###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Standarde de stat în domeniul securității informațiilor. Standarde juridice internaționale în domeniul protecției datelor cu caracter personal. Compararea și analiza sistemelor de standardizare naționale și internaționale

    29.04.2020 Recenzii

    Problema securității informațiilor computerizate nu este nouă - specialiștii s-au ocupat de ea încă din momentul în care computerul a început să prelucreze date de mare valoare pentru utilizator. Cu toate acestea, în ultimii ani, datorită dezvoltării rețelelor, cererea în creștere pentru servicii electronice Situația în domeniul securității informațiilor s-a deteriorat serios, iar problema standardizării abordărilor pentru rezolvarea acesteia a devenit deosebit de relevantă atât pentru dezvoltatorii, cât și pentru utilizatorii de instrumente IT.

    De ce trebuie să cunoașteți teoria?

    Orice specialist securitatea informatiei parcurge trei etape în dezvoltarea sa profesională. Prima dintre ele este „a lucra cu mâinile tale”. Noul venit intens, folosind instrumente specializate, caută și elimină lacune foarte specifice în software-ul de sistem și aplicație. Scanner, patch, port, conexiune - acestea sunt entitățile cu care lucrează în această etapă.

    A doua etapă este „lucrarea cu capul”. Obosit să astupe din ce în ce mai multe noi lacune, specialistul începe să dezvolte planuri și metode, al căror scop este eficientizarea acțiunilor pentru îmbunătățirea securității sistemelor și eliminarea consecințelor amenințărilor informaționale. În această etapă apare conceptul de „politică de securitate”.

    În sfârșit, vine momentul reflecției - în această etapă, un specialist experimentat înțelege că cel mai probabil reinventează roata, deoarece probabil că strategiile de securitate au fost deja dezvoltate înaintea lui. Și în asta are cu siguranță dreptate.

    Numeroase organizații din întreaga lume se confruntă de mult timp cu problema securității informațiilor; rezultatul activităților lor au fost volume importante de standarde, reglementări, recomandări, reguli etc. Cu greu este recomandabil să studiezi întregul volum, dar merită, desigur, să cunoști documentele fundamentale. Prin urmare, în acest articol vom aminti doar cele mai importante prevederi rusești și internaționale care stabilesc standarde în domeniul securității informațiilor.

    Conceptul de securitate a informațiilor

    Dezvoltarea sistemelor informaționale și de telecomunicații în diverse scopuri (în primul rând internetul), precum și schimbul electronic de informații valoroase care au nevoie de protecție, au impus specialiștilor care lucrează în acest domeniu să sistematizeze și să eficientizeze cerințele și caracteristicile de bază ale sistemelor informatice în ceea ce privește de securitate. Cu toate acestea, înainte de a trece la luarea în considerare a standardelor formate, este necesar să se definească ce este securitatea.

    Având în vedere importanța conceptului, vom încerca să formulăm definiția lui extinsă, care să țină cont de cele mai recente evoluții internaționale și interne în acest domeniu. Deci, securitatea informațiilor este o stare de rezistență a datelor la influențe accidentale sau intenționate, excluzând riscurile inacceptabile de distrugere, denaturare și dezvăluire a acestora, care conduc la pagube materiale proprietarului sau utilizatorului. Această definiție ține cont cel mai pe deplin de scopul principal al unui sistem informatic informatic comercial - minimizarea pierderilor financiare, obținerea de profituri maxime în fața riscurilor reale.

    Această prevedere este relevantă în special pentru așa-numitul sisteme deschise domeniul public care procesează informații clasificate acces limitat, care nu conțin secrete de stat. Astăzi, sistemele de acest tip se dezvoltă rapid atât în ​​lume, cât și în țara noastră.

    Standardul internațional de securitate a informațiilor

    Este bine cunoscut faptul că standardizarea stă la baza tuturor tipurilor de metode de determinare a calității produselor și serviciilor. Unul dintre principalele rezultate ale unor astfel de activități în domeniul sistematizării cerințelor și caracteristicilor sistemelor informaționale securizate a fost Sistemul de standarde internaționale și naționale de securitate a informațiilor, care conține peste o sută de documente diferite. Un exemplu este standardul ISO 15408, cunoscut sub numele de „Criterii comune”.

    Standardul de bază de securitate a informațiilor ISO 15408, adoptat în 1998, este cu siguranță foarte important pentru dezvoltatorii ruși. Mai mult, în acest an, 2001, Gosstandart intenționează să pregătească o versiune armonizată a acestui document. Organizația Internațională pentru Standardizare (ISO) a început elaborarea unui Standard Internațional pentru Criteriile de Evaluare a Securității tehnologia Informatiei pentru uz general „Common Criteria” în 1990. La crearea sa au participat: Institutul Național de Standarde și Tehnologie și Agenția Națională de Securitate (SUA), Instituția de Securitate a Comunicațiilor (Canada), Agenția de Securitate a Informațiilor (Germania), Agenția Națională de Securitate a Comunicațiilor (Olanda), autoritățile de implementare a Programul de Securitate și Certificare IT (Anglia), Centrul pentru Securitatea Sistemelor (Franța). Odată ce standardul a fost finalizat, i s-a acordat numărul ISO 15408.

    Criteriile comune (CC) au fost create pentru recunoașterea reciprocă a rezultatelor evaluării securității IT la scară globală și reprezintă baza acesteia. Acestea vă permit să comparați rezultatele evaluărilor independente ale securității informațiilor și ale toleranței la risc pe baza unui set de cerințe generale pentru funcțiile de securitate ale instrumentelor și sistemelor IT, precum și a garanțiilor aplicate acestora în timpul procesului de testare.

    Principalele avantaje ale OK sunt completitudinea cerințelor de securitate a informațiilor, flexibilitatea în aplicare și deschiderea pentru dezvoltarea ulterioară, luând în considerare cele mai recente realizări ale științei și tehnologiei. Criteriile sunt concepute pentru a satisface nevoile tuturor celor trei grupuri de utilizatori (consumatori, dezvoltatori și evaluatori) atunci când se examinează proprietățile de securitate ale unui instrument sau sistem IT (obiectul evaluării). Acest standard este util ca ghid atunci când se dezvoltă funcții de securitate IT, precum și la achiziționarea de produse comerciale cu caracteristici similare. Obiectivul principal al evaluării îl reprezintă amenințările care decurg din acțiunile umane rău intenționate, dar OC poate fi folosit și în evaluarea amenințărilor cauzate de alți factori. În viitor, este de așteptat crearea unor cerințe specializate pentru sectorul creditului comercial și financiar. Să ne amintim că documentele anterioare interne și străine de acest tip erau legate de condițiile unui sistem guvernamental sau militar care prelucrează informații clasificate care pot conține secrete de stat.

    Lansarea și implementarea acestui standard în străinătate este însoțită de dezvoltarea de noi, o arhitectură standardizată care este concepută pentru a asigura securitatea informațiilor sistemelor de calcul. Cu alte cuvinte, tehnic și software Calculatoare care îndeplinesc criteriile generale. De exemplu, organizația internațională „Open Group”, care reunește aproximativ 200 de companii de calcul și telecomunicații de top din întreaga lume, a lansat o nouă arhitectură de securitate a informațiilor pentru sisteme automatizate luând în considerare criteriile specificate. În plus, „Open Group” creează programe de învățare, facilitând implementarea rapidă și de înaltă calitate a documentelor de standardizare.

    Caracteristicile procesului de standardizare a Internetului

    ÎN Retea globala exista de mult timp întreaga linie comitete care se ocupă de standardizarea tuturor tehnologiilor Internet. Aceste organizații, care formează cea mai mare parte a Internet Engineering Task Force (IETF), au standardizat deja câteva protocoale importante, accelerând astfel adoptarea lor pe Internet. Familia de protocoale TCP/IP pentru transferul de date, SMTP și POP pentru e-mail, precum și SNMP (Simple Network Management Protocol) pentru managementul rețelei sunt rezultatele IETF.

    În ultimii câțiva ani, piața online a fost martoră a ceea ce este cunoscut ca o influență fragmentată asupra formării standardelor. Pe măsură ce Internetul s-a extins pe piețele de consum și comerciale, unele firme au început să caute modalități de a influența standardizarea creând o aparență de concurență. Chiar și organismele informale precum IETF au simțit presiunea. Pe măsură ce piețele legate de internet s-au dezvoltat, antreprenorii au început să formeze grupuri sau consorții speciale pentru a-și promova propriile standarde. Exemplele includ OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum și Java Development Connection. Uneori, consumatorii serioși de servicii de internet stabilesc standarde de facto cu achizițiile sau comenzile lor.

