Standard internazionali per la sicurezza delle informazioni. GOST - Standard nazionali della Federazione Russa nelle informazioni Galuzi Zakhistu Standard russi di sicurezza delle informazioni
1.1. Standard internazionali per lo scambio di informazioni
La sicurezza delle informazioni (IB) deve essere eseguita in conformità con la standardizzazione delle norme e delle specifiche pertinenti.
Gli standard nel campo della crittografia e dei documenti chiave del Servizio federale per il controllo tecnico e delle esportazioni (FSTEC della Russia, ex Commissione tecnica statale sotto il presidente della Federazione Russa) sono fissati dalla legge.
Il ruolo degli standard è fissato nei concetti di base della legge della Federazione Russa "Sulla regolamentazione tecnica" del 27 dicembre 2002. N. 184-FZ (adottato dalla Duma Sovrana il 15 dicembre 2002):
standard - un documento che, utilizzando il metodo della bagatorasis victoria volontaria, stabilisce le caratteristiche dei prodotti, le regole per determinare le caratteristiche dei processi di virobnitstva, sfruttamento, risparmio, trasporto, implementazione e smaltimento, servizi di vikonannya chi nadannya. La norma può riguardare anche la terminologia, i simboli, l'imballaggio, la marcatura o le etichette e le regole per la loro applicazione;
standardizzazione - attività dalla definizione di regole e indicazioni con il metodo della loro volontaria bagatorazovy vykoristannya, accesso diretto all'ordinazione nelle aree di sviluppo e produzione del prodotto e promozione della competitività dei prodotti, lavoro di servizi.
Ci sono due gruppi di standard e specifiche nella galleria IB:
standard di valutazione , riconosciuto per la valutazione e la classificazione sistemi di informazione quello zasobіv zahistu per gli aiutanti della sicurezza;
specifiche , che disciplinano vari aspetti dell'attuazione e della selezione dei metodi di protezione.
Gli standard stimati descrivono comprensione più importante che aspetti dei sistemi informativi (IV), svolgendo il ruolo di specificazioni organizzative e architettoniche.
Іnshi specifіkatsії significa, come se loro stessi fossero ІВ architettura proposta e vincessero vimogi organizzativi.
Prima valutazione gli standard si vedono:
1. Standard del Dipartimento della Difesa degli Stati Uniti "Criteri per la valutazione della fiducia rete informatica"("Libro arancione") e configurazione yogo merezhev "Criteri armonizzati delle terre europee".
2. Standard internazionale "Criteri per la valutazione della sicurezza delle tecnologie dell'informazione".
3. Documenti chiave dell'FSTEC della Russia.
4. Standard federale statunitense "Software di sicurezza per moduli crittografici".
5. Standard internazionale ISO IES 15408:1999 "Criteri per la valutazione della sicurezza delle tecnologie dell'informazione" ("Criteri di chiamata").
Specifiche tecniche, zastosovnі alle attuali rose di ІС, vengono create, Gruppo tematico sulle tecnologie Internet»(Internet Engineering Task Force, IETF) che її podrozdil – gruppo di lavoro della sicurezza. Il nucleo delle specifiche tecniche che vengono esaminate sono i documenti di sicurezza a livello IP (IPsec). Vengono inoltre analizzati gli attacchi a livello di trasporto (Transport Layer Security, TLS), nonché a livello di add-on (GSS-API, specifiche Kerberos). È necessario notare che il servizio Internet attribuisce il dovuto rispetto della sicurezza amministrativa e procedurale ("Assistant for information security of business", "Come ritirare il gestore postale dei servizi Internet", "Come reagire all'interruzione del sicurezza").
Merezheva Bezpekaè conforme alle specifiche X.800 Architettura di sicurezza per l'interoperabilità dei sistemi critici", X.500" Servizio Directory: una panoramica di concetti, modelli e servizi» ta X.509 « Servizio di directory: framework di certificati chiave aperta che attributi».
Standard britannico BS 7799 " Gestione della sicurezza delle informazioni. Regole pratiche»le nomine per cerivniki nelle organizzazioni e osib, che sono ritenute per la sicurezza delle informazioni, senza modifiche significative, sono state effettuate in conformità con la norma internazionale ISO/IEC 17799.
Di seguito sono presentate informazioni generali sugli standard e le specifiche nell'area della sicurezza delle informazioni.
"Libro arancione"
L'"Orange Book" ha una base concettuale per IB:
- quel sistema affidabile è sicuro,
- politica di sicurezza,
- Garanzia Riven,
- P_dzvіtnіst,
- La base di conteggio è stata approvata,
- Monitor di animali,
- core e perimetro di sicurezza. Lo standard vede una politica di sicurezza, come un controllo dell'accesso volontario (discrezionale) e primus (obbligatorio), sicurezza del riutilizzo degli oggetti.
Da un punto di vista concettuale, il documento più significativo del suo lavoro è “Interpretazione del “Libro arancione” per configurazioni a maglia(Interpretazione di rete affidabile). Il vino è composto da due parti. Il primo è quello di interpretare, l'altro descrive i servizi di sicurezza, quelli specifici sono particolarmente importanti per le configurazioni di pizzo.
La comprensione più importante, introdotta nella prima parte, è la base di conteggio affidata. Il secondo aspetto importante è l'aspetto del dinamismo dei cambi di maglia. Tra i meccanismi alla base, è stata vista la crittografia, che aiuta a migliorare sia la riservatezza che l'integrità.
Inoltre, lo standard è sufficiente per la correttezza mentale della frammentazione del monitor, che è la base teorica per la scomposizione del IV diviso in uno stile orientato agli oggetti insieme alle comunicazioni crittografiche.
Criteri armonizzati per le terre europee
Queste menti hanno molti cervelli e alcune potrebbero avere un sistema informativo perfetto. Si suggerisce di formulare meta valutazioni all'inizio, quindi l'organismo di certificazione è determinato, per quanto possibile, è a portata di mano, in modo che il mondo sia architettura corretta ed efficiente e implementazione dei meccanismi di sicurezza in una particolare situazione. Per facilitare la formulazione dello scopo della valutazione, la norma dovrebbe includere una descrizione di dieci distinte classi di funzionalità tipiche dei sistemi commerciali e commerciali.
