情報セキュリティの国際規格。 GOSTr-情報保護の分野におけるロシア連邦の国家規格情報セキュリティのロシア規格

ゴロフナ / グーグルプレイ

1.1。 情報交換のための国際基準

情報セキュリティ(IB)は、関連する規格や仕様の標準化に従って実施する必要があります。

技術および輸出管理のための連邦サービス(ロシアのFSTEC、以前は大統領ロシア連邦の下の国家技術委員会)の暗号化および主要文書の基準は法律によって定められています。

標準の役割は、2002年12月27日付けのロシア連邦法「技術的規制について」の主要な概念に184-FZ(2002年12月15日に下院で採択)で固定されています。

標準 -自主的なbagatorasisvictoriaの方法を使用して、製品の特性、virobnitstv、搾取、保存、輸送、実装および廃棄、vikonannyachinadannyaサービスのプロセスの特性を決定するためのルールを確立する文書。 この規格は、用語、記号、パッケージ、マーキング、ラベル、およびそれらの適用規則もカバーできます。

標準化 - 自主的なbagatorazovyvykoristannyaの方法による規則と適応症の確立からの活動、製品の生産と量の分野での注文への直接アクセス、および製品、仕事、サービスの競争力を促進すること。

IBの分野には、標準と仕様の2つのグループがあります。

評価基準 、評価と分類で認められた 情報システムセキュリティのヘルパーのためのそのzasobіvzahistu;

仕様 、保護方法の実装と選択のさまざまな側面を規制します。

推定基準は 最も重要な理解情報システム(IS)のその側面は、組織およびアーキテクチャの仕様の役割を果たします。

他の詳細は、まるで彼ら自身であるかのように、ІСが支持したアーキテクチャと勝利した組織のvimogiを意味します。

鑑定標準が見られます:

1.米国国防総省の基準「信頼を評価するための基準 コンピューターメッシュ「(国防総省の信頼できるコンピュータシステム評価基準、TCSEC)、(「オレンジブック」)および同じmerezhev構成「ヨーロッパの土地の基準の調和」。

2.国際規格「情報技術のセキュリティを評価するための基準」。

3.ロシアのFSTECの主要文書。

4.米国連邦規格「暗号化モジュールのセキュリティソフトウェア」。

5.国際規格ISOIES15408:1999「情報技術のセキュリティを評価するための基準」(「呼び出し基準」)。

技術仕様、ІСの現在のバラへのzastosovnіが作成され、 インターネット技術のテーマ別グループ»(インターネット技術特別調査委員会、IETF)およびїїpodrozdil–セキュリティのワーキンググループ。 検討されている技術仕様の中核は、IPレベル(IPsec)のセキュリティドキュメントです。 さらに、トランスポートレベル(トランスポート層セキュリティ、TLS)およびアドオンレベル(GSS-API、Kerberos固有)への攻撃が分析されます。 インターネットサービスは、管理上および手続き上のセキュリティレベル(「ビジネスの情報セキュリティのアシスタント」、「インターネットサービスの郵便管理者の収集方法」、「インターネットサービスの中断への対応方法」に十分に配慮していることに注意する必要があります。安全")。

Merezheva Bezpeka X.800仕様に準拠 重要なシステムの相互運用性のためのセキュリティアーキテクチャ"、X.500" ディレクトリサービス:概念、モデル、およびサービスの概要»taX.509« ディレクトリサービス:証明書フレームワーク オープンキーその属性».

英国規格BS7799 " 情報セキュリティの管理。 経験則»国際標準ISO/IEC 17799に従って変更を加えることなく、情報セキュリティと整合性のある中核企業および組織の任命。

情報セキュリティ分野の規格や仕様に関する一般的な情報を以下に示します。

「オレンジブック」

「オレンジブック」には、IBの概念的な基礎があります。

-その信頼できるシステムは安全です、

- セキュリティポリシー、

–保証ライン、

-P_dzvіtnіst、

-列挙ベースが承認されました、

-動物モニター、

-コアとセキュリティの境界。 この規格では、セキュリティポリシーを、自主的(任意)および主要(必須)のアクセス制御、オブジェクトの再利用のセキュリティと見なしています。

