Állami szabványok az információbiztonság területén. Nemzetközi jogi normák a személyes adatok védelme terén. Nemzeti és nemzetközi szabványosítási rendszerek összehasonlítása, elemzése

Az információs számítógépes biztonság problémája nem újkeletű – a szakértők azóta foglalkoznak vele, hogy a számítógép elkezdte feldolgozni az adatokat, amelyek értéke magas a felhasználó számára. Az elmúlt években azonban a hálózatok fejlődése miatt megnőtt a kereslet elektronikus szolgáltatások az információbiztonság területén a helyzet súlyosan súlyosbodott, és a megoldási megközelítések egységesítése különösen aktuálissá vált mind az informatikai eszközök fejlesztői, mind felhasználói számára.

Miért kell ismerned az elméletet

Bármelyik szakember információ biztonság szakmai fejlődésének három szakaszán megy keresztül. Az első a „kézzel való munka”. Az újonc intenzíven, speciális eszközök bevonásával keresi és szünteti meg a rendszer- és alkalmazásszoftverek egészen konkrét hiányosságait. Szkenner, javítás, port, kapcsolat – ezekkel az entitásokkal dolgozik ebben a szakaszban.

A második lépés a „fejmunka”. A szakember belefáradva az újabb és újabb hiányosságok betömésére, tervek és módszerek kidolgozásába kezd, amelyek célja a rendszerek biztonságának javítását és az információs fenyegetések következményeinek kiküszöbölését célzó intézkedések racionalizálása. Ebben a szakaszban merül fel a „biztonsági politika” fogalma.

Végül itt az ideje a gondolkodásnak - ebben a szakaszban a tapasztalt szakember megérti, hogy valószínűleg újra feltalálja a kereket, mivel a biztonsági stratégiákat valószínűleg már kidolgozták előtte. És ebben minden bizonnyal igaza van.

Világszerte számos szervezet foglalkozik már régóta az információbiztonság problémájával, tevékenységük nyomán született szabványok, előírások, ajánlások, szabályok stb. Aligha célszerű a teljes kötetet áttanulmányozni, de az alapvető dokumentumokat természetesen érdemes ismerni. Ezért ebben a cikkben csak a legfontosabb orosz és nemzetközi szabályozásokat említjük meg, amelyek szabványokat határoznak meg az információbiztonság területén.

Az információbiztonság fogalma

A különféle célú információs és távközlési rendszerek (elsősorban az internet) fejlesztése, valamint az értékes, védelmet igénylő információk elektronikus cseréje megkívánta az e területen dolgozó szakemberektől a számítástechnikai rendszerek alapvető követelményeinek és jellemzőinek rendszerezését és racionalizálását. Biztonság. Mielőtt azonban rátérnénk a kialakított szabványok mérlegelésére, meg kell határozni, hogy mi a biztonság.

Tekintettel a fogalom fontosságára, igyekszünk megfogalmazni annak kiterjesztett meghatározását, amely figyelembe veszi a terület legújabb nemzetközi és hazai fejleményeit. Tehát az információbiztonság az adatok véletlen vagy szándékos befolyásokkal szembeni ellenállásának állapota, kizárva azok megsemmisülésének, eltorzulásának és nyilvánosságra hozatalának elfogadhatatlan kockázatát, amely a tulajdonos vagy a felhasználó anyagi kárához vezet. Ez a meghatározás a legteljesebben figyelembe veszi a kereskedelmi információs számítógépes rendszer fő célját - a pénzügyi veszteségek minimalizálását, a nyereség maximalizálását valós kockázatok mellett.

Ez különösen igaz az ún nyílt rendszerek közkincs, amelyek érzékeny információkat dolgoznak fel korlátozott hozzáférés amely nem tartalmaz államtitkot. Napjainkban az ilyen típusú rendszerek gyorsan fejlődnek mind a világon, mind hazánkban.

Nemzetközi információbiztonsági szabvány

Köztudott, hogy a szabványosítás a termékek és szolgáltatások minőségének meghatározására szolgáló különféle módszerek alapja. Az ilyen jellegű tevékenységek egyik fő eredménye a biztonságos információs rendszerek követelményeinek és jellemzőinek rendszerezése terén a Nemzetközi és Nemzeti Információbiztonsági Szabványok Rendszere volt, amely több mint száz különböző dokumentumot tartalmaz. Példa erre az ISO 15408 szabvány, az úgynevezett "Common Criteria".

Az 1998-ban elfogadott ISO 15408 alapvető információbiztonsági szabvány minden bizonnyal nagyon fontos az orosz fejlesztők számára. Ezenkívül a jelenlegi 2001-ben a Gosstandart e dokumentum harmonizált változatának elkészítését tervezi. A Nemzetközi Szabványügyi Szervezet (ISO) megkezdte a biztonsági értékelési kritériumok nemzetközi szabványának kidolgozását információs technológiákáltalános használatra "Common Criteria" ("Common Criteria for Evaluating IT Security") 1990-ben. A National Institute of Standards and Technology és a National Security Agency (USA), a Communications Security Authority (Kanada), az Information Security Agency (Németország), a National Communications Security Agency (Hollandia), az IT Security and Certification Program (Anglia) részt vett annak létrehozásában, a Center for Systems Security (Franciaország). A szabvány végleges jóváhagyása után megkapta az ISO 15408 számot.

A Common Criteria (CC) az IT-biztonsági felmérés eredményeinek globális szintű kölcsönös elismerését szolgálja, és ennek alapját képezi. Lehetővé teszik az informatikai eszközök és rendszerek biztonsági funkcióira vonatkozó közös követelményrendszer alapján az információbiztonság és az elviselhető kockázatok független értékelésének eredményeinek összehasonlítását, valamint a tesztelés során az ezekre érvényes garanciákat.

Az OK fő előnyei az információbiztonsági követelmények teljessége, az alkalmazási rugalmasság és a nyitottság a továbbfejlesztésre, figyelembe véve a tudomány és a technológia legújabb vívmányait. A kritériumokat úgy alakítottuk ki, hogy egy informatikai eszköz vagy rendszer biztonsági tulajdonságainak vizsgálatakor (az értékelés tárgya) mindhárom felhasználói csoport (fogyasztók, fejlesztők és értékelők) igényeit kielégítsék. Ez a szabvány hasznos útmutatóként szolgál az IT-biztonsági szolgáltatások fejlesztésekor, valamint a hasonló tulajdonságokkal rendelkező kereskedelmi termékek vásárlásakor. Az értékelés fő iránya a rosszindulatú emberi cselekvések eredményeként megjelenő fenyegetések, de az OK használható más tényezők okozta veszélyek felmérésére is. A jövőben várhatóan speciális követelményeket támaszt a kereskedelmi hitelezési és pénzügyi szektor számára. Emlékezzünk vissza, hogy az ilyen típusú egykori hazai és külföldi iratok egy államtitkot is tartalmazó minősített információkat feldolgozó kormányzati vagy katonai rendszer feltételeihez kötöttek.

Ennek a szabványnak a külföldön való megjelenését és bevezetését kíséri egy új fejlesztése, egy szabványosított architektúra, amely a számítástechnikai rendszerek információbiztonságát hivatott biztosítani. Más szóval a műszaki és szoftver számítógépek, amelyek megfelelnek az általános kritériumoknak. Például az „Open Group” nemzetközi szervezet, amely a világ mintegy 200 vezető számítógép- és távközlési gyártóját egyesíti, új információbiztonsági architektúrát adott ki a kereskedelmi célokra. automatizált rendszerek figyelembe véve a meghatározott kritériumokat. Ezenkívül a „Nyitott csoport” létrehozza tanulási programok, hozzájárulva a szabványosítási dokumentumok gyors és magas színvonalú megvalósításához.

Az internetes szabványosítási folyamat jellemzői

NÁL NÉL globális hálózat már régóta létezik egész sor bizottságok, amelyek az összes internetes technológia szabványosításával foglalkoznak. Ezek a szervezetek, amelyek az Internet Engineering Task Force (IETF) zömét alkotják, már számos fontos protokollt szabványosítottak, és ezzel felgyorsították a hálózaton való alkalmazásukat. A TCP/IP protokollcsalád az adatátvitelhez, az SMTP és a POP az e-mailekhez, valamint az SNMP (Simple Network Management Protocol) a hálózatkezeléshez az IETF munkája.

