Державні стандарти у сфері інформаційної безпеки. Міжнародні правові норми у сфері захисту персональних даних. Порівняння та аналіз національних та міжнародних систем стандартизації

Проблема інформаційної комп'ютерної безпеки не нова - фахівці займаються нею з того моменту, як комп'ютер почав обробляти дані, цінність яких висока для користувача. Однак за останні роки у зв'язку з розвитком мереж, зростанням попиту на електронні послугиситуація у сфері інформаційної безпеки серйозно загострилася, а питання стандартизації підходів до її вирішення стало особливо актуальним як для розробників, так і користувачів ІТ-засобів.

Навіщо потрібно знати теорію

Будь-який фахівець з інформаційної безпекипроходить у своєму професійному розвитку три етапи. Перший - робота руками. Новачок посилено, із залученням спеціалізованих засобів, шукає та ліквідує цілком конкретні проломи в системному та прикладному ПЗ. Сканер, патч, порт, з'єднання – ось сутності, з якими він працює на даному етапі.

Другий ступінь - "робота головою". Статут затикати все нові та нові проломи, фахівець приступає до розробки планів та методик, мета яких – упорядкувати дії щодо підвищення безпеки систем та ліквідації наслідків інформаційних загроз. Саме на цій стадії виникає поняття "політики безпеки".

Нарешті, настає час осмислення - на цьому етапі навчений досвідом фахівець розуміє, що він, швидше за все, винаходить велосипед, оскільки стратегії забезпечення безпеки, напевно, вже були розроблені до нього. І в цьому він, безумовно, має рацію.

Численні організації по всьому світу вже давно займаються проблемою інформаційної безпеки, результатом їхньої діяльності стали важкі фоліанти стандартів, положень, рекомендацій, правил тощо. Вивчати весь обсяг навряд чи доцільно, проте знати основні документи, звичайно ж, варто. Тому в цій статті ми згадаємо лише найважливіші російські та міжнародні положення, які встановлюють стандарти в галузі інформаційної безпеки.

Поняття безпеки інформації

Розвиток інформаційних та телекомунікаційних систем різного призначення (насамперед мережі Інтернет), а також електронний обмін цінною інформацією, що потребує захисту, зажадали від фахівців, що працюють у цій сфері, систематизувати та впорядкувати основні вимоги та характеристики комп'ютерних систем щодо безпеки. Однак перед тим, як перейти до розгляду сформованих стандартів, потрібно визначити, що таке безпека.

Враховуючи важливість поняття, спробуємо сформулювати його розширене визначення, в якому будуть враховані останні міжнародні та вітчизняні напрацювання у цій галузі. Отже, безпека інформації - це стан стійкості даних до випадкових чи навмисних впливів, що унеможливлює неприпустимі ризики їх знищення, спотворення та розкриття, що призводять до матеріальних збитків власника або користувача. Таке визначення найповніше враховує головне призначення комерційної інформаційної комп'ютерної системи - мінімізація фінансових втрат, отримання максимального прибутку за умов реальних ризиків.

Це становище особливо актуальне для так званих відкритих системзагального користування, що обробляють закриту інформацію обмеженого доступу, що не містить державної таємниці. Сьогодні системи такого типу стрімко розвиваються і у світі, і в нашій країні.

Міжнародний стандарт інформаційної безпеки

Загальновідомо, що стандартизація є основою різноманітних методик визначення якості продукції та послуг. Одним із головних результатів подібної діяльності у сфері систематизації вимог та характеристик захищених інформаційних комплексів стала Система міжнародних та національних стандартів безпеки інформації, яка налічує понад сотню різних документів. Як приклад можна навести стандарт ISO 15408, відомий як Common Criteria.

Прийнятий 1998 року базовий стандарт інформаційної безпеки ISO 15408, безумовно, дуже важливий для російських розробників. Тим більше, що цього року, 2001 року Держстандарт планує підготувати гармонізований варіант цього документа. Міжнародна організація зі стандартизації (ISO) розпочала розробку Міжнародного стандарту за критеріями оцінки безпеки інформаційні технологіїдля загального використання "Common Criteria" ("Загальні критерії оцінки безпеки ІТ") у 1990 році. У його створенні брали участь: Національний інститут стандартів та технології та Агентство національної безпеки (США), Установа безпеки комунікацій (Канада), Агентство інформаційної безпеки (Німеччина), Агентство національної безпеки комунікацій (Голландія), органи виконання Програми безпеки та сертифікації ІТ (Англія) , Центр безпеки систем (Франція). Після остаточного затвердження стандарту йому було надано номер ISO 15408.

Загальні критерії (ОК) створені для взаємного визнання результатів оцінки безпеки ІТ у світовому масштабі та є її основою. Вони дозволяють порівняти результати незалежних оцінок інформаційної безпеки та допустимих ризиків на основі безлічі загальних вимог до функцій безпеки засобів та систем ІТ, а також гарантій, які застосовуються до них у процесі тестування.

Головні переваги ОК - повнота вимог до інформаційної безпеки, гнучкість у застосуванні та відкритість для подальшого розвитку з урахуванням новітніх досягнень науки та техніки. Критерії розроблені таким чином, щоб задовольнити потреби всіх трьох груп користувачів (споживачів, розробників та оцінювачів) при дослідженні властивостей безпеки засобу або системи ІТ (об'єкта оцінки). Цей стандарт корисний як посібник при розробці функцій безпеки ІТ, а також при придбанні комерційних продуктів з подібними властивостями. Основний напрямок оцінки - це загрози, що виникають при зловмисних діях людини, але ОК також можуть використовуватись і при оцінці загроз, спричинених іншими факторами. Надалі очікується створення спеціалізованих вимог для комерційної кредитно-фінансової сфери. Нагадаємо, що колишні вітчизняні та зарубіжні документи такого типу були прив'язані до умов урядової чи військової системи, яка обробляє секретну інформацію, в якій може бути державна таємниця.

Випуск та впровадження цього стандарту за кордоном супроводжується розробкою нової, що стандартизується архітектури, яка покликана забезпечити інформаційну безпеку обчислювальних систем. Іншими словами, створюються технічні та програмні засобиЕОМ, відповідальні Загальним критеріям. Наприклад, міжнародна організація "Open Group", що об'єднує близько 200 провідних фірм-виробників обчислювальної техніки та телекомунікацій з різних країн світу, випустила нову архітектуру безпеки інформації для комерційних автоматизованих системз урахуванням зазначених критеріїв. Крім того, "Open Group" створює навчальні програми, що сприяють швидкому та якісному впровадженню документів зі стандартизації.