概念的な観点から、彼の最も重要な文書は「「オレンジの本」の解釈」です。 メッシュ構成(信頼できるネットワークの解釈)。 ワインは2つの部分で構成されています。 1つは解釈であり、もう1つはセキュリティサービスについて説明しています。特定のサービスは、レース構成にとって特に重要です。

最も重要な理解、最初の部分の最も重要な部分は、カウントベースです。 2番目の重要な側面は、メッシュの変化のダイナミズムの外観です。 その背後にあるメカニズムの中には、機密性と整合性の両方を向上させるのに役立つ暗号化が見られています。

また、この標準は、モニターの断片化の精神的な正確さのために十分です。これは、通信の暗号化保護と組み合わせたオブジェクト指向スタイルでの分割ICの分解の理論的基礎です。

ヨーロッパの土地の調和基準

これらの心には多くの頭脳があり、完全な情報システムを持っている人もいます。 メタアセスメントが策定され、特定の状況でのセキュリティメカニズムのアーキテクチャと実装が正しく効率的になるように、利用可能な限り認証機関が選択されることに注意してください。 評価の目的をより簡単に定式化するために、標準には、商用および商用システムに典型的な10の異なるクラスの機能の説明を含める必要があります。

「調和の心」では、情報技術のシステムと製品の間に違いがありますが、統一のために、それは単一の理解、つまり評価の対象で提供される可能性があります。

セキュリティ機能(サービス)とそれを実装するメカニズムの違いについてコメントし、セキュリティの2つの側面(セキュリティ対策の効率と正確さ)を確認することが重要です。

「調和基準」は、ロシアの文献では「コモンクライテリア」と呼ばれる国際規格ISO / IEC 15408:1999「ITセキュリティの評価基準」の登場によって作成されました。

現時点では、「夏の基準」が最良かつ最新の評価基準です。 これは、セキュリティ評価ツールとその選択順序を定義する標準です。 任命された安全クラスに復讐しないでください。 そのようなクラスは、ci vimogiで新進し、らせん状になる可能性があります。

2つの主要なタイプのセキュリティをテストするための「企業基準」:

実装されるセキュリティおよびメカニズムの機能(サービス)の前に提示される、防御のアクティブな側面をサポートする機能。

vomogi doviri、schovіdpovіdatパッシブアスペクト; 悪臭は、技術と開発および開発のプロセスに提示されます。 Vymogi bezpekaが定式化され、їхvikonannyaは、評価の主な目的である情報システムのハードウェアおよびソフトウェア製品に対して再検証されます。

「ZagalnyeCriteria」のBezpekaは、静的に表示されるのではなく、明らかに ライフサイクル評価の対象。

実際に勝利を収める2つの基本的なタイプの規制文書の作成を採用するための「実質的な基準」は、保護とセキュリティのプロファイルです。

プロファイルは、この/またはファーストクラスのシステムの製品を満たす責任がある典型的なvimogのセットによって保護されています。

セキュリティマネージャは、特定の範囲でセキュリティを復讐することができ、セキュリティのセキュリティのために設定された順序の違反を許可することができます。

キードキュメント(RD)FSTECロシア自動化システム(AS)と製品(zasobami)の違いを確認する「調和基準」の発行後、他の部分と同様に、後で登場し始めました。 カウントテクニック、SVT)。

1997年に ou v priynyatiya RD for okremy security service-中間画面(ME)。 その主なアイデアは、参照セミスタンダードモデルのデータフローに基づいてMEを分類することです。これにより、フィルタリングが強化され、国際的な認知が失われ、時代遅れになっています。

2002rを持っています。 ロシアの国家技術委員会は、国際規格ISO / IEC 15408:1999「情報技術のセキュリティを評価するための基準」のロシア語訳をRDとして採用しました。