In "Harmonizing Minds" è possibile introdurre differenze tra sistemi e prodotti delle tecnologie dell'informazione, ma per unificazione potrebbe essere introdotta un'unica comprensione: l'oggetto della valutazione.
È importante commentare la differenza tra funzioni di sicurezza (servizi) e meccanismi che le implementano, nonché vedere due aspetti della garanzia: efficienza e correttezza delle misure di sicurezza.
"Criteri di armonizzazione" è stato preparato dalla comparsa nella letteratura russa della norma internazionale ISO/IEC 15408:1999 "Criteri di valutazione per la sicurezza informatica", denominata "Criteri comuni".
Al momento, i “Criteri Estivi” sono lo standard di valutazione migliore e più attuale. Questo è lo standard che definisce gli strumenti di valutazione della sicurezza e l'ordine di loro scelta; In non vendicare le classi di sicurezza nominate. Una tale classe può essere in erba, a spirale su ci vimogi.
"Criteri aziendali" per testare due tipi principali di sicurezza:
Funzionali, che supportano l'aspetto attivo della difesa, che vengono presentate prima delle funzioni (servizi) della sicurezza e dei meccanismi che vengono implementati;
vomogi doviri, scho vіdpovіdat aspetto passivo; le puzze sono presentate alla tecnologia e al processo di sviluppo e sfruttamento. Vymogi bezpeka sono formulati, che їх vikonannya è riverificato per l'oggetto principale della valutazione: il prodotto hardware e software del sistema informativo.
Bezpeka nei "Criteri Zagalnye" non è visto in modo statico, ma apparentemente all'altezza ciclo vitale oggetto di valutazione.
“Criterio sostanziale” per adottare la formazione di due tipologie fondamentali di atti normativi, che nella pratica risultano vittoriosi, è il profilo della protezione e della sicurezza.
Il profilo è protetto da un tipico set di vimog, che è la responsabilità di soddisfare i prodotti di questo/o sistema di prima classe.
Il responsabile della sicurezza potrebbe vendicare la sicurezza in una misura specifica, potrebbe consentire la violazione dell'ordine stabilito per la sicurezza della sicurezza.
Documenti chiave (RD) FSTEC Russia cominciò ad apparire più tardi, già dopo la pubblicazione dei “Criteri di armonizzazione”, che, per analogia con il resto, conferma la differenza tra sistemi automatizzati (AS) e prodotti (zasobami) tecnica di conteggio, SVT).
Nel 1997 RD è stato adottato per la protezione del servizio di sicurezza - schermi intermediari (ME). La sua idea principale è quella di classificare la ME sulla base dei flussi di dati del modello semi-standard di riferimento, che potenzia il filtraggio, - ha tolto il riconoscimento internazionale e continua ad essere obsoleto.
Avere 2002 r. Il Comitato tecnico statale della Russia ha adottato come RD la traduzione russa dello standard internazionale ISO/IEC 15408:1999 "Criteri per la valutazione della sicurezza della tecnologia dell'informazione".
X.800 “Architettura di sicurezza per l'interoperabilità di sistemi critici”
Tra le specifiche tecniche del documento principale
X.800 "Architettura di sicurezza per sistemi interoperabili". Qui puoi visualizzare i più importanti servizi di sicurezza: autenticazione, controllo accessi, sicurezza della riservatezza e/o dell'integrità dei dati, nonché impossibilità di accedere ad altre persone. Per l'implementazione dei servizi, la trasmissione di tali meccanismi e combinazioni di sicurezza: crittografia, elettronica firma digitale(EDP), controllo degli accessi, controllo dell'integrità dei dati, autenticazione, aggiunta del traffico, controllo dell'instradamento, notarile. Selezionato modello a sette livelli di riferimento uguale, su cui possono essere implementati servizi e meccanismi di sicurezza. Revisione dettagliata dell'alimentazione di sicurezza amministrativa per la distribuzione delle configurazioni.
RFC 1510 "Servizio di autenticazione Merezhevy Kerberos (V5)"
In vіdnositsya prima del problema di authentifikatsії in rіznorіdny rozdolеnіm sredovischі per podpomogoyu kontsії єєї єєї єєї єєї єєї єєї іжі. Il server di autenticazione Kerberos è una terza parte fidata che detiene le chiavi segrete dei soggetti che vengono serviti e lo assiste nell'inversione di autorità a coppie. I componenti client Kerberos si trovano nella maggior parte dei sistemi operativi moderni.
Standard federale statunitense FIPS 140-2 "Requisiti di sicurezza per i moduli crittografici"
Nella funzione organizzativa vykonuє, che descrive l'interfaccia esterna del modulo crittografico, zagalnі vomogi a moduli simili di quel їkhny otochennya. La presenza di tale standard facilita lo sviluppo di servizi e profili di sicurezza per loro.
"Utilizzo dell'interfaccia del software applicativo del servizio di sicurezza"
La crittografia come base per l'implementazione dei servizi di sicurezza ha due facce: algoritmica e interfaccia. L'aspetto dell'interfaccia, nell'ordine dello standard FIPS 140-2, è stato propagato dalla conformità a Internet con la comparsa della specifica tecnica "Generic Security Service Application Program Interface, GSS-API".
Interfaccia di sicurezza GSS-API per la comunicazione tra i componenti dei sistemi software, come richiesto nell'architettura client/server. Creiamo menti per l'autenticazione reciproca dei partner che stanno collaborando, controlliamo l'integrità del supporto, che vengono incrociati e serviamo come garanzia della loro riservatezza. Interfaccia di sicurezza GSS-API e protocolli di comunicazione (livello di applicazione del nome) e altri sistemi software, che conquistano autonomamente la prepotenza dei dati.
Specifiche tecniche IPsec
Descrivono il nuovo reclutamento di misure di sicurezza per la riservatezza e l'integrità nella terra di confine. Per un protocollo IP dominante versione 4, la puzza potrebbe essere un carattere neobov'yazykovy; la versione di IPv6 ha l'implementazione di obov'yazkova. Sulla base di IPsec verranno sviluppati meccanismi per protocolli di altissimo livello, fino a applicativi, nonché per il completamento delle procedure di sicurezza, comprese le misure private virtuali. IPsec si basa su meccanismi crittografici e infrastrutture chiave.