Особливості процесу стандартизації в Інтернеті

У Глобальної мережівже давно існує цілий рядкомітетів, які займаються стандартизацією всіх інтернет-технологій. Ці організації, що становлять основну частину Робочої групи інженерів Інтернету (Internet Engineering Task Force, IETF), вже стандартизували кілька важливих протоколів, тим самим прискоривши впровадження в мережі. Сімейство протоколів передачі даних TCP/IP, SMTP і POP для електронної пошти, а як і SNMP (Simple Network Management Protocol) керувати мережею - результати діяльності IETF.

За кілька останніх років мережевий ринок став свідком так званого фрагментованого впливу на формування стандартів. У міру того, як Інтернет поширювався і набував рис споживчого та комерційного ринку, деякі фірми почали шукати шляхи впливу на стандартизацію, створивши подібність конкурентної боротьби. Тиск відчули навіть неформальні органи, такі як IETF. У міру розвитку ринків, пов'язаних з Інтернетом, підприємці почали об'єднуватись у спеціальні групи чи консорціуми для просування своїх власних стандартів. Як приклади можна згадати OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum та Java Development Connection. Деколи стандарти де-факто задають своїми покупками чи замовленнями серйозні споживачі інтернет-послуг.

Одна з причин появи різних груп зі стандартизації полягає у протиріччі між постійно зростаючими темпами розвитку технологій та тривалим циклом створення стандартів.

Стандарти безпеки в Інтернеті

Як засоби безпеки в мережі Інтернет популярні протоколи захищеної передачі даних, а саме SSL (TLS), SET, IP v. 6. Вони з'явилися порівняно недавно, і одразу стали стандартами де-факто.

SSL (TLS)

Найбільш популярний зараз мережевий протокол шифрування даних для безпечної передачі по мережі є набір криптографічних алгоритмів, методів і правил їх застосування. Дозволяє встановлювати захищене з'єднання, контролювати цілісність даних і вирішувати різні супутні завдання.

SET

SET (Security Electronics Transaction) – перспективний протокол, що забезпечує безпечні електронні транзакції в Інтернеті. Він ґрунтується на використанні цифрових сертифікатів за стандартом Х.509 та призначений для організації електронної торгівлі через мережу.

Цей протокол є стандартом, розробленим компаніями "MasterCard" та "Visa" за участю "IBM", "GlobeSet" та інших партнерів. З його допомогою покупці можуть купувати товари через Інтернет, використовуючи найзахищеніший на сьогодні механізм виконання платежів. SET - це відкритий стандартний багатосторонній протокол щодо платежів в Інтернеті з використанням пластикових карток. Він забезпечує крос-автентифікацію рахунку власника картки, продавця та банку продавця для перевірки готовності оплати, а також цілісність та секретність повідомлення, шифрування цінних та вразливих даних. SET можна вважати стандартною технологією або системою протоколів виконання безпечних платежів на основі пластикових карток через Інтернет.

IPSec

Специфікація IPSec входить до стандарту IP v. 6 і є додатковою по відношенню до поточної версіїпротоколів TCP/IP. Вона розробляється Робочою групою IP Security IETF. В даний час IPSec включає три алгоритмо-незалежні базові специфікації, що представляють відповідні RFC-стандарти.

Протокол IPSec забезпечує стандартний спосібшифрування трафіку на мережному (третьому) рівні IP і захищає інформацію на основі наскрізного шифрування: незалежно від працюючого додатка, шифрується кожен пакет даних, що проходить каналом. Це дозволяє організаціям створювати в Інтернеті віртуальні приватні мережі. IPSec працює поверх звичайних протоколів зв'язку, підтримуючи DES, MD5 та ряд інших криптографічних алгоритмів.

Забезпечення інформаційної безпеки на мережевому рівні за допомогою IPSec включає:

• підтримку немодифікованих кінцевих систем;
• підтримку транспортних протоколів, відмінних від ТСР;
• підтримку віртуальних мережу незахищених мережах;
• захист заголовка транспортного рівня від перехоплення (запобігання несанкціонованому аналізу трафіку);
• захист від атак типу "відмова в обслуговуванні".

Крім того, IPSec має дві важливі переваги:

1. його застосування не потребує змін у проміжних пристроях мережі;
2. робочі місця та сервери не обов'язково повинні підтримувати IPSec.

Особливості російського ринку

Історично склалося, що у Росії проблеми безпеки ІТ вивчалися і своєчасно вирішувалися лише сфері охорони державної таємниці. Аналогічні задачі комерційного сектору економіки, що мають власну специфіку. довгий часне знаходили відповідних рішень. Даний факт досі суттєво уповільнює появу та розвиток безпечних ІТ-засобів на вітчизняному ринку, що інтегрується зі світовою системою. Тим більше що захист інформації в комерційній автоматизованій системі має свої особливості, які просто необхідно враховувати, адже вони мають серйозний вплив на технологію інформаційної безпеки. Перерахуємо основні з них:

1. Пріоритет економічних чинників. Для комерційної автоматизованої системи дуже важливо знизити або виключити фінансові втрати та забезпечити отримання прибутку власником та користувачами цього інструментарію за умов реальних ризиків. Важливою умовоюпри цьому, зокрема, є мінімізація типово банківських ризиків (наприклад, втрат за рахунок помилкових напрямів платежів, фальсифікації платіжних документів тощо);
2. Відкритість проектування, що передбачає створення підсистеми захисту інформації із засобів, що широко доступні на ринку та працюють у відкритих системах;
3. Юридична значимість комерційної інформації, яку можна визначити як властивість безпечної інформації, що дозволяє забезпечити юридичну силу електронним документам чи інформаційним процесам відповідно до правового режиму інформаційних ресурсів, встановленим законодавством Російської Федерації. Ця умова останнім часом набуває все більшої значущості в нашій країні поряд зі створенням нормативно-правової бази безпеки ІТ (особливо при взаємодії автоматизованих систем різних юридичних осіб).

Очевидно, що створення безпечних ІТ, що опрацьовують конфіденційну інформацію, що не містить державної таємниці, надзвичайно важливе для економіко-фінансового життя сучасної Росії. Застосування в Росії гармонізованого стандарту ISO 15408 ("Common Criteria"), що відображає новітні світові досягнення оцінки інформаційної безпеки, дозволить:

• залучити російські ІТ до сучасних міжнародних вимог щодо інформаційної безпеки, що спростить, наприклад, застосування зарубіжної продукції та експорт власної;
• полегшити розробку відповідних російських спеціалізованих нормативно-методичних матеріалів для випробувань, оцінки (контролю) та сертифікації коштів та систем безпечних банківських та інших ІТ;
• створити основу для якісної та кількісної оцінки інформаційних ризиків, необхідну при страхуванні автоматизованих систем;
• знизити загальні витрати на підтримку режиму інформаційної безпеки в банках та корпораціях за рахунок типізації та уніфікації методів, заходів та засобів захисту інформації.

