Državni standardi u području informacijske sigurnosti. Međunarodni pravni standardi u području zaštite osobnih podataka. Usporedba i analiza nacionalnih i međunarodnih normizacijskih sustava

Problem informatičke sigurnosti računala nije nov - stručnjaci se njime bave od samog trenutka kada je računalo počelo obrađivati ​​podatke koji su od velike vrijednosti za korisnika. Međutim, posljednjih godina, zbog razvoja mreža, raste potražnja za elektroničke usluge Situacija u području informacijske sigurnosti ozbiljno se pogoršala, a pitanje standardizacije pristupa njezinom rješavanju postalo je posebno aktualno kako za programere tako i za korisnike IT alata.

Zašto trebate znati teoriju?

Bilo koji stručnjak sigurnost informacija prolazi kroz tri faze svog profesionalnog razvoja. Prvi od njih je "raditi rukama". Pridošlica intenzivno, specijaliziranim alatima, traži i otklanja vrlo specifične nedostatke u sustavnom i aplikativnom softveru. Skener, patch, port, veza - to su entiteti s kojima radi u ovoj fazi.

Druga faza je "rad glavom". Umoran od popunjavanja sve više i više novih praznina, stručnjak počinje razvijati planove i metode čija je svrha pojednostaviti radnje za poboljšanje sigurnosti sustava i uklanjanje posljedica informacijskih prijetnji. Upravo u ovoj fazi javlja se koncept "sigurnosne politike".

Konačno, dolazi vrijeme za razmišljanje - u ovoj fazi iskusni stručnjak shvaća da najvjerojatnije ponovno izmišlja kotač, budući da su sigurnosne strategije vjerojatno već razvijene prije njega. I u tome je svakako u pravu.

Brojne organizacije diljem svijeta već se dugo bave problemom informacijske sigurnosti, a rezultat njihovih aktivnosti su ogromne količine standarda, propisa, preporuka, pravila itd. Teško je preporučljivo proučavati cijeli svezak, ali je, naravno, vrijedno poznavati temeljne dokumente. Stoga ćemo u ovom članku spomenuti samo najvažnije ruske i međunarodne odredbe koje uspostavljaju standarde u području informacijske sigurnosti.

Koncept informacijske sigurnosti

Razvoj informacijsko-telekomunikacijskih sustava za različite namjene (prvenstveno Internet), kao i elektronička razmjena vrijednih informacija kojima je potrebna zaštita, zahtijevao je od stručnjaka koji rade na ovom području da sistematiziraju i racionaliziraju osnovne zahtjeve i karakteristike računalnih sustava u smislu sigurnosti. Međutim, prije nego što prijeđemo na razmatranje formiranih standarda, potrebno je definirati što je sigurnost.

S obzirom na važnost pojma, pokušat ćemo formulirati njegovu proširenu definiciju, koja će uzeti u obzir najnovija međunarodna i domaća kretanja na ovom području. Dakle, informacijska sigurnost je stanje otpornosti podataka na slučajne ili namjerne utjecaje, isključujući neprihvatljive rizike njihovog uništenja, iskrivljavanja i otkrivanja, koji dovode do materijalne štete za vlasnika ili korisnika. Ova definicija najpotpunije uzima u obzir glavnu svrhu komercijalnog informacijskog računalnog sustava - minimiziranje financijskih gubitaka, postizanje maksimalne dobiti u slučaju stvarnih rizika.

Ova odredba posebno je relevantna za tzv otvoreni sustavi javne domene koji obrađuju klasificirane podatke ograničen pristup, koji ne sadrži državne tajne. Danas se sustavi ove vrste ubrzano razvijaju kako u svijetu tako i kod nas.

Međunarodni standard informacijske sigurnosti

Poznato je da je normizacija temelj svih vrsta metoda utvrđivanja kvalitete proizvoda i usluga. Jedan od glavnih rezultata takvih aktivnosti na području sistematizacije zahtjeva i karakteristika sigurnih informacijskih sustava bio je Sustav međunarodnih i nacionalnih standarda informacijske sigurnosti koji sadrži više od stotinu različitih dokumenata. Primjer je standard ISO 15408, poznat kao "Zajednički kriteriji".

Osnovni standard informacijske sigurnosti ISO 15408, usvojen 1998. godine, svakako je vrlo važan za ruske programere. Štoviše, ove, 2001. godine, Gosstandart planira pripremiti usklađenu verziju ovog dokumenta. Međunarodna organizacija za standardizaciju (ISO) započela je s razvojem međunarodnog standarda za kriterije procjene sigurnosti informacijske tehnologije za opću upotrebu "Common Criteria" 1990. godine. U njegovom stvaranju sudjeluju: Nacionalni institut za standarde i tehnologiju i Agencija za nacionalnu sigurnost (SAD), Uspostava za komunikacijsku sigurnost (Kanada), Agencija za informacijsku sigurnost (Njemačka), Nacionalna agencija za komunikacijsku sigurnost (Nizozemska), provedbena tijela IT Security and Certification Program (Engleska), Centar za sigurnost sustava (Francuska). Kada je standard finaliziran, dobio je broj ISO 15408.

Zajednički kriteriji (CC) stvoreni su za međusobno priznavanje rezultata procjene IT sigurnosti na globalnoj razini i predstavljaju njegovu osnovu. Omogućuju vam da usporedite rezultate neovisnih procjena informacijske sigurnosti i tolerancije na rizik na temelju skupa općih zahtjeva za sigurnosne funkcije IT alata i sustava, kao i jamstava koja se na njih primjenjuju tijekom procesa testiranja.

Glavne prednosti OK-a su potpunost zahtjeva za informacijskom sigurnošću, fleksibilnost u primjeni i otvorenost za naknadni razvoj uzimajući u obzir najnovija dostignuća znanosti i tehnologije. Kriteriji su osmišljeni tako da zadovolje potrebe sve tri skupine korisnika (potrošači, programeri i evaluatori) pri ispitivanju sigurnosnih svojstava IT alata ili sustava (objekta evaluacije). Ova je norma korisna kao vodič pri razvoju IT sigurnosnih značajki, kao i pri kupnji komercijalnih proizvoda sa sličnim značajkama. Glavni fokus procjene su prijetnje koje proizlaze iz zlonamjernih ljudskih radnji, ali OC se također može koristiti u procjeni prijetnji uzrokovanih drugim čimbenicima. U budućnosti se očekuje stvaranje posebnih zahtjeva za komercijalni kreditni i financijski sektor. Podsjetimo, dosadašnji domaći i strani dokumenti ove vrste bili su vezani uz uvjete državnog ili vojnog sustava koji obrađuje tajne podatke koji mogu sadržavati državnu tajnu.

Objavljivanje i implementacija ovog standarda u inozemstvu prati razvoj novih, standardizirana arhitektura koja je dizajnirana da osigura informacijsku sigurnost računalnih sustava. Drugim riječima, tehnički i softver Računala koja zadovoljavaju Opće kriterije. Na primjer, međunarodna organizacija "Open Group", koja ujedinjuje oko 200 vodećih računalnih i telekomunikacijskih tvrtki iz cijelog svijeta, objavila je novu informacijsku sigurnosnu arhitekturu za komercijalne automatizirani sustavi uzimajući u obzir navedene kriterije. Osim toga, "Otvorena grupa" stvara programe učenja, omogućavajući brzu i kvalitetnu implementaciju standardizacijskih dokumenata.