Az elmúlt néhány évben a hálózati piac egy úgynevezett töredezett befolyást tapasztalt a szabványok kialakítására. Ahogy az internet fogyasztói és kereskedelmi piactá terjeszkedett, egyes cégek elkezdték keresni a módokat, hogy a verseny látszatát keltve befolyásolják a szabványosítást. Még az olyan informális szervek is, mint az IETF, érezték a nyomást. Ahogy az internethez kapcsolódó piacok fejlődtek, a vállalkozók ad hoc csoportokat vagy konzorciumokat hoztak létre saját szabványaik előmozdítása érdekében. Ilyen például az OMG (Object Management Group), a VRML (Virtual Reality Markup Language) fórum és a Java Development Connection. Néha az internetes szolgáltatások komoly fogyasztói de facto mércét állítanak fel vásárlásaikkal vagy rendeléseikkel.

A különféle szabványcsoportok megjelenésének egyik oka a technológiai fejlődés egyre gyorsuló üteme és a szabványalkotás hosszú ciklusa közötti feszültség.

Internet biztonsági szabványok

Biztonságos adatátviteli protokollok, például SSL (TLS), SET, IP v. 6. Viszonylag nemrég jelentek meg, és azonnal de facto szabványokká váltak.

SSL (TLS)

A hálózaton keresztüli biztonságos átvitelhez jelenleg a legnépszerűbb hálózati adattitkosítási protokoll kriptográfiai algoritmusok, módszerek és alkalmazási szabályok összessége. Lehetővé teszi biztonságos kapcsolat létrehozását, adatintegritás-ellenőrzést és különféle kapcsolódó feladatok megoldását.

KÉSZLET

A SET (Security Electronics Transaction) egy ígéretes protokoll, amely biztonságos elektronikus tranzakciókat biztosít az interneten. Az X.509 szabvány szerinti digitális tanúsítványok használatán alapul, és a hálózaton keresztüli elektronikus kereskedelem megszervezésére szolgál.

Ez a protokoll a "MasterCard" és a "Visa" által az "IBM", a "GlobeSet" és más partnerek részvételével kifejlesztett szabvány. Lehetővé teszi az ügyfelek számára, hogy a ma elérhető legbiztonságosabb fizetési móddal online vásároljanak árukat. A SET egy nyílt szabványú többoldalú protokoll a plasztikkártyás online fizetésekhez. Biztosítja a kártyabirtokos számlája, a kereskedő és a kereskedő bankja kereszthitelesítését a fizetési készenlét, valamint az üzenet sértetlenségének és titkosságának ellenőrzésére, az értékes és érzékeny adatok titkosítására. A SET szabványos technológiának vagy protokollrendszernek tekinthető az interneten keresztüli biztonságos kártyaalapú fizetésekhez.

IPSec

Az IPSec specifikáció része az IP v. 6 és kiegészíti jelenlegi verzió TCP/IP protokollok. A fejlesztést az IETF IP Security Working Group végzi. Az IPSec jelenleg három algoritmusfüggetlen alapspecifikációt tartalmaz, amelyek a megfelelő RFC-szabványokat képviselik.

Az IPSec protokoll biztosítja szabványos módon forgalom titkosítást a hálózati (harmadik) IP-rétegen, és végpontok közötti titkosításon alapuló információkat védi: a futó alkalmazástól függetlenül minden, a csatornán áthaladó adatcsomag titkosítva van. Ez lehetővé teszi a szervezetek számára, hogy virtuális magánhálózatokat hozzanak létre az interneten. Az IPSec a hagyományos kommunikációs protokollokon felül fut, támogatja a DES-t, MD5-öt és számos más kriptográfiai algoritmust.

Az információbiztonság IPSec segítségével történő hálózati szintű biztosítása magában foglalja:

• a nem módosított végrendszerek támogatása;
• a TCP-től eltérő szállítási protokollok támogatása;
• támogatás virtuális hálózatok nem biztonságos hálózatokban;
• a szállítási réteg fejlécének védelme a lehallgatás ellen (védelem a jogosulatlan forgalomelemzés ellen);
• védelem a szolgáltatásmegtagadási támadások ellen.

Ezen kívül az IPSec két fontos előnnyel is rendelkezik:

1. alkalmazása nem igényel változtatást a közbenső hálózati eszközökön;
2. a munkaállomásoknak és szervereknek nem kell támogatniuk az IPSec-et.

Az orosz piac jellemzői

Történelmileg Oroszországban az informatikai biztonsági problémákat csak az államtitkok védelme terén vizsgálták és oldották meg kellő időben. Hasonlóak, de megvannak a maga sajátos feladatai a gazdaság kereskedelmi szektorában hosszú ideje nem találtak megfelelő megoldásokat. Ez a tény még mindig jelentősen lassítja a biztonságos informatikai eszközök megjelenését és fejlődését az Interneten. Háztartási bolt, amely integrálódik a világrendszerbe. Sőt, az információvédelem egy kereskedelmi automatizált rendszerben megvannak a maga sajátosságai, amelyeket egyszerűen figyelembe kell venni, mert komoly hatással vannak az információbiztonsági technológiára. Felsoroljuk a főbbeket:

1. A gazdasági tényezők prioritása. Egy kereskedelmi automatizált rendszer esetében nagyon fontos a pénzügyi veszteségek csökkentése vagy megszüntetése, valamint annak biztosítása, hogy ennek az eszköztárnak a tulajdonosa és használói a valós kockázatok mellett nyereséget termeljenek. Fontos feltétel ugyanakkor különösen a jellemzően banki kockázatok minimalizálása (pl. hibás fizetési irányok miatti veszteségek, fizetési bizonylatok meghamisítása stb.);
2. Tervezési nyitottság, amely a piacon széles körben elérhető és nyílt rendszerekben működő eszközökből információvédelmi alrendszer létrehozását biztosítja;
3. A kereskedelmi információ jogi jelentősége, amely a biztonságos információ olyan tulajdonságaként definiálható, amely lehetővé teszi az elektronikus dokumentumok vagy információs folyamatok jogilag érvényesíthetővé tételét a jogi szabályozásnak megfelelően információs források az Orosz Föderáció jogszabályai határozzák meg. Ez a feltétel az utóbbi időben egyre fontosabbá vált hazánkban az informatikai biztonság jogi és szabályozási kereteinek megteremtésével együtt (különösen a különböző jogi személyek automatizált rendszereivel való interakció során).

Nyilvánvalóan a modern Oroszország gazdasági és pénzügyi élete szempontjából rendkívül fontos a bizalmas, államtitkot nem tartalmazó információkat feldolgozó, biztonságos informatika létrehozása. Az ISO 15408 ("Közös kritériumok") harmonizált szabvány oroszországi alkalmazása, amely tükrözi az információbiztonság értékelésének legújabb eredményeit a világban, lehetővé teszi:

• az orosz informatikát a modern nemzetközi információbiztonsági követelményekhez csatolni, ami leegyszerűsíti például a külföldi termékek felhasználását és a saját exportját;
• elősegíti a vonatkozó orosz speciális szabályozási és módszertani anyagok kidolgozását a biztonságos banki és egyéb informatikai eszközök és rendszerek tesztelésére, értékelésére (ellenőrzésére) és tanúsítására;
• az automatizált rendszerek biztosításához szükséges információs kockázatok minőségi és mennyiségi értékelésének alapot teremteni;
• az információvédelmi módszerek, intézkedések és eszközök tipizálása és egységesítése révén csökkenteni kell a bankok és a vállalatok információbiztonsági rendszerének fenntartásának általános költségeit.