TLS, Transport Layer Security (TLS)
La specifica TLS sviluppa e perfeziona il popolare protocollo Secure Socket Layer (SSL), che conquista un gran numero di prodotti software riconoscimento diverso.
X.500 "Servizio Directory: una panoramica di concetti, modelli e servizi"
In termini di infrastruttura, le raccomandazioni X.500 "The Directory: Panoramica di concetti, modelli e servizi" e X.509 "The Directory Service: Certificate Frameworks for Critical Keys and Attributes" (The Directory: Public-key and attribute certificate frameworks ). Le raccomandazioni X.509 descrivono il formato degli hardkey e dei certificati di attributo, gli elementi di base delle infrastrutture hardkey e la gestione dei privilegi.
La sicurezza della sicurezza delle informazioni è un problema complesso, poiché richiederà una vita ristretta per entrare nei livelli legislativo, amministrativo, procedurale e software e tecnico. Durante lo sviluppo e l'implementazione del documento di base del livello amministrativo (la politica di sicurezza dell'organizzazione), la raccomandazione della comunità Internet "Site Security Handbook" può essere accolta. Allo stesso tempo, vengono discussi gli aspetti pratici della formazione delle politiche e delle procedure di sicurezza, vengono spiegati i principali concetti di equivalenza amministrativa e procedurale, viene violata la motivazione delle raccomandazioni formulate, l'analisi dei rischi, la reazione alle interruzione della sicurezza delle informazioni e l'ulteriore interruzione. Il rapporto del resto della nutrizione viene esaminato nella raccomandazione "Come rispondere agli incidenti di sicurezza delle informazioni" (Aspettative per la risposta agli incidenti di sicurezza informatica). Quale documento può essere trovato e inviato alle risorse informative ragioni pratiche livello procedurale
Con lo sviluppo di tale riorganizzazione dei sistemi informativi aziendali, apparirà una raccomandazione chiave "Come ottenere un provider di servizi Internet" (Addendum al manuale di sicurezza del sito per ISP). Nasampered її polozhenie nebhіdno dotrimuvatsya nel corso dello stampaggio della sicurezza organizzativa e architettonica, sulla base della quale si basano altre fasi della ricerca procedurale e tecnica del software.
Standard britannico BS 7799 “Cura della sicurezza delle informazioni. Regole pratiche»
Per l'attuazione pratica e il supporto del regime di sicurezza delle informazioni per ulteriori regolatori delle uguaglianze amministrative e procedurali, è necessario sostenere lo standard britannico BS 7799 “Gestione della sicurezza delle informazioni. Regole pratiche" (Codice di condotta per la gestione della sicurezza delle informazioni) e un'altra parte di BS 7799-2: 2002 "Sistemi di gestione della sicurezza delle informazioni - Specifiche con guida per l'uso". Il nuovo è spiegato in modo tale che la procedura sia come una politica di sicurezza, principi caritatevoli organizzazione della protezione, classificazione delle risorse e gestione delle stesse, sicurezza del personale, sicurezza fisica, principi di amministrazione di sistemi e misure, controllo degli accessi, sviluppo e supporto dell'IV, pianificazione dell'organizzazione del lavoro ininterrotto.
Il testo Tsey è un frammento conoscibile.ISO/IEC 27001- standard internazionale per la sicurezza delle informazioni, scisso congiuntamente dall'Organizzazione internazionale per la standardizzazione e dalla Commissione elettrotecnica internazionale. Lo standard mira a vendicare una migliore sicurezza delle informazioni per lo sviluppo, lo sviluppo e il supporto del sistema di gestione della sicurezza delle informazioni (ZMIB).
Approvato dalla norma. Lo standard ISO/IEC 27001 (ISO 27001) contiene una selezione di descrizioni delle migliori pratiche di illuminazione nella gestione della sicurezza delle informazioni. La ISO 27001 fornisce supporto per un sistema di gestione della sicurezza delle informazioni per dimostrare la capacità di un'organizzazione di proteggere le proprie risorse informative. Questo standard di formazione è un modello per lo sviluppo, l'implementazione, il funzionamento, il monitoraggio, l'analisi, il supporto e il miglioramento del sistema di gestione della sicurezza delle informazioni (ZMIB).
Meta ZMIB- una selezione di validi punti di ingresso per la gestione della sicurezza, riconosciuti a tutela del patrimonio informativo ea garanzia della fiducia delle parti interessate.
Comprensione di base. Sicurezza delle informazioni - salvaguardare la riservatezza, l'integrità e la disponibilità delle informazioni; Inoltre, possono essere inclusi in altre autorità, come giustizia, impossibilità di paternità, affidabilità.
Riservatezza - garantire la disponibilità delle informazioni è riservato a coloro che possono avere il controllo (corrispondenti autorizzati).
Integrità - garantire l'accuratezza e la completezza delle informazioni, nonché le modalità di elaborazione.
Disponibilità - garantire l'accesso alle informazioni per i corrispondenti autorizzati, se necessario (facoltativo).
La ISO 27001 garantisce:
· designazione di obiettivi e dichiarazioni in merito direttamente e principi di attività di sicurezza informatica;
· Nomina di approcci alla valutazione e gestione dei rischi nell'organizzazione;
· gestione della sicurezza informatica, fino alla legislatura zastosovogo e normativa vimog;
· stabilire un approccio unico alla creazione, implementazione, funzionamento, monitoraggio, analisi, miglioramento e sistema di gestione completo al fine di raggiungere l'obiettivo della sicurezza delle informazioni nella regione;
· Determinazione dei processi del sistema di gestione della sicurezza delle informazioni;
· Appuntamento allo stato dei visitatori per la sicurezza delle informazioni;
· Vykoristannya vnutrishnіh e zovnіshnіh auditіv in vyznachennya step vіdpovіdnostі system informаtsiynoї ї ї bezpeka vmomogo standard;
· Fornire informazioni adeguate ai partner e alle altre parti interessate sulla politica di sicurezza delle informazioni.