Značajke procesa standardizacije Interneta

U Globalna mreža postoji već dugo vremena cijela linija odbora koji se bave standardizacijom svih internetskih tehnologija. Ove organizacije, koje čine najveći dio Internet Engineering Task Force (IETF), već su standardizirale nekoliko važnih protokola, čime su ubrzale njihovo usvajanje na Internetu. TCP/IP obitelj protokola za prijenos podataka, SMTP i POP za e-poštu, kao i SNMP (Simple Network Management Protocol) za upravljanje mrežom rezultati su IETF-a.

Tijekom proteklih nekoliko godina, online tržište je svjedočilo onome što je poznato kao fragmentirani utjecaj na formiranje standarda. Kako se Internet širio na potrošačka i komercijalna tržišta, neke su tvrtke počele tražiti načine da utječu na standardizaciju stvaranjem privida konkurencije. Čak su i neformalna tijela kao što je IETF osjetila pritisak. Kako su se tržišta povezana s internetom razvijala, poduzetnici su počeli osnivati ​​posebne grupe ili konzorcije za promicanje vlastitih standarda. Primjeri uključuju OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum i Java Development Connection. Ponekad ozbiljni potrošači internetskih usluga svojim kupnjama ili narudžbama postavljaju de facto standarde.

Jedan od razloga nastanka različitih skupina standarda je proturječnost između sve bržeg tempa razvoja tehnologije i dugog ciklusa stvaranja standarda.

Internetski sigurnosni standardi

Protokoli za sigurni prijenos podataka popularni su kao sredstva za osiguranje sigurnosti na Internetu, odnosno SSL (TLS), SET, IP v. 6. Pojavili su se relativno nedavno i odmah su postali de facto standardi.

SSL (TLS)

Trenutačno najpopularniji mrežni protokol šifriranja podataka za siguran prijenos preko mreže skup je kriptografskih algoritama, metoda i pravila za njihovu primjenu. Omogućuje vam uspostavljanje sigurne veze, nadzor integriteta podataka i rješavanje raznih povezanih problema.

SET

SET (Security Electronics Transaction) obećavajući je protokol koji omogućuje sigurne elektroničke transakcije na internetu. Temelji se na korištenju digitalnih certifikata prema standardu X.509 i namijenjen je organiziranju elektroničkog poslovanja putem mreže.

Ovaj protokol je standard koji su razvili MasterCard i Visa uz sudjelovanje IBM-a, GlobeSeta i drugih partnera. Kupcima omogućuje kupnju robe putem interneta koristeći najsigurniji mehanizam plaćanja koji je danas dostupan. SET je otvoreni standardni multilateralni protokol za plaćanje na internetu korištenjem plastičnih kartica. Omogućuje unakrsnu provjeru autentičnosti između računa vlasnika kartice, trgovca i trgovačke banke za provjeru spremnosti plaćanja, kao i integritet i tajnost poruke te enkripciju vrijednih i osjetljivih podataka. SET se može smatrati standardnom tehnologijom ili sustavom protokola za sigurno plaćanje na temelju plastičnih kartica putem Interneta.

IPSec

IPSec specifikacija je uključena u IP v standard. 6 i dodatak je Trenutna verzija TCP/IP protokoli. Razvija ga Radna skupina za IP sigurnost IETF-a. IPSec trenutno uključuje tri osnovne specifikacije neovisne o algoritmu koje predstavljaju odgovarajuće RFC standarde.

Protokol IPSec pruža standardni načinšifriranje prometa na mrežnoj (trećoj) IP razini i štiti informacije na temelju end-to-end enkripcije: bez obzira na pokrenutu aplikaciju, svaki paket podataka koji prolazi kroz kanal je šifriran. Organizacijama omogućuje stvaranje virtualnih privatnih mreža na internetu. IPSec radi povrh konvencionalnih komunikacijskih protokola, podržavajući DES, MD5 i niz drugih kriptografskih algoritama.

Osiguranje informacijske sigurnosti na mrežnoj razini pomoću IPSec-a uključuje:

• podrška za neizmijenjene krajnje sustave;
• podrška za transportne protokole osim TCP-a;
• podrška virtualne mreže u nezaštićenim mrežama;
• zaštita zaglavlja transportnog sloja od presretanja (zaštita od neovlaštene analize prometa);
• zaštita od napada uskraćivanjem usluge.

Osim toga, IPSec ima dvije važne prednosti:

1. njegova uporaba ne zahtijeva promjene u međumrežnim uređajima;
2. Stolna računala i poslužitelji ne moraju nužno podržavati IPSec.

Značajke ruskog tržišta

Povijesno gledano, u Rusiji su problemi IT sigurnosti proučavani i brzo rješavani samo u području zaštite državnih tajni. Slični, ali imaju svoje specifične zadaće komercijalnog sektora gospodarstva dugo vremena nije pronašao odgovarajuća rješenja. Ta činjenica još uvijek znatno usporava nastanak i razvoj sigurnih IT alata u Hrvatskoj domaće tržište, koji se integrira u svjetski sustav. Štoviše, informacijska sigurnost u komercijalnom automatiziranom sustavu ima svoje karakteristike koje se jednostavno moraju uzeti u obzir, jer imaju ozbiljan utjecaj na tehnologiju informacijske sigurnosti. Navodimo glavne:

1. Prioritet ekonomskih faktora. Za komercijalni automatizirani sustav vrlo je važno smanjiti ili eliminirati financijske gubitke i osigurati da vlasnik i korisnici ovog alata ostvare profit pod stvarnim rizicima. Važan uvjet u isto vrijeme, posebice, minimizira tipične bankovne rizike (primjerice, gubitke zbog pogrešnih uputa za plaćanje, krivotvorenje isprava o plaćanju itd.);
2. Otvorenost dizajna, koja omogućuje stvaranje podsustava informacijske sigurnosti od alata koji su široko dostupni na tržištu i rade u otvorenim sustavima;
3. Pravni značaj komercijalnih informacija, koje se mogu definirati kao svojstvo sigurne informacije koje omogućuje davanje pravne snage elektroničkim dokumentima ili informacijskim procesima u skladu s pravnim režimom izvori informacija utvrđeno zakonodavstvom Ruske Federacije. Ovaj uvjet u posljednje vrijeme postaje sve važniji u našoj zemlji usporedo sa stvaranjem regulatornog okvira za IT sigurnost (osobito s interakcijom automatiziranih sustava različitih pravnih subjekata).

Očito je da je stvaranje sigurnog IT-a koji obrađuje povjerljive podatke koji ne sadrže državne tajne iznimno važno za gospodarski i financijski život moderne Rusije. Primjena u Rusiji usklađene norme ISO 15408 ("Zajednički kriteriji"), koja odražava najnovija globalna dostignuća u procjeni informacijske sigurnosti, omogućit će:

• uvesti ruski IT u suvremene međunarodne zahtjeve informacijske sigurnosti, što će pojednostaviti, primjerice, korištenje stranih proizvoda i izvoz vlastitih;
• olakšati razvoj relevantnih ruskih specijaliziranih regulatornih i metodoloških materijala za testiranje, procjenu (monitoring) i certifikaciju sigurnih bankarskih i drugih IT alata i sustava;
• stvoriti podlogu za kvalitativnu i kvantitativnu procjenu informacijskih rizika potrebnih za osiguranje automatiziranih sustava;
• smanjiti ukupne troškove održavanja režima informacijske sigurnosti u bankama i poduzećima tipiziranjem i unificiranjem metoda, mjera i sredstava zaštite informacija.