X.800「重要なシステムの相互運用性のためのセキュリティアーキテクチャ」

メインドキュメントの技術仕様の中で

X.800「相互運用可能なシステムのセキュリティアーキテクチャ」。 ここでは、認証、アクセス制御、機密性および/またはデータの整合性のセキュリティ、および他の人にアクセスできないことなど、最も重要なセキュリティサービスを確認できます。 サービスの実装のために、そのようなセキュリティメカニズムと組み合わせの送信:暗号化、電子 デジタル署名(EDS)、アクセス制御、データ整合性制御、認証、トラフィック追加、ルーティング制御、公証。 サービスとセキュリティメカニズムを実装できる、選択された同等の参照7層モデル。 変更を配布するための管理セキュリティの栄養について詳しく説明します。

RFC 1510「MerezhevyKerberos認証サービス(V5)」

mérègeの単一の入り口のapоmоgouyコンセプトのためのrіznоrіdnyrozdоlеnіmsіdоvіsіのauthentifikatsiїの問題の前にvіdnositsya。 Kerberos認証サーバーは、提供されているサブジェクトの秘密鍵を保持し、権限のペアワイズ反転を支援する信頼できるサードパーティです。 Kerberosクライアントコンポーネントは、最新のオペレーティングシステムのほとんどに含まれています。

米国連邦規格FIPS140-2「暗号化モジュールのセキュリティ要件」

Vіnvykonuє組織化機能、暗号化モジュールの外部インターフェースを説明し、zagalnіvomogiをそのїhnоgootochennyaの同様のモジュールに。 このような標準の存在により、セキュリティサービスとそのプロファイルの開発が容易になります。

「セキュリティサービスのアプリケーションソフトウェアインターフェースを使用する」

セキュリティサービスの実装としての暗号化には、アルゴリズムとインターフェイスの2つの側面があります。 インターフェイスの側面は、FIPS 140-2標準の順序で、技術仕様「汎用セキュリティサービスアプリケーションプログラムインターフェイス、GSS-API」の出現によりインターネット準拠を広めました。

クライアント/サーバーアーキテクチャでプロンプトが表示される、ソフトウェアシステムのコンポーネント間の通信を目的としたGSS-APIセキュリティインターフェイス。 私たちは、協力しているパートナーの相互認証の心を作り、情報の完全性を管理し、パートナーの機密性を保証します。 GSS-APIセキュリティインターフェイスおよび通信プロトコル(アプリケーションレベルに名前を付ける)に対応する、または ソフトウェアシステム、データの圧倒を独立して征服します。

IPsec技術仕様

彼らは、国境地帯での機密性と完全性のためのセキュリティ対策の新たな採用について説明しています。 支配的なプロトコルIPバージョン4の場合、悪臭はneobov'yazykovy文字である可能性があります。 IPv6のバージョンには、obov'yazkovaが実装されています。 IPsecに基づいて、適用されるプロトコルに至るまでの最高レベルのプロトコルのメカニズムが開発され、セキュリティ手順の完了、仮想プライベート対策の作成が行われます。 IPsecは、暗号化メカニズムと主要なインフラストラクチャに基づいています。

TLS、トランスポート層セキュリティ(TLS)

TLS仕様は、人気のあるSecure Socket Layer(SSL)プロトコルを開発および改良し、多数の ソフトウェア製品異なる認識。

X.500「ディレクトリサービス:概念、モデル、およびサービスの概要」

インフラストラクチャに関しては、X.500の推奨事項「ディレクトリ:概念、モデル、およびサービスの概要」およびX.509「ディレクトリサービス:重要なキーと属性の証明書フレームワーク」(ディレクトリ:公開キーと属性の証明書フレームワーク) )。 X.509の推奨事項では、ハードキーと属性証明書の形式、ハードキーインフラストラクチャの基本要素、および特権管理について説明しています。

情報セキュリティのセキュリティは、立法、行政、手続き、ソフトウェア、技術の各レベルに入るのに狭い寿命を必要とするため、複雑な問題です。 管理レベルの基本文書(組織のセキュリティポリシー)を作成および実装する場合、インターネットコミュニティの「サイトセキュリティハンドブック」の推奨事項が支持される場合があります。 同時に、ポリシーとセキュリティ手順の形成の実際的な側面が説明され、管理および手順のrіvnіvの主な概念が説明され、rіvnіvの推奨の動機が説明され、リスクの分析、情報セキュリティの崩壊に対する反応とリスクについて説明します。 レポートの残りの部分は、「情報セキュリティインシデントへの対応方法」(コンピュータセキュリティインシデント対応への期待)の推奨事項で確認されています。 このドキュメントでは、情報リソースに関する情報を見つけることができます。 実用的な理由手続きレベル