Állami szabványok

A hazánkban létező különféle informatikai biztonsági szabványok közül számos olyan dokumentumot kell kiemelni, amelyek a nyílt rendszerek összekapcsolásának védelmét szabályozzák (1. táblázat 1-3. sorok). Kiegészíthetők a számítástechnikai berendezések és automatizált rendszerek biztonságának értékelésére szolgáló eszközökről, rendszerekről és kritériumokról szóló szabályozó dokumentumokkal (lásd 1. táblázat, 4-8. sor). Az utolsó dokumentumcsoport, valamint számos korábban megalkotott külföldi szabvány elsősorban az államtitok védelmére irányul.

Hogyan és hol működnek a különböző szabványok

Minden jelenleg elérhető szabvány többszintű. Ez azt jelenti, hogy használatuk az információs rendszerekben az absztrakció bizonyos szintjére korlátozódik (például a "Common Criteria" nem használható a TLS-protokollban a munkamenetkulcs létrehozásának mechanizmusának részletes leírására). Nyilvánvalóan a szabványok hatékony alkalmazásához tisztában kell lenni azok szintjével és céljával.

Így a biztonsági politika és a teljesítményértékelési rendszer kidolgozásakor, valamint komplex biztonsági tesztek elvégzésekor a legjobb az ISO 15408 („Közös kritériumok”) rendelkezéseit használni. A titkosítási és digitális aláírási rendszerek műszaki kiválóságának megvalósítására és értékelésére a megfelelő GOST-okat szánják. Ha meg kell védeni a csatornát tetszőleges információcseréhez, akkor célszerű használni TLS protokoll. Amikor nem csak a védelemről van szó kommunikációs vonalak, de a pénzügyi tranzakciók biztonságáról a SET jön szóba, beleértve a csatornavédelmi protokollokat, mint az egyik alacsonyabb szintű szabványt.

Elmélettől gyakorlatig

A fenti rendelkezések gyakorlati jelentőségének szemléltetésére itt található az InterBank elektronikus banki szolgáltatások megvalósítása során alkalmazott biztonsági szabványok listája.

Az SSL protokoll (TLS) védelmi csatornaként használható az RS-Portál és az "Internet-Client" rendszerek információcseréjéhez. Az adattitkosítást és a digitális aláírási mechanizmust szabályozó GOST 28147-89, GOST R 34.10-94 és GOST R 34.11-94 szabványokat az "ügyfélbank" típusú alrendszerek ("DOS-kliens", "Windows-kliens") összes kriptográfiai védelmi rendszerében megvalósítják. " , "Internetes kliens").

Az IPSec protokoll használatával az ügyfél és a bank közötti bármely információcsere-csatorna átlátható védelmet biztosít az IP hálózati protokoll segítségével. Ez vonatkozik mind az internetes rendszerekre (RS-Portal és "Internet-Client"), mind az RS-Mail levelezőrendszerre, amely támogatja az IP-n keresztüli működést.

Reméljük, hogy a cikkben közölt információk segítenek majd felmérni rendszerei megbízhatóságát, és a fejlesztők erőfeszítéseit és idejét egy valódi rendszer létrehozására fordítják. a legjobb eszköz, amely új lépés lesz az információbiztonsági technológia fejlesztésében.

ISO/IEC 27001- a Nemzetközi Szabványügyi Szervezet és a Nemzetközi Elektrotechnikai Bizottság által közösen kidolgozott nemzetközi információbiztonsági szabvány. A szabvány információbiztonsági követelményeket tartalmaz az Információbiztonsági Irányítási Rendszer (ISMS) létrehozására, fejlesztésére és karbantartására vonatkozóan.

A szabvány célja. Az ISO/IEC 27001 (ISO 27001) szabvány a világ legjobb gyakorlatainak leírását tartalmazza az információbiztonság menedzsment területén. Az ISO 27001 követelményeket határoz meg egy információbiztonsági irányítási rendszerrel szemben, hogy igazolja a szervezet azon képességét, hogy megvédje információs erőforrásait. Ez a nemzetközi szabvány egy információbiztonsági menedzsment rendszer (ISMS) fejlesztésének, megvalósításának, működtetésének, felügyeletének, elemzésének, karbantartásának és fejlesztésének modelljeként készült.

Az ISMS célja— megfelelő biztonsági ellenőrzések kiválasztása az információs eszközök védelmére és az érdekelt felek bizalmának biztosítására.

Alapfogalmak. Információbiztonság - az információk titkosságának, integritásának és elérhetőségének megőrzése; ezen kívül más tulajdonságok is beilleszthetők, mint például a hitelesség, a letagadhatatlanság, a hitelesség.

Titoktartás – annak biztosítása, hogy az információ csak a megfelelő jogosultsággal rendelkezők (jogosult felhasználók) számára legyen elérhető.

Integritás - az információk pontosságának és teljességének, valamint feldolgozási módszereinek biztosítása.

Elérhetőség – szükség esetén (igény szerint) hozzáférés biztosítása az információkhoz a jogosult felhasználók számára.

Az ISO 27001 szabvány előírja:

a célok meghatározása és az információbiztonsággal kapcsolatos tevékenység irányának és elveinek megértése;

kockázatértékelési és kockázatkezelési megközelítések meghatározása a szervezetben;

információbiztonság kezelése a vonatkozó törvényekkel és rendeletekkel összhangban;

egységes szemlélet alkalmazása az irányítási rendszer létrehozásában, megvalósításában, működtetésében, nyomon követésében, elemzésében, támogatásában és fejlesztésében az információbiztonság területén kitűzött célok megvalósulása érdekében;

az információbiztonsági irányítási rendszer folyamatainak meghatározása;

az információbiztonságot biztosító intézkedések állapotának meghatározása;

· belső és külső auditok alkalmazása annak megállapítására, hogy az információbiztonsági irányítási rendszer mennyire felel meg a szabvány követelményeinek;

· a partnerek és más érdekelt felek megfelelő tájékoztatása az információbiztonsági politikáról.

Az információs, információs technológiák és információvédelem területén fennálló kapcsolatok jogi szabályozásának elvei az Orosz Föderáció 2006. július 27-i 149-FZ „Az információról, információs technológiákról és információvédelemről” című szövetségi törvényének tartalma szerint.

Az információ, az információtechnológia és az információvédelem területén kialakuló kapcsolatok jogi szabályozása az alábbi elveken alapul:

1) az információk bármilyen törvényes módon történő keresésének, fogadásának, továbbításának, előállításának és terjesztésének szabadsága;

2) az információhoz való hozzáférés korlátozásának megállapítása kizárólag szövetségi törvények által;

3) az állami szervek és a helyi önkormányzatok tevékenységére vonatkozó információk nyitottsága és az ilyen információkhoz való szabad hozzáférés, kivéve a szövetségi törvények által meghatározott eseteket;

4) az Orosz Föderáció népeinek nyelvi egyenlősége a létrehozás során információs rendszerekés működésük;

5) az Orosz Föderáció biztonságának biztosítása az információs rendszerek létrehozása, működése és a bennük lévő információk védelme terén;

6) az információk megbízhatósága és nyújtásának időszerűsége;

7) a magánélet sérthetetlensége, a magánéletére vonatkozó információk gyűjtésének, tárolásának, felhasználásának és terjesztésének megengedhetetlensége a személy hozzájárulása nélkül;

8) az egyes információs technológiák használatából származó előnyök szabályozási jogi aktusok elfogadhatatlansága másokkal szemben, kivéve, ha szövetségi törvények írják elő bizonyos információs technológiák használatának kötelezettségét az állami információs rendszerek létrehozásához és működtetéséhez.

Az Orosz Föderáció nemzetbiztonsági stratégiája 2020-ig”. Az „Orosz Föderáció információbiztonsági doktrínájában” szereplő információbiztonságot biztosító funkcióinak felépítése, feladatai, módszerei és állam általi végrehajtásának módjai.

Az Orosz Föderáció 2020-ig szóló nemzetbiztonsági stratégiája a bel- és külpolitika területén a stratégiai prioritások, célok és intézkedések hivatalosan elismert rendszere, amely hosszú távon meghatározza a nemzetbiztonság állapotát és az állam fenntartható fejlődésének szintjét. .

Az Orosz Föderáció információbiztonsági doktrínája az Orosz Föderáció információbiztonságának biztosításának céljaira, célkitűzéseire, elveire és főbb irányaira vonatkozó hivatalos nézetek összessége.