    Unul dintre motivele apariției diferitelor grupuri de standarde este contradicția dintre ritmul tot mai mare de dezvoltare a tehnologiei și ciclul lung de creare a standardelor.

    Standarde de securitate pe internet

    Protocoalele securizate de transmisie a datelor sunt populare ca mijloace de asigurare a securității pe Internet, și anume SSL (TLS), SET, IP v. 6. Au apărut relativ recent și au devenit imediat standarde de facto.

    SSL (TLS)

    Cel mai popular protocol de criptare a datelor din rețea în prezent pentru transmisia securizată prin rețea este un set de algoritmi, metode și reguli criptografice pentru aplicarea lor. Vă permite să stabiliți o conexiune sigură, să monitorizați integritatea datelor și să rezolvați diverse probleme conexe.

    A STABILIT

    SET (Security Electronics Transaction) este un protocol promițător care oferă tranzacții electronice sigure pe Internet. Se bazează pe utilizarea certificatelor digitale conform standardului X.509 și este destinat organizării comerțului electronic în rețea.

    Acest protocol este un standard dezvoltat de MasterCard și Visa cu participarea IBM, GlobeSet și alți parteneri. Permite clienților să cumpere bunuri online folosind cel mai sigur mecanism de plată disponibil în prezent. SET este un protocol multilateral standard deschis pentru efectuarea plăților pe internet folosind carduri de plastic. Acesta oferă autentificare încrucișată între contul deținătorului cardului, comerciant și banca comerciantului pentru a verifica disponibilitatea plății, precum și integritatea și secretul mesajului și criptarea datelor valoroase și sensibile. SET poate fi considerat o tehnologie standard sau un sistem de protocoale pentru efectuarea de plăți sigure pe baza de carduri de plastic prin Internet.

    IPSec

    Specificația IPSec este inclusă în standardul IP v. 6 și este suplimentar față de Versiune curentă protocoale TCP/IP. Acesta este dezvoltat de Grupul de lucru IETF IP Security. IPSec include în prezent trei specificații de bază independente de algoritm, reprezentând standardele RFC corespunzătoare.

    Protocolul IPSec oferă mod standard criptarea traficului la nivelul rețelei (al treilea) IP și protejează informațiile bazate pe criptare end-to-end: indiferent de aplicația care rulează, fiecare pachet de date care trece prin canal este criptat. Permite organizațiilor să creeze rețele private virtuale pe Internet. IPSec rulează pe deasupra protocoalelor de comunicații convenționale, acceptând DES, MD5 și o serie de alți algoritmi criptografici.

    Asigurarea securității informațiilor la nivel de rețea folosind IPSec include:

    • suport pentru sisteme terminale nemodificate;
    • suport pentru protocoale de transport altele decât TCP;
    • a sustine rețele virtualeîn rețele neprotejate;
    • protecția antetului stratului de transport împotriva interceptării (protecția împotriva analizei traficului neautorizat);
    • protecție împotriva atacurilor de tip denial of service.

    În plus, IPSec are două avantaje importante:

    1. utilizarea sa nu necesită modificări ale dispozitivelor intermediare de rețea;
    2. Desktopurile și serverele nu trebuie neapărat să accepte IPSec.

    Caracteristicile pieței ruse

    Din punct de vedere istoric, în Rusia, problemele de securitate informatică au fost studiate și rezolvate cu promptitudine numai în domeniul protejării secretelor de stat. Similare, dar având propriile sarcini specifice sectorului comercial al economiei pentru o lungă perioadă de timp nu a gasit solutii potrivite. Acest fapt încă încetinește semnificativ apariția și dezvoltarea instrumentelor IT securizate în piata interna, care se integrează cu sistemul mondial. Mai mult, securitatea informațiilor într-un sistem automatizat comercial are propriile caracteristici care pur și simplu trebuie luate în considerare, deoarece au un impact grav asupra tehnologiei de securitate a informațiilor. Le enumerăm pe cele principale:

    1. Prioritatea factorilor economici. Pentru un sistem automatizat comercial, este foarte important să se reducă sau să se elimine pierderile financiare și să se asigure că proprietarul și utilizatorii acestui instrument fac profit sub riscuri reale. O condiție importantăîn același timp, în special, este de a minimiza riscurile bancare tipice (de exemplu, pierderi datorate instrucțiunilor de plată eronate, falsificarea documentelor de plată etc.);
    2. Deschiderea designului, care prevede crearea unui subsistem de securitate a informațiilor din instrumente care sunt disponibile pe scară largă pe piață și funcționează în sisteme deschise;
    3. Semnificația juridică a informațiilor comerciale, care poate fi definită ca o proprietate a informațiilor securizate care face posibilă conferirea forței juridice documentelor electronice sau proceselor de informare în conformitate cu regimul juridic resurse informaționale stabilite de legislația Federației Ruse. Această condiție a devenit recent din ce în ce mai importantă în țara noastră odată cu crearea unui cadru de reglementare pentru securitatea IT (în special cu interacțiunea sistemelor automatizate ale diferitelor persoane juridice).

    Este evident că crearea unui IT securizat care prelucrează informații confidențiale care nu conțin secrete de stat este extrem de importantă pentru viața economică și financiară a Rusiei moderne. Aplicarea în Rusia a standardului armonizat ISO 15408 („Criterii comune”), care reflectă cele mai recente realizări globale în evaluarea securității informațiilor, va permite:

    • introducerea IT-ului rusesc la cerințele internaționale moderne de securitate a informațiilor, ceea ce va simplifica, de exemplu, utilizarea produselor străine și exportul acestora;
    • să faciliteze dezvoltarea materialelor de reglementare și metodologice specializate relevante din Rusia pentru testarea, evaluarea (monitorizarea) și certificarea sistemelor bancare securizate și a altor instrumente și sisteme IT;
    • crearea unei baze pentru evaluarea calitativă și cantitativă a riscurilor informaționale necesare pentru asigurarea sistemelor automatizate;
    • reduce costurile globale de menținere a unui regim de securitate a informațiilor în bănci și corporații prin tastarea și unificarea metodelor, măsurilor și mijloacelor de protecție a informațiilor.

    Standardele de stat

    Dintre diversele standarde de securitate a tehnologiei informației care există în țara noastră, trebuie evidențiate o serie de documente care reglementează protecția interconexiunii sistemelor deschise (Tabelul 1, rândurile 1-3). La acestea se pot adăuga documente de reglementare privind instrumentele, sistemele și criteriile de evaluare a securității echipamentelor informatice și a sistemelor automatizate (vezi Tabelul 1, rândurile 4-8). Ultimul grup de documente, ca multe standarde străine create anterior, se concentrează în primul rând pe protejarea secretelor de stat.

    Tabelul 1. Documente de reglementare care reglementează evaluarea securității IT

    p/p         		numarul documentului Descriere
    1 GOST R ISO 7498-2-99 Tehnologia de informație. Interconectarea sistemelor deschise. Model de referință de bază. Partea 2. Arhitectura de securitate a informațiilor
    2 GOST R ISO/IEC 9594-8-98 Tehnologia de informație. Interconectarea sistemelor deschise. Director. Partea 8: Noțiuni de bază pentru autentificare
    3 GOST R ISO/IEC 9594-9-95 Tehnologia de informație. Interconectarea sistemelor deschise. Director. Partea 9. Dublare
    4 - Document de orientare al Comisiei Tehnice de Stat "RD. SVT. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații" (Comisia Tehnică de Stat a Rusiei, 1997)
    5 GOST R 50739-95 "Tehnologia computerelor. Protecție împotriva accesului neautorizat la informații. Cerințe tehnice generale"
    6 GOST 28147-89 Sisteme de prelucrare a informațiilor. Protecție criptografică. Algoritm de conversie criptografică
    7 GOST R 34,10-94 Tehnologia de informație. Protecție criptografică informație. Proceduri de generare și verificare a unei semnături electronice pe baza unui algoritm criptografic asimetric
    8 GOST R 34.11-94 Tehnologia de informație. Protecția informațiilor criptografice. Funcția hash

    Cum și unde funcționează diferitele standarde

    Toate standardele disponibile în prezent sunt pe mai multe niveluri. Aceasta înseamnă că utilizarea lor este limitată la un anumit nivel de abstractizare în sistemele informaționale (de exemplu, „Criteriile comune” nu pot fi folosite pentru a descrie în detaliu mecanismul de generare a unei chei de sesiune în protocolul TLS). Evident, pentru a aplica în mod eficient standardele, este necesar să avem o bună înțelegere a nivelului și scopului acestora.