Principi di regolamentazione giuridica nel campo dell'informazione, delle tecnologie dell'informazione e della protezione delle informazioni per lo zmist della legge federale della Federazione Russa del 27 aprile 2006. 149-FZ "Sull'informazione, le tecnologie dell'informazione e la protezione delle informazioni".
La regolamentazione giuridica della legge, che è imputata alla sfera dell'informazione, delle tecnologie dell'informazione e della protezione delle informazioni, si basa su principi offensivi:
1) libertà di ricercare, ritirare, trasferire, diffondere e distribuire informazioni in qualsiasi modo legale;
2) l'istituzione di una barriera all'accesso all'informazione solo da leggi federali;
3) accesso alle informazioni sull'attività degli organi statali e degli organi di autoregolamentazione e libero accesso a tali informazioni, reati, stabiliti dalle leggi federali;
4) l'uguaglianza dei popoli della Federazione Russa nel caso della creazione di sistemi informativi e del loro funzionamento;
5) garantire la sicurezza della Federazione Russa durante la creazione di sistemi informativi, il loro funzionamento e la protezione delle informazioni in essi contenute;
6) affidabilità delle informazioni e tempestività dei dati;
7) insufficienza della vita privata, inammissibilità di raccogliere, salvare, frodare e condividere informazioni sulla vita privata di un individuo sprovvisto di essa;
8) l'inammissibilità dell'istituzione da parte di atti normativi di un eventuale prevalere della stagnazione di alcune tecnologie dell'informazione rispetto ad altre, in quanto l'obbligatoria sospensione delle stesse tecnologie informatiche prima dell'instaurazione di tale esercizio dei sistemi informativi di proprietà dello Stato, non è accertata da leggi federali.
Strategia di sicurezza nazionale della Federazione Russa fino al 2020. La struttura, il compito, il metodo e le modalità di realizzazione mediante il potere delle sue funzioni per la sicurezza della sicurezza delle informazioni nella "Dottrina della sicurezza delle informazioni della Federazione Russa".
La strategia di sicurezza nazionale della Federazione Russa fino al 2020: il sistema di priorità strategiche è stato ufficialmente riconosciuto, gli obiettivi e gli approcci nell'ambito della politica interna ed estera, che determinano il campo di sicurezza nazionale del paese e il livello delle prospettive di sviluppo.
La dottrina della sicurezza delle informazioni della Federazione Russa è la totalità degli sguardi ufficiali sugli obiettivi, i compiti, i principi e le direzioni principali della sicurezza delle informazioni della Federazione Russa.
Magazzini di interessi nazionali della Federazione Russa sfera dell'informazione in dottrina:
1) Obov'yazkove dotrimannya diritti costituzionali e libertà delle persone nella sfera di otrimannya іinformatsії e koristuvannya esso.
2) Sicurezza delle informazioni della politica statale della Federazione Russa (portare ai cittadini della Federazione Russa e alla comunità internazionale sulla politica statale della Federazione Russa, la posizione ufficiale di tali influenze significative in Russia e nel mondo) con l'accesso dei cittadini alle risorse pubbliche dello Stato.
3) Sviluppo della moderna industria delle imprese IT (informazioni, telecomunicazioni e comunicazioni). Sicurezza del mercato IT interno in Russia e al di fuori del mercato mondiale.
4) Zahista risorse di informazione per l'accesso non autorizzato, la sicurezza delle informazioni e dei sistemi di telecomunicazione.
Vedi le minacce alla sicurezza delle informazioni della Federazione Russa nella dottrina:
1. Minacce, create per i diritti costituzionali e la libertà delle persone nell'ambito dell'attività informativa.
2. Minacciare la sicurezza delle informazioni della politica sovrana della Federazione Russa.
3. Minaccia allo sviluppo della moderna industria informatica e per indurre l'uscita dal mercato interno e leggero.
4. Minacce alla sicurezza dei servizi e dei sistemi delle informazioni e delle telecomunicazioni.
Metodi per garantire la sicurezza delle informazioni della Federazione Russa nella dottrina:
metodi legali
Sviluppo di atti normativi che regolano le leggi nel campo dell'informatica
Metodi organizzativi e tecnici
La creazione del sistema di sicurezza delle informazioni della Federazione Russa e її a fondo
Attrazione di osіb a vidpovіdalnostі, yakі hanno commesso danni in questa sfera
La creazione di sistemi e dispositivi per impedire l'accesso non autorizzato alle informazioni elaborate
Metodi economici
Sviluppo di software per la sicurezza delle informazioni e servizi finanziari
Lavori finanziari relativi alla sicurezza delle informazioni della Federazione Russa
Vishno, scho razumіє vozmіvіst і nebhіdnіst ІB, rispetto alla nutrizione ІБ cresce innocentemente.
Per spiegare il trend non serve andare lontano: ci sono molti compromessi dei sistemi informativi, che portano benefici economici e perdite reputazionali. In un certo numero di modi, le puzze sono diventate irrevocabili per una particolare attività. In questo modo, la sicurezza delle informazioni governative per l'organizzazione diventa non solo una garanzia di lavoro ininterrotto, ma anche un criterio di affidabilità per її partner e clienti.
Il mercato segue le stesse regole e i criteri per vimiryuvannya semplificano la protezione e l'efficienza dei processi ІB є sono gli stessi per tutte le ghiaie per lo yoga. Il ruolo è svolto da standard, che possono aiutare l'azienda a creare il livello necessario di protezione delle informazioni. Gli standard più popolari nel settore bancario russo includono lo standard ISO/IEC 27000, lo standard per la Banca di Russia dell'organizzazione per la sicurezza delle informazioni del sistema bancario e lo standard di sicurezza dell'infrastruttura delle carte di pagamento PCI DSS.
L'Organizzazione internazionale per la standardizzazione (ISO) e la Commissione elettrotecnica internazionale (IEC) hanno sviluppato e pubblicato gli standard della serie ISO/IEC 27000. Le società di revisione accreditate hanno il diritto alla certificazione zdіysnyuvatsiyu per gli standard, keruyuchichi promesso loro dalle autorità.