Державні стандарти

Серед різних стандартів безпеки інформаційних технологій, що існують у нашій країні, слід виділити ряд документів, що регламентують захист взаємозв'язку відкритих систем (Таблиця 1, рядки 1-3). До них можна додати нормативні документи щодо засобів, систем та критеріїв оцінки захищеності засобів обчислювальної техніки та автоматизованих систем (див. Таблицю 1, рядки 4-8). Остання група документів, як і багато раніше створені зарубіжні стандарти, орієнтована переважно на захист державної таємниці.

Як і де працюють різні стандарти

Усі стандарти, що є на сьогоднішній день, є різнорівневими. Це означає, що їхнє застосування обмежене певним рівнем абстракції в інформаційних системах (наприклад, не можна застосовувати Common Criteria для детального опису механізму вироблення сеансового ключа в протоколі TLS). Очевидно, що для ефективного застосування стандартів необхідно добре знати про їх рівень та призначення.

Так, при формуванні політики безпеки та системи оцінок ефективності, а також при проведенні комплексних випробувань захищеності найкраще використовувати положення ISO 15408 (Common Criteria). Для реалізації та оцінки технічної досконалості систем шифрування та електронно-цифрового підпису призначені відповідні ГОСТи. Якщо потрібно захистити канал обміну довільною інформацією, то доцільно використати протокол TLS. Коли ж йдеться не просто про захист лінії зв'язку, А про безпеку фінансових транзакцій, у справу вступає SET, що включає протоколи захисту каналів як один із стандартів нижчого рівня.

Від теорії до практики

Щоб продемонструвати практичну важливість перелічених положень, наведемо перелік стандартів безпеки, що застосовуються у комплексі реалізації електронних банківських послуг InterBank

Протокол SSL (TLS) може використовуватися як захист каналу обміну інформацією в системах RS-Portal та "Інтернет-Клієнт". Стандарти ГОСТ 28147-89, ГОСТ Р 34.10-94 та ГОСТ Р 34.11-94, що регламентують шифрування даних та механізм електронно-цифрового підпису, реалізовані у всіх системах криптозахисту підсистем типу "клієнт-банк" ("Клієнт DOS", "Клієнт Windows" , "Інтернет-Клієнт").

За допомогою протоколу IPSec можна прозоро захистити будь-який канал обміну інформацією між клієнтом та банком, який використовує мережевий протокол IP. Це стосується як інтернет-систем (RS-Portal і "Інтернет-Клієнт"), так і системи електронної пошти RS-Mail, що підтримує роботу по IP.

Сподіваємося, що наведена у статті інформація допоможе вам оцінити надійність ваших систем, а сили та час розробників будуть спрямовані на створення дійсно кращих засобів, які стануть новим щаблем на шляху розвитку технології інформаційної безпеки.

ISO/IEC 27001- міжнародний стандарт з інформаційної безпеки, розроблений спільно Міжнародною організацією зі стандартизації та Міжнародною електротехнічною комісією. Стандарт містить вимоги щодо інформаційної безпеки для створення, розвитку та підтримки Системи менеджменту інформаційної безпеки (ЗМІБ).

Призначення стандарту.У стандарті ISO/IEC 27001 (ISO 27001) зібрані описи найкращих світових практик у галузі управління інформаційною безпекою. ISO 27001 встановлює вимоги до системи управління інформаційної безпеки для демонстрації можливості організації захищати свої інформаційні ресурси. Цей стандарт підготовлений як модель для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та покращення Системи Менеджменту Інформаційної Безпеки (ЗМІБ).

Мета ЗМІБ- вибір відповідних заходів управління безпекою, призначених для захисту інформаційних активів та гарантуючих довіру зацікавлених сторін.

Основні поняття.Інформаційна безпека - збереження конфіденційності, цілісності та доступності інформації; крім того, можуть бути включені інші властивості, такі як справжність, неможливість відмови від авторства, достовірність.

Конфіденційність – забезпечення доступності інформації лише для тих, хто має відповідні повноваження (авторизовані користувачі).

Цілісність - забезпечення точності та повноти інформації, а також методів її обробки.

Доступність - забезпечення доступу до інформації авторизованим користувачам, коли це необхідно (на вимогу).

Стандарт ISO 27001 забезпечує:

· визначення цілей та уявлення про напрям та принципи діяльності щодо інформаційної безпеки;

· Визначення підходів до оцінки та управління ризиками в організації;

· управління інформаційною безпекою відповідно до застосовного законодавства та нормативних вимог;

· використання єдиного підходу при створенні, впровадженні, експлуатації, моніторингу, аналізі, підтримці та вдосконаленні системи менеджменту для того, щоб мети в галузі інформаційної безпеки були досягнуті;

· Визначення процесів системи менеджменту інформаційної безпеки;

· Визначення статусу заходів щодо забезпечення інформаційної безпеки;

· Використання внутрішніх та зовнішніх аудитів для визначення ступеня відповідності системи менеджменту інформаційної безпеки вимогам стандарту;

· Надання адекватної інформації партнерам та іншим заінтересованим сторонам про політику інформаційної безпеки.

Принципи правового регулювання відносин у сфері інформації, інформаційних технологій та захисту інформації за змістом ФЗ РФ від 27 липня 2006 р. № 149-ФЗ «Про інформацію, інформаційні технології та про захист інформації».

Правове регулювання відносин, що виникають у сфері інформації, інформаційних технологій та захисту інформації, ґрунтується на наступних принципах:

1) свобода пошуку, отримання, передачі, виробництва та розповсюдження інформації будь-яким законним способом;

2) встановлення обмежень доступу до інформації лише федеральними законами;

3) відкритість інформації про діяльність державних органів та органів місцевого самоврядування та вільний доступ до такої інформації, крім випадків, встановлених федеральними законами;

4) рівноправність мов народів Російської Федерації під час створення інформаційних системта їх експлуатації;

5) забезпечення безпеки Російської Федерації при створенні інформаційних систем, їх експлуатації та захисті міститься в них інформації;

6) достовірність інформації та своєчасність її надання;

7) недоторканність приватного життя, неприпустимість збору, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди;

8) неприпустимість встановлення нормативними правовими актами будь-яких переваг застосування одних інформаційних технологій перед іншими, якщо обов'язковість застосування певних інформаційних технологій до створення та експлуатації державних інформаційних систем не встановлено федеральними законами.

Стратегія національної безпеки Російської Федерації до 2020р.». Структура, завдання, методи та шляхи реалізації державою своїх функцій щодо забезпечення інформаційної безпеки в «Доктрині інформаційної безпеки Російської Федерації».

Стратегія національної безпеки Російської Федерації до 2020 року - офіційно визнана система стратегічних пріоритетів, цілей та заходів у сфері внутрішньої та зовнішньої політики, що визначають стан національної безпеки та рівень сталого розвитку держави на довгострокову перспективу.

Доктрина інформаційної безпеки Російської Федерації - сукупність офіційних поглядів на цілі, завдання, принципи та основні напрямки забезпечення інформаційної безпеки Російської Федерації.