    Astfel, atunci când se dezvoltă o politică de securitate și un sistem de evaluare a performanței, precum și atunci când se efectuează teste de securitate cuprinzătoare, cel mai bine este să folosiți prevederile ISO 15408 („Criterii comune”). Standardele GOST corespunzătoare sunt destinate implementării și evaluării perfecțiunii tehnice a sistemelor de criptare și semnătură digitală. Dacă trebuie să protejați un canal pentru schimbul de informații arbitrare, atunci este recomandabil să îl utilizați Protocolul TLS. Când nu este vorba doar de protecție? linii de comunicare, iar în ceea ce privește securitatea tranzacțiilor financiare, intră în joc SET, inclusiv protocoalele de securitate ale canalului ca unul dintre standardele de nivel inferior.

    De la teorie la practică

    Pentru a demonstra importanța practică a prevederilor de mai sus, oferim o listă de standarde de securitate utilizate în implementarea complexă a serviciilor bancare electronice InterBank.

    Protocolul SSL (TLS) poate fi utilizat pentru a proteja canalul de schimb de informații în sistemele RS-Portal și Internet Client. Standardele GOST 28147-89, GOST R 34.10-94 și GOST R 34.11-94, care reglementează criptarea datelor și mecanismul de semnătură digitală electronică, sunt implementate în toate sistemele de protecție criptografică ale subsistemelor de tip „client-bank” („DOS Client” , „Client Windows” , „Client Internet”).

    Folosind protocolul IPSec, puteți proteja în mod transparent orice canal de schimb de informații între client și bancă folosind protocolul de rețea IP. Acest lucru se aplică atât sistemelor de Internet (RS-Portal și Internet Client) cât și sistemului de e-mail RS-Mail, care acceptă operarea IP.

    Sperăm că informațiile furnizate în articol vă vor ajuta să evaluați fiabilitatea sistemelor dvs., iar eforturile și timpul dezvoltatorilor vor fi îndreptate spre crearea cu adevărat cele mai bune mijloace, care va deveni un nou pas în dezvoltarea tehnologiei de securitate a informațiilor.


    Articole pe această temă
    •

    ISO/IEC 27001- un standard internațional pentru securitatea informațiilor, elaborat în comun de Organizația Internațională de Standardizare și Comisia Electrotehnică Internațională. Standardul conține cerințe în domeniul securității informațiilor pentru crearea, dezvoltarea și întreținerea unui Sistem de management al securității informațiilor (ISMS).

    Scopul standardului. Standardul ISO/IEC 27001 (ISO 27001) conține descrieri ale celor mai bune practici din lume în domeniul managementului securității informațiilor. ISO 27001 specifică cerințele pentru un sistem de management al securității informațiilor pentru a demonstra capacitatea unei organizații de a-și proteja activele informaționale. Acest standard a fost elaborat ca model pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, suportul și îmbunătățirea unui Sistem de Management al Securității Informației (ISMS).

    Scopul ISMS— selectarea controalelor de securitate adecvate menite să protejeze activele informaționale și să asigure încrederea părților interesate.

    Noțiuni de bază. Securitatea informațiilor - menținerea confidențialității, integrității și disponibilității informațiilor; în plus, pot fi incluse și alte proprietăți, cum ar fi autenticitatea, non-repudierea și fiabilitatea.

    Confidențialitate - asigurarea faptului că informațiile sunt accesibile numai celor care au autoritatea corespunzătoare (utilizatori autorizați).

    Integritate - asigurarea acurateții și completității informațiilor, precum și a metodelor de prelucrare a acestora.

    Disponibilitate – asigurarea accesului la informații utilizatorilor autorizați atunci când este necesar (la cerere).

    Standardul ISO 27001 prevede:

    · definirea scopurilor și înțelegerea direcției și principiilor de activitate privind securitatea informațiilor;

    · determinarea abordărilor privind evaluarea și managementul riscurilor în organizație;

    · managementul securității informațiilor în conformitate cu legile aplicabile și cerințele de reglementare;

    · utilizarea unei abordări unificate la crearea, implementarea, operarea, monitorizarea, analizarea, susținerea și îmbunătățirea sistemului de management astfel încât obiectivele de securitate a informațiilor să fie atinse;

    · definirea proceselor sistemului de management al securității informațiilor;

    · determinarea stării măsurilor de securitate a informațiilor;

    · utilizarea auditurilor interne și externe pentru a determina gradul de conformitate a sistemului de management al securității informațiilor cu cerințele standardului;



    · furnizarea de informații adecvate partenerilor și altor părți interesate cu privire la politica de securitate a informațiilor.


    Principii de reglementare juridică a relațiilor în domeniul informației, tehnologiilor informației și protecției informațiilor conform conținutului Legii federale a Federației Ruse din 27 iulie 2006 nr. 149-FZ „Cu privire la informații, tehnologiile informației și protecția informațiilor”.

    Reglementarea legală a relațiilor apărute în domeniul informației, tehnologiei informației și protecției informațiilor se bazează pe următoarele principii:

    1) libertatea de a căuta, primi, transmite, produce și difuza informații în orice mod legal;

    2) stabilirea restricțiilor privind accesul la informații numai prin legile federale;

    3) deschiderea informațiilor despre activitățile organelor de stat și ale organelor guvernamentale locale și accesul liber la astfel de informații, cu excepția cazurilor stabilite de legile federale;

    4) egalitatea drepturilor pentru limbile popoarelor Federației Ruse în timpul creării sisteme de informareși funcționarea acestora;

    5) asigurarea securității Federației Ruse în timpul creării sistemelor informatice, funcționarea acestora și protecția informațiilor conținute în acestea;

    6) fiabilitatea informațiilor și oportunitatea furnizării acestora;

    7) inviolabilitatea vieții private, inadmisibilitatea culegerii, stocării, utilizării și difuzării informațiilor despre viața privată a unei persoane fără consimțământul acesteia;

    8) inadmisibilitatea stabilirii prin acte juridice de reglementare a oricăror avantaje ale utilizării unor tehnologii informaționale față de altele, cu excepția cazului în care utilizarea obligatorie a anumitor tehnologii informaționale pentru crearea și funcționarea sistemelor informaționale de stat este stabilită prin legile federale.


    Strategia de securitate națională a Federației Ruse până în 2020.” Structura, obiectivele, metodele și modalitățile prin care statul își implementează funcțiile pentru a asigura securitatea informațiilor în „Doctrina securității informaționale a Federației Ruse”.



    Strategia de securitate națională a Federației Ruse până în 2020 este un sistem recunoscut oficial de priorități strategice, obiective și măsuri în domeniul politicii interne și externe care determină starea securității naționale și nivelul de dezvoltare durabilă a statului pe termen lung. .

    Doctrina securității informaționale a Federației Ruse este un set de opinii oficiale cu privire la scopurile, obiectivele, principiile și direcțiile principale de asigurare a securității informațiilor din Federația Rusă.

    Componentele intereselor naționale ale Federației Ruse în sfera informațională în doctrină:

    1) Respectarea obligatorie a drepturilor și libertăților constituționale ale omului în domeniul obținerii și utilizării informațiilor.

    2) Suport informațional pentru politica de stat a Federației Ruse (comunicarea cetățenilor Federației Ruse și comunității internaționale despre politica de stat a Federației Ruse, poziția oficială cu privire la evenimentele semnificative din Rusia și din lume) cu accesul cetățenilor pentru a deschide resurse guvernamentale.

    3) Dezvoltarea IT-ului modern în industria autohtonă (mijloace de informare, telecomunicații și comunicații). Furnizarea IT pentru piața internă rusă și intrarea pe piețele globale.

    4) Protejarea resurselor informatice de accesul neautorizat, asigurarea securitatii sistemelor informatice si de telecomunicatii.