Vіdsutnіst suvorogo vimogi to vykonannya Lo standard dei partecipanti al mercato russo oscilla tra coloro che hanno una bassa ampiezza. Ad esempio, solo in Giappone, il numero di società che hanno superato di gran lunga l'audit è stato in grado di soddisfare lo standard internazionale, più di un indicatore simile per la Russia e il paese di SND potrebbe essere 200 volte superiore.
In questo caso, è impossibile non notare che le aziende non trascorrono tempo in tutti i casi, come se fossero vittoriose del fatto allo Standard, ma non hanno superato la certificazione formale. In altre parole, sul territorio della Russia e sul territorio dell'SND є società impersonali, come se stessero vibrando il processo di gestione e miglioramento del livello di ІB, non per il bene di un "segno di spunta" nell'aspetto di un certificato di agibilità, ma per reale cority. A destra, nel fatto che spesso gli standard della serie 27000 sono il primo passo nello sviluppo dei sistemi IB. E la loro scelta come linea guida è la base, che trasferisce la vita e lo sviluppo di un sistema di gestione efficace per IB.
IBBS STO BR - per ottenere uno standard ISO / IEC 27001 vicino, creato dalla Banca di Russia per l'organizzazione del settore bancario, chiede di garantire un livello accettabile di flusso di sicurezza delle informazioni e gestione della sicurezza bancaria. Sono stati annunciati gli obiettivi principali della riunione: aumentare il livello di credito al settore bancario, garantire la protezione contro le minacce alla sicurezza e ridurre il livello delle perdite in caso di incidenti IB. Lo standard è consigliato e fino alla versione 2010 non era particolarmente popolare.
La promozione attiva di IBBS STO BR è iniziata con il rilascio della versione della norma, che prevede la possibilità di tutelare la sicurezza dei dati personali, e di un ulteriore foglio informativo, che si ritiene accettato prima della fine della norma come modo alternativo per garantire la sicurezza dei dati personali nei padiglioni. sul momento presente per le statistiche non ufficiali, circa il 70% delle banche ha adottato lo standard per la Banca di Russia come documento vincolante entro la fine dell'anno.
Lo standard IBBS BR è un insieme di documenti che si stanno sviluppando in modo dinamico, con adeguate minacce attuali per garantire che la sicurezza delle informazioni sia gestita. Yoga in Banks sta già diventando praticamente necessario, indipendentemente dallo stato di raccomandazione ufficiale, per le organizzazioni della sfera non finanziaria, i documenti per il complesso IXBS possono fungere da set buone abitudini alla sicurezza delle informazioni.
Nareshti, un altro standard molto importante per le organizzazioni finanziarie è il Payment Card Industry Data Security Standard (PCI DSS, Payment Card Industry Data Security Standard). Tra le creazioni dei cinque maggiori sistemi di pagamento - Visa, MasterCard, JCB, American Express e Discover, hanno organizzato il Council for the Security of the Payment Card Industry (PCI SSC). Il servizio di carte di pagamento è dovuto a zdіysnyuvatisya secondo le stesse regole e riconoscimento del primo ІB uguale. Ovviamente, la sicurezza è un fattore chiave nelle tecnologie vittoriose legate ai penny. Pertanto, la protezione di queste carte di pagamento è la priorità del compito di qualsiasi sistema di pagamento.
Il punto chiave dello standard PCI DSS in caso di riassicurazione è il primo obbligo per tutte le organizzazioni che elaborano carte di pagamento. Se vuoi arrivare alla valutazione dell'affidabilità, puoi ottenere la puzza - la puzza risiederà nel numero di transazioni che vengono elaborate: nel caso dell'autovalutazione prima di superare l'audit di certificazione. Il resto sarà detenuto dalla società, purché abbia lo status di PCI QSA.
La caratteristica chiave dell'apparizione dello standard PCI DSS è stata la nomina di termini estremi ridotti alla conformità. Ciò ha portato al fatto che la maggior parte dei grandi attori del settore delle carte di pagamento si sono fatti strada attraverso il robot. Di conseguenza, era a livello globale di protezione come pochi partecipanti e l'intero settore della retribuzione non addestrata.
Volendo apparire allo standard ed essere l'iniziatore della massima gravità nel settore dei sistemi di pagamento, puoi conoscere il tuo stato e diventare una guida per le organizzazioni che non interferiscono con il settore. Il titolo della vittoria di Yogo è un aggiornamento post-yni, come ultima risorsa, l'effettivo accesso e raccomandazioni su come ridurre le minacce di IB.
Standard di Zastosuvannya e fattibilità di їх vimogams, senza intoppi, є pratica garnoy e un grande coccodrillo in anticipo quando vibudovuvannі sistema di sicurezza delle informazioni. Ale, scusa, mettilo, perché il fatto stesso della sicurezza non garantisce un alto livello di protezione. Il campo di applicazione del certificato è esteso a periodo canoro se le procedure, interrotte solo per validità formale, cessano di essere praticabili. In questo rango, è possibile che il sistema IB nell'organizzazione al momento dell'audit non fornisse stime che sono state scomposte durante l'audit.
Fino ad allora, quando si analizzano i possibili rischi, è impossibile disattivare fattore umano, il che può significare il perdono degli stessi revisori dei conti nelle aree designate per la nuova verifica, il magazzino dei componenti, che vengono nuovamente verificati, e le visnovka superiori.
Nasamkinets ha voluto sottolineare che il rispetto degli standard non pregiudica il processo in corso per garantire la sicurezza delle informazioni critiche. Non esiste una sicurezza ideale, ma l'utilizzo di diversi strumenti consente di raggiungere il massimo livello di IB. Lo standard IB è esso stesso uno strumento del genere.
Valutare:
0 4
Uno dei problemi più importanti è che i bisogni della società moderna stanno difendendo i diritti delle persone nella mente di portare lo yoga ai processi interazione informativa inoltre, il diritto alla protezione delle informazioni (personali) speciali nei processi di elaborazione automatizzata delle informazioni.