Državni standardi

Među različitim informacijsko-tehnološkim sigurnosnim standardima koji postoje u našoj zemlji treba istaknuti niz dokumenata koji reguliraju zaštitu međusobnog povezivanja otvorenih sustava (tablica 1, redovi 1-3). Njima možete dodati regulatorne dokumente o alatima, sustavima i kriterijima za procjenu sigurnosti računalne opreme i automatiziranih sustava (vidi tablicu 1, retke 4-8). Posljednja skupina dokumenata, kao i mnogi prethodno stvoreni inozemni standardi, usmjerena je prvenstveno na zaštitu državne tajne.

Kako i gdje funkcioniraju različiti standardi

Svi trenutno dostupni standardi su višerazinski. To znači da je njihova upotreba ograničena na određenu razinu apstrakcije u informacijskim sustavima (na primjer, "Zajednički kriteriji" ne mogu se koristiti za detaljan opis mehanizma za generiranje ključa sesije u TLS protokolu). Očito je da je za učinkovitu primjenu standarda potrebno dobro razumjeti njihovu razinu i svrhu.

Stoga je pri razvoju sigurnosne politike i sustava procjene učinka, kao i pri provođenju sveobuhvatnih sigurnosnih testova, najbolje koristiti odredbe ISO 15408 („Zajednički kriteriji“). Odgovarajući GOST standardi namijenjeni su implementaciji i ocjeni tehničke savršenosti sustava šifriranja i digitalnog potpisa. Ako trebate zaštititi kanal za razmjenu proizvoljnih informacija, onda je preporučljivo koristiti TLS protokol. Kada se ne radi samo o zaštiti? komunikacijske linije, a što se tiče sigurnosti financijskih transakcija, SET dolazi u obzir, uključujući sigurnosne protokole kanala kao jedan od standarda niže razine.

Od teorije do prakse

Kako bismo pokazali praktičnu važnost gore navedenih odredbi, pružamo popis sigurnosnih standarda koji se koriste u složenoj implementaciji usluga elektroničkog bankarstva InterBank

SSL (TLS) protokol može se koristiti za zaštitu kanala razmjene informacija u sustavima RS-Portal i Internet Client. Standardi GOST 28147-89, GOST R 34.10-94 i GOST R 34.11-94, koji reguliraju šifriranje podataka i mehanizam elektroničkog digitalnog potpisa, implementirani su u sve sustave kriptografske zaštite podsustava tipa "klijent-banka" ("DOS klijent" , "Windows klijent" , "Internetski klijent").

Korištenjem IPSec protokola možete transparentno zaštititi svaki kanal razmjene informacija između klijenta i banke koristeći IP mrežni protokol. Ovo se odnosi i na internetske sustave (RS-Portal i Internet Client) i na sustav elektroničke pošte RS-Mail, koji podržava IP rad.

Nadamo se da će vam informacije navedene u članku pomoći u procjeni pouzdanosti vaših sustava, a napori i vrijeme programera bit će usmjereni na stvaranje istinskih najbolje sredstvo, što će postati novi korak u razvoju tehnologije informacijske sigurnosti.

ISO/IEC 27001- međunarodna norma za informacijsku sigurnost, koju su zajednički razvili Međunarodna organizacija za standardizaciju i Međunarodna elektrotehnička komisija. Norma sadrži zahtjeve u području informacijske sigurnosti za stvaranje, razvoj i održavanje sustava upravljanja informacijskom sigurnošću (ISMS).

Namjena standarda. Norma ISO/IEC 27001 (ISO 27001) sadrži opise najbolje svjetske prakse u području upravljanja informacijskom sigurnošću. ISO 27001 specificira zahtjeve za sustav upravljanja sigurnošću informacija kako bi pokazao sposobnost organizacije da zaštiti svoju informacijsku imovinu. Ova je norma pripremljena kao model za razvoj, implementaciju, rad, praćenje, analizu, podršku i poboljšanje sustava upravljanja informacijskom sigurnošću (ISMS).

Svrha ISMS-a— odabir odgovarajućih sigurnosnih kontrola namijenjenih zaštiti informacijske imovine i osiguravanju povjerenja zainteresiranih strana.

Osnovni koncepti. Informacijska sigurnost - očuvanje povjerljivosti, cjelovitosti i dostupnosti informacija; osim toga, druga svojstva mogu biti uključena, kao što su autentičnost, neporicanje i pouzdanost.

Povjerljivost - osiguranje da su informacije dostupne samo onima koji imaju odgovarajuće ovlasti (ovlašteni korisnici).

Cjelovitost - osiguranje točnosti i potpunosti informacija, kao i metode za njihovu obradu.

Dostupnost - osiguranje pristupa informacijama ovlaštenim korisnicima kada je to potrebno (na zahtjev).

Norma ISO 27001 osigurava:

· definiranje ciljeva i razumijevanje smjera i načela djelovanja u vezi s informacijskom sigurnošću;

· određivanje pristupa procjeni i upravljanju rizicima u organizaciji;

· upravljanje informacijskom sigurnošću u skladu s primjenjivim zakonima i regulatornim zahtjevima;

· korištenje jedinstvenog pristupa pri izradi, implementaciji, radu, praćenju, analizi, podršci i poboljšanju sustava upravljanja kako bi se postigli ciljevi informacijske sigurnosti;

· definiranje procesa sustava upravljanja informacijskom sigurnošću;

· utvrđivanje statusa mjera informacijske sigurnosti;

· korištenje internih i eksternih audita za utvrđivanje stupnja usklađenosti sustava upravljanja informacijskom sigurnošću sa zahtjevima norme;

· pružanje odgovarajućih informacija partnerima i drugim zainteresiranim stranama o politici informacijske sigurnosti.

Načela pravnog uređenja odnosa u području informacija, informacijskih tehnologija i zaštite informacija prema sadržaju Saveznog zakona Ruske Federacije od 27. srpnja 2006. br. 149-FZ „O informacijama, informacijskim tehnologijama i zaštiti informacija.”

Pravno uređenje odnosa nastalih u području informacija, informacijske tehnologije i zaštite informacija temelji se na sljedećim načelima:

1) slobodu traženja, primanja, prijenosa, proizvodnje i širenja informacija na bilo koji zakonit način;

2) uspostavljanje ograničenja pristupa informacijama samo saveznim zakonima;

3) javnost informacija o radu državnih tijela i tijela lokalne samouprave i slobodan pristup tim informacijama, osim u slučajevima utvrđenim saveznim zakonima;

4) jednakost prava za jezike naroda Ruske Federacije tijekom stvaranja informacijski sustavi i njihov rad;

5) osiguranje sigurnosti Ruske Federacije tijekom stvaranja informacijskih sustava, njihovog rada i zaštite podataka sadržanih u njima;

6) pouzdanost informacija i pravovremenost njihovog davanja;

7) nepovredivost privatnog života, nedopuštenost prikupljanja, pohranjivanja, korištenja i širenja podataka o privatnom životu osobe bez njezina pristanka;

8) nedopustivost utvrđivanja regulatornim pravnim aktima bilo kakvih prednosti korištenja nekih informacijskih tehnologija u odnosu na druge, osim ako je obvezna uporaba određenih informacijskih tehnologija za stvaranje i rad državnih informacijskih sustava utvrđena saveznim zakonima.

Strategija nacionalne sigurnosti Ruske Federacije do 2020. Struktura, ciljevi, metode i načini na koje država provodi svoje funkcije za osiguranje informacijske sigurnosti u „Doktrini informacijske sigurnosti Ruske Federacije“.

Strategija nacionalne sigurnosti Ruske Federacije do 2020. službeno je priznat sustav strateških prioriteta, ciljeva i mjera u području unutarnje i vanjske politike koji određuju stanje nacionalne sigurnosti i razinu održivog razvoja države u dugoročnom razdoblju. .