    Tipuri de amenințări la adresa securității informațiilor din Federația Rusă în doctrină:

    1. Amenințări care vizează drepturile și libertățile constituționale ale omului în domeniul activităților de informare.

    2. Amenințări la adresa susținerii informaționale a politicii de stat a Federației Ruse.

    3. O amenințare la adresa dezvoltării IT-ului modern în industria autohtonă, precum și intrarea pe piețele interne și globale.

    4. Amenințări la adresa securității instalațiilor și sistemelor de informații și telecomunicații.

    Metode pentru asigurarea securității informațiilor din Federația Rusă în doctrină:

    Metode legale

    Elaborarea actelor juridice normative care reglementează relaţiile în domeniul IT

    Metode organizatorice si tehnice

    Crearea sistemului de securitate a informațiilor din Federația Rusă și îmbunătățirea acestuia

    Aducerea în fața justiției pe cei care au comis infracțiuni în acest domeniu

    Crearea de sisteme și mijloace de prevenire a accesului neautorizat la informațiile prelucrate

    Metode economice

    Dezvoltarea programelor de securitate a informațiilor și finanțarea acestora

    Finanțarea lucrărilor legate de asigurarea securității informațiilor din Federația Rusă

    Schema cursului

    1. Condiții preliminare pentru crearea standardelor internaționale de securitate a informațiilor (IS).

    1.1. Scopul și obiectivele standardizării internaționale

    1.2. Organizația Internațională pentru Standardizare, ISO

    1.3. Standarde internaționale de bază de securitate a informațiilor

    2. Criterii de evaluare a celor de încredere sisteme informaticeCartea portocalie")

    2.1.Informații de bază

    2.2 Cerințe și instrumente de bază

    3. Concepte de bază

    4.Mecanisme de implementare a securității

    5. Secțiuni și clase de siguranță.

    5.1. Secțiile de securitate

    5.2. Cursuri de securitate

    6. Scurtă clasificare

    Criterii internaționale de evaluare a securității tehnologiilor informaționale în țări străine

    Schema cursului

    1. Criterii armonizate ale țărilor europene

    2. Standard german BSI

    3. Standard britanic BS 7799

    4. Standard internațional IS O/ I EC 15408„Criterii de evaluare a securității tehnologiilor informaționale”. „Criterii generale”

    Condiții preliminare pentru crearea standardelor internaționale de securitate a informațiilor

    1.1. Probleme generale

    În străinătate, dezvoltarea standardelor se desfășoară în mod continuu; proiectele și versiunile standardelor sunt publicate în mod consecvent la diferite etape de coordonare și aprobare. Unele standarde sunt aprofundate și detaliate treptat sub forma unui set de grupuri de standarde interconectate în concepte și structură.

    Este general acceptat că o parte integrantă a procesului general de standardizare a tehnologiei informației (IT) este dezvoltarea standardelor legate de problema securității IT, care a devenit din ce în ce mai relevantă datorită tendințelor de creștere a integrării reciproce a sarcinilor aplicate, construirea acestea pe baza de prelucrare distribuită a datelor, sisteme de telecomunicații, tehnologii de schimb electronic de date.

    Dezvoltare standarde pentru sisteme deschise , inclusiv standardele în domeniul securității IT, este implementat de o serie de organizații și consorții internaționale specializate, cum ar fi, de exemplu, ISO, IEC, ITU-T, IEEE, IAB, WOS, ECMA, X/Open, OSF, OMG.

    Lucrări semnificative privind standardizarea problemelor de securitate IT sunt efectuate de organizații specializate și la nivel național. Toate acestea au făcut posibilă până în prezent formarea unei baze metodologice destul de extinse, sub forma unor standarde internaționale, naționale și industriale, precum și a materialelor de reglementare și orientare care reglementează activitățile din domeniul securității IT.

    1.2. Situația cadrului internațional de reglementare și metodologie

    Pentru a sistematiza analiza stării actuale a cadrului normativ și metodologic internațional în domeniul securității IT, este necesar să se utilizeze câteva clasificarea zonelor de standardizare .

    În general, se pot distinge următoarele direcții :

    1. Principii generale managementul securității informațiilor.

    2. Modele de securitate IT.

    3. Metode și mecanisme de securitate IT (cum ar fi, de exemplu: metode de autentificare, managementul cheilor etc.).

    4. Algoritmi criptografici.

    5. Metode de evaluare a securității sistemelor informaționale.

    6. Securitatea tehnologiilor EDI.

    7. Securitatea interacțiunilor internetwork (firewall-uri).

    8. Certificarea și certificarea obiectelor de standardizare.

    Scopul și obiectivele standardizării internaționale

    Standard este un document care stabilește caracteristicile produselor, exploatarea, depozitarea, transportul, vânzarea și eliminarea, efectuarea lucrărilor sau prestarea de servicii. Standard poate conține, de asemenea, cerințe de terminologie, simboluri, ambalaje, marcaje sau etichete și reguli de aplicare a acestora.

    Standard international - un standard adoptat de o organizație internațională. În practică, standardele internaționale înseamnă adesea și standarde regionale și standarde dezvoltate de societățile științifice și tehnice și adoptate ca norme de diferite țări din întreaga lume.

    Standardizare internațională - standardizarea, participarea la care este deschisă autorităților competente din toate țările.

    Scopul principal al standardelor internaționale - aceasta este crearea la nivel internațional a unei baze metodologice unificate pentru dezvoltarea de noi și îmbunătățirea sistemelor de calitate existente și certificarea acestora.

    Cooperarea științifică și tehnică în domeniul standardizării are ca scop armonizarea sistemului național de standardizare cu cel internațional, regional și progresiv. sistemele naționale standardizare.

    Atât țările industrializate, cât și țările în curs de dezvoltare care își creează propriile economii naționale sunt interesate de dezvoltarea standardizării internaționale.

    Standardele internaționale nu au statutul de obligatorii pentru toate țările participante. Orice țară din lume are dreptul să le aplice sau să nu le aplice. Rezolvarea problemei aplicării unui standard internațional ISO este legată în principal de gradul de participare a țării la diviziunea internațională a muncii și de starea comerțului său exterior. ISO este organizația internațională lider în domeniul standardizării.

    1.4. Organizația Internațională pentru Standardizare, ISO

    Organizația Internațională pentru Standardizare , IS О (Organizația Internațională pentru Standardizare, ISO) - o organizație internațională care produce standarde.

    Organizatie internationala ESTE O a inceput sa functioneze 23 februarie 1947. ca organizație voluntară, neguvernamentală. A fost stabilit pe baza a ceea ce s-a realizat la o întâlnire la Londra în 1946 acorduri intre reprezentanti 25ţările industrializate cu privire la crearea unei organizaţii cu autoritate de a coordona la nivel internaţional elaborarea diferitelor standarde industriale şi de a efectua procedura de adoptare a acestora ca standarde internaţionale.

    La crearea organizației și alegerea numelui acesteia, a fost luată în considerare necesitatea ca abrevierea numelui să sune la fel în toate limbile. Pentru aceasta s-a decis să se folosească cuvântul grecesc isos- egal, motiv pentru care în toate limbile lumii Organizația Internațională pentru Standardizare are un nume scurt IS O (ISO).

    Domeniu de activitate ISO se referă la standardizarea în toate domeniile, cu excepția ingineriei electrice și electronice, care intră în competența Comisiei Electrotehnice Internaționale ( IEC). Unele tipuri de lucrări sunt efectuate în comun de aceste organizații. Pe lângă standardizare ISO se ocupă și de probleme de certificare.

    Scopul ISO - promovarea dezvoltării standardizării la scară globală pentru a facilita schimburile comerciale internaționale și asistența reciprocă, precum și pentru extinderea cooperării în domeniul activităților intelectuale, științifice, tehnice și economice.

    V.V. TihonenkoȘeful Uniunii Experților în Calitate (Kiev, Ucraina), Ph.D., CEO EKTC "VATT"

    Articolul oferă o descriere a principalelor standarde internaționale și naționale de siguranță. Sunt luate în considerare definițiile termenilor „siguranță”, „pericol”, „risc”. Se fac ipoteze cu privire la posibilitatea de a utiliza principiile de incertitudine ale lui Heisenberg și principiile de complementaritate ale lui Bohr pentru a descrie pericolele.

    Ce este „securitatea”?

    Asigurarea siguranței este una dintre cele mai importante cerințe pe care oricine, oriunde și întotdeauna trebuie să le îndeplinească, deoarece orice activitate este potențial periculoasă. Securitatea este asociată cu riscul (ele sunt interdependente). Să luăm în considerare definițiile acestor concepte date în standarde.