Az Orosz Föderáció nemzeti érdekeinek összetevői az információs szférában a doktrínában:

1) Az alkotmányos emberi jogok és szabadságjogok kötelező tiszteletben tartása az információszerzés és azok felhasználása terén.

2) Az Orosz Föderáció állami politikájának tájékoztatása (az Orosz Föderáció állampolgárai és a nemzetközi közösség megismertetése az Orosz Föderáció állampolitikájával, az Oroszországban és a világban zajló jelentős eseményekkel kapcsolatos hivatalos álláspont) az állampolgárokkal nyílt állami forrásokhoz való hozzáférés.

3) A hazai ipar korszerű informatikai fejlesztése (informatizálási, távközlési és kommunikációs eszközök). IT biztosítása Oroszország belföldi piacára és hozzáférést biztosít a világpiacokhoz.

4) Az információs források védelme az illetéktelen hozzáféréstől, az információs és távközlési rendszerek biztonságának biztosítása.

Az Orosz Föderáció információbiztonságát fenyegető veszélyek típusai a doktrínában:

1. Az információs tevékenység területén a személy alkotmányos jogait és szabadságait megcélzó fenyegetés.

2. Az Orosz Föderáció állami politikájának információs támogatását fenyegető veszélyek.

3. Veszély a hazai ipar modern informatikai fejlesztésére, valamint a hazai és a világpiacra való belépésre.

4. Az információs és távközlési létesítmények és rendszerek biztonságát fenyegető veszélyek.

Az Orosz Föderáció információbiztonságának biztosítására szolgáló módszerek a doktrínában:

Jogi módszerek

Az informatika területi viszonyait szabályozó szabályozó jogszabályok kidolgozása

Szervezési és technikai módszerek

Az Orosz Föderáció információbiztonsági rendszerének létrehozása és fejlesztése

Bíróság elé állítani azokat, akik ezen a területen bűncselekményt követtek el

Rendszerek és eszközök létrehozása a feldolgozott információkhoz való jogosulatlan hozzáférés megakadályozására

Gazdasági módszerek

Információbiztonsági programok fejlesztése és finanszírozása

Az Orosz Föderáció információbiztonságának biztosításához kapcsolódó munkák finanszírozása

Előadásterv

1. A nemzetközi információbiztonsági (IS) szabványok megalkotásának előfeltételei

1.1. A nemzetközi szabványosítás célja és céljai

1.2. Nemzetközi Szabványügyi Szervezet, ISO

1.3. Alapvető nemzetközi információbiztonsági szabványok

2. A megbízható értékelés kritériumai számítógépes rendszerek (« Narancssárga könyv »)

2.1 Alapvető információk

2.2 Alapvető követelmények és eszközök

3. Alapfogalmak

4. A biztonság megvalósításának mechanizmusai

5. Szakaszok és biztonsági osztályok.

5.1. Biztonsági szakaszok

5.2. Biztonsági osztályok

6. Rövid osztályozás

Nemzetközi kritériumok az információs technológiák biztonságának felmérésére külföldön

Előadásterv

1. Az európai országok harmonizált kritériumai

2. Német szabvány BSI

3. Brit szabvány BS 7799

4. Nemzetközi szabvány IS O/I EC 15408"Információs technológiai biztonsági értékelési kritériumok". "Általános kritériumok"

A nemzetközi IS szabványok megalkotásának előfeltételei

1.1. Általános kérdések

Külföldön a szabványok kidolgozása folyamatosan történik, a szabványtervezetek, változatok következetesen megjelennek az egyeztetés és jóváhagyás különböző szakaszaiban. Egyes szabványok fokozatosan elmélyülnek és részleteződnek, fogalmak és szerkezeti szempontból egymással összefüggő szabványcsoportok formájában.

Általánosan elfogadott, hogy az információtechnológia (IT) általános szabványosítási folyamatának szerves része az informatikai biztonság problémájával kapcsolatos szabványok kidolgozása, amely az alkalmazott feladatok növekvő kölcsönös integrációjának tendenciái miatt vált aktuálissá, ezek kiépítése elosztott adatfeldolgozás, távközlési rendszerek, elektronikus adatcsere technológiák alapján.

Fejlődés szabványok nyílt rendszerekre , beleértve az informatikai biztonság területén érvényes szabványokat is, számos szakosodott nemzetközi szervezet és konzorcium végzi, mint pl. ISO, IEC, ITU-T, IEEE, IAB, WOS, ECMA, X/Open, OSF, OMG.

Az informatikai biztonsági kérdések szabványosítása terén jelentős munkát végeznek erre szakosodott szervezetek és országos szinten. Mindez mára meglehetősen kiterjedt módszertani bázis kialakítását tette lehetővé, nemzetközi, nemzeti és iparági szabványok, valamint az informatikai biztonság területén végzett tevékenységeket szabályozó szabályozási és útmutató anyagok formájában.

1.2. A nemzetközi szabályozási és módszertani keretek állapota

Az informatikai biztonság területén a nemzetközi szabályozási és módszertani keretek jelenlegi helyzetének elemzése rendszerezéséhez szükséges néhány szabványosítási irányok osztályozása .

Általában a következő irányok különböztethetők meg :

1. Általános elvek információbiztonsági menedzsment.

2. IT biztonsági modellek.

3. IT biztonsági módszerek és mechanizmusok (mint például: hitelesítési módszerek, kulcskezelés stb.).

4. Kriptográfiai algoritmusok.

5. Az információs rendszerek biztonságának értékelési módszerei.

6. EDI technológiák biztonsága.

7. Együttműködő interakciók (tűzfalak) biztonsága.

8. Szabványosítási objektumok tanúsítása és tanúsítása.

A nemzetközi szabványosítás célja és céljai

alapértelmezett olyan dokumentum, amely megállapítja a termékek jellemzőit, működését, tárolását, szállítását, értékesítését és ártalmatlanítását, a munkavégzést vagy a szolgáltatásnyújtást. Alapértelmezett tartalmazhat terminológiára, szimbólumokra, csomagolásra, jelölésre vagy címkékre vonatkozó követelményeket és ezek alkalmazásának szabályait is.

nemzetközi szabvány - nemzetközi szervezet által elfogadott szabvány. A gyakorlatban a nemzetközi szabványok gyakran regionális szabványokat és tudományos és műszaki társaságok által kidolgozott, a világ különböző országai által normaként elfogadott szabványokat is jelentenek.

Nemzetközi szabványosítás - szabványosítás, amelyben minden ország illetékes hatósága nyitott.

A nemzetközi szabványok fő célja - ez az egységes módszertani alap megteremtése nemzetközi szinten az új minőségbiztosítási rendszerek fejlesztésére, a meglévő minőségbiztosítási rendszerek javítására és tanúsítására.

A szabványosítás területén folytatott tudományos és műszaki együttműködés célja a nemzeti szabványosítási rendszer harmonizálása a nemzetközi, regionális és progresszív rendszerrel. nemzeti rendszerek szabványosítás.

Az iparilag fejlett országok és a saját nemzetgazdaságot létrehozó fejlődő országok egyaránt érdekeltek a nemzetközi szabványosítás fejlesztésében.

A nemzetközi szabványok nem minden részt vevő ország számára kötelezőek. A világ bármely országának joga van alkalmazni vagy nem alkalmazni. Döntés nemzetközi szabvány alkalmazásáról ISO főként az ország nemzetközi munkamegosztásban való részvételének mértékével és külkereskedelmének állapotával függ össze. ISO vezető nemzetközi szervezet a szabványosítás területén.

1.4. Nemzetközi Szabványügyi Szervezet, ISO

Nemzetközi Szabványügyi Szervezet , IS O (Nemzetközi Szabványügyi Szervezet, ISO) - szabványokat kibocsátó nemzetközi szervezet.

nemzetközi szervezet IS Körülbelül működni kezdett 1947. február 23. önkéntes, civil szervezetként. A londoni találkozón elért eredmények alapján hozták létre 1946 képviselők közötti megállapodások 25 az iparosodott országok egy olyan szervezet létrehozásáról, amely felhatalmazással rendelkezik a különböző ipari szabványok kidolgozásának nemzetközi szintű koordinálására és a nemzetközi szabványként történő elfogadásuk eljárásának lefolytatására.