Складові національних інтересів Російської Федерації в інформаційній сфері у доктрині:

1) Обов'язкове дотримання конституційних права і свободи людини у сфері отримання інформації та користування нею.

2) Інформаційне забезпечення державної політики РФ (доведення до громадян РФ та міжнародної громадськості про державну політику РФ, офіційної позиції щодо значних подій у Росії та у світі) з доступом громадян до відкритих державних ресурсів.

3) Розвиток сучасних ІТ вітчизняної промисловості (засобів інформатизації, телекомунікації та зв'язку). Забезпечення ІТ внутрішнього ринку Росії та вихід на світові ринки.

4) Захист інформаційних ресурсів від несанкціонованого доступу, забезпечення безпеки інформаційних та телекомунікаційних систем.

Види загроз інформаційної безпеки РФ у доктрині:

1. Загрози, створені задля конституційні правничий та свободи людини у сфері інформаційної діяльності.

2. Загрози інформаційному забезпеченню державної політики РФ.

3. Загроза розвитку сучасних ІТ вітчизняної промисловості, і навіть виходу внутрішній і світовий ринок.

4. Загрози безпеки інформаційних та телекомунікаційних засобів та систем.

Методи забезпечення інформаційної безпеки РФ у доктрині:

Правові методи

Розробка нормативних правових актів, що регламентують відносини у сфері IT

Організаційно-технічні методи

Створення системи інформаційної безпеки РФ та її вдосконалення

Притягнення осіб до відповідальності, які вчинили злочини у цій сфері

Створення систем та засобів для запобігання несанкціонованому доступу до оброблюваної інформації

Економічні методи

Розробка програм забезпечення інформаційної безпеки та їх фінансування

Фінансування робіт, пов'язаних із забезпеченням інформаційної безпеки РФ

План лекції

1. Передумови створення міжнародних стандартів інформаційної безпеки (ІБ)

1.1. Призначення та цілі міжнародної стандартизації

1.2. Міжнародна організація зі стандартизації, ISO

1.3. Основні міжнародні стандарти інформаційної безпеки

2. Критерії оцінки довірених комп'ютерних систем (« Помаранчева книга»)

2.1.Основні відомості

2.2 Основні вимоги та засоби

3. Основні поняття

4. Механізми реалізації безпеки

5. Розділи та класи безпеки.

5.1. Розділи безпеки

5.2. Класи безпеки

6. Коротка класифікація

Міжнародні критерії оцінки безпеки інформаційних технологій зарубіжних країн

План лекції

1. Гармонізовані критерії європейських країн

2. Німецький стандарт BSI

3. Британський стандарт BS 7799

4. Міжнародний стандарт IS Про/I ЄС 15408"Критерії оцінки безпеки інформаційних технологій". «Загальні критерії»

Передумови створення міжнародних стандартів ІБ

1.1. Загальні питання

За кордоном розробка стандартів проводиться безперервно, послідовно публікуються проекти та версії стандартів на різних стадіях узгодження та затвердження. Деякі стандарти поетапно поглиблюються і деталізуються у вигляді сукупності взаємопов'язаних за концепціями та структурою груп стандартів.

Прийнято вважати, що невід'ємною частиною загального процесу стандартизації інформаційних технологій (ІТ) є розробка стандартів, пов'язаних із проблемою безпеки ІТ, яка набула більшої актуальності у зв'язку з тенденціями все більшої взаємної інтеграції прикладних завдань, побудови їх на базі розподіленої обробки даних, систем телекомунікацій, технологій обміну електронними даними

Розробка стандартів для відкритих систем , у тому числі й стандартів у галузі безпеки ІТ, здійснюється рядом спеціалізованих міжнародних організацій та консорціумів таких, як, наприклад, ISO, IЕС, ITU-T, IEEE, IАВ, WOS, ЕСМА, X/Open, OSF, OMG.

Значна робота зі стандартизації питань безпеки ІТ проводиться спеціалізованими організаціями та на національному рівні. Все це дозволило до теперішнього часу сформувати досить велику методичну базу, у вигляді міжнародних, національних та галузевих стандартів, а також нормативних та керівних матеріалів, що регламентують діяльність у сфері безпеки ІТ.

1.2. Стан міжнародної нормативно-методичної бази

З метою систематизації аналізу поточного стану міжнародної нормативно-методичної бази у сфері безпеки ІТ необхідно використати деяку класифікацію напрямків стандартизації .

Загалом, можна виділити такі напрямки :

1. Загальні принципиуправління інформаційною безпекою.

2. Моделі безпеки ІТ.

3. Методи та механізми безпеки ІТ (такі, як, наприклад: методи аутентифікації, управління ключами тощо).

4. Криптографічні алгоритми.

5. Методи оцінки безпеки інформаційних систем.

6. Безпека EDI-технологій.

7. Безпека міжмережевих взаємодій (міжмережевих екранів).

8. Сертифікація та атестація об'єктів стандартизації.

Призначення та цілі міжнародної стандартизації

Стандартом називається документ, у якому встановлюються характеристики продукції, експлуатації, зберігання, перевезення, реалізації та утилізації, виконання робіт чи надання послуг. Стандарттакож може містити вимоги до термінології, символіки, упаковки, маркування або етикеток та правил їх нанесення.

Міжнародний стандарт - Стандарт, прийнятий міжнародною організацією. На практиці під міжнародними стандартами часто мають на увазі також регіональні стандарти та стандарти, розроблені науково-технічними товариствами та прийняті як норми різними країнами світу.

Міжнародна стандартизація - стандартизація, участь у якій відкрито для відповідних органів усіх країн.

Основне призначення міжнародних стандартів - це створення міжнародному рівні єдиної методичної основи розробки нових і вдосконалення діючих систем якості та його сертифікації.

Науково-технічна співпраця в галузі стандартизації спрямована на гармонізацію національної системи стандартизації з міжнародною, регіональними та прогресивними національними системамистандартизації.

У розвитку міжнародної стандартизації зацікавлені як індустріально розвинені країни, і країни, що розвиваються, створюють власну національну економіку.

Міжнародні стандарти не мають обов'язкових статусу для всіх країн-учасниць. Будь-яка країна світу має право застосовувати або не застосовувати їх. Вирішення питання щодо застосування міжнародного стандарту ІСОпов'язано переважно зі ступенем участі країни у міжнародному поділі праці та станом її зовнішньої торгівлі. ІСОє головною міжнародною організацією у галузі стандартизації.

1.4. Міжнародна організація зі стандартизації, ISО

Міжнародна організація зі стандартизації , IS Про (International Про rganization for Standartization , ISO) - міжнародна організація, що займається випуском стандартів.

Міжнародна організація IS Пропочала функціонувати 23 лютого 1947 р. як добровільна, неурядова організація. Вона була заснована на основі досягнутого на нараді в Лондоні 1946 р.угоди між представниками 25-тиіндустріально розвинених країн про створення організації, що має повноваження координувати на міжнародному рівні розробку різних промислових стандартів та здійснювати процедуру прийняття їх як міжнародні стандарти.