    Siguranță— absența unui risc inacceptabil.

    Pericol— o sursă potențială de daune.

    Risc— efectul incertitudinii obiectivului.

    Astfel, siguranța nu se caracterizează deloc prin absența riscului, ci doar prin absența riscului inacceptabil. Standardele definesc riscul acceptabil ca fiind „echilibrul optim între siguranță și cerințele pe care un produs, proces sau serviciu trebuie să le satisfacă, precum și factori precum beneficiul pentru utilizator, rentabilitatea, personalizarea etc.”. Standardul, adesea folosit de companii, definește riscul acceptabil ca „un risc redus la un nivel pe care organizația îl poate tolera, având în vedere obligațiile sale legale și propriile politici de sănătate și securitate în muncă”.

    Standardele reglementează modalități de reducere a riscului (în ordinea priorităților):

    • dezvoltarea unui proiect sigur;
    • dispozitive de protecție și echipamente individuale de protecție (acestea sunt echipamente de protecție colectivă și individuală - nota autorului);
    • informatii despre instalare si aplicatie;
    • educaţie.

    Tipuri de standarde de securitate

    Potrivit pot exista următoarele tipuri de standarde de siguranță:

    • fundamental, care include conceptele fundamentale, principiile și cerințele legate de principalele aspecte ale siguranței. Aceste standarde se aplică unei game largi de produse, procese și servicii;
    • grup, care conține aspecte de siguranță aplicabile mai multor tipuri sau unei familii de tipuri conexe de produse, procese sau servicii. Aceste documente fac referire la standardele fundamentale de siguranță;
    • standarde de siguranță a produselor care acoperă aspectele de siguranță ale unui anumit tip sau familie de produse, procese sau servicii. Aceste documente fac referire la standarde fundamentale și de grup;
    • standarde de produs care conțin aspecte de siguranță, dar nu se limitează la aceste aspecte. Aceștia ar trebui să facă referire la standardele fundamentale și de siguranță de grup. Tabelul oferă exemple de standarde internaționale legate de tipurile enumerate. Vă recomandăm să vă familiarizați cu tabelul. 1 standard, care specifică documentele de reglementare internaționale, europene și ruse care conțin cerințe pentru caracteristicile funcției de siguranță.

    Stabilirea cerințelor de siguranță în reglementări/standarde ar trebui să se bazeze pe o analiză a riscului de vătămare a oamenilor, proprietății sau mediului sau pe o combinație a acestora - așa spun standardele. Figura prezintă schematic principalele riscuri ale întreprinderii indicând standardele de management al riscului.

    Poate că, pentru a descrie și analiza pericolele și riscurile, ar fi posibil să se utilizeze funcțiile delta Dirac și funcțiile Heaviside, deoarece trecerea de la risc acceptabil la inacceptabil este bruscă.

    Principii și instrumente de siguranță

    Teoretic, se pot distinge următoarele principii de securitate:

    • manageriale (adecvare, control, părere, responsabilitate, planificare, stimulare, management, eficiență);
    • organizatorice (protecția timpului, informarea, redundanța, incompatibilitatea, raționalizarea, selecția personalului, consistența, ergonomia);
    • tehnice (blocare, aspirare, etanșare, protecție la distanță, compresie, rezistență, verigă slabă, flegmatizare, ecranare);
    • orientare (activitatea operatorului, înlocuirea operatorului, clasificarea, eliminarea pericolului, consistența, reducerea pericolului).

    Să ne oprim mai în detaliu asupra principiului clasificării (categorizării). Constă în împărțirea obiectelor în clase și categorii pe baza caracteristicilor asociate pericolelor. Exemple: zone de protecție sanitară (5 clase), categorii de producție (incinte) pentru pericol de explozie (A, B, C, D, D), categorii/clase conform directivelor ATEX (3 categorii de echipamente, 6 zone), pericol de deșeuri clase (5 clase - în Rusia, 4 clase - în Ucraina), clase de pericol de substanțe (4 clase), clase de pericol la transportul mărfurilor periculoase (9 clase), etc.

    informație

    Conform calculelor lui Heinrich, pentru fiecare accident mortal există aproximativ 30 de răni cu consecințe mai puțin grave și alte aproximativ 300 de incidente care pot trece practic neobservate. În același timp, costurile economice indirecte ale eliminării consecințelor sunt de patru ori mai mari decât cele directe.

    Referinţă

    aproximativ 20% din toate evenimentele adverse sunt asociate cu defecțiuni ale echipamentelor, iar 80% se datorează erorilor umane, dintre care 70% dintre erori au apărut din cauza deficiențelor organizaționale ascunse (erorile au fost ascunse, nu a existat niciun răspuns la acestea) și aproximativ 30 % sunt asociate cu lucrătorul individual .

    Orez. Riscurile companiei (exemplu) și standardele aplicabile

    Note:

    ESO - Standarde Europene de Evaluare (Grupul European de Evaluatori TEGoVA);

    MCO - Standarde Internaționale de Evaluare (proprietate);

    IFRS - Standarde Internaționale de Raportare Financiară (IFRS);

    BASEL II - acord „Convergența internațională a măsurării capitalului și a standardelor de capital: noi abordări” al Comitetului de Supraveghere Bancară de la Basel;

    BRC - Standardele globale ale British Retail Consortium;

    COBIT - Obiective de control pentru Tehnologia Informației și Conexe - pachet documente deschise, aproximativ 40 de standarde și linii directoare internaționale și naționale în domeniul managementului IT, auditului și securității IT); COSO - Committee of Sponsoring Organizations of the Treadway Commission (standard al Comitetului Organizațiilor de Sponsorizare a Comisiei Treadway);

    FERMA - Federația Asociațiilor Europene de Management al Riscului (standard al Federației Asociațiilor Europene a Managerilor de Risc); GARP - Global Association of Risk Professionals (standard al Asociației Risk Professionals);

    IFS - International Featured Standards (Standarde internaționale pentru producția și vânzarea produselor alimentare);

    ISO/PAS 28000 - Specificație pentru sistemele de management al securității pentru lanțul de aprovizionare (Supply chain security management systems. Specificații tehnice);

    NIST SP 800-30 - Ghid de management al riscurilor pentru sistemele de tehnologie a informației.

    Masa. Standarde de siguranță (exemple)

    Tipul standardelor

    exemple de standarde

    Standarde fundamentale

    ISO 31000 Managementul riscurilor — Principii și linii directoare (Managementul riscurilor. Principii și linii directoare);

    IEC/ ISO 31010 Managementul riscurilor — Tehnici de evaluare a riscurilor (Managementul riscului. Metode de evaluare a riscului);

    BS 31100 Managementul riscurilor.Cod de practică; BS 25999 Managementul continuității afacerii (partea 1, partea 2) (Managementul continuității activității, partea 1, 2);

    IEC 61160 Managementul riscurilor. Revizuirea formală a proiectului (Managementul riscului. Analiza formală a proiectului);

    BS OHSAS 18001 Sisteme de management al sănătății și securității în muncă. Cerințe. (Sisteme de management al securității și sănătății în muncă. Cerințe);

    GS-R-1 Infrastructură juridică și guvernamentală pentru securitatea nucleară, radiațiilor, deșeurilor radioactive și transporturilor. Cerințe (Infrastructură legislativă și guvernamentală pentru securitatea nucleară și radiativă, siguranța și transportul deșeurilor radioactive); ISO 22000:2005 Sisteme de management al siguranței alimentelor — Cerințe pentru orice organizație din lanțul alimentar (Sisteme de management al siguranței alimentelor. Cerințe pentru orice organizație din lanțul alimentar)

    Standardele de grup

    ISO 14121 Siguranța utilajelor - Evaluarea riscurilor;

    ISO 12100 Siguranța mașinilor – Concepte de bază, principii generale de proiectare.