Doktrina informacijske sigurnosti Ruske Federacije skup je službenih stavova o ciljevima, ciljevima, načelima i glavnim pravcima osiguranja informacijske sigurnosti Ruske Federacije.

Komponente nacionalnih interesa Ruske Federacije u informacijskoj sferi u doktrini:

1) Obvezno poštivanje ustavnih ljudskih prava i sloboda u području dobivanja informacija i njihove uporabe.

2) Informacijska podrška državnoj politici Ruske Federacije (priopćavanje građanima Ruske Federacije i međunarodnoj zajednici o državnoj politici Ruske Federacije, službeni stav o značajnim događajima u Rusiji i svijetu) s pristupom građanima za otvaranje državnih resursa.

3) Razvoj suvremene informatike u domaćoj industriji (informatička, telekomunikacijska i komunikacijska sredstva). Pružanje IT-a za rusko domaće tržište i ulazak na globalna tržišta.

4) Zaštita informacijskih izvora od neovlaštenog pristupa, osiguranje sigurnosti informacijskih i telekomunikacijskih sustava.

Vrste prijetnji informacijskoj sigurnosti Ruske Federacije u doktrini:

1. Ugrožavanje ustavnih ljudskih prava i sloboda u području informativne djelatnosti.

2. Prijetnje informacijskoj potpori državne politike Ruske Federacije.

3. Prijetnja razvoju suvremene informatike u domaćoj industriji, kao i izlasku na domaće i svjetsko tržište.

4. Prijetnje sigurnosti informacijskih i telekomunikacijskih objekata i sustava.

Metode za osiguranje informacijske sigurnosti Ruske Federacije u doktrini:

Pravne metode

Izrada normativnih pravnih akata koji reguliraju odnose u IT području

Organizacijske i tehničke metode

Stvaranje sustava informacijske sigurnosti Ruske Federacije i njegovo poboljšanje

Privođenje pravdi onih koji su počinili zločine na ovim prostorima

Stvaranje sustava i sredstava za sprječavanje neovlaštenog pristupa obrađenim informacijama

Ekonomske metode

Razvoj programa informacijske sigurnosti i njihovo financiranje

Financiranje poslova vezanih uz osiguranje informacijske sigurnosti Ruske Federacije

Sažetak predavanja

1. Preduvjeti za stvaranje međunarodnih standarda informacijske sigurnosti (IS).

1.1. Svrha i ciljevi međunarodne normizacije

1.2. Međunarodna organizacija za standardizaciju, ISO

1.3. Osnovni međunarodni standardi informacijske sigurnosti

2. Kriteriji za ocjenu povjerenja računalni sustavi (« Narančasta knjiga")

2.1.Osnovne informacije

2.2 Osnovni zahtjevi i alati

3. Osnovni pojmovi

4. Mehanizmi implementacije sigurnosti

5. Sekcije i klase sigurnosti.

5.1. Sigurnosni odjeljci

5.2. Klase sigurnosti

6. Kratka klasifikacija

Međunarodni kriteriji za ocjenu sigurnosti informacijskih tehnologija u stranim zemljama

Sažetak predavanja

1. Usklađeni kriteriji europskih zemalja

2. Njemački standard BSI

3. Britanski standard BS 7799

4. Međunarodni standard IS O/I EC 15408„Kriteriji za ocjenu sigurnosti informacijskih tehnologija“. "Opći kriteriji"

Preduvjeti za stvaranje međunarodnih standarda informacijske sigurnosti

1.1. Opća pitanja

U inozemstvu se razvoj normi provodi kontinuirano, nacrti i verzije normi dosljedno se objavljuju u različitim fazama usklađivanja i odobravanja. Neki se standardi postupno produbljuju i detaljiziraju u obliku skupa skupina standarda međusobno povezanih konceptima i strukturom.

Opće je prihvaćeno da je sastavni dio općeg procesa standardizacije informacijskih tehnologija (IT) razvoj standarda vezanih uz problem informatičke sigurnosti, koji postaje sve aktualniji zbog trendova sve veće međusobne integracije primijenjenih zadataka, izgradnje na temelju distribuirane obrade podataka, telekomunikacijskih sustava, tehnologija elektroničke razmjene podataka.

Razvoj standardi za otvorene sustave , uključujući standarde iz područja IT sigurnosti, implementira niz specijaliziranih međunarodnih organizacija i konzorcija kao što su npr. ISO, IEC, ITU-T, IEEE, IAB, WOS, ECMA, X/Open, OSF, OMG.

Značajan rad na standardizaciji pitanja informatičke sigurnosti provode specijalizirane organizacije i na nacionalnoj razini. Sve je to do danas omogućilo formiranje prilično opsežne metodološke baze, u obliku međunarodnih, nacionalnih i industrijskih standarda, kao i regulatornih i uputnih materijala koji reguliraju aktivnosti u području IT sigurnosti.

1.2. Stanje međunarodnog regulatornog i metodološkog okvira

Kako bi se sistematizirala analiza postojećeg stanja međunarodnog regulatornog i metodološkog okvira u području informatičke sigurnosti, potrebno je koristiti neke klasifikacija normizacijskih područja .

Općenito, mogu se razlikovati sljedeći smjerovi :

1. Generalni principi upravljanje informacijskom sigurnošću.

2. IT sigurnosni modeli.

3. IT sigurnosne metode i mehanizmi (kao što su, na primjer: metode provjere autentičnosti, upravljanje ključevima itd.).

4. Kriptografski algoritmi.

5. Metode procjene sigurnosti informacijskih sustava.

6. Sigurnost EDI tehnologija.

7. Sigurnost međumrežnih interakcija (firewall).

8. Certifikacija i certifikacija objekata normizacije.

Svrha i ciljevi međunarodne normizacije

Standard je isprava kojom se utvrđuju svojstva proizvoda, rad, skladištenje, prijevoz, prodaja i zbrinjavanje, izvođenje radova ili pružanje usluga. Standard također može sadržavati zahtjeve za terminologiju, simbole, ambalažu, oznake ili etikete i pravila za njihovu primjenu.

Međunarodni standard - norma koju je usvojila međunarodna organizacija. U praksi, međunarodne norme često također znače regionalne norme i norme koje su razvila znanstvena i tehnička društva i usvojile kao norme razne zemlje diljem svijeta.

Međunarodna standardizacija - normizacija, u kojoj je sudjelovanje otvoreno nadležnim tijelima svih zemalja.

Glavna svrha međunarodnih standarda - to je stvaranje na međunarodnoj razini jedinstvene metodološke osnove za razvoj novih i poboljšanje postojećih sustava kvalitete i njihovu certifikaciju.

Znanstvena i tehnička suradnja u području normizacije usmjerena je na usklađivanje nacionalnog normizacijskog sustava s međunarodnim, regionalnim i progresivnim. nacionalni sustavi standardizacija.

Za razvoj međunarodne standardizacije zainteresirane su i industrijalizirane zemlje i zemlje u razvoju koje stvaraju vlastita nacionalna gospodarstva.

Međunarodni standardi nemaju status obveznih za sve zemlje sudionice. Bilo koja država na svijetu ima pravo primjenjivati ​​ih ili ne primjenjivati. Rješavanje pitanja primjene međunarodne norme ISO povezana je uglavnom sa stupnjem sudjelovanja zemlje u međunarodnoj podjeli rada i stanjem njezine vanjske trgovine. ISO je vodeća međunarodna organizacija u području normizacije.

1.4. Međunarodna organizacija za standardizaciju, ISO

Međunarodna organizacija za standardizaciju , IS O (Međunarodna organizacija za standardizaciju, ISO) - međunarodna organizacija koja proizvodi standarde.