A szervezet létrehozásakor és nevének kiválasztásakor figyelembe vették, hogy a név rövidítése minden nyelven egyformán hangzik. Erre úgy döntöttek, hogy a görög szót használják isos- egyenlő, ezért a világ minden nyelvén a Nemzetközi Szabványügyi Szervezetnek rövid neve van IS O (ISO).

Tevékenységi köre ISO minden területen a szabványosításra vonatkozik, kivéve az elektrotechnikát és az elektronikát a Nemzetközi Elektrotechnikai Bizottság hatáskörébe tartozó IEC). Bizonyos típusú munkákat ezek a szervezetek közösen végeznek. A szabványosítás mellett ISO tanúsítási kérdésekkel foglalkozik.

Az ISO célja - a szabványosítás globális szintű fejlesztésének elősegítése a nemzetközi kereskedelem és a kölcsönös segítségnyújtás elősegítése, valamint a szellemi, tudományos, műszaki és gazdasági tevékenységek terén folytatott együttműködés bővítése érdekében.

V.V. Tyihonenko A Minőségügyi Szakértők-Szakértők Szövetségének vezetője (Kijev, Ukrajna), Ph.D., vezérigazgató EKTC "WATT"

A cikk ismerteti a főbb nemzetközi és nemzeti biztonsági szabványokat. Figyelembe veszik a „biztonság”, „veszély”, „kockázat” kifejezések definícióit. Feltételezések születnek a Heisenberg-féle bizonytalansági elvek és a Bohr-féle komplementaritási elvek használatának lehetőségéről a veszélyek leírására.

Mi az a "biztonság"?

A biztonság biztosítása az egyik legfontosabb követelmény, amelyet mindenkinek, mindenhol és mindig teljesítenie kell, hiszen minden tevékenység potenciálisan veszélyes. A biztonság összefügg a kockázattal (egymástól függenek). Tekintsük ezeknek a fogalmaknak a szabványokban megadott definícióit.

Biztonság– nincs elfogadhatatlan kockázat.

Veszély potenciális kárforrás.

Kockázat- a célok bizonytalanságának hatása.

A biztonságot tehát egyáltalán nem a kockázat, hanem csak az elfogadhatatlan kockázat hiánya jellemzi. A szabványok a tolerálható kockázatot úgy határozzák meg, mint "az optimális egyensúlyt a biztonság és azon követelmények között, amelyeket egy terméknek, folyamatnak vagy szolgáltatásnak meg kell felelnie, valamint olyan tényezőket, mint a felhasználói előnyök, költséghatékonyság, szokások stb.". A vállalatok által gyakran használt szabvány a tolerálható (elfogadható) kockázatot a következőképpen határozza meg: „olyan szintre csökkentett kockázat, amelyet egy szervezet elvisel, tekintettel jogi kötelezettségeire és saját politikájára a munkahelyi egészségvédelem és biztonság területén”.

A szabványok szabályozzák a kockázat csökkentésének módjait (prioritási sorrendben):

• biztonságos projekt kidolgozása;
• védőeszközök és egyéni védőeszközök (ezek a kollektív és egyéni védőeszközök – a szerk.);
• telepítési és alkalmazási információk;
• oktatás.

A biztonsági szabványok típusai

A következő típusú biztonsági szabványok szerint lehetnek:

• alapvető, ideértve a biztonság fő szempontjaihoz kapcsolódó alapvető fogalmakat, elveket és követelményeket. Ezek a szabványok a termékek, folyamatok és szolgáltatások széles körére vonatkoznak;
• csoport, amely több terméktípusra vagy kapcsolódó terméktípusokra, folyamatokra vagy szolgáltatásokra vonatkozó biztonsági szempontokat tartalmaz. Ezek a dokumentumok alapvető biztonsági szabványokra hivatkoznak;
• termékbiztonsági szabványok, amelyek a termékek, folyamatok vagy szolgáltatások egy bizonyos típusára vagy családjára vonatkoznak biztonsági szempontokat. Ezek a dokumentumok alap- és csoportszabványokra hivatkoznak;
• biztonsági szempontokat tartalmazó termékszabványok, de nem kizárólagosan. Hivatkozniuk kell az alapvető és csoportos biztonsági szabványokra. A táblázat példákat tartalmaz a felsorolt ​​típusokhoz kapcsolódó nemzetközi szabványokra. Javasoljuk a táblázat elolvasását. A szabvány 1. pontja, amely meghatározza a biztonsági funkció jellemzőire vonatkozó követelményeket tartalmazó nemzetközi, európai és orosz szabályozó dokumentumokat.

A biztonsági követelmények szabályozásban/szabványokban történő rögzítésének az embereket, vagyontárgyakat vagy a környezetet érintő károsodás kockázatának elemzésén kell alapulnia, vagy ezek kombinációját, ahogy a szabványok is írják. Az ábra sematikusan mutatja a vállalkozás főbb kockázatait, jelezve a kockázatkezelési standardokat.

Lehetséges, hogy a Dirac delta függvényei és a Heaviside funkciói felhasználhatók a veszélyek és kockázatok leírására és elemzésére, mivel az elfogadható kockázatról az elfogadhatatlanra való átmenet hirtelen történik.

Biztonsági elvek és eszközök

Elméletileg a következő biztonsági elvek különböztethetők meg:

• vezetői (megfelelőség, ellenőrzés, Visszacsatolás, felelősség, tervezés, ösztönzés, irányítás, hatékonyság);
• szervezési (idő, információ, redundancia, összeférhetetlenség, arányosítás, toborzás, következetesség, ergonómia általi védelem);
• műszaki (blokkolás, porszívózás, tömítés, távolságvédelem, tömörítés, szilárdság, gyenge láncszem, flegmatizálás, árnyékolás);
• tájékozódás (kezelő tevékenységei, kezelő helyettesítése, besorolás, veszélyelhárítás, következetesség, kockázatcsökkentés).

Foglalkozzunk részletesebben az osztályozás (kategorizálás) elvével. Ez abból áll, hogy az objektumokat osztályokba és kategóriákba osztják a veszélyekkel kapcsolatos jelek szerint. Példák: egészségügyi védelmi zónák (5 osztály), robbanásveszélyes termelési kategóriák (helyiségek) (A, B, C, D, E), kategóriák / osztályok az ATEX irányelvek szerint (3 berendezéskategória, 6 zóna), hulladékveszély osztályok (5 osztály - Oroszországban, 4 osztály - Ukrajnában), anyagok veszélyességi osztályai (4 osztály), veszélyes áruk szállítására vonatkozó veszélyességi osztályok (9 osztály) stb.

Információ

Heinrich számításai szerint egy halálos balesethez körülbelül 30 kevésbé súlyos következményekkel járó sérülés és körülbelül 300 egyéb olyan esemény jár, amelyek szinte észrevétlenek maradnak. Ugyanakkor a következmények felszámolásának közvetett gazdasági költségei négyszer nagyobbak, mint a közvetlenek.

Referencia

az összes nemkívánatos esemény körülbelül 20%-a berendezéshibával, 80%-a pedig emberi mulasztással függ össze, amelyek közül a hibák 70%-a rejtett szervezeti hiányosságokra vezethető vissza (a hibák rejtve voltak, nem reagáltak rájuk), és körülbelül 30%-a. egyéni munkással voltak kapcsolatban.