    Concepte de bază, principii de bază pentru proiectare);

    ISO 13849 Siguranța mașinilor – Părți legate de siguranță ale sistemelor de control (Siguranța mașinilor. Siguranța părților sistemelor de control);

    Directiva ATEX 95 94/9/CE, Echipamente și sisteme de protecție destinate utilizării în atmosfere potențial explozive (Directiva 94/9/CE. Echipamente și sisteme de protecție destinate utilizării în atmosfere potențial explozive);

    Directiva ATEX 137 99/92/CE, Cerințe minime pentru îmbunătățirea securității și protecției sănătății lucrătorilor cu potențial risc de atmosferă explozivă);

    IEC 62198 Managementul riscului de proiect - Ghid de aplicare;

    ISO 15190 Laboratoare medicale - Cerințe de siguranță (Laboratoare medicale. Cerințe de siguranță);

    ISO 14971 Dispozitive medicale — Aplicarea managementului riscului la dispozitivele medicale (Dispozitive medicale. Aplicarea managementului riscului la dispozitivele medicale);

    ISO 14798 Lifturi (ascensoare), scări rulante și trotuare mobile - Metodologia de evaluare și reducere a riscurilor (Ascensoare, scări rulante și transportoare. Metodologia de evaluare și reducere a riscurilor); ISO 15408 Tehnologia informației — Tehnici de securitate — Criterii de evaluare pentru securitatea IT (Tehnologia informației. Criterii de evaluare pentru securitatea tehnologiei informației)

    Standarde de siguranță a produselor

    ISO 10218 Roboți pentru medii industriale — Cerințe de siguranță (Roboți industriali. Cerințe de siguranță);

    IEC 61010-1:2001 Cerințe de siguranță pentru echipamente electrice pentru măsurare, control și utilizare în laborator - Partea 1: Cerințe generale;

    IEC 60086-4:2000 - Bateriile primare - Partea 4: Siguranța bateriilor cu litiu. (Baterii primare. Partea 4: Siguranța bateriilor cu litiu);

    EC 61199 Lămpi fluorescente cu un singur capac. Specificații de siguranță (Lămpi fluorescente cu un singur capăt. Cerințe de siguranță);

    IEC 60335 Aparate electrocasnice și similare - Siguranță scop similar. Siguranță);

    IEC 60065 Aparate electronice audio, video și similare - Cerințe de siguranță (Aparate electronice audio, video și similare. Cerințe de siguranță); EN 692 Prese mecanice - Siguranță (Prese mecanice. Siguranță); EN 50088 Siguranța jucăriilor electrice

    Standarde de produs

    Standardele Comisiei Codex Alimentarius. (Standarde ale Comisiei Codex Alimentarius pentru produse CODEX STAN 12-1981, CODEX STAN 13-1981 etc.);

    ISO 3500:2005 Butelii de gaz — Butelii de CO2 din oțel fără sudură pentru instalații fixe de stingere a incendiilor de pe nave;

    ISO 4706:2008 Butelii de gaz — Butelii de oțel sudate reîncărcabile — Presiune de încercare 60 bar și mai mică (Butelii de gaz. Butelii de oțel sudate, reîncărcabile. Presiune de încercare 60 bar și mai mică); EN 13109:2002 Rezervoare GPL. Disposa (Butelii de gaz lichefiat. Utilizare); EN 13807:2003 Butelii de gaz transportabile. Vehicule cu baterie. Proiectare, fabricare, identificare și testare (Butelii portabile de gaz. Vehicule alimentate cu baterii. Proiectare, fabricare, identificare și testare); GOST 10003-90. Stiren Specificatii tehnice; GOST 10007-80. Fluoroplastic-4. Specificatii tehnice;

    GOST 10121-76. Ulei de transformare de purificare selectivă. Specificatii tehnice; GOST 10037-83. Autoclave pentru industria constructiilor. Specificații

    Echipamentul de siguranță este împărțit în echipament de protecție colectivă (CPS) și echipament individual de protecție (EIP). La rândul lor, SKZ și PPE sunt împărțite în grupuri în funcție de natura pericolelor, proiecta, domenii de aplicare etc.

    Standarde de bază de siguranță

    În Uniunea Europeană, cerințele pentru evaluarea riscurilor profesionale sunt cuprinse în:

    • Directiva 89/391/CEE (cerințe pentru introducerea evaluării riscurilor profesionale în statele membre UE);
    • directive individuale ale UE privind securitatea muncii (89/654/CEE, 89/655/CEE, 89/656/CEE, 90/269/CEE, 90/270/CEE, 1999/92/CE etc.) și privind protecția lucrătorilor împotriva riscurilor chimice, fizice și biologice, cancerigene și mutageni (98/24/CE, 2000/54/CE, 2002/44/CE, 2003/10/CE, 2004/40/CE, 2004/37/ CE etc.) Directivele UE ATEX ocupă, de asemenea, locul lor special în domeniul siguranței - una pentru producători și cealaltă pentru utilizatorii de echipamente:
    • „Echipamente ATEX 95” (Directiva 94/9/CE) - echipamente și sisteme de protecție destinate utilizării în atmosfere potențial explozive;
    • „ATEX 137 loc de muncă” (Directiva 1999/92/CE) - Cerințe minime pentru a îmbunătăți securitatea, sănătatea și securitatea în muncă a lucrătorilor expuși potential risc de la expunerea la atmosfere explozive.

    Având în vedere importanța evaluării riscurilor profesionale pentru siguranța la locul de muncă, Autoritatea Europeană de Sănătate și Siguranță a publicat în 1996 Ghid privind evaluarea riscurilor la locul de muncă și a adăugat în mod continuu multe exemple utile pentru identificarea pericolelor în evaluările riscurilor profesionale.

    În general, cerințele Directivei europene REACH au ca scop asigurarea siguranței. Acest sistem se bazează pe gestionarea riscurilor asociate substanțelor conținute în compușii chimici și, în unele cazuri, în produse.

    Un loc important îl ocupă standardele sistemului de muncă sigură (GOST SSBT). Acestea sunt documente ale unui sistem bine construit care există în puține țări din lume. Deci siguranța echipamentelor tehnologice trebuie să respecte GOST 12.2.003, siguranță procese tehnologice— GOST 12.3.002. Și dacă substanțele periculoase sunt produse, depozitate și utilizate, atunci cerințele de siguranță sunt determinate conform GOST 12.1.007. Sistemele de siguranță (dispozitive, elemente) trebuie să respecte GOST 12.4.011, iar în caz de incendiu și explozie - de asemenea GOST 12.1.004.

    Cerințele de siguranță pentru clădiri/structuri sunt determinate de codurile și reglementările de construcție.

    Standardele și reglementările medicale sunt, de asemenea, de mare importanță (GMP - bună practică de fabricație, GLP - bună practică de laborator, GDP - bună practică de distribuție, GPP - bună practică în farmacie etc.).

    Standardele de siguranță alimentară sunt stabilite de Comisia Codex Alimentarius. Există, de asemenea, reglementări de siguranță în medicina veterinară și producția de plante.

    Dezvoltarea astronauticii și a energiei nucleare, complicația tehnologiei aviației a dus la faptul că studiul siguranței sistemului a fost identificat ca un domeniu de activitate separat independent (de exemplu, AIEA a publicat o nouă structură a standardelor de siguranță: GS-R-1 „Infrastructura legislativă și guvernamentală pentru siguranța nucleară și radiațiilor, siguranța și transportul deșeurilor radioactive”). În 1969, Departamentul de Apărare al SUA a adoptat standardul MILSTD-882 „Program pentru asigurarea fiabilității sistemelor, subsistemelor și echipamentelor”. Acesta stabilește cerințele pentru toți antreprenorii industriali în programele militare.

    Documentele importante sunt fișele cu date de securitate a materialelor (fișele MSDS). Cardurile MSDS conțin de obicei următoarele secțiuni: informații despre produs, ingrediente periculoase, efecte potențiale asupra sănătății (contact cu pielea, expunere alimentară, limite de doză, efecte iritante, efecte stimulatoare, efecte sinergice cu alte substanțe chimice), expunere pe termen scurt, expunere pe termen lung, efect asupra reproducerii, mutagenitate, carcinogenitate), proceduri de prim ajutor (în caz de contact cu pielea, ochii, stomacul, inhalare), pericol de incendiu și explozie (inflamabilitate/inflamabilitate - în ce condiții, metode instrucțiuni de stingere a incendiilor, instrucțiuni speciale pentru stingerea incendiilor). , produse periculoase de combustie), date de reactivitate (stabilitate chimică, condiții de reactivitate, produși de descompunere periculoși), proceduri de scurgere/deversare (inclusiv eliminarea deșeurilor, descompunere/toxicitate acvatică, sol, aer), combaterea efectelor substanței și echipament individual de protecție ( echipament tehnic, mănuși, protecție respiratorie și a ochilor, încălțăminte de siguranță, îmbrăcăminte de protecție), cerințe de depozitare și lucru cu substanța (depozitare, muncă, proceduri de transport), caracteristici fizice ale substanței, de mediu, reglementare, Informații suplimentare. Astfel de carduri MSDS sunt pregătite de producător și predate utilizatorului/consumatorului. Datele de pe cardurile MSDS trebuie incluse în instrucțiunile de producție și de siguranță a muncii.