企業情報システムの開発と再編成の際に、「インターネットサービスプロバイダーの選び方」(ISP向けサイトセキュリティハンドブック補遺)の中心的な推奨事項が表示されます。 Nasamperedїїの位置は、手続き型およびソフトウェア技術レベルの他のステップが基づいている、組織的およびアーキテクチャ上のセキュリティを形成するプロセスを処理する必要があります。

英国規格BS7799「情報セキュリティケア。 実用的なルール»

管理上および手続き上の平等の追加規制当局のための情報セキュリティ体制の実際的な実施およびサポートについては、英国規格BS7799「情報セキュリティ管理」に従う必要があります。 実務規則」(情報セキュリティ管理の実施基準)およびBS 7799-2の別の部分:2002「情報セキュリティ管理システム-使用に関するガイダンス付きの仕様」(情報セキュリティ管理システム-使用に関するガイダンス付きの仕様)。 新しいものは、手順がセキュリティポリシーのようになるように説明されています。 慈善の原則保護の組織化、リソースの分類と管理、人員のセキュリティ、物理的セキュリティ、システムと対策の管理の原則、アクセス制御、IVの開発とサポート、中断のない作業組織の計画。

Tseyテキストは認識可能なフラグメントです。

ISO / IEC 27001-情報セキュリティの国際標準。国際標準化機構と国際電気標準会議が共同で分割。 情報セキュリティ管理システム(SMIB)の開発、開発、およびサポートのための情報セキュリティ管理の復讐のための標準。

規格で承認されています。 ISO / IEC 27001(ISO 27001)規格には、情報セキュリティ管理における最良の照明慣行の説明が含まれています。 ISO 27001は、組織が情報リソースを保護する能力を実証するための情報セキュリティ管理システムのサポートを提供します。 このトレーニング標準は、情報セキュリティ管理システム(SMIB)の開発、実装、運用、監視、分析、サポート、および改善のためのモデルです。

TsіlZMIB-情報資産の保護と影響を受ける当事者の信頼を保証するために認められた、セキュリティ管理における実行可能なエントリの選択。

基本的な理解。情報セキュリティ-情報の機密性、完全性、可用性を保護します。 さらに、正義、著作権の不可能性、信頼性など、他の権限を含めることができます。

守秘義務-情報の可用性を確保することは、更新が必要な可能性のある人(許可された特派員)のみが対象です。

整合性-情報の正確性と完全性、および処理方法を保証します。

可用性-必要に応じて(オプションで)、許可された特派員の情報へのアクセスを確保します。

ISO 27001は、次のことを保証します。

・情報セキュリティの活動の直接および原則に関する目標とステートメントの指定。

・組織内のリスクの評価と管理へのアプローチの任命。

・zastosovogo立法府および規範的vimogまでの情報セキュリティの管理。

・地域の情報セキュリティの目標を達成するために、管理システムの作成、実装、運用、監視、分析、および改善への単一のアプローチを確立する。

・情報セキュリティ管理システムのプロセスの決定。

・情報セキュリティへの訪問者のステータスへの任命。

・vykoristannyavnutrishnіhおよびzovnіshnіhauditіvіnvyznachennyaステップvіdpovіdnostіシステムіnformаtsiynoїїїbezpekavmomogo標準。



・情報セキュリティの方針について、パートナーやその他の利害関係者に適切な情報を提供する。


2006年4月27日付けのロシア連邦の連邦法のzmistのための情報、情報技術および情報の保護の分野における法的規制の原則。 No. 149-FZ「情報、情報技術および情報の保護について」。