Rizs. Vállalati kockázatok (példa) és az alkalmazandó szabványok

Megjegyzések:

ECO - European Valuation Standards (European Group of Appraisers TEGoVA);

IVS – Nemzetközi értékelési standardok (ingatlan);

IFRS – Nemzetközi Pénzügyi Beszámolási Standardok (IFRS);

BÁZEL II - a Bázeli Bankfelügyeleti Bizottság "A tőkemérési és tőkestandardok nemzetközi konvergenciája: új megközelítések" című megállapodása;

BRC – The British Retail Consortium Globális szabványok (a British Trade Consortium szabványai);

COBIT - Control Objectives for Information and Related Technology ("Problémák az információs és kapcsolódó technológiákkal" - csomag dokumentumok megnyitása, mintegy 40 nemzetközi és nemzeti szabvány és iránymutatás az IT menedzsment, audit és IT biztonság területén); COSO – A Treadway Bizottság Szponzoráló Szervezeteinek Bizottsága (a Treadway Bizottság Szponzoráló Szervezeteinek Bizottságának szabványa);

FERMA - Európai Kockázatkezelési Szövetségek Szövetsége (az Európai Kockázatkezelési Szövetségek Szövetségének szabványa); GARP – Global Association of Risk Professionals (a Risk Professionals Szövetség szabványa);

IFS - International Featured Standards (Nemzetközi szabványok élelmiszeripari termékek előállítására és értékesítésére);

ISO / PAS 28000 - Az ellátási lánc biztonsági irányítási rendszereinek specifikációja (Supply chain security management systems. Specifikációk);

NIST SP 800-30 – Kockázatkezelési útmutató az információs technológiai rendszerekhez.

Asztal. Biztonsági szabványok (példák)

A biztonsági berendezések csoportos védelmi felszerelésekre (SKZ) és egyéni védelmi felszerelésekre (PPE) oszthatók. Az SKZ-t és a PPE-ket viszont csoportokra osztják a veszélyek természetétől függően, tervezés, alkalmazások stb.

Alapvető biztonsági előírások

Az Európai Unióban a foglalkozási kockázatértékelési követelményeket a következők tartalmazzák:

• 89/391/EGK irányelv (a foglalkozási kockázatértékelés bevezetésének követelményei az EU tagállamaiban);
• egyes EU-irányelvek a munkahelyi biztonságról (89/654/EGK, 89/655/EGK, 89/656/EGK, 90/269/EGK, 90/270/EGK, 1999/92/EK stb.), valamint a a munkavállalók védelme a kémiai, fizikai és biológiai kockázatokkal, rákkeltő anyagokkal és mutagénekkel szemben (98/24/EK, 2000/54/EK, 2002/44/EK, 2003/10/EK, 2004/40/EK, 2004/37/EK stb.) Az ATEX EU-irányelvek is kiemelt helyet foglalnak el a biztonság területén - az egyik a gyártók, a másik a berendezések felhasználói:
• "ATEX 95 berendezés" (94/9/EK irányelv) - robbanásveszélyes környezetben való használatra szánt berendezések és védelmi rendszerek;
• "ATEX 137 munkahely" (1999/92/EK irányelv) - minimális követelmények kitett munkavállalók biztonságának, egészségének és biztonságának javítása érdekében lehetséges kockázat robbanásveszélyes légkörnek való kitettségtől.

Figyelembe véve a foglalkozási kockázatértékelés fontosságát a munkahelyi munkahelyi biztonság szempontjából, az Európai Munkavállalók Egészségügyi és Biztonsági Ügynöksége 1996-ban kiadta a Útmutató a munkahelyi kockázatértékeléshez című dokumentumot, és folyamatosan számos hasznos példával bővíti a szakmai kockázatok értékelésében szereplő veszélyek azonosítását.

Általánosságban elmondható, hogy az európai REACH-irányelv követelményei is a biztonság biztosítását célozzák. Ez a rendszer a kémiai vegyületekben és bizonyos esetekben a termékekben található anyagokkal kapcsolatos kockázatok kezelésén alapul.

Fontos helyet foglalnak el a biztonságos munkavégzés rendszerének (GOST SSBT) szabványai. Ezek egy jól felépített rendszer dokumentumai, amely a világ néhány országában létezik. Tehát a technológiai berendezések biztonságának meg kell felelnie a GOST 12.2.003 biztonsági szabványnak technológiai folyamatok- GOST 12.3.002. És ha veszélyes anyagokat állítanak elő, tárolnak és használnak, akkor a biztonsági követelményeket a GOST 12.1.007 szerint határozzák meg. A biztonsági rendszereknek (eszközök, elemek) meg kell felelniük a GOST 12.4.011 szabványnak, tűz és robbanás esetén pedig a GOST 12.1.004 szabványnak.

Az épületek/építmények biztonságára vonatkozó követelményeket építési szabályzatok és előírások határozzák meg.

Az orvosi szabványoknak és előírásoknak is nagy jelentősége van (GMP - Good Manufacturing Practice, GLP - Good Laboratory Practice, GDP - Good Distribution Practice, GPP - Good Pharmacy Practice stb.).

Az élelmiszer-biztonsági szabványokat a Codex Alimentarius Bizottság határozza meg. Az állatgyógyászatban, növénytermesztésben is vannak biztonsági előírások.

Az űrhajózás és a nukleáris energia fejlődése, a légiközlekedési technológia bonyolítása oda vezetett, hogy a rendszerbiztonság tanulmányozását önálló, külön tevékenységi területként jelölték ki (például a NAÜ új biztonsági struktúrát adott ki) szabványok: GS-R-1 „Jogi és kormányzati infrastruktúra a nukleáris és sugárbiztonsággal, a radioaktív hulladékok biztonságával és szállításával kapcsolatban”). Még 1969-ben az Egyesült Államok Védelmi Minisztériuma elfogadta a MILSTD-882 "Rendszerek, alrendszerek és berendezések megbízhatósági programja" szabványt. Meghatározza a katonai programok valamennyi ipari vállalkozóra vonatkozó követelményeit.

Fontos dokumentumok az anyagbiztonsági adatlapok (MSDS kártyák - Anyagbiztonsági adatlapok). Az MSDS-ek általában a következő részeket tartalmazzák: termékadatok, veszélyes összetevők, lehetséges egészségügyi hatások (bőrrel való érintkezés, lenyelés, dózishatárok, irritáló hatás, stimuláló hatás, egymást erősítő hatás más vegyi anyagokkal való érintkezéskor, rövid távú expozíció, hosszú távú expozíció , szaporodásra gyakorolt ​​hatások, mutagenitás, rákkeltő hatás, elsősegélynyújtás (bőrrel, szemmel, gyomorral való érintkezés, belélegzés esetén), tűz- és robbanásveszély (gyúlékonyság / tűzveszélyesség - milyen körülmények között, módszerek tűzoltási utasítások, veszélyes égéstermékek) , reakcióképességi adatok (kémiai stabilitás, reakciókörülmények, veszélyes bomlástermékek), kiömlés/szivárgás (beleértve a hulladék ártalmatlanítását, lebomlás/vízi élővilágra, talajra, levegőre gyakorolt ​​toxicitás), az anyagok és egyéni védőeszközök hatásai elleni küzdelem (műszaki védőfelszerelés, kesztyű, légzés- és szemvédelem, védőcipő, védőruha), az anyag tárolására és kezelésére vonatkozó követelmények (tárolás, kezelés, szállítás), az anyag fizikai jellemzői, környezeti, szabályozási, további információ. Az ilyen MSDS-kártyákat a gyártó készíti el és adja át a felhasználónak/fogyasztónak. Az MSDS-kártyák adatait fel kell tüntetni a gyártási és munkavédelmi utasításokban.

Adat

Példák termékvisszahívásra a veszélyességük miatt

• Az Apple 2009-ben visszahívta az iPod nano 1G lejátszókat a robbanásveszély miatt akkumulátor(http://proit.com.ua/print/?id=20223).
• A McDonald's 2010-ben 12 millió gyűjthető poharat hívott vissza az Egyesült Államokban a Shrek rajzfilm szimbólumaival, mivel kadmiumot találtak a festékben, amellyel festették (www.gazeta.ru/news/lenta/... / n_1503285.shtml).
• 2008-ban Kínában csecsemők ezrei kerültek kórházba, miután megmérgezték őket melamint tartalmazó tápszerrel. A Sanlu hivatalos elnézést kért fogyasztóitól, és kijelentette, hogy a tejbeszállítók mérgező anyagokat adtak termékeikhez (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/ international/newsid_7620000/7620305.stm).
• A francia Orvosi Termékbiztonsági Hivatal 2010. április 1-től kérte az egyik protézistípus (szilikon implantátum) visszahívását, mivel az nem ment át a szükséges vizsgálaton (http://www.newsru.co.il/ health/01apr2010/pip301.html ).
• A Thule nemrég fedezte fel, hogy a tetőcsomagtartó készlete nem elég erős (a 2008. január 1. és 2009. február 28. között gyártott termékek esetében) a mellékelt csavar törékenysége miatt. A cég belső tesztelése után megállapították, hogy az alapban lévő csavar nem felel meg a vállalat biztonsági előírásainak. A fogyasztókat fenyegető magas kockázat miatt (a terhelés alatti csavar esetleges meghibásodása az állvány és a súly leválását okozhatja mozgás közben), a Thule úgy döntött, hogy azonnal kivonja a terméket a forgalomból (http://www2.thulegroup. com/en/Product-Recall /Bevezetés2/).