    Date

    Exemple de retrageri de produse din cauza pericolelor

    • Apple a rechemat playerele iPod nano 1G în 2009 din cauza pericolelor de explozie baterie(http://proit.com.ua/print/?id=20223).
    • În 2010, McDonald's a rechemat 12 milioane de pahare de colecție cu simbolurile desenului animat „Shrek” în Statele Unite, datorită faptului că a fost găsit cadmiu în vopseaua cu care au fost vopsite (www.gazeta.ru/news/lenta/. .. /n_1503285.shtml).
    • În 2008, mii de bebeluși din China au fost internați în spital după ce au fost otrăviți cu formulă care conținea melamină. Sanlu și-a cerut scuze oficial consumatorilor săi, spunând că în produsele lor au fost adăugate substanțe toxice de către furnizorii de lapte (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian). / international/newsid_7620000/7620305.stm).
    • Autoritatea Franceză pentru Siguranța Produselor Medicale a cerut retragerea unui tip de proteză (implanturi de silicon) de la 1 aprilie 2010, deoarece nu a trecut testele necesare (http://www.newsru.co.il/health/01apr2010/pip301). .html ).
    • Thule a descoperit recent că kitul său de montare pentru portbagaj nu era suficient de fiabil (pentru produsele fabricate între 1 ianuarie 2008 și 28 februarie 2009) din cauza fragilității șurubului inclus. După ce compania a efectuat teste interne, s-a stabilit că șurubul de bază nu îndeplinește standardele de siguranță ale companiei. Datorită riscului ridicat pentru consumatori (potențiala rupere a șurubului sub sarcină ar putea duce la desprinderea suportului și a greutății în timpul conducerii), Thule a decis să emită o rechemare imediată a produsului (http://www2.thulegroup.com/). ro/Rechemare-Produs /Introducere2/).

    Concluzie

    Profesioniștii care dezvoltă standarde de siguranță trebuie să acorde mai multă atenție armonizării standardelor aplicate în diferite domenii. De exemplu, utilizați abordările prezentate în principiile de incertitudine ale lui Heisenberg și principiile complementarității lui Bohr. De asemenea, fiți atenți la eroarea umană și abordați slăbiciunile organizaționale. Introducerea managementului riscului la întreprinderi va contribui la îmbunătățirea nivelului de securitate. În ultimii ani, standardele de management al riscului s-au dezvoltat activ, de exemplu. Studierea și aplicarea acestor documente contribuie și la îmbunătățirea culturii siguranței.

    Desigur, în domeniul securității sunt necesare standarde, reglementări, norme, reguli, instrucțiuni, dar implementarea lor nu este mai puțin importantă.

    Pentru a asigura siguranța, trebuie să cunoașteți răspunsurile la următoarele întrebări:

    1. Care este probabilitatea ca un incident să apară?

    2. Care vor fi consecințele negative?

    3. Cum să le minimizezi?

    4. Cum să continuați activitățile în timpul și după un incident?

    5. Care sunt prioritățile și intervalele de timp pentru recuperare?

    6. Ce, cum, când și cine trebuie făcut?

    7. Ce măsuri preventive ar trebui luate pentru a preveni/minimiza consecințele negative?

    Referințe

    1. GOST 12.1.007-76 (1999). SSBT. Substanțe dăunătoare. Clasificare și cerințe generale de siguranță.

    2. GOST 12.1.004-91. SSBT. Siguranța privind incendiile. Cerințe generale.

    3. GOST 12.2.003-91. SSBT. Echipament de productie. Cerințe generale de siguranță.

    4. GOST 12.3.002-75 (2000). SSBT. Procese de producție. Cerințe generale de siguranță.

    5. GOST 12.4.011-89. SSBT. Echipament de protectie pentru muncitori. Cerințe generale și clasificare.

    6. GOST R 51898-2002. Aspecte de securitate. Reguli de includere în standarde.

    7. GOST R 12.1.052-97. SSBT. Informații privind siguranța substanțelor și materialelor (Fișă cu date de securitate). Dispoziții de bază.

    8. GOST R ISO 13849-1-2003. Siguranța echipamentului. Elemente ale sistemelor de control legate de siguranță. Partea 1. Principii generale de proiectare.

    9. BS 31100:2008. Managementul riscului - Cod de practică.

    10. BS OHSAS 18001:2007. Sisteme de management al sănătății și securității în muncă. Cerințe.

    11. CWA 15793:2008. Standard de management al riscului biologic de laborator.

    12. ISO/IEC 51:1999. Aspecte de siguranță - Orientări pentru includerea lor în standarde.

    13. Ghidul ISO/IEC 73:2009. Managementul riscurilor — Vocabular — Orientări de utilizare în standarde.

    14. ISO 31000:2009. Managementul riscului - Principii și linii directoare.

    15. IEC/ISO 31010:2009. Managementul riscului - Tehnici de evaluare a riscului.

    16. ISO 15190:2003. Laboratoare medicale - Cerințe de siguranță.

    17. Motivul J. Eroare umană. - New York: Cambridge University Press, 1990. - 316 p.

    18. Regulamentul (CE) nr. 1907/2006 al Parlamentului European și al Consiliului din 18 decembrie 2006 privind înregistrarea, evaluarea, autorizarea și restricționarea substanțelor chimice (REACH), de instituire a Agenției Europene pentru Produse Chimice, de modificare a Directivei 1999/45/CE și de abrogare a Regulamentului Consiliului (CEE) nr. 793/93 și a Regulamentului Comisiei (CE) nr. 1488/94, precum și a Directivei Consiliului 76/769/CEE și a Directivelor Comisiei 91/155/CEE, 93/67/CEE, 93/ 105/CE și 2000/21/CE.

    Una dintre cele mai importante probleme și nevoi ale societății moderne este protecția drepturilor omului în condițiile implicării acestuia în procese. interacțiunea informațională inclusiv dreptul la protecția informațiilor personale în procesele automate de prelucrare a informațiilor.

    I. N. Malanych, student în anul VI la VSU

    Institutul pentru Protecția Datelor cu Caracter Personal nu mai este astăzi o categorie care poate fi reglementată doar de legislația națională. Cea mai importantă caracteristică a sistemelor informatice automatizate moderne este „supranaționalitatea” multora dintre ele, „ieșirea” lor dincolo de granițele statului, dezvoltarea unei lumi accesibile publicului. retele de informatii, cum ar fi Internetul, formarea unui singur spațiu informaționalîn cadrul unor astfel de structuri internaţionale.

    Astăzi, în Federația Rusă, există o problemă nu numai de a introduce în domeniul juridic instituția protecției datelor cu caracter personal în cadrul automatizării. procesele informaţionale, dar și corelarea acesteia cu standardele juridice internaționale existente în acest domeniu.

    Există trei tendințe principale în reglementarea juridică internațională a instituției de protecție a datelor cu caracter personal, care se referă la procesele de prelucrare automată a informațiilor.

    1) Declarația dreptului la protecția datelor cu caracter personal, ca parte integrantă a drepturilor fundamentale ale omului, în acte cu caracter umanitar general adoptate în cadrul organizațiilor internaționale.

    2) Consolidarea și reglementarea dreptului de a proteja informațiile personale în actele de reglementare ale Uniunii Europene, ale Consiliului Europei, parțial ale Comunității Statelor Independente și ale unor organizații internaționale regionale. Această clasă de norme este cea mai universală și vizează direct drepturile la protecția datelor cu caracter personal în procesele de prelucrare automată a informațiilor.

    3) Includerea în tratatele internaționale a normelor privind protecția informațiilor confidențiale (inclusiv a informațiilor personale).

    Prima metodă a apărut istoric mai devreme decât celelalte. ÎN lumea modernă drepturile și libertățile la informații sunt parte integrantă a drepturilor fundamentale ale omului.