情報、情報技術、および情報の保護の分野で非難されている法律の法的規制は、攻撃的な原則に基づいています。

1)法的な方法で情報を探し、撤回し、転送し、回覧し、配布する自由。

2)連邦法によってのみ情報にアクセスするための障壁の確立。

3)州機関および自主規制機関の活動に関する情報へのアクセス、および連邦法によって確立されたそのような情報、犯罪への自由なアクセス。

4)情報システムの作成とその運用におけるロシア連邦の人々の平等。

5)情報システムの作成、その運用、および情報システム内の情報の保護中に、ロシア連邦のセキュリティを確保する。

6)情報の信頼性とデータの適時性。

7)私生活の不十分さ、それなしで個人の私生活に関する情報を収集、保存、詐欺、共有することの許されないこと。

8)国有情報システムの運用の確立前に最初の情報技術を停止する義務として、一部の情報技術の停滞が他の情報技術よりも優勢であるという規制上の法的行為による確立の不許可は確立されていない連邦法による。


2020年までのロシア連邦の国家安全保障戦略」。 「ロシア連邦の情報セキュリティの教義」における情報セキュリティからのその機能の力による構造、タスク、実装方法。



2020年までのロシア連邦の国家安全保障の戦略-戦略的優先順位のシステムが公式に認められ、国の国家安全保障と開発見通しのレベルを決定する内外政策の分野における目標とアプローチ

ロシア連邦の情報セキュリティの教義は、ロシア連邦の情報セキュリティの主な直接的なセキュリティの目標、目的、原則、および原則を公式に一瞥することです。

ロシア連邦の国益の倉庫 情報圏教義で:

1)Obov'yazkove dotrimannya憲法上の権利と、otrimannyaіnformatsіїとkoristuvannyaの領域における人々の自由。

2)ロシア連邦の国家政策の情報セキュリティ(ロシア連邦の国家政策、ロシアと世界における同様に重要な意見の公式の立場について、ロシア連邦の市民と国際社会にもたらす)へのアクセス国家の公的資源への市民。

3)現代のITビジネス産業(情報、電気通信、通信)の発展。 ロシアおよび世界市場外のIT国内市場のセキュリティ。

4)ザヒスト 情報リソース不正アクセス、情報および通信システムのセキュリティ。

教義でロシア連邦の情報セキュリティへの脅威を参照してください:

1.情報活動の分野における人々の憲法上の権利と自由のための脅威、創造物。

2.ロシア連邦のソブリン政策の情報セキュリティに対する脅威。

3.現代のIT産業の発展に対する脅威、および内部および光市場の撤退を誘発すること。

4.情報および電気通信サービスおよびシステムのセキュリティに対する脅威。

教義におけるロシア連邦の情報セキュリティを確保するための方法:

法的方法

IT分野の法律を規制する規範的な法的行為の開発

組織的および技術的方法

ロシア連邦の情報セキュリティシステムの構築と徹底的な

osіbのvidpovіdalnostіへの魅力、yakі彼らはこの分野でいたずらを犯しました

処理された情報への不正アクセスを防ぐためのシステムとデバイスの作成

経済的方法

情報セキュリティソフトウェアと金融サービスの開発

ロシア連邦の情報セキュリティに関連する財務作業

Vishno、schorazumієvozmіvіstіnebhіdnіstІB、あなたは栄養を尊重しますІБは無邪気に成長します。

傾向を説明するために、遠くまで行く必要はありません。情報システムには多くの妥協があり、それが経済的利益と評判の低下をもたらします。 多くの点で、悪臭は特定のビジネスにとって取り返しのつかないものになっています。 このように、組織の政府情報のセキュリティは、中断のない作業を保証するだけでなく、パートナーやクライアントの信頼性の基準にもなります。

市場は同じルールに従っており、vimiryuvannyaの合理化された保護とプロセスの効率の基準ІBєはすべてのヨガの砂利で同じです。 この役割は、企業が必要な防御のバランスをとるのに役立つ可能性のある標準によって果たされます。 ロシアの銀行セクターで最も人気のある標準には、ISO / IEC 27000標準、銀行システムの情報セキュリティ組織によるロシア銀行の標準、およびPCIDSSペイメントカードインフラストラクチャのデータセキュリティ標準があります。