Következtetés

A biztonsági szabványokat kidolgozó szakembereknek nagyobb figyelmet kell fordítaniuk a különböző területeken alkalmazott előírások harmonizálására. Például használja a Heisenberg-féle bizonytalansági elvekben és a Bohr-féle komplementaritásban felvázolt megközelítéseket. Emellett ne feledkezzünk meg az emberi hibákról és a szervezeti hiányosságok kiküszöböléséről sem. A kockázatkezelés bevezetése a vállalkozásokban elősegíti a biztonság szintjének emelését. Az elmúlt években például a kockázatkezelési standardokat aktívan fejlesztették. Ezen dokumentumok tanulmányozása és alkalmazása is hozzájárul a biztonsági kultúra fejlesztéséhez.

Természetesen a biztonság területén szükség van szabványokra, előírásokra, normákra, szabályokra, utasításokra, de ezek végrehajtása sem kevésbé fontos.

A biztonság érdekében tudnia kell a válaszokat a következő kérdésekre:

1. Mekkora a valószínűsége egy esemény bekövetkezésének?

2. Mik lesznek a negatív következmények?

3. Hogyan lehet őket minimalizálni?

4. Hogyan kell folytatni a tevékenységeket egy esemény alatt és után?

5. Melyek a helyreállítási prioritások és időkeretek?

6. Mit, hogyan, mikor és kinek kell elvégezni?

7. Milyen megelőző intézkedéseket kell tenni a negatív következmények megelőzése / minimalizálása érdekében?

Hivatkozások

1. GOST 12.1.007-76 (1999). SSBT. Káros anyagok. Osztályozás és általános biztonsági követelmények.

2. GOST 12.1.004-91. SSBT. Tűzbiztonság. Általános követelmények.

3. GOST 12.2.003-91. SSBT. Gyártási eszközök. Általános biztonsági követelmények.

4. GOST 12.3.002-75 (2000). SSBT. Gyártási folyamat. Általános biztonsági követelmények.

5. GOST 12.4.011-89. SSBT. Védelmi eszközök a munkavállalók számára. Általános követelmények és besorolás.

6. GOST R 51898-2002. Biztonsági szempontok. A szabványokba való felvétel szabályai.

7. GOST R 12.1.052-97. SSBT. Az anyagok és anyagok biztonságára vonatkozó információk (Biztonsági adatlap). Alapvető rendelkezések.

8. GOST R ISO 13849-1-2003. A berendezések biztonsága. A vezérlőrendszerek biztonsággal kapcsolatos elemei. 1. rész. Általános tervezési elvek.

9. BS 31100:2008. Kockázatkezelés – Gyakorlati kódex.

10. BS OHSAS 18001:2007. Munkavédelmi irányítási rendszerek. követelményeknek.

11. CWA 15793:2008. Laboratóriumi biokockázat-kezelési szabvány.

12. ISO/IEC 51:1999. Biztonsági szempontok - Útmutató a szabványokba való beépítésükhöz.

13. ISO/IEC Guide 73:2009. Kockázatkezelés - Szókincs - Útmutató a szabványokhoz.

14. ISO 31000:2009. Kockázatkezelés – Alapelvek és irányelvek.

15. IEC/ISO 31010:2009. Kockázatkezelés – kockázatértékelési technikák.

16.ISO 15190:2003. Orvosi laboratóriumok – Biztonsági követelmények.

17. Ok: J. Emberi hiba. - New York: Cambridge University Press, 1990. - 316 p.

18. Az Európai Parlament és a Tanács 1907/2006/EK rendelete (2006. december 18.) a vegyi anyagok regisztrálásáról, értékeléséről, engedélyezéséről és korlátozásáról (REACH), az Európai Vegyianyag-ügynökség létrehozásáról, az 1999/45/EK irányelv módosításáról és a 793/93/EGK tanácsi rendelet és az 1488/94/EK bizottsági rendelet, valamint a 76/769/EGK tanácsi irányelv és a 91/155/EGK, 93/67/EGK és 93/105 bizottsági irányelvek hatályon kívül helyezéséről /EK és 2000/21/EK.

A modern társadalom egyik legfontosabb problémája és szükséglete az emberi jogok védelme a folyamatokba való bevonása szempontjából információcsere ideértve a személyes (személyes) adatok védelméhez való jogot az automatizált információfeldolgozás folyamataiban.

I. N. Malanych, a VSU 6. éves hallgatója

A személyes adatok védelmének intézménye ma már nem csak nemzeti joggal szabályozható kategória. A modern automatizált információs rendszerek legfontosabb jellemzője sokuk „nemzetfelettisége”, „kilépése” az államhatárokon túlra, a nyilvánosan elérhető globális információs hálózatok, mint például az internet kialakulása, egységes rendszer kialakítása. információs tér az ilyen nemzetközi struktúrákon belül.

Napjainkban az Orosz Föderációban nem csak a személyes adatok védelmének intézményének a jogi területre történő bevezetése jelent problémát az automatizált rendszer keretében. információs folyamatok, hanem az e területen meglévő nemzetközi jogi normákkal való összefüggése is.

A személyes adatok védelmének intézményének nemzetközi jogi szabályozásában három fő irányvonal az automatizált információfeldolgozás folyamataihoz kapcsolódik.

1) Nyilatkozat a személyes adatok védelméhez való jogról, mint az alapvető emberi jogok szerves része, a nemzetközi szervezetek keretében elfogadott általános humanitárius jogi aktusokban.

2) A személyes adatok védelméhez való jog megszilárdítása és szabályozása az Európai Unió, az Európa Tanács, részben a Független Államok Közössége és egyes regionális nemzetközi szervezetek jogszabályaiban. A normák ezen osztálya a leguniverzálisabb, és közvetlenül érinti a személyes adatok védelméhez való jogokat az automatizált információfeldolgozás során.

3) A bizalmas információk (beleértve a személyes információkat is) védelmére vonatkozó normák nemzetközi szerződésekbe foglalása.

Az első módszer - történelmileg korábban jelent meg, mint a többi. NÁL NÉL modern világ az információs jogok és szabadságok az alapvető emberi jogok szerves részét képezik.

Az Emberi Jogok 1948-as Egyetemes Nyilatkozata kimondja: „Senkit sem szabad önkényesen beavatkozni magán- és családi életébe, önkényes támadásnak ... levelezése titkossága ellen” és tovább: „Minden személynek joga van a az ilyen beavatkozások vagy támadások elleni törvényt.” A Polgári és Politikai Jogok 1966. évi Nemzetközi Egyezségokmánya megismétli a nyilatkozatot ebben a részben. Az 1950-es Európai Egyezmény részletezi ezt a jogot: „Mindenkinek joga van a véleménynyilvánítás szabadságához. Ez a jog magában foglalja a véleménynyilvánítás szabadságát, valamint az információk és ötletek átvételét és terjesztését a hatóságok beavatkozása nélkül és a határoktól függetlenül.”

A meghatározott nemzetközi dokumentumok rögzítik a személy információs jogait.

Jelenleg nemzetközi szinten stabil nézetrendszer alakult ki az információs emberi jogokról. Általánosságban elmondható, hogy ez az információhoz való jog, a magánélethez való jog az információk védelme szempontjából, az információ védelméhez való jog mind állambiztonsági, mind üzleti biztonság, ideértve a pénzügyi szempontokat is. tevékenységek.