IO. N. Malanich, studente del 6° anno di VDU
L'Istituto per la Protezione dei Dati Personali oggi non rientra più in questa categoria, in quanto può essere regolato solo dal diritto nazionale. La caratteristica più importante degli odierni sistemi informativi automatizzati è la "sovranazionalità" della loro ricchezza, "lasciandoli" per le interstatali, lo sviluppo di mondi accessibili a livello globale. misure informative, come Internet, la formazione di un unico spazio informativo ai confini di tali strutture internazionali.
Oggi nella Federazione Russa, il problema non è meno una sfida per il campo legale dell'istituto per la protezione dei dati personali nell'ambito dell'automazione processi informativi, e s pіvvіdnoshennia її z іsnuyuchimi standard legali internazionali è galuzі.
Puoi vedere tre tendenze principali nella regolamentazione legale internazionale dell'istituto di protezione dei dati personali, che precedono i processi di elaborazione automatizzata delle informazioni.
1) Dichiarare il diritto alla protezione dei dati personali come parte indispensabile dei diritti fondamentali di una persona in atti di natura fondamentalmente umanitaria, che sono accettati nell'ambito delle organizzazioni internazionali.
2) Applicazione e regolamentazione del diritto alla protezione dei dati personali negli atti di natura regolamentare nei confronti dell'Unione Europea, per il bene dell'Europa, in privato alla Comunità degli Stati Indipendenti e ad altre organizzazioni internazionali regionali. Questa classe di norme è la più universale e senza diritti intermedi per proteggere i dati personali dai processi di elaborazione automatizzata delle informazioni.
3) L'inclusione di norme sulla protezione delle informazioni riservate (comprese le informazioni personali) agli accordi internazionali.
Il primo modo: mostrarsi storicamente prima per gli altri. In al mondo attuale i diritti e la libertà di informazione non fanno parte dei diritti umani fondamentali.
La dichiarazione globale dei diritti umani, 1948 Dirò: “Nessuno può cedere a una violazione sufficiente nella famiglia speciale della vita, a un'invasione sufficiente di... un mistero di corrispondenza” e ancora: “La pelle di un essere umano ha il diritto di difendere la legge nella di fronte a tale violazione o invasione”. Patto internazionale sui diritti pubblici e politici, 1966 in questa parte ripeto la dichiarazione. Convenzione Europea 1950 dettaglio a destra: “La pelle di una persona ha diritto alla libertà di espressione guardando. Questo diritto include la libertà di guardare i propri pensieri, di discriminare e diffondere informazioni e idee senza vruchannya da parte degli organi sovrani e indipendentemente dai cordoni sovrani.
I documenti internazionali nominati garantiscono i diritti di informazione.
Ninі international equal ha formato un sistema per esaminare i diritti di informazione delle persone. In un piano più ristretto: una dichiarazione sulla rimozione di informazioni, una dichiarazione sulla vita privata al fine di proteggere le informazioni su di essa, una dichiarazione sulla protezione delle informazioni a causa della sicurezza dello Stato e una visione della sicurezza di affari, compresa la finanza.
Un altro modo è una regolamentazione più dettagliata del diritto alla protezione dei dati personali a causa della maggiore intensità del trattamento dei dati personali per l'ausilio di sistemi informatici automatizzati. Nel resto del decennio, nell'ambito delle organizzazioni internazionali basse, è stato adottato un numero ridotto di documenti internazionali, che sviluppano i diritti di base dell'informazione di comunicazione con l'intensificazione dello scambio transcordon di informazioni e l'uso delle moderne tecnologie dell'informazione. Tra tali documenti possono essere nominati come segue:
Consiglio d'Europa nel 1980 ruggì la Convenzione europea sullo zakhista caratteristiche fisiche alle razioni, che vengono elaborati automaticamente dati speciali, che nabula 1985 r. La Convenzione stabilisce la procedura per la raccolta e l'elaborazione dei dati su una persona, i principi per garantire l'accesso a tali dati e i mezzi per la raccolta fisica dei dati. La Convenzione garantisce la protezione dei diritti di una persona durante la raccolta e il trattamento dei dati personali, i principi di protezione dell'accesso a tali dati, i metodi di protezione fisica dei dati e anche la protezione della raccolta di dati su razza, aspetto politico, salute, religione senza alcun obbligo di legge. La Russia è arrivata alla Convenzione europea alla caduta delle foglie nel 2001.
Nell'Unione Europea, la protezione dei dati personali è regolata da una serie di documenti. Nel 1979 è stata adottata dal Parlamento europeo una risoluzione “Sulla difesa dei diritti dell'individuo in relazione al progresso dell'informatizzazione”. La risoluzione chiedeva alla Radiazione e alla Commissione degli Spivtovariani europei di ampliare e adottare atti legali per proteggere i dati sulla persona in relazione al progresso tecnico nel campo dell'informatica. Nel 1980 l'Organizzazione per la protezione dei paesi membri dell'Unione europea ha adottato una raccomandazione "Sul nucleo della protezione diretta della vita privata nello scambio interstatale di tributi al carattere personale". La protezione dei dati personali è disciplinata in dettaglio da direttive al Parlamento Europeo e per il bene dell'Unione Europea. Direttiva CE n. 95/46/CE e n. 2002/58/CE del Parlamento Europeo e per il bene dell'Unione Europea, del 24 giugno 1995 “Sulla tutela dei diritti alla privacy in materia di trattamento dei dati personali e sulla libera circolazione di tali dati”, Direttiva n. 97/66/CE al Parlamento Europeo e per il bene dell'Unione Europea del 15 dicembre 1997, la necessità di raccogliere dati personali e la mancanza di privacy nell'ambito della telecomunicazioni e altri documenti.