При створенні організації та виборі її назви враховувалася необхідність того, щоб абревіатура найменування звучала однаково всіма мовами. Для цього було вирішено використати грецьке слово isos- рівний, ось чому всіма мовами світу Міжнародна організація зі стандартизації має коротку назву IS Про (ІСО).

Сфера діяльності ISOстосується стандартизації у всіх галузях, крім електротехніки та електроніки, що належать до компетенції Міжнародної електротехнічної комісії ( ПЕК). Деякі види робіт виконуються спільними зусиллями цих організацій. Крім стандартизації ISOопікується і проблемами сертифікації.

Ціль ISO - сприяння розвитку стандартизації у світовому масштабі для полегшення міжнародного товарообміну та взаємодопомоги, а також для розширення співробітництва у галузі інтелектуальної, наукової, технічної та економічної діяльності.

В.В. ТихоненкоКерівник Спілки фахівців-експертів з якості (м. Київ, Україна), к.тех.н., Генеральний директорЕКТЦ "ВАТТ"

У статті наведено опис основних міжнародних та національних стандартів безпеки. Розглянуто визначення термінів "безпека", "небезпека", "ризик". Зроблено припущення щодо можливості застосування для опису небезпек принципів невизначеності Гейзенберга та додатковості Бору.

Що таке "безпека"?

Забезпечення безпеки — одна з найважливіших вимог, яку мають виконувати всі, скрізь і завжди, оскільки будь-яка діяльність є потенційно небезпечною. Безпека пов'язана з ризиком (вони взаємозалежні). Розглянемо визначення цих понять, наведені у стандартах.

Безпека- Відсутність неприпустимого ризику.

Небезпека- Потенційне джерело виникнення шкоди.

Ризик- Ефект від невизначеності цілей.

Отже, безпека характеризується відсутністю ризику взагалі, лише відсутністю неприпустимого ризику. Стандарти визначають допустимий ризик як «оптимальний баланс між безпекою та вимогами, яким мають задовольняти продукція, процес чи послуга, а також такими факторами, як вигідність для користувача, ефективність витрат, звичаї та інше». Стандарт, що часто використовується підприємствами, трактує допустимий (прийнятний) ризик як «ризик, зменшений до рівня, який організація може допустити з огляду на свої законодавчі зобов'язання та власну політику в галузі гігієни та безпеки праці».

У стандартах регламентовано способи зменшення ризику (у порядку пріоритетів):

• розробка безпечного проекту;
• захисні пристрої та персональне захисне обладнання (це колективні та індивідуальні засоби захисту - прим. авт.);
• інформація щодо встановлення та застосування;
• навчання.

Типи стандартів безпеки

Відповідно можуть бути такі типи стандартів безпеки:

• основоположні, які включають фундаментальні концепції, принципи і вимоги, що стосуються основних аспектів безпеки. Ці стандарти застосовують для широкого діапазону видів продукції, процесів та послуг;
• групові, що містять аспекти безпеки, застосовні до кількох видів або сімейства близьких видів продукції, процесів або послуг. У цих документах роблять посилання на основні стандарти безпеки;
• стандарти безпеки продукції, що включають аспекти безпеки певного виду або сімейства продукції, процесів або послуг. У цих документах роблять посилання на основні та групові стандарти;
• стандарти продукції, що містять аспекти безпеки, але стосуються як цих питань. У них мають бути зроблені посилання на основні та групові стандарти безпеки. У таблиці наведено приклади міжнародних стандартів, які стосуються перелічених типів. Можна рекомендувати ознайомитись з табл. 1 стандарту, в якій зазначені міжнародні, європейські та російські нормативні документи, що містять вимоги до характеристик функції безпеки.

Завдання вимог безпеки в регламентах/стандартах повинно ґрунтуватися на аналізі ризику заподіяння шкоди людям, майну чи навколишньому середовищу або їх поєднанню – так йдеться у стандартах. На малюнку схематично наведено основні ризики підприємства із зазначенням стандартів управління ризиками.

Можливо, для опису та аналізу небезпек та ризиків можна було б застосовувати дельта-функції Дірака та функції Хевісайду, оскільки перехід від допустимого до неприпустимого ризику — стрибкоподібний.

Принципи та засоби забезпечення безпеки

Теоретично можна виділити такі принципи безпеки:

• управлінські (адекватності, контролю, зворотнього зв'язку, відповідальності, плановості, стимулювання, управління, ефективності);
• організаційні (захисту часом, інформації, резервування, несумісності, нормування, підбору кадрів, послідовності, ергономічності);
• технічні (блокування, вакуумування, герметизації, захисту відстанню, компресії, міцності, слабкої ланки, флегматизації, екранування);
• орієнтуючі (активності оператора, заміни оператора, класифікації, ліквідації небезпеки, системності, зниження небезпеки).

Зупинимося докладніше за принципом класифікації (категорування). Він полягає у розподілі об'єктів на класи та категорії за ознаками, пов'язаними з небезпеками. Приклади: санітарно-захисні зони (5 класів), категорії виробництв (приміщень) з вибухопожежної небезпеки (А, Б, В, Г, Д), категорії/класи з директив АТЕХ (3 категорії обладнання, 6 зон), класи небезпеки відходів (5 класів) - у Росії, 4 класи - в Україні), класи небезпеки речовин (4 класи), класи небезпеки при перевезеннях небезпечних вантажів (9 класів) та ін.

Інформація

За розрахунками Гейнріха на один нещасний випадок зі смертельним наслідком припадає близько 30 травм із менш тяжкими наслідками та близько 300 інших інцидентів, які можуть статися практично непоміченими. При цьому непрямі економічні витрати на ліквідацію наслідків у чотири рази перевищують прямі.

Довідка

близько 20% всіх несприятливих подій пов'язані з відмовами обладнання, а 80% - з людською помилкою, з яких 70% помилок сталися через приховані організаційні слабкості (помилки ховалися, не було реакції на них), а близько 30% пов'язані з індивідуальним працівником .