国際標準化機構(ISO)と国際電気標準会議(IEC)は、ISO /IEC27000シリーズの規格を開発して公開しています。 認定された企業-監査人は、規格のzdіysnyuvatsiyu認証を受ける権利があり、keruyuchichiは当局によって彼らに誓約しました。

Vіdsutnіstsuvoroїvomogaschodovykonannyaロシア市場の参加者の基準は、幅が狭くなる可能性のある人々に揺らいでいます。 たとえば、日本だけでも、国際基準を達成するために監査に合格した企業の数は、ロシアとCISの国の同様の指標よりも200倍多い可能性があります。

この場合、企業が事実の基準を超えて勝利したかのように、すべての場合に時間を費やしていないことに気付くことは不可能ですが、正式な認証に合格していません。 言い換えれば、ロシアの領土とSNDの領土には、完全性の証明書の外観をチェックするのではなく、真の正直さのために、IBのレベルの管理と改善のプロセスを奨励しようとした非人称的な企業があります。 右側は、27000シリーズの規格がIBシステム開発の最初のステップであることが多いという事実です。 そして、オリエンテーションとしてのїхvikoristannya-その基礎、ヤキは人生を移し、効果的なシステムの開発をIB管理に移します。

IBBS STO BR-銀行セクターの組織のためにロシア中央銀行によって作成された、厳密なISO / IEC 27001標準を達成し、情報セキュリティの許容レベルのフローレベルと銀行のセキュリティを管理するためのプロセスを要求します。 会議の主な目標が発表されました。銀行セクターへの信用レベルを高め、セキュリティの脅威に対する保護を確保し、IBインシデントが発生した場合の損失レベルを減らすことです。 この規格が推奨されており、バージョン2010までは特に人気がありませんでした。

IBBS STO BRの積極的な推進は、個人データのセキュリティのセキュリティの可能性を含む標準のバージョンのリリースから始まり、さらに別の方法で標準を採用することを意味する情報シートを超えています廊下での法律の施行の。 に 現在の瞬間非公式の統計では、銀行の約70%が、年末までにロシア中央銀行の基準を拘束力のある文書として採用しました。

標準のІХБСBRは、動的に開発されている一連のドキュメントであり、情報セキュリティ管理を保護するのに役立つ適切な現在の脅威があります。 銀行でのヨガは、公式の推奨ステータスに関係なく、すでに事実上必要になっています。非金融分野の組織では、IXCコンプレックスのドキュメントをセットとして使用できます。 良い習慣情報の安全なセキュリティで。

金融機関にとってもう1つの非常に重要な標準であるナレシュティは、ペイメントカード業界のデータセキュリティ標準(PCI DSS、ペイメントカード業界のデータセキュリティ標準)です。 5つの最大の決済システム(Visa、MasterCard、JCB、American Express、Discover)の作成の中で、決済カード業界のセキュリティ評議会(PCI SSC)を組織しました。 支払いカードのサービスは、同じルールとІBの最初の行に従ってzdіysnyuvatisyaによるものです。 明らかに、セキュリティはペニーに結びついた勝利のテクノロジーの重要な要素です。 したがって、これらの支払いカードの保護は、あらゆる支払いシステムのタスクの優先事項です。

再保険の場合のPCIDSS標準の重要なポイントは、支払いカードを処理するすべての組織で最初のobov'yazkovezastosuvannyaです。 信頼性の評価を取得したい場合は、悪臭を放つことができます。悪臭は、処理されるトランザクションの数にあります。認証監査に合格する前の自己評価の場合です。 残りは、PCI QSAステータスである限り、会社が保有します。

PCI DSS標準の出現の重要な特徴は、有効性の低下という極端な条件の認識でした。 これは、ペイメントカード業界の偉大な引力者のほとんどがロボットを通り抜けてきたという事実につながっています。 その結果、他の参加者と同様に露骨なレベルの保護であり、準備の整っていない支払いのすべての長所と短所であることが判明しました。