Gli atti dell'Unione Europea sono caratterizzati dalla puntuale attuazione dei principi e dei criteri per il trattamento automatizzato dei dati, dei diritti e degli obblighi dei soggetti e dei titolari dei dati personali, del potere della loro trasmissione transcordale, nonché della validità e delle sanzioni del deposito di shodi. Vidpovidno alla Direttiva n. 95/46/CE nell'Unione Europea creata Gruppo Robotcha come proteggere le persone come raccogliere i loro dati personali. Ha vinto lo stato di un organo consultivo che ha una struttura indipendente da yak. Il gruppo di lavoro è composto da un rappresentante dell'organismo, creato da uno skin power-partecipante al fine di dotrimannyam sul suo territorio, la posizione della direttiva, un rappresentante dell'organismo o degli organismi, fondante per le istituzioni e le strutture dell'Unione, e un rappresentante della Commissione Europea.
Nell'ambito dell'Organizzazione per la protezione e lo sviluppo economico (OCSE), il 23 settembre 1980 sono state adottate le "Disposizioni di base per la protezione del non-torcanismo della vita privata e degli scambi internazionali di dati personali". Il preambolo della Direttiva recita: "... I paesi OCSE hanno rispettato il necessario sviluppo delle Disposizioni di base, che potrebbero contribuire a unificare le legislazioni nazionali sulla mancanza di privacy, assicurando che i diritti generali delle persone non siano ammessi bloccato". Tali disposizioni sono applicate sia nello Stato che nel settore privato fino ai dati personali, sia in connessione con la procedura del loro trattamento, sia in connessione con il loro carattere o contesto di loro scelta, comportano la minaccia di turbativa per la mancanza di vita privata e libertà individuali. È stata individuata la necessità di proteggere i dati personali mediante meccanismi adeguati di difesa dai rischi associati alle loro spese, privazione, cambio di voce, accesso non autorizzato. Russia, purtroppo, non partecipo a questa organizzazione.
Assemblea interparlamentare del Krai - partecipante della SND il 16 luglio 1999. è stata adottata la Legge Modello “Sui Dati Personali”.
Dietro la legge "Dati personali" - informazioni (fissate su un supporto materiale) su una persona specifica, identificata o identificabile con lei. I dati personali includono dati biografici e storici, caratteristiche speciali, informazioni sulla famiglia, la vita sociale, l'istruzione, la professione, il servizio e la vita finanziaria, la salute e altri. La legge ha anche i principi della regolamentazione legale dei dati personali, la forma di regolamentazione sovrana delle transazioni con i dati personali, gli obblighi legali e vincolanti dei soggetti e dei titolari dei dati personali.
È chiaro che un'altra modalità di regolamentazione normativa della protezione dei dati personali degli atti giuridici internazionali viene presa in considerazione per l'analisi. Le norme di questa classe non solo regolano direttamente la sospensione dell'acqua nella galleria, ma adottano anche la legislazione data dai paesi membri a standard internazionali, assicurandosi l'esistenza di queste norme sul loro territorio. In questo modo, è assicurato e garantito il sancito nella Dichiarazione globale dei diritti di una persona dei diritti di informazione nel senso dichiarato nell'articolo 12 del resto "il diritto di difendere la legge sotto forma di vtruchannya o abuso ."
Il terzo modo per fissare le norme per la protezione dei dati personali è fissare la loro protezione giuridica nei trattati internazionali.
Gli articoli sullo scambio di informazioni dovrebbero essere inseriti prima degli accordi internazionali sull'assistenza legale, sull'unicità dell'impresa, sulla protezione della società civile, sulla sfera culturale.
Per l'art. 25 dell'Accordo tra la Federazione Russa e gli Stati Uniti sull'esclusione delle filiali e sulla tutela dei sussidi per la sottoscrizione di sussidi per reddito e capitale, i poteri del gozzo danno informazioni sul divenire segreto professionale. Accordo tra la Federazione Russa e la Repubblica dell'India sulla mutua assistenza giudiziaria nei diritti penali per vendicare l'articolo 15 “Riservatezza”: alla parte può essere chiesto di tutelare la riservatezza delle informazioni trasmesse. La prassi di elaborare trattati internazionali mostra la prassi delle Potenze Contraenti di conseguire standard internazionali per la protezione dei dati personali.
Ebbene, il meccanismo più efficace per regolamentare questa istituzione a livello giuridico internazionale è la comparsa di documenti normativi speciali ai confini delle organizzazioni internazionali. Questo meccanismo non solo contribuisce alla regolamentazione interna degli effettivi problemi che sono stati violati sulla pannocchia dello statuto e alla difesa delle informazioni personali in mezzo a queste organizzazioni, ma investe anche vantaggiosamente nella legislazione nazionale del paese partecipante .
Diamo un'occhiata ai più importanti standard internazionali nel campo della sicurezza delle informazioni.
Norma ISO 17799 "Regole pratiche per la gestione della sicurezza delle informazioni" esamina gli aspetti futuri di IB:
Comprensione di base di tale scopo;
politica di sicurezza delle informazioni;
sicurezza alimentare organizzativa;
Classificazione e gestione patrimoniale;
sicurezza alimentare, relativa al personale;
Fisico zahist ta zahist con vplivіv dovkilla;
Gestire il trasferimento dei dati e le attività operative;
Controllo di accesso;
Sviluppo e manutenzione di sistemi;
Gestione della continuità aziendale;
Audit interno di IB;
Vіdpovіdnіst legislatura vimogam.
Un posto importante nel sistema degli standard prende in prestito uno standard ISO 15408"Criteri significativi per la sicurezza delle tecnologie dell'informazione", pubblicato da "Criteri comuni". Nei "Criteri Zahalnye" è stata effettuata una classificazione di un'ampia gamma di caratteristiche di sicurezza della tecnologia dell'informazione, sono stati determinati la struttura di questo raggruppamento e il principio di selezione.
Un importante sistema di standard di magazzino è l'infrastruttura a chiave pubblica PKI (Public Key Infrastructure). Questa infrastruttura trasmette una serie di centri di certificazione chiave e seleziona certificati digitali conformi alle raccomandazioni X.509.