Međunarodna organizacija JE O počela funkcionirati 23. veljače 1947. godine. kao dobrovoljna, nevladina organizacija. Osnovana je na temelju onoga što je postignuto na sastanku u Londonu godine 1946. godine dogovore između predstavnika 25 industrijaliziranih zemalja o stvaranju organizacije s ovlastima da na međunarodnoj razini koordinira razvoj različitih industrijskih normi i provodi postupak za njihovo prihvaćanje kao međunarodne norme.

Pri stvaranju organizacije i odabiru naziva vodilo se računa o potrebi da skraćenica naziva zvuči jednako na svim jezicima. Za to je odlučeno upotrijebiti grčku riječ isos- jednaka, zbog čega na svim jezicima svijeta Međunarodna organizacija za standardizaciju ima skraćeni naziv JE O (ISO).

Područje djelovanja ISO odnosi se na standardizaciju u svim područjima, osim elektrotehnike i elektronike, koji spada u nadležnost Međunarodne elektrotehničke komisije ( IEC). Neke vrste poslova ove organizacije provode zajedno. Osim standardizacije ISO također se bavi pitanjima certificiranja.

ISO namjena - promicanje razvoja standardizacije na globalnoj razini radi olakšavanja međunarodne trgovine i uzajamne pomoći, kao i radi proširenja suradnje u području intelektualnih, znanstvenih, tehničkih i gospodarskih aktivnosti.

V.V. Tihonenko Voditelj Unije stručnjaka za kvalitetu (Kijev, Ukrajina), dr. sc. direktor tvrtke EKTC "VATT"

U članku se daje opis glavnih međunarodnih i nacionalnih sigurnosnih standarda. Razmatraju se definicije pojmova „sigurnost“, „opasnost“, „rizik“. Izrađene su pretpostavke o mogućnosti korištenja Heisenbergovih načela nesigurnosti i Bohrovih načela komplementarnosti za opisivanje opasnosti.

Što je "sigurnost"?

Osiguravanje sigurnosti jedan je od najvažnijih zahtjeva koji svatko, svugdje i uvijek mora ispuniti, jer je svaka aktivnost potencijalno opasna. Sigurnost je povezana s rizikom (oni su međusobno ovisni). Razmotrimo definicije ovih pojmova dane u standardima.

Sigurnost— nepostojanje neprihvatljivog rizika.

Opasnost— potencijalni izvor štete.

Rizik— učinak neizvjesnosti cilja.

Dakle, sigurnost nije obilježena odsutnošću rizika uopće, već samo odsutnošću neprihvatljivog rizika. Standardi definiraju prihvatljivi rizik kao "optimalnu ravnotežu između sigurnosti i zahtjeva koje proizvod, proces ili usluga moraju zadovoljiti, kao i čimbenika kao što su dobrobit za korisnika, isplativost, prilagođenost itd." Standard, koji često koriste tvrtke, definira prihvatljivi rizik kao "rizik sveden na razinu koju organizacija može tolerirati, s obzirom na zakonske obveze i vlastitu politiku zdravlja i sigurnosti na radu."

Standardi reguliraju načine smanjenja rizika (prema prioritetu):

• izrada sigurnog projekta;
• zaštitna sredstva i osobna zaštitna sredstva (to su skupna i pojedinačna zaštitna sredstva - op.a.);
• informacije o instalaciji i primjeni;
• obrazovanje.

Vrste sigurnosnih standarda

Prema tome, mogu postojati sljedeće vrste sigurnosnih standarda:

• temeljni, koji uključuje temeljne koncepte, načela i zahtjeve koji se odnose na glavne aspekte sigurnosti. Ovi se standardi primjenjuju na širok raspon proizvoda, procesa i usluga;
• grupa koja sadrži sigurnosne aspekte primjenjive na nekoliko tipova ili na obitelj srodnih tipova proizvoda, procesa ili usluga. Ovi se dokumenti pozivaju na temeljne sigurnosne standarde;
• sigurnosni standardi proizvoda koji pokrivaju sigurnosne aspekte određene vrste ili obitelji proizvoda, procesa ili usluga. Ovi se dokumenti pozivaju na temeljne i grupne standarde;
• standarde proizvoda koji sadrže sigurnosne aspekte, ali nisu ograničeni na ova pitanja. Trebali bi se pozivati ​​na temeljne i grupne sigurnosne standarde. U tablici su navedeni primjeri međunarodnih standarda koji se odnose na navedene vrste. Preporučujemo da se upoznate s tablicom. 1 standard, koji specificira međunarodne, europske i ruske regulatorne dokumente koji sadrže zahtjeve za karakteristike sigurnosne funkcije.

Postavljanje sigurnosnih zahtjeva u propisima/standardima treba se temeljiti na analizi rizika od štete za ljude, imovinu ili okoliš ili njihovoj kombinaciji - to kažu standardi. Slika shematski prikazuje glavne rizike poduzeća s naznakom standarda upravljanja rizicima.

Možda bi za opisivanje i analizu opasnosti i rizika bilo moguće koristiti Diracove delta funkcije i Heavisideove funkcije, budući da je prijelaz s prihvatljivog na neprihvatljivi rizik nagao.

Sigurnosna načela i alati

Teoretski, mogu se razlikovati sljedeća načela sigurnosti:

• menadžerski (adekvatnost, kontrola, Povratne informacije, odgovornost, planiranje, stimulacija, upravljanje, učinkovitost);
• organizacijski (zaštita vremena, informacije, redundancija, nekompatibilnost, racioniranje, odabir osoblja, dosljednost, ergonomija);
• tehnički (blokiranje, vakumiranje, brtvljenje, zaštita udaljenosti, kompresija, čvrstoća, slaba karika, flegmatizacija, zaštita);
• orijentacija (aktivnost operatera, zamjena operatera, klasifikacija, uklanjanje opasnosti, dosljednost, smanjenje opasnosti).

Zadržimo se detaljnije na principu klasifikacije (kategorizacije). Sastoji se od podjele objekata u klase i kategorije na temelju karakteristika povezanih s opasnostima. Primjeri: zone sanitarne zaštite (5 klasa), kategorije proizvodnje (prostora) za opasnost od eksplozije (A, B, C, D, D), kategorije/razredi prema ATEX direktivama (3 kategorije opreme, 6 zona), opasnost od otpada klase (5 klasa - u Rusiji, 4 klase - u Ukrajini), klase opasnosti tvari (4 klase), klase opasnosti pri prijevozu opasne robe (9 klasa) itd.

Informacija

Prema Heinrichovim izračunima, na svaku smrtonosnu nesreću dolazi oko 30 ozljeda s lakšim posljedicama i oko 300 drugih incidenata koji mogu proći gotovo nezapaženo. Pritom su neizravni ekonomski troškovi otklanjanja posljedica četiri puta veći od izravnih.

Referenca

oko 20% svih štetnih događaja povezano je s kvarovima opreme, a 80% je uzrokovano ljudskom pogreškom, od čega je 70% grešaka nastalo zbog skrivenih organizacijskih slabosti (greške su bile skrivene, na njih se nije reagiralo), a oko 30 % povezani su s pojedinačnim radnikom.