    Declarația Universală a Drepturilor Omului din 1948 declară: „Nimeni nu poate fi supus la ingerințe arbitrare în viața privată sau în familia sa, sau la atacuri arbitrare asupra... confidențialitatea corespondenței sale” și mai departe: „Orice persoană are dreptul la protecție. a legii împotriva unor astfel de imixtiuni sau atacuri.” Pactul internațional cu privire la drepturile civile și politice din 1966 repetă declarația în această parte. Convenția Europeană din 1950 detaliază acest drept: „Orice persoană are dreptul la libertatea de exprimare. Acest drept include libertatea de a avea opinii și de a primi și distribui informații și idei fără interferență din partea autorităților publice și indiferent de frontiere.”

    Aceste documente internaționale stabilesc drepturile la informațiile omului.

    În prezent, la nivel internațional s-a format un sistem stabil de opinii cu privire la drepturile omului la informații. În termeni generali, acesta este dreptul de a primi informații, dreptul la confidențialitate în ceea ce privește protecția informațiilor despre acestea, dreptul de a proteja informațiile atât din punct de vedere al securității statului, cât și din punct de vedere al securității afacerilor, inclusiv financiar. Activități.

    A doua cale – reglementarea mai detaliată a dreptului la protecția informațiilor cu caracter personal este asociată cu intensitatea tot mai mare a prelucrării informațiilor cu caracter personal în ultimii ani, folosind sisteme informatice automatizate. În ultimele decenii, o serie de documente internaționale au fost adoptate în cadrul unui număr de organizații internaționale care dezvoltă drepturi de bază la informații în legătură cu intensificarea schimbului transfrontalier de informații și utilizarea tehnologiilor informaționale moderne. Printre astfel de documente se numără următoarele:

    În 1980, Consiliul Europei a elaborat Convenția europeană pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal, care a intrat în vigoare în 1985. Convenția definește procedura de colectare și prelucrare a datelor cu caracter personal, principiile stocării și accesării aceste date și metode de protecție fizică a datelor. Convenția garantează respectarea drepturilor omului în colectarea și prelucrarea datelor cu caracter personal, principiile stocării și accesului la aceste date, metode de protecție fizică a datelor și, de asemenea, interzice prelucrarea datelor cu privire la rasă, opinii politice, sănătate, religie fără a fi adecvate. temeiuri legale. Rusia a aderat la Convenția Europeană în noiembrie 2001.

    În Uniunea Europeană, problemele de protecție a datelor cu caracter personal sunt reglementate de o serie întreagă de documente. În 1979, a fost adoptată Rezoluția Parlamentului European „Cu privire la protecția drepturilor individuale în legătură cu progresul informatizării”. Rezoluția a invitat Consiliul și Comisia Comunităților Europene să elaboreze și să adopte acte juridice privind protecția datelor cu caracter personal în legătură cu progresul tehnic în domeniul informaticii. În 1980, au fost adoptate Recomandările Organizației pentru Cooperare a Statelor Membre ale Uniunii Europene „Cu privire la liniile directoare pentru protecția vieții private în schimbul interstatal de date cu caracter personal”. În prezent, problemele de protecție a datelor cu caracter personal sunt reglementate în detaliu prin directive ale Parlamentului European și ale Consiliului Uniunii Europene. Acestea sunt Directivele Nr. 95/46/CE și Nr. 2002/58/CE ale Parlamentului European și ale Consiliului din 24 octombrie 1995 privind protecția drepturilor persoanelor cu privire la prelucrarea datelor cu caracter personal și cu privire la circulația acestor date, Directiva nr. 97/66/CE a Parlamentului European și a Consiliului Uniunii Europene din 15 decembrie 1997 privind utilizarea datelor cu caracter personal și protecția vieții private în telecomunicații și alte documente.

    Actele Uniunii Europene se caracterizează printr-o elaborare detaliată a principiilor și criteriilor de prelucrare automată a datelor, a drepturilor și obligațiilor subiecților și deținătorilor de date cu caracter personal, a aspectelor legate de transferul transfrontalier al acestora, precum și a răspunderii și sancțiunilor pentru prejudiciu. . În conformitate cu Directiva nr. 95/46/CE, Uniunea Europeană a creat Grup de lucru privind protecția persoanelor fizice în legătură cu prelucrarea datelor lor personale. Are statutul de organism consultativ și acționează ca o structură independentă. Grupul de lucru este format dintr-un reprezentant al organismului instituit de fiecare stat membru în scopul supravegherii respectării pe teritoriul său a prevederilor directivei, un reprezentant al organismului sau organismelor instituite pentru instituțiile și structurile comunitare și un reprezentant al Comisia Europeană.

    Organizația pentru Cooperare și Dezvoltare Economică (OCDE) are un cadru pentru protecția vieții private și schimbul internațional de date cu caracter personal, care a fost adoptat la 23 septembrie 1980. Preambulul acestei directive prevede: „...Țările membre OCDE au considerat că este necesară dezvoltarea cadrelor care ar putea contribui la armonizarea legilor naționale privind confidențialitatea și, respectând drepturile omului relevante, să nu permită blocarea schimburilor internaționale de date...”. Aceste prevederi se aplică atât în ​​sectorul public, cât și în cel privat datelor cu caracter personal care, fie datorită modului în care sunt prelucrate, fie datorită naturii sau contextului în care sunt utilizate, prezintă un risc de încălcare a vieții private și a libertăților individuale. Acesta definește necesitatea furnizării datelor cu caracter personal cu mecanisme adecvate de protecție împotriva riscurilor asociate cu pierderea, distrugerea, modificarea sau dezvăluirea acestora sau accesul neautorizat. Rusia, din păcate, nu participă la această organizație.

    Adunarea Interparlamentară a Statelor Membre ale CSI la 16 octombrie 1999. A fost adoptată Legea model „Cu privire la datele cu caracter personal”.

    Potrivit legii, „date cu caracter personal” sunt informații (înregistrate pe un suport tangibil) despre o anumită persoană care este identificată sau poate fi identificată cu aceasta. Datele personale includ date biografice și de identificare, caracteristici personale, informații despre familie, statut social, educație, profesie, stare profesională și financiară, starea de sănătate și altele. Legea enumeră, de asemenea, principiile reglementării legale a datelor cu caracter personal, formele de reglementare de stat a operațiunilor cu date cu caracter personal, drepturile și obligațiile subiecților și deținătorilor de date cu caracter personal.

    Se pare că a doua metodă considerată de reglementare a protecției datelor cu caracter personal în actele juridice internaționale este cea mai interesantă pentru analiză. Normele acestei clase nu doar reglementează în mod direct relațiile publice în acest domeniu, dar ajută și la aducerea legislației țărilor membre la standarde internaționale, asigurând astfel eficacitatea acestor norme pe teritoriul lor. Astfel, garantarea drepturilor la informare consacrate în Declarația Universală a Drepturilor Omului este asigurată în sensul „dreptului la ocrotirea legii împotriva... imixtiunii sau... încălcării” declarat în articolul 12 al acesteia din urmă.

    A treia modalitate de consolidare a normelor privind protecția datelor cu caracter personal este consolidarea protecției lor juridice în tratatele internaționale.

    Articole privind schimbul de informații sunt incluse în tratatele internaționale privind asistența juridică, evitarea dublei impuneri și cooperarea în anumite sfere publice și culturale.

    Potrivit art. 25 Acorduri între Federația Rusăși Statele Unite ale Americii privind evitarea dublei impuneri și prevenirea evaziunii fiscale în legătură cu impozitele pe venit și pe capital, statele sunt obligate să furnizeze informații care constituie secrete profesionale. Tratatul dintre Federația Rusă și Republica India privind asistența judiciară reciprocă în materie penală conține articolul 15 „Confidențialitate”: partea solicitată poate cere ca informațiile transmise să fie păstrate confidențiale. Practica încheierii de tratate internaționale arată dorința statelor contractante de a respecta standardele internaționale de protecție a datelor cu caracter personal.

    Se pare că cel mai eficient mecanism de reglementare a acestei instituții la nivel juridic internațional este publicarea unor documente de reglementare speciale în cadrul organizațiilor internaționale. Acest mecanism nu numai că promovează o reglementare internă adecvată a problemelor stringente ale protecției informațiilor personale în cadrul acestor organizații menționate la începutul articolului, dar are și un efect benefic asupra legislației naționale a țărilor participante.