srityje, kurie tam tikru mastu papildo vienas kitą.

Paskaitoje aptariami svarbiausi standartai, kurių žinios būtinos saugos produktų kūrėjams ir vertintojams, sistemų administratoriams, informacijos saugos tarnybų vadovams, vartotojams pagal jų kūrimo chronologiją, įskaitant:

    Kompiuterinių sistemų patikimumo vertinimo kriterijus “ Oranžinė knyga"(JAV);

    Suderinti Europos šalių kriterijai;

    vokiškas standartas BSI;

    Britų standartas B.S. 7799 ;

    Standartinis " Bendrieji kriterijai“ISO 15408;

    Standartinis ISO 17799;

    Standartinis COBIT

Šiuos standartus galima suskirstyti į du skirtingus tipus:

    Vertinimo standartai , skirta klasifikuoti informacines sistemas ir apsaugos priemones pagal saugumo reikalavimus;

    Techninės specifikacijos reglamentuojantys įvairius apsaugos priemonių įgyvendinimo aspektus.

Svarbu tai pastebėti tarp šių norminių dokumentų tipų nėra tuščios sienos, priešingai, yra loginis ryšys.

Vertinimo standartai išryškinti svarbiausius informacijos saugumo aspektus informacijos saugumo požiūriu, atlieka architektūrinių specifikacijų vaidmenį.

Techninės specifikacijos nustatyti, kaip sukurti nustatytos architektūros IS. Toliau aprašomos šių standartų savybės.

2. Patikimų kompiuterinių sistemų vertinimo kriterijai

Oranžinė knyga“)

mob_info