Riža. Rizici poduzeća (primjer) i primjenjivi standardi

Bilješke:

ESO - Europski standardi ocjenjivanja (Europska grupa procjenitelja TEGoVA);

MCO - Međunarodni standardi vrednovanja (imovina);

MSFI - Međunarodni standardi financijskog izvještavanja (MSFI);

BASEL II - sporazum “Međunarodna konvergencija mjerenja kapitala i kapitalnih standarda: novi pristupi” Baselskog odbora za nadzor banaka;

BRC - The British Retail Consortium Globalni standardi;

COBIT - Control Objectives for Information and Related Technology - paket otvoreni dokumenti, oko 40 međunarodnih i nacionalnih normi i smjernica iz područja IT upravljanja, revizije i IT sigurnosti); COSO - Committee of Sponsoring Organisations of the Treadway Commission (standard of the Committee of Sponsoring Organisations of the Treadway Commission);

FERMA - Federacija europskih udruga za upravljanje rizicima (standard Federacije europskih udruga za upravljanje rizicima); GARP - Global Association of Risk Professionals (standard Udruge Risk Professionals);

IFS - International Featured Standards (Međunarodni standardi za proizvodnju i prodaju prehrambenih proizvoda);

ISO/PAS 28000 - Specifikacija sustava upravljanja sigurnošću za lanac opskrbe (Sustavi upravljanja sigurnošću lanca opskrbe. Tehničke specifikacije);

NIST SP 800-30 - Vodič za upravljanje rizikom za sustave informacijske tehnologije.

Stol. Sigurnosni standardi (primjeri)

Zaštitna oprema se dijeli na kolektivnu zaštitnu opremu (CPS) i osobnu zaštitnu opremu (PPE). Zauzvrat, SKZ i OZO podijeljeni su u skupine ovisno o prirodi opasnosti, oblikovati, područja primjene itd.

Osnovni sigurnosni standardi

U Europskoj uniji zahtjevi za procjenu rizika na radu sadržani su u:

• Direktiva 89/391/EEZ (zahtjevi za uvođenje procjene rizika na radu u zemljama članicama EU);
• pojedinačne EU direktive o zaštiti na radu (89/654/EEC, 89/655/EEC, 89/656/EEC, 90/269/EEC, 90/270/EEC, 1999/92/EC itd.) i na zaštita radnika od kemijskih, fizičkih i bioloških rizika, kancerogenih i mutagenih tvari (98/24/EZ, 2000/54/EZ, 2002/44/EZ, 2003/10/EZ, 2004/40/EZ, 2004/37/ EC itd.) EU ATEX direktive također zauzimaju svoje posebno mjesto u području sigurnosti - jedna za proizvođače, a druga za korisnike opreme:
• "ATEX 95 oprema" (Direktiva 94/9/EC) - oprema i zaštitni sustavi namijenjeni za korištenje u potencijalno eksplozivnim atmosferama;
• "ATEX 137 radno mjesto" (Direktiva 1999/92/EC) - minimalni zahtjevi poboljšati sigurnost, zdravlje na radu i sigurnost radnika izloženih potencijalni rizik od izloženosti eksplozivnim atmosferama.

S obzirom na važnost procjene opasnosti na radu za sigurnost na radnom mjestu, Europska agencija za zdravlje i sigurnost objavila je Smjernice za procjenu rizika na radu 1996. godine i kontinuirano dodavala mnoge korisne primjere za prepoznavanje opasnosti u procjenama.

Općenito, zahtjevi europske REACH direktive također su usmjereni na osiguranje sigurnosti. Ovaj sustav se temelji na upravljanju rizicima povezanim sa tvarima sadržanim u kemijskim spojevima i, u nekim slučajevima, u proizvodima.

Važno mjesto zauzimaju standardi sustava sigurnog rada (GOST SSBT). To su dokumenti dobro izgrađenog sustava kakav postoji u malo zemalja u svijetu. Dakle, sigurnost tehnološke opreme mora biti u skladu s GOST 12.2.003, sigurnost tehnološki procesi— GOST 12.3.002. A ako se proizvode, skladište i koriste opasne tvari, tada se sigurnosni zahtjevi određuju prema GOST 12.1.007. Sigurnosni sustavi (uređaji, elementi) moraju biti u skladu s GOST 12.4.011, au slučaju požara i eksplozije - također GOST 12.1.004.

Sigurnosni zahtjevi za zgrade/strukture određeni su građevinskim kodovima i propisima.

Veliku važnost imaju i medicinski standardi i propisi (GMP - dobra proizvođačka praksa, GLP - dobra laboratorijska praksa, GDP - dobra distribucijska praksa, GPP - dobra ljekarnička praksa itd.).

Standarde sigurnosti hrane utvrđuje Komisija za Codex Alimentarius. Postoje i sigurnosni propisi u veterini i biljnoj proizvodnji.

Razvoj astronautike i nuklearne energije, kompliciranje zrakoplovne tehnologije doveli su do činjenice da je proučavanje sigurnosti sustava identificirano kao neovisno zasebno područje aktivnosti (na primjer, IAEA je objavila novu strukturu sigurnosnih standarda: GS-R-1 “Zakonodavna i vladina infrastruktura za nuklearnu i radijacijsku sigurnost, sigurnost radioaktivnog otpada i prijevoz”). Davne 1969. godine Ministarstvo obrane SAD-a usvojilo je standard MILSTD-882 “Program za osiguranje pouzdanosti sustava, podsustava i opreme”. Njime se utvrđuju zahtjevi za sve industrijske izvođače vojnih programa.

Važni dokumenti su sigurnosno-tehnički listovi (MSDS kartice). MSDS kartice obično sadrže sljedeće odjeljke: informacije o proizvodu, opasni sastojci, mogući učinci na zdravlje (dodir s kožom, izloženost hranom, ograničenja doza, iritirajući učinci, stimulativni učinci, sinergistički učinci s drugim kemikalijama), kratkotrajna izloženost, dugotrajna izloženost, učinak na reprodukciju, mutagenost, karcinogenost), postupci prve pomoći (u slučaju dodira s kožom, očima, želucem, udisanje), opasnost od požara i eksplozije (zapaljivost/zapaljivost - pod kojim uvjetima, načini upute za gašenje požara, posebne upute za gašenje požara , opasni produkti izgaranja), podaci o reaktivnosti (kemijska stabilnost, uvjeti reaktivnosti, opasni produkti raspadanja), postupci izlijevanja/curenja (uključujući odlaganje otpada, raspadanje/toksičnost u vodi, tlo, zrak), suzbijanje učinaka tvari i osobna zaštitna oprema ( tehnička oprema, rukavice, zaštita za disanje i oči, zaštitne cipele, zaštitna odjeća), zahtjevi za skladištenje i rad sa tvarima (postupci skladištenja, rada, prijevoza), fizikalne karakteristike tvari, okolišne, regulatorne, dodatne informacije. Takve MSDS kartice priprema proizvođač i predaje ih korisniku/potrošaču. Podaci iz MSDS kartica moraju biti uključeni u proizvodne upute i upute o zaštiti na radu.