Рис. Ризики компанії (приклад) та застосовні до них стандарти

Примітки:

ЕСО – Європейські стандарти оцінки (Європейська група оцінювачів TEGoVA);

МСО - Міжнародні стандарти оцінки (майна);

МСФЗ - Міжнародні стандарти фінансової звітності (IFRS);

BASEL II – угода «Міжнародна конвергенція виміру капіталу та стандартів капіталу: нові підходи» Базельського комітету з банківського нагляду;

BRC - The British Retail Consortium Global standards (Стандарти Консорціуму Британської торгівлі);

COBIT — Control Objectives for Information and Related Technology (Завдання інформаційних та суміжних технологій) — пакет відкритих документів, близько 40 міжнародних та національних стандартів та посібників у галузі управління IT, аудиту та IT-безпеки); COSO - Committee of Sponsoring Organizations of the Treadway Commission (стандарт комітету спонсорських організацій комісії Тредвея);

FERMA - Federation of European Risk Management Associations (стандарт Федерації європейських асоціацій ризик-менеджерів); GARP - Global Association of Risk Professionals (стандарт Асоціації ризик-професіоналів);

IFS - International Featured Standards (Міжнародні стандарти з виробництва та реалізації продуктів харчування);

ISO/PAS 28000 — Specification for security management systems for the supply chain (Системи управління безпеки ланцюга поставок. Технічні умови);

NIST SP 800-30 - Посібник з управління ризиками в системах інформаційних технологій.

Таблиця. Стандарти безпеки (приклади)

Кошти забезпечення безпеки поділяються на кошти колективного (СКЗ) та індивідуального захисту (ЗІЗ). У свою чергу, СКЗ та ЗІЗ поділяються на групи залежно від характеру небезпек, конструктивного виконання, сфери застосування і т.д.

Основні стандарти безпеки

У Європейському Союзі вимоги щодо оцінки професійних ризиків містяться в:

• Директиві 89/391/ЄЕС (вимоги щодо запровадження оцінки професійних ризиків у державах-членах ЄС);
• індивідуальних директивах Євросоюзу про безпеку праці на робочих місцях (89/654/ЄЕС, 89/655/ЄЕС, 89/656/ЄЕС, 90/269/ЄЕС, 90/270/ЄЕС, 1999/92/ЄС та ін.) та про захист працівників від хімічних, фізичних та біологічних ризиків, канцерогенів та мутагенів (98/24/ЄС, 2000/54/ЄС, 2002/44/ЄС, 2003/10/ЄС, 2004/40/ЄС, 2004/37/ЄС та ін.) Своє особливе місце у сфері безпеки займають і АТЕХ директиви ЄС – одна для виробників, а інша для користувачів обладнання:
• «ATEX 95 обладнання» (Директива 94/9/EC) – обладнання та захисні системи, призначені для застосування у потенційно вибухонебезпечних атмосферах;
• «ATEX 137 робоче місце» (Директива 1999/92/EC) мінімальні вимогидля покращення безпеки, охорони праці та здоров'я працівників, що піддаються потенційному ризикувід дії вибухонебезпечної атмосфери.

Враховуючи важливість оцінки професійних ризиків для безпеки праці на робочих місцях, Європейське агентство із забезпечення здоров'я та безпеки працівників у 1996 р. опублікувало Посібник про порядок проведення оцінки ризиків (Guidance on risk assessment at work) та постійно додає багато корисних прикладів для визначення небезпек при оцінці професійних ризиків

Загалом також і вимоги європейської Директиви REACH спрямовані на безпеку. Ця система заснована на управлінні ризиками, пов'язаними з речовинами, які містяться в хімічних сполуках, а в окремих випадках та у виробах.

Важливе місце посідають стандарти системи безпеки праці (ГОСТ ССБТ). Це документи добре збудованої системи, яка існує у небагатьох країнах світу. Так безпека технологічного обладнання повинна відповідати ГОСТ 12.2.003 технологічних процесів- ГОСТ 12.3.002. А якщо виробляються, зберігаються та застосовуються небезпечні речовини, то вимоги до безпеки визначаються за ГОСТ 12.1.007. Системи (пристрої, елементи) безпеки повинні відповідати ГОСТ 12.4.011, а при пожежі та вибуху - ще й ГОСТ 12.1.004.

Вимоги до безпеки будівель/споруд визначаються за будівельними нормами та правилами.

Велике значення мають також медичні стандарти та регламенти (GMP – належна виробнича практика, GLP – належна лабораторна практика, GDP – належна дистриб'юторська практика, GPP – належна аптечна практика та ін.).

Стандарти безпеки у продовольчій сфері визначаються Комісією Codex Alimentarius. Є також регламенти безпеки у ветеринарії, рослинництві.

Розвиток космонавтики та ядерної енергетики, ускладнення авіаційної техніки призвело до того, що вивчення безпеки систем було виділено у незалежну окрему сферу діяльності (наприклад, МАГАТЕ було опубліковано нову структуру стандартів з безпеки: GS-R-1 «Законодавча та урядова інфраструктура для ядерної та радіаційної) безпеки, безпеки радіоактивних відходів та транспортування»). Ще 1969 р. Міністерство оборони США прийняло стандарт MILSTD-882 «Програма із забезпечення надійності систем, підсистем та устаткування». У ньому викладено вимоги для всіх промислових підрядників з військових програм.

Важливими документами є карти безпеки матеріалу (MSDS-картки - Material safety data sheet). MSDS-карти, як правило, містять наступні розділи: відомості про продукт, небезпечні складові, потенційний вплив на здоров'я (контакт зі шкірою, вплив при прийомі їжі, граничні дози, подразнююча дія, збуджуюча дія, що взаємно посилює дію в контакті з іншими хімічними речовинами , короткочасний вплив, довготривалий вплив, вплив на репродуктивність, мутагенність, канцерогенність), порядок надання першої медичної допомоги (при попаданні на шкіру, очі, шлунок, при вдиханні), пожежо- та вибухонебезпечність (вогнебезпечність/горючість — за яких умов, способи гасіння, особливі інструкції з гасіння вогню, небезпечні продукти згоряння), дані щодо хімічної активності (хімічна стабільність, умови хімічної активності, небезпечні продукти розпаду), дії у разі розливу/витікання (включаючи утилізацію відходів, розпад/токсичність для водної флори/фауни, ґрунту, повітря), боротьба з впливом речовини та засоби індивідуального захисту (технічно ські засоби, рукавички, засоби захисту органів дихання та зору, захисне взуття, захисний одяг), вимоги до зберігання та роботи з речовиною (зберігання, робота, порядок транспортування), фізичні характеристики речовини, екологічна, нормативна, додаткова інформація. Такі MSDS-карти готує виробник та передає користувачеві/споживачеві. Дані з MSDS-карток необхідно включити в інструкції виробничі та з охорони праці.