Standard russi per la sicurezza delle informazioni
GOST R 50739-95. Costo della tecnica di conteggio. Protezione contro l'accesso non autorizzato alle informazioni. Zagalni Vimogi. Derzhstandart della Russia
GOST R 50922-2006. Protettore dell'informazione. I principali termini e definizioni. Derzhstandart della Russia
GOST R 51188-98. Protettore dell'informazione. Viprobuvannya contributi del programma per presenza virus informatici. Ceramica tipica. Derzhstandart della Russia
GOST R 51275-2006. Protettore dell'informazione. L'oggetto dell'informatizzazione. Funzionari che investono in informazioni. posizione in fiamme. Derzhstandart della Russia
GOST R 51583-2000. Protettore dell'informazione. L'ordine di piegatura dei sistemi automatizzati al vikonanni rubato. posizione in fiamme
GOST R 51624-2000. Protettore dell'informazione. Sistemi automatizzati per il viconan rubato. Zagalni Vimogi
GOST R 52069-2003. Protettore dell'informazione. Sistema di standard. Disposizioni di base
GOST R 53131-2008 (ISO/MEK A 24762-2008). Protettore dell'informazione. Raccomandazioni su come aggiornare dopo le suddette situazioni di funzioni e meccanismi per la sicurezza delle tecnologie dell'informazione e delle telecomunicazioni. posizione in fiamme
GOST R ІSO 7498-1-99. Tecnologie dell'informazione. Vzaimozv'yazok vіdkritih sistemi. Modello base standard. Parte 1. Modello base. Derzhstandart della Russia
GOST R ІSO 7498-2-99. Tecnologie dell'informazione. Vzaimozv'yazok vіdkritih sistemi. Modello base standard. Parte 2. Architettura zahistu. Derzhstandart della Russia
GOST R ІSO/MEK 13335-1-2006. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Parte 1. Concetto e modello per la gestione della sicurezza delle tecnologie dell'informazione e delle telecomunicazioni
GOST R ІSO/MEK A 13335-3-2007. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Parte 3. Modalità e gestione della sicurezza informatica
GOST R ІSO/MEK A 13335-4-2007. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Parte 4
GOST R ІSO/MEK A 13335-5-2007. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Parte 5. Aiuto per la gestione della sicurezza
GOST R ISO/MEK 15408 -1-2008. Metodi that zasobi zabezpechennya bezpeki. Criteri per valutare la sicurezza delle tecnologie dell'informazione. Parte 1. Presentazione di quel modello selvaggio. Derzhstandart della Russia
GOST R ІSO/MEK 15408-2-2008. Metodi that zasobi zabezpechennya bezpeki. Criteri per valutare la sicurezza delle tecnologie dell'informazione. Parte 2. Assistenza funzionale alla sicurezza. Derzhstandart della Russia
GOST R ІSO/MEK 15408-3-2008. Metodi that zasobi zabezpechennya bezpeki. Criteri per valutare la sicurezza delle tecnologie dell'informazione. Parte 3. Possiamo fidarci di te per la sicurezza. Derzhstandart della Russia
GOST R ІSO/MEK A 15443-1-2011. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Fondamenti di fiducia per la sicurezza informatica. Parte 1. Uno sguardo alle basi
GOST R ІSO/MEK A 15443-2-2011. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Fondamenti di fiducia per la sicurezza informatica. Parte 2. Metodi di fiducia
GOST R ІSO/MEK A 15443-3-2011. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Fondamenti di fiducia per la sicurezza informatica. Parte 3. Analisi dei metodi di fiducia
GOST R ISO/MEK 17799- 2005. Distribuzione delle informazioni. Metodi that zasobi zabezpechennya bezpeki. Regole pratiche per il mantenimento della sicurezza delle informazioni
GOST R ІSO/MEK 18028-1-2008. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Merezheva sicurezza delle tecnologie dell'informazione. Gestione della sicurezza dei contratti di locazione
GOST R ІSO/MEK AL 19791-2008. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Valutazione della sicurezza dei sistemi automatizzati
GOST R ISO/MEK 27001- 2006. Metodi that zasobi zabezpechennya bezpeki. Sistemi di gestione della sicurezza delle informazioni. Wimogi
GOST R ІSO/MEK 27004-2011. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Gestione della sicurezza delle informazioni. Vimiryuvannya
GOST R ІSO/MEK 27005-2009. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Gestione dei rischi per la sicurezza delle informazioni
GOST R ІSO/MEK 27033-1-2011. Tecnologie dell'informazione. Metodi that zasobi zabezpechennya bezpeki. Bezpeka merez. Parte 1. Una panoramica di quel concetto
GOST 28147 -89 Sistemi di elaborazione delle informazioni. Difensore crittografico. Algoritmo di trasformazione crittografica.
GOST R 34.10 -2001 r. Tecnologie dell'informazione. Zakhista crittografico informazione. I processi di stampaggio e ri-verifica dell'elettronica firma digitale.
GOST R 34.11 -94 Distribuzione delle informazioni. Protezione crittografica delle informazioni. Funzioni di hashing.
Ancora più importante è la famiglia di standard internazionali per la gestione della sicurezza delle informazioni della serie ISO 27000 (poiché gli standard statali russi vengono accettati ogni tanto). Okremo è significativo GOST / ISO 27001 (Sistemi di gestione della sicurezza delle informazioni), GOST / ISO 27002 (17799) (Regole pratiche per la gestione della sicurezza delle informazioni)
Tecnologie degli schermi intermedi
Schermo intermedio(ME) - un complesso di strumenti hardware e software che controllano e filtrano i pacchetti mesh che attraversano quello nuovo, a seconda delle regole stabilite. Viene chiamato anche ME firewall(Nim. Brandmauer) o firewall(Inglese) firewall). ME consente di dividere il confine in 2 parti e di implementare un insieme di regole che determinano il passaggio di pacchetti di dati attraverso lo schermo da una parte all'altra del confine. Sound ME da installare tra la rete aziendale (locale) e la rete Internet, proteggendo la rete interna delle imprese dagli attacchi della rete globale, oppure puoi proteggerla misura locale sotto forma di minacce dal lato aziendale.
Il compito principale dello schermo a traliccio è la protezione del computer legato chi okremikh vuzlіv dall'accesso non autorizzato. Le schermate Merezhevі sono spesso chiamate filtri, ma il compito principale è non far passare (filtrare) pacchetti che non soddisfano i criteri specificati nella configurazione.