Podaci

Primjeri povlačenja proizvoda zbog opasnosti

• Apple je povukao iPod nano 1G playere 2009. godine zbog opasnosti od eksplozije baterija(http://proit.com.ua/print/?id=20223).
• Godine 2010. McDonald's je povukao 12 milijuna kolekcionarskih čaša sa simbolima crtanog filma "Shrek" u Sjedinjenim Američkim Državama zbog činjenice da je u boji kojom su oslikane pronađen kadmij (www.gazeta.ru/news/lenta/. .. /n_1503285.shtml).
• Godine 2008. tisuće beba u Kini bile su hospitalizirane nakon što su se otrovale formulom koja je sadržavala melamin. Sanlu se službeno ispričao svojim potrošačima, rekavši da su dobavljači mlijeka svojim proizvodima dodali otrovne tvari (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian / international/newsid_7620000/7620305.stm).
• Francuska uprava za sigurnost medicinskih proizvoda zahtijevala je povlačenje jedne vrste proteze (silikonskih implantata) od 1. travnja 2010. jer nije prošla potrebne testove (http://www.newsru.co.il/health/01apr2010/pip301 .html ).
• Thule je nedavno otkrio da njegov komplet za montažu na krovni nosač nije dovoljno pouzdan (za proizvode proizvedene između 1. siječnja 2008. i 28. veljače 2009.) zbog lomljivosti priloženog vijka. Nakon što je tvrtka provela interno testiranje, utvrđeno je da osnovni vijak ne zadovoljava sigurnosne standarde tvrtke. Zbog visokog rizika za kupce (potencijalno lomljenje vijka pod opterećenjem moglo bi rezultirati odvajanjem nosača i utega tijekom vožnje), Thule je odlučio izdati trenutni opoziv proizvoda (http://www2.thulegroup.com/ en/Product-Recall /Introduction2/).

Zaključak

Stručnjaci koji razvijaju sigurnosne standarde moraju više pažnje posvetiti usklađivanju standarda koji se primjenjuju u različitim područjima. Na primjer, upotrijebite pristupe navedene u Heisenbergovim načelima nesigurnosti i Bohrovim načelima komplementarnosti. Također, imajte na umu ljudske pogreške i rješavanje organizacijskih slabosti. Uvođenje upravljanja rizicima u poduzećima pridonijet će poboljšanju razine sigurnosti. Posljednjih godina aktivno se razvijaju, primjerice, standardi upravljanja rizicima. Proučavanje i primjena ovih dokumenata također doprinosi poboljšanju sigurnosne kulture.

Naravno da su u području sigurnosti potrebni standardi, propisi, norme, pravila, upute, ali ništa manje važna nije njihova implementacija.

Kako biste osigurali sigurnost, morate znati odgovore na sljedeća pitanja:

1. Koja je vjerojatnost da se dogodi incident?

2. Koje će biti negativne posljedice?

3. Kako ih minimizirati?

4. Kako nastaviti aktivnosti tijekom i nakon incidenta?

5. Koji su prioriteti i vremenski okviri za oporavak?

6. Što, kako, kada i tko treba učiniti?

7. Koje preventivne mjere treba poduzeti kako bi se spriječile/minimizirale negativne posljedice?

Reference

1. GOST 12.1.007-76 (1999). SSBT. Štetne tvari. Razvrstavanje i opći sigurnosni zahtjevi.

2. GOST 12.1.004-91. SSBT. Sigurnost od požara. Opći zahtjevi.

3. GOST 12.2.003-91. SSBT. Oprema za proizvodnju. Opći sigurnosni zahtjevi.

4. GOST 12.3.002-75 (2000). SSBT. Proizvodni procesi. Opći sigurnosni zahtjevi.

5. GOST 12.4.011-89. SSBT. Zaštitna oprema za radnike. Opći zahtjevi i klasifikacija.

6. GOST R 51898-2002. Sigurnosni aspekti. Pravila za uključivanje u standarde.

7. GOST R 12.1.052-97. SSBT. Podaci o sigurnosti tvari i materijala (Sigurnosno-tehnički list). Osnovne odredbe.

8. GOST R ISO 13849-1-2003. Sigurnost opreme. Elementi sustava upravljanja vezani uz sigurnost. Dio 1. Opća načela projektiranja.

9. BS 31100:2008. Upravljanje rizikom - Kodeks prakse.

10. BS OHSAS 18001:2007. Sustavi upravljanja zaštitom zdravlja i sigurnošću na radu. Zahtjevi.

11. CWA 15793:2008. Laboratorijski standard upravljanja biološkim rizikom.

12. ISO/IEC 51:1999. Sigurnosni aspekti - Smjernice za njihovo uključivanje u norme.

13. ISO/IEC Vodič 73:2009. Upravljanje rizikom — Rječnik — Smjernice za uporabu u normama.

14. ISO 31000:2009. Upravljanje rizicima - Načela i smjernice.

15. IEC/ISO 31010:2009. Upravljanje rizikom - Tehnike procjene rizika.

16. ISO 15190:2003. Medicinski laboratoriji - Zahtjevi za sigurnost.

17. Razum J. Ljudska greška. - New York: Cambridge University Press, 1990. - 316 str.

18. Uredba (EZ) br. 1907/2006 Europskog parlamenta i Vijeća od 18. prosinca 2006. o registraciji, evaluaciji, autorizaciji i ograničavanju kemikalija (REACH), kojom se uspostavlja Europska agencija za kemikalije, mijenja Direktiva 1999/45/EZ i stavljanju izvan snage Uredbe Vijeća (EEZ) br. 793/93 i Uredbe Komisije (EZ) br. 1488/94, kao i Direktive Vijeća 76/769/EEZ i Direktive Komisije 91/155/EEZ, 93/67/EEZ, 93/ 105/EZ i 2000/21/EZ.

Jedan od najvažnijih problema i potreba suvremenog društva je zaštita ljudskih prava u uvjetima njegovog uključivanja u procese informacijska interakcija uključujući pravo na zaštitu osobnih podataka u procesima automatizirane obrade informacija.

I. N. Malanych, student 6. godine VSU

Zavod za zaštitu osobnih podataka danas više nije kategorija koja se može regulirati samo nacionalnim pravom. Najvažnija značajka suvremenih automatiziranih informacijskih sustava je "nadnacionalnost" mnogih od njih, njihov "izlazak" izvan državnih granica, razvoj javno dostupnog svijeta. informacijske mreže, kao što je internet, formiranje jednog informacijski prostor u okviru takvih međunarodnih struktura.

Danas u Ruskoj Federaciji postoji problem ne samo uvođenja u pravno polje instituta zaštite osobnih podataka u okviru automatiziranih informacijski procesi, ali i njegovu korelaciju s postojećim međunarodnim pravnim standardima u ovoj oblasti.

Tri su glavna trenda u međunarodnopravnoj regulativi instituta zaštite osobnih podataka, koja se odnosi na procese automatizirane obrade informacija.

1) Deklaracija o pravu na zaštitu osobnih podataka, kao sastavnom dijelu temeljnih ljudskih prava, u aktima općehumanitarne naravi donesenim u okviru međunarodnih organizacija.

2) Konsolidacija i reguliranje prava na zaštitu osobnih podataka u regulatornim aktima Europske unije, Vijeća Europe, dijelom Zajednice Neovisnih Država i nekih regionalnih međunarodnih organizacija. Ova klasa normi je najuniverzalnija i izravno se odnosi na prava na zaštitu osobnih podataka u procesima automatizirane obrade informacija.

3) Uključivanje pravila o zaštiti povjerljivih podataka (uključujući osobne) u međunarodne ugovore.

Prva se metoda povijesno pojavila ranije od ostalih. U moderni svijet informacijska prava i slobode sastavni su dio temeljnih ljudskih prava.

Opća deklaracija o ljudskim pravima iz 1948. proglašava: “Nitko ne smije biti izvrgnut proizvoljnom miješanju u njegovu privatnost ili obitelj, ili proizvoljnim napadima na... privatnost njegove korespondencije” i dalje: “Svatko ima pravo na zaštitu zakona protiv takvog uplitanja ili napada.” Međunarodni pakt o građanskim i političkim pravima iz 1966. u ovom dijelu ponavlja deklaraciju. Europska konvencija iz 1950. detaljno navodi ovo pravo: „Svatko ima pravo na slobodu izražavanja. Ovo pravo uključuje slobodu mišljenja te slobodu primanja i prenošenja informacija i ideja bez uplitanja javnih vlasti i bez obzira na granice.”