Факти

Приклади відгуків продукції через її небезпеку

• Компанія Apple відкликала в 2009 р. плеєри iPod nano 1G через небезпеку вибухів акумуляторної батареї(http://proit.com.ua/print/?id=20223).
• McDonald's у 2010 р. відкликав у США 12 мільйонів колекційних склянок із символікою мультфільму «Шрек» через те, що в фарбі, якою вони пофарбовані, було виявлено кадмій (www.gazeta.ru/news/lenta/... /n_1503285.shtml).
• У 2008 р. тисячі немовлят у Китаї потрапили до лікарень після отруєння молочною сумішшю, в якій було виявлено меламін. Компанія Sanlu офіційно вибачилася перед своїми споживачами, заявивши, що токсичні речовини додавали до своєї продукції постачальники молока (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/ international/newsid_7620000/7620305.stm).
• Французьке Управління з безпеки медичної продукції вимагало відкликати один із видів протезів (силіконові імпланти) з 1 квітня 2010 р., оскільки він не пройшов необхідну перевірку (http://www.newsru.co.il/health/01apr2010/pip301.html ).
• Компанія Thule нещодавно виявила, що пропонований нею набір для кріплення багажника до даху автомобіля є недостатньо надійним (для виробів випущених з 1 січня 2008 р. по 28 лютого 2009 р.) через крихкість болта, що входить в комплект. Після проведення фірмою внутрішніх випробувань було встановлено, що болт на основі не відповідає стандартам компанії з техніки безпеки. Через високий рівень ризику для споживачів (можливе руйнування болта при навантаженні може призвести до від'єднання рейки та вантажу під час руху) компанія Thule вирішила негайно відкликати продукцію з обігу (http://www2.thulegroup.com/en/Product-Recall /Introduction2/).

Висновок

Фахівцям, які розробляють стандарти безпеки, потрібно більше уваги приділяти гармонізації нормативів, що застосовуються у різних галузях. Наприклад, використовувати підходи, викладені у принципах невизначеності Гейзенберга та додатковості Бора. Крім того, не забувати про людські помилки та усунення організаційних слабкостей. Введення ризик-менеджменту на підприємствах допоможе підвищити рівень безпеки. В останні роки активно розвиваються стандарти ризик-менеджменту, наприклад. Вивчення та застосування цих документів також сприяє покращенню культури безпеки.

Безумовно, у сфері безпеки стандарти, регламенти, норми, правила, інструкції необхідні, але не менш важливим є їх виконання.

Для забезпечення безпеки необхідно знати відповіді на запитання:

1. Яка ймовірність виникнення інциденту?

2. Якими будуть негативні наслідки?

3. Як їх мінімізувати?

4. Як продовжувати діяльність під час та після інциденту?

5. Які пріоритети та часові рамки відновлення?

6. Що, як, коли та кому необхідно зробити?

7. Які запобіжні заходи слід вживати, щоб запобігти/мінімізувати негативні наслідки?

Використана література

1. ГОСТ 12.1.007-76 (1999). ССБТ. Шкідливі речовини. Класифікація та загальні вимоги безпеки.

2. ГОСТ 12.1.004-91. ССБТ. Пожежна безпека. Загальні вимоги.

3. ГОСТ 12.2.003-91. ССБТ. Устаткування виробниче. Загальні вимоги до безпеки.

4. ГОСТ 12.3.002-75 (2000). ССБТ. Процеси виробничі. Загальні вимоги до безпеки.

5. ГОСТ 12.4.011-89. ССБТ. Засоби захисту працюючих. Загальні вимоги та класифікація.

6. ГОСТ Р 51898-2002. Аспекти безпеки. Правила включення до стандартів.

7. ГОСТ Р 12.1.052-97. ССБТ. Інформація щодо безпеки речовин та матеріалів (Паспорт безпеки). Основні положення.

8. ГОСТ Р ІСО 13849-1-2003. Безпека обладнання. Елементи систем керування, пов'язані з безпекою. Частина 1. Загальні засади конструювання.

9. BS 31100:2008. Risk management - Code of practice.

10. BS OHSAS 18001:2007. Системи охорони здоров'я та охорони здоров'я. Requirements.

11. CWA 15793:2008. Laboratory biorisk management standard.

12. ISO/IEC 51:1999. Safety aspects - Guidelines для їх inclusion in standards.

13. ISO/IEC Guide 73:2009. Risk management - Vocabulary - Guidelines for use in standards.

14. ISO 31000:2009. Risk management - Principles and guidelines.

15. IEC/ІSO 31010:2009. Risk management - Risk assessment techniques.

16. ISO 15190:2003. Лікарські laboratories - Requirements for safety.

17. Reason J. Human error. - New York: Cambridge University Press, 1990. - 316 p.

18. Правління (ЄС) № 1907/2006 Європейського парламенту та Комісії з 18 грудня 2006 року вiдповiдає до Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH), встановлене Європейським хімічним агентством, амінація Directive 19 Repealing Council Regulation (EEC) № 793/93 and Commission Regulation (EC) № 1488/94 як добре як Комунил Directive 76/769/EEC and Commission Directives 91/155/EEC, 93/67/ EEC, 93/105/EC and 2000/21/EC.

Однією з найважливіших проблем та потреб сучасного суспільства є захист прав людини в умовах залучення його до процесів інформаційної взаємодіїу тому числі, право на захист особистої (персональної) інформації у процесах автоматизованої обробки інформації.

І. Н. Маланич, студент 6 курсу ВДУ

Інститут захисту персональних даних сьогодні вже не є тією категорією, яку можна регулювати лише національним правом. Найважливішою особливістю сучасних автоматизованих інформаційних систем є «наднаціональність» багатьох з них, «вихід» їх за межі держав, розвиток загальнодоступних світових інформаційних мереж, таких як Інтернет, формування єдиного інформаційного просторуу межах таких міжнародних структур.

Сьогодні в Російській Федерації існує проблема не лише запровадження у правове поле інституту захисту персональних даних у рамках автоматизованих інформаційних процесів, а й співвідношення її з існуючими міжнародно-правовими стандартами у цій галузі.

Можна виділити три основні тенденції міжнародно-правового регулювання інституту захисту персональних даних, що належать до процесів автоматизованої обробки інформації.

1) Декларування права на захист персональних даних як невід'ємної частини фундаментальних прав людини в актах загальногуманітарного характеру, що приймаються в рамках міжнародних організацій.

2) Закріплення та регулювання права за захист персональної інформації в актах регулятивного характеру Європейського Союзу, Ради Європи, частково Співдружності Незалежних Держав та деяких регіональних міжнародних організацій. Цей клас норм – найбільш універсальний і безпосередньо стосується прав захисту персональних даних у процесах автоматизованої обробки інформації.

3) Включення норм про охорону конфіденційної інформації (у тому числі й персональної) до міжнародних договорів.

Перший спосіб - історично з'явився раніше за інших. У сучасному світіінформаційні права та свободи є невід'ємною частиною фундаментальних прав людини.

Загальна декларація прав людини 1948 р. проголошує: «Ніхто не може піддаватися довільному втручанню в особисте та сімейне життя, довільним посяганням на … таємницю його кореспонденції» і далі: «Кожна людина має право на захист закону від такого втручання або таких посягань». Міжнародний пакт про громадянські та політичні права 1966 р. у цій частині повторює декларацію. Європейська Конвенція 1950 р. деталізує це право: «Кожна людина має право на свободу вираження поглядів. Це право включає свободу дотримуватися своєї думки, отримувати та поширювати інформацію та ідеї без втручання з боку державних органів та незалежно від державних кордонів».