A második út - a személyes adatok védelméhez való jog részletesebb szabályozása az elmúlt években a személyes adatok automatizált számítógépes információs rendszerekkel történő feldolgozásának egyre növekvő intenzitásával jár. Az elmúlt évtizedekben számos olyan nemzetközi szervezet keretében fogadtak el nemzetközi dokumentumot, amelyek alapvető információs jogokat alakítanak ki a határokon átnyúló információcsere intenzívebbé tételével és a modern információs technológiák alkalmazásával kapcsolatban. Ilyen dokumentumok a következők:

Az Európa Tanács 1980-ban kidolgozta az egyének védelméről szóló európai egyezményt a személyes adatok automatikus feldolgozása tekintetében, amely 1985-ben lépett hatályba. Az egyezmény meghatározza a személyes adatok gyűjtését és feldolgozását, a tárolás és az ezekhez való hozzáférés elveit. adatok, a fizikai adatvédelem módszerei. Az Egyezmény garantálja az emberi jogok tiszteletben tartását a személyes adatok gyűjtése és feldolgozása során, az adatok tárolásának és hozzáférésének elveit, az adatok fizikai védelmének módszereit, valamint tiltja a fajra, politikai nézetekre, egészségre, vallásra vonatkozó adatok feldolgozását. megfelelő jogalap nélkül. Oroszország 2001 novemberében csatlakozott az Európai Konvencióhoz.

Az Európai Unióban a személyes adatok védelmével kapcsolatos kérdéseket dokumentumok egész sora szabályozza. 1979-ben fogadták el az Európai Parlament határozatát „Az egyéni jogok védelméről az informatizálás előrehaladásával kapcsolatban”. Az állásfoglalás felkérte az Európai Közösségek Tanácsát és Bizottságát, hogy dolgozzanak ki és fogadjanak el jogi aktusokat a személyes adatok védelméről az informatika területén bekövetkezett technológiai fejlődéssel összefüggésben. 1980-ban elfogadták az Európai Unió Tagállamai Együttműködési Szervezetének „A magánélet védelmére vonatkozó iránymutatásokról a személyes adatok államközi cseréjében” című ajánlásait. Jelenleg a személyes adatok védelmének kérdéseit az Európai Parlament és az Európai Unió Tanácsának irányelvei szabályozzák részletesen. Ezek az Európai Parlament és az Európai Unió Tanácsának 1995. október 24-i 95/46/EK és 2002/58/EK irányelvei „Az egyének jogainak védelméről a személyes adatok feldolgozása tekintetében. a személyes adatokról és az ilyen adatok szabad áramlásáról", az Európai Parlament és az Európai Unió Tanácsának 1997. december 15-i 97/66/EK irányelve a személyes adatok felhasználásáról és a magánélet védelméről a távközlés és egyéb dokumentumok területe.

Az Európai Unió jogi aktusaira jellemző az automatizált adatkezelés elveinek és kritériumainak, a személyes adatok alanyainak és birtokosainak jogainak és kötelezettségeinek, határokon átnyúló továbbításának kérdéseinek, valamint az okozott károkért való felelősség és szankciók részletes tanulmányozása. kár. A 95/46/EK irányelvnek megfelelően az Európai Unió megállapította Munkacsoport az egyének védelméről személyes adataik kezelése tekintetében. Tanácsadó testületként működik, és független struktúraként működik. A munkacsoport az egyes tagállamok által az irányelv rendelkezéseinek való megfelelés felügyelete céljából létrehozott testület képviselőjéből, a közösségi intézmények és struktúrák számára létrehozott testület vagy szervek képviselőjéből, valamint a tagállamok képviselőjéből áll. az Európai Bizottság.

A Gazdasági Együttműködési és Fejlesztési Szervezet (OECD) keretében érvényben van az „Irányelvek a magánélet védelméhez és a személyes adatok nemzetközi cseréjéhez”, amelyet 1980. szeptember 23-án fogadtak el. Ennek az irányelvnek a preambuluma kimondja: "...az OECD-tagországok szükségesnek találták olyan iránymutatások kidolgozását, amelyek elősegíthetik a nemzeti adatvédelmi törvények egységesítését, és a vonatkozó emberi jogok tiszteletben tartása mellett nem teszik lehetővé a nemzetközi adatcsere blokkolását. ..." Ezek a rendelkezések mind a köz-, mind a magánszférában vonatkoznak azokra a személyes adatokra, amelyek akár a feldolgozási eljárással, akár felhasználásuk jellegével vagy összefüggésével összefüggésben a magánélet és az egyéni szabadságjogok megsértésének kockázatát hordozzák. Meghatározza a személyes adatok megfelelő mechanizmusokkal történő ellátásának szükségességét az elvesztésükkel, megsemmisülésükkel, megváltoztatásukkal vagy nyilvánosságra hozatalukkal, az illetéktelen hozzáféréssel kapcsolatos kockázatok elleni védelem érdekében. Oroszország sajnos nem vesz részt ebben a szervezetben.

Az államok parlamentközi közgyűlése – a FÁK tagjai 1999. október 16. elfogadták a „Személyes adatokról” szóló törvénymintát.

A törvény szerint "Személyes adatok" - információ (anyaghordozón rögzítve) egy adott személyről, amely azonosítható vagy azonosítható vele. A személyes adatok közé tartoznak az életrajzi és azonosító adatok, a személyes jellemzők, a családdal, a szociális helyzettel, az iskolai végzettséggel, a szakmával, a hivatalos és anyagi helyzettel, az egészségi állapottal és egyebekkel kapcsolatos információk. A törvény felsorolja továbbá a személyes adatok jogi szabályozásának alapelveit, a személyes adatokkal végzett műveletek állami szabályozásának formáit, az alanyok és a személyes adatok birtokosainak jogait és kötelezettségeit.

Úgy tűnik, hogy a személyes adatok védelmének nemzetközi jogi normatív szabályozásának második módszere a legérdekesebb az elemzés szempontjából. Ennek az osztálynak a normái nemcsak közvetlenül szabályozzák a társadalmi viszonyokat ezen a területen, hanem hozzájárulnak ahhoz is, hogy a tagországok jogszabályait a nemzetközi normákhoz hozzák, ezáltal biztosítva e normák érvényesülését területükön. Így biztosított az Emberi Jogok Egyetemes Nyilatkozatában rögzített információs jogok szavatolása is az utóbbi 12. cikkében deklarált „jog védelméhez való jog ... beavatkozástól vagy ... beavatkozásoktól” értelmében. .

A személyes adatok védelmére vonatkozó szabályok egységes szerkezetbe foglalásának harmadik módja a jogi védelem nemzetközi szerződésekben való biztosítása.

Az információcseréről szóló cikkeket a jogsegélyről, a kettős adóztatás elkerüléséről, az egyes társadalmi és kulturális szférában való együttműködésről szóló nemzetközi szerződések tartalmazzák.

Az Art. 25 közötti szerződések Orosz Föderációés az Egyesült Államok kettős adóztatása és az adóelkerülés megelőzése a jövedelem- és tőkeadócsaláson, az államoknak szakmai titoktartási információkat kell megadniuk. Az Orosz Föderáció és az Indiai Köztársaság közötti, a büntetőügyekben nyújtott kölcsönös jogsegélyről szóló szerződés 15. „Titkosság” cikket tartalmaz: a megkeresett fél megkövetelheti a továbbított információk bizalmas kezelését. A nemzetközi szerződések megkötésének gyakorlata a szerződő államok azon törekvését mutatja, hogy megfeleljenek a személyes adatok védelmére vonatkozó nemzetközi szabványoknak.

Úgy tűnik, hogy ennek az intézménynek a nemzetközi jogi szintű szabályozásának leghatékonyabb mechanizmusa a speciális szabályozó dokumentumok nemzetközi szervezetek keretében történő közzététele. Ez a mechanizmus nemcsak a személyes adatok védelmének aktuális problémáinak megfelelő belső szabályozásához járul hozzá a cikk elején említett szervezeteken belül, hanem jótékony hatással van a részt vevő országok nemzeti jogszabályaira is.