Ovi međunarodni dokumenti utvrđuju ljudska prava na informacije.

Trenutno je na međunarodnoj razini formiran stabilan sustav pogleda na ljudska prava na informaciju. Općenito, to je pravo na dobivanje informacija, pravo na privatnost u smislu zaštite informacija o njima, pravo na zaštitu informacija kako sa stajališta državne sigurnosti tako i sa stajališta poslovne sigurnosti, uključujući i financijsku. aktivnosti.

Drugi način – detaljnije reguliranje prava na zaštitu osobnih podataka povezan je sa sve većim intenzitetom obrade osobnih podataka posljednjih godina korištenjem automatiziranih računalnih informacijskih sustava. Posljednjih desetljeća u okviru brojnih međunarodnih organizacija donesen je niz međunarodnih dokumenata koji razvijaju temeljna informacijska prava u vezi s intenziviranjem prekogranične razmjene informacija i uporabom suvremenih informacijskih tehnologija. Među takvim dokumentima su sljedeći:

Vijeće Europe je 1980. godine izradilo Europsku konvenciju o zaštiti pojedinaca s obzirom na automatsku obradu osobnih podataka, koja je stupila na snagu 1985. godine. Konvencija definira postupak prikupljanja i obrade osobnih podataka, načela pohrane i pristupa te podatke, te načine fizičke zaštite podataka. Konvencija jamči poštivanje ljudskih prava u prikupljanju i obradi osobnih podataka, načela pohrane i pristupa tim podacima, načine fizičke zaštite podataka, a također zabranjuje obradu podataka o rasi, političkim uvjerenjima, zdravlju, vjeri bez odgovarajuće pravne osnove. Rusija je pristupila Europskoj konvenciji u studenom 2001.

U Europskoj uniji pitanja zaštite osobnih podataka regulirana su čitavim nizom dokumenata. Godine 1979. usvojena je Rezolucija Europskog parlamenta “O zaštiti prava pojedinca u vezi s napretkom informatizacije”. Rezolucija je pozvala Vijeće i Komisiju Europskih zajednica da izrade i donesu zakonske akte o zaštiti osobnih podataka u vezi s tehničkim napretkom u području računalne znanosti. Godine 1980. usvojene su Preporuke Organizacije za suradnju država članica Europske unije “O smjernicama za zaštitu privatnosti u međudržavnoj razmjeni osobnih podataka”. Trenutno su pitanja zaštite osobnih podataka detaljno uređena direktivama Europskog parlamenta i Vijeća Europske unije. Riječ je o Direktivama br. 95/46/EZ i br. 2002/58/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti prava pojedinaca u vezi s obradom osobnih podataka i slobodnom kretanje takvih podataka, Direktiva br. 97/66 /EC Europskog parlamenta i Vijeća Europske unije od 15. prosinca 1997. o korištenju osobnih podataka i zaštiti privatnosti u telekomunikacijskim i drugim dokumentima.

Akte Europske unije karakterizira detaljna razrada načela i kriterija za automatiziranu obradu podataka, prava i obveze subjekata i nositelja osobnih podataka, pitanja njihova prekograničnog prijenosa, kao i odgovornosti i sankcija za štetu . U skladu s Direktivom br. 95/46/EC, Europska unija stvorila je Radna skupina o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka. Ima status savjetodavnog tijela i djeluje kao neovisna struktura. Radna skupina se sastoji od predstavnika tijela koje je svaka država članica osnovala u svrhu nadzora usklađenosti na svom teritoriju s odredbama Direktive, predstavnika tijela ili tijela uspostavljenih za institucije i strukture Zajednice i predstavnika Europska komisija.

Organizacija za ekonomsku suradnju i razvoj (OECD) ima Okvir za zaštitu privatnosti i međunarodnu razmjenu osobnih podataka koji je usvojen 23. rujna 1980. godine. U preambuli ove Direktive stoji: “...zemlje članice OECD-a smatrale su potrebnim razviti okvire koji bi mogli pomoći u usklađivanju nacionalnih zakona o privatnosti i, uz poštivanje relevantnih ljudskih prava, ne bi dopustili blokiranje međunarodne razmjene podataka...”. Ove se odredbe primjenjuju u javnom i privatnom sektoru na osobne podatke koji, bilo zbog načina na koji se obrađuju ili zbog svoje prirode ili konteksta u kojem se koriste, predstavljaju rizik od povrede privatnosti i sloboda pojedinca. Njime se definira potreba da se osobnim podacima osiguraju odgovarajući mehanizmi zaštite od rizika povezanih s njihovim gubitkom, uništenjem, mijenjanjem ili otkrivanjem ili neovlaštenim pristupom. Rusija, nažalost, ne sudjeluje u ovoj organizaciji.

Interparlamentarna skupština država članica ZND-a 16. listopada 1999. Usvojen je Model zakona „O osobnim podacima“.

Prema zakonu, “Osobni podatak” je informacija (zabilježena na materijalnom mediju) o određenoj osobi koja je identificirana ili se s njom može identificirati. Osobni podaci uključuju biografske i identifikacijske podatke, osobne karakteristike, podatke o obitelji, socijalnom statusu, obrazovanju, zanimanju, profesionalnom i imovinskom statusu, zdravstvenom stanju i dr. Zakon također navodi načela pravnog uređenja osobnih podataka, oblike državnog uređenja poslovanja s osobnim podacima, prava i obveze subjekata i nositelja osobnih podataka.

Čini se da je razmatrani drugi način regulatornog uređenja zaštite osobnih podataka u međunarodnim pravnim aktima najzanimljiviji za analizu. Norme ove klase ne samo da izravno reguliraju odnose s javnošću u ovom području, već također pomažu u približavanju zakonodavstva zemalja članica međunarodnim standardima, čime se osigurava učinkovitost ovih normi na njihovom teritoriju. Dakle, jamstvo prava na informiranje sadržano u Općoj deklaraciji o ljudskim pravima osigurano je u smislu "prava na zaštitu zakona od ... uplitanja ili ... zadiranja" deklariranog u članku 12. potonje.

Treći način učvršćivanja pravila o zaštiti osobnih podataka je učvršćivanje njihove pravne zaštite u međunarodnim ugovorima.

Članci o razmjeni informacija sadržani su u međunarodnim ugovorima o pravnoj pomoći, o izbjegavanju dvostrukog oporezivanja te o suradnji u određenim javnim i kulturnim područjima.

Prema čl. 25 Ugovori između Ruska Federacija i Sjedinjenih Američkih Država o izbjegavanju dvostrukog oporezivanja i sprječavanju utaje poreza u vezi s porezima na dohodak i kapital, države su dužne dostaviti informacije koje predstavljaju profesionalnu tajnu. Ugovor između Ruske Federacije i Republike Indije o uzajamnoj pravnoj pomoći u kaznenim stvarima sadrži članak 15. „Povjerljivost”: zamoljena strana može zahtijevati da prenesene informacije budu povjerljive. Praksa sklapanja međunarodnih ugovora pokazuje želju država ugovornica za usklađivanjem s međunarodnim standardima zaštite osobnih podataka.

Čini se da je najučinkovitiji mehanizam za reguliranje ove institucije na međunarodnoj pravnoj razini objavljivanje posebnih regulatornih dokumenata u okviru međunarodnih organizacija. Ovaj mehanizam ne samo da promiče odgovarajuću internu regulaciju gorućih pitanja zaštite osobnih podataka unutar ovih organizacija navedenih na početku članka, već ima i blagotvoran učinak na nacionalno zakonodavstvo zemalja sudionica.