Зазначені міжнародні документи закріплюють інформаційні права.

Нині міжнародному рівні сформувалася стійка система поглядів на інформаційні права людини. У узагальненому плані це - декларація про отримання інформації, декларація про приватне життя з погляду охорони інформації про неї, декларація про захист інформації як із погляду безпеки держави, і з погляду безпеки бізнесу, включаючи фінансову діяльність.

Другий спосіб - більш детального регулювання права на захист персональної інформації пов'язаний з дедалі більшою в останні роки інтенсивністю обробки персональної інформації за допомогою автоматизованих комп'ютерних інформаційних систем. В останні десятиліття в рамках низки міжнародних організацій було прийнято низку міжнародних документів, що розвивають основні інформаційні права у зв'язку з інтенсифікацією транскордонного обміну інформацією та використанням сучасних інформаційних технологій. Серед таких документів можна назвати такі:

Рада Європи у 1980 р. розробила Європейську конвенцію про захист фізичних осіб у питаннях, що стосуються автоматичної обробки особистих даних, що набула чинності у 1985 р. У Конвенції визначається порядок збору та обробки даних про особу, принципи зберігання та доступу до цих даних, способи фізичної захисту даних. Конвенція гарантує дотримання прав людини при зборі та обробці персональних даних, принципи зберігання та доступу до цих даних, способи фізичного захисту даних, а також забороняє обробку даних про расу, політичні погляди, здоров'я, релігію без відповідних юридичних підстав. Росія приєдналася до Європейської Конвенції у листопаді 2001 року.

У Європейському Союзі питання захисту персональних даних регулюються комплексом документів. У 1979 р. було прийнято Резолюцію Європарламенту «Про захист прав особи у зв'язку з прогресом інформатизації». Резолюція запропонувала Раді та Комісії Європейських Співтовариств розробити та прийняти правові акти щодо захисту даних про особу у зв'язку з технічним прогресом у галузі інформатики. У 1980 році прийнято Рекомендації Організації щодо співробітництва країн-членів Європейського Союзу «Про керівні напрямки захисту приватного життя при міждержавному обміні даними персонального характеру». Наразі питання захисту персональних даних детально регламентуються директивами Європарламенту та Ради Європейського Союзу. Це Директиви № 95/46/EC та № 2002/58/EC Європейського парламенту та Ради Європейського Союзу від 24 жовтня 1995 року «Про захист прав приватних осіб стосовно обробки персональних даних та про вільний рух таких даних», Директива № 97/66 /EC Європейського Парламенту та Ради Європейського Союзу від 15 грудня 1997 року щодо використання персональних даних та захисту недоторканності приватного життя у сфері телекомунікацій та інші документи.

Акти Європейського Союзу характеризуються детальним опрацюванням принципів та критеріїв автоматизованої обробки даних, прав та обов'язків суб'єктів та власників персональних даних, питань їх транскордонної передачі, а також відповідальності та санкцій за завдання шкоди. Відповідно до Директиви № 95/46/EC у Європейському Союзі створено Робоча групащодо захисту індивідуумів щодо обробки їх персональних даних. Вона має статус консультативного органу та діє як незалежна структура. Робоча група складається з представника органу, створеного кожною державою-учасницею з метою нагляду за дотриманням на своїй території положень Директиви, представника органу або органів, заснованих для інститутів та структур Співтовариства, та представника Єврокомісії.

В рамках Організації з економічного співробітництва та розвитку (ОЕСР) діють «Основні положення щодо захисту недоторканності приватного життя та міжнародних обмінів персональними даними», яка була прийнята 23 вересня 1980 року. У преамбулі цієї Директиви йдеться: «…Країни - члени ОЕСР вважали за необхідне розробити Основні положення, які могли б допомогти уніфікувати національні закони про недоторканність приватного життя та, забезпечуючи дотримання відповідних прав людини, натомість не допустили б блокування міжнародних обмінів даними…». Ці положення застосовуються як у державному, так і в приватному секторі до персональних даних, які або у зв'язку з процедурою їх обробки, або у зв'язку з їх характером або контекстом їх використання несуть загрозу порушення недоторканності приватного життя та індивідуальних свобод. У ній визначено необхідність забезпечення персональних даних належними механізмами захисту від ризиків, пов'язаних з їхньою втратою, знищенням, зміною чи розголошенням, несанкціонованим доступом. Росія, на жаль, у цій організації не бере участі.

Міжпарламентською асамблеєю країн – учасниць СНД 16 жовтня 1999р. прийнято Модельний Закон «Про персональні дані».

За законом «Персональні дані» - інформація (зафіксована на матеріальному носії) про конкретну особу, яка ототожнена або може бути ототожнена з нею. До персональних даних відносяться біографічні та розпізнавальні дані, особисті характеристики, відомості про сімейний, соціальний стан, освіту, професію, службове та фінансове становище, стан здоров'я та інші. У законі також перераховані принципи правового регулювання персональних даних, форми державного регулювання операцій із персональними даними, правничий та обов'язки суб'єктів і власників персональних даних.

Звісно ж, що розглянутий другий спосіб нормативного регулювання захисту персональних даних міжнародних правових актів є найцікавішим для аналізу. Норми цього класу не тільки безпосередньо регулюють суспільні відносини в цій галузі, але й сприяють приведенню законодавства країн-членів до міжнародних стандартів, забезпечуючи тим самим дієвість цих норм на їх території. Таким чином, забезпечується і гарантованість закріплених у Загальній декларації прав людини інформаційних прав у сенсі декларованого у статті 12 останньої «права на захист закону від втручання або посягань».

Третій спосіб закріплення норм захисту персональних даних - закріплення їх правової охорони у міжнародних договорах.

Статті про обмін інформацією включаються до міжнародних договорів про правову допомогу, про уникнення подвійного оподаткування, про співробітництво у певній громадській, культурній сфері.

За ст. 25 Договору між Російською Федерацієюта США про уникнення подвійного оподаткування та запобігання ухилення від оподаткування щодо податків на доходи та капітал, держави зобов'язані надавати інформацію, що становить професійну таємницю. Договір між Російською Федерацією та Республікою Індією про взаємну правову допомогу у кримінальних справах містить статтю 15 «Конфіденційність»: запитувана сторона може вимагати збереження конфіденційності переданої інформації. Практика укладання міжнародних договорів показує прагнення Договірних Держав дотримуватись міжнародних стандартів захисту персональних даних.

Звісно ж, найбільш ефективним механізмом регулювання цього інституту на міжнародно-правовому рівні є видання спеціальних регулятивних документів у межах міжнародних організацій. Цей механізм не тільки сприяє відповідному внутрішньому регулюванню порушених на початку статті актуальних проблем захисту персональної інформації всередині цих організацій, а й благотворно впливає на національне законодавство країн-учасниць.