決済システムの業界で標準になり、最大の重力のイニシアチブになりたい場合は、自分のステータスを知り、業界に干渉しない組織のガイドになることができます。 yogo winkoristannyaの見出しは、yni後のnovlennyaであり、その結果、IBの脅威を減らす方法に関する推奨事項と関連性があります。

Zastosuvannyaの標準と、ビドブバンニの情報セキュリティシステムに先んじて、ヒッチ、ガルノイの練習、素晴らしいワニを使わずに、ビモガムを実行することができます。 エール、申し訳ありませんが、それを着用してください。セキュリティの事実自体が高レベルの保護を保証するものではないからです。 証明書の範囲はに拡張されます 歌唱期間正式な有効性のためにのみ分割された手順が実行可能でなくなった場合。 このランクでは、監査時の組織のIBシステムが、監査を通じて破られた見積もりを提供していなかった可能性があります。

それまでは、起こりうるリスクを分析する場合、オフにすることはできません ヒューマンファクター、これは、再検証の指定された領域、再検証されるコンポーネントの倉庫、およびより高いvisnovkasでの監査人自身の許しを意味する可能性があります。

Nasamkinetsは、標準への準拠は、重要な情報のセキュリティを確保するための進行中のプロセスに影響を与えないことを指摘したいと思いました。 理想的なセキュリティはありませんが、さまざまなツールを使用することで、IBの最大レベルに到達できます。 標準IBはそれ自体がそのようなツールです。

レート:

0 4

最も重要な問題の1つは、現代社会のニーズが、ヨガをプロセスに取り入れることを念頭に置いて人々の権利を擁護していることです。 情報の相互作用さらに、情報の自動処理の過程で特別な(個人の)情報を保護する権利。

私。 N.マラニッチ、VDUの6年生

今日の個人データ保護研究所は、国内法によってのみ規制される可能性があるため、このカテゴリには含まれていません。 今日の自動化情報システムの最も重要な機能は、それらの豊かさの「超越性」、州間高速道路への「残し」、グローバルにアクセス可能な光の開発です。 情報対策、インターネットなど、単一の形成 情報スペースそのような国際的な構造の境界で。

今日のロシア連邦では、問題は、自動化されたフレームワークでの個人データの保護のための研究所の法曹界への導入だけではありません。 情報プロセス、およびspіvvіdnoshenniaїїzіsnuyuchimi国際法基準は、galuzіです。

情報の自動処理のプロセスの前にある個人データの保護機関の国際的な法的規制には、3つの主要な傾向が見られます。

1)国際機関の枠組みの中で受け入れられる、基本的に人道的な性質の行為における個人の基本的権利の不可欠な部分として、個人データを保護する権利を宣言する。

2)欧州連合、欧州のために、私的には独立国の友情および他の地域の国際機関の規制的性質の行為における個人情報の保護の権利の執行および規制。 このクラスの規範は最も普遍的であり、情報の自動処理のプロセスから個人データを保護するための仲介権がありません。

3)機密情報(ゾクレマ、その個人情報)の保護に関する規範を国際協定に含めること。

最初の方法-歴史的に他の人のために早く現れました。 で 現在の世界へ情報と自由は、基本的人権の一部です。

世界人権宣言、1948年 私はこう言います:「特別な家庭生活では、誰もあなたの通信の謎を侵害するのに十分なほど、多くのことを諦めることはできません」とナダリ:「肌の人々は法を守る権利がありますそのような行為またはそのような侵害の。」 公民権および政治的権利に関する国際協定、1966年 この部分では、宣言を繰り返します。 1950年欧州条約 権利の詳細:「人の肌には、見ることによって表現の自由を得る権利があります。 この権利には、州の機関の側や州の綱領から独立して指示されることなく、自分の考えを見て、情報やアイデアを受け入れて広める自由が含まれます。

任命された国際文書は情報の権利を保護します。

Ninіインターナショナルイコールは、人々の情報の権利を見るシステムを形成しました。 特定の計画では、情報を撤回する権利、情報の保護の観点からのプライバシーの権利、国家の安全の観点からの情報の保護の権利、および財務活動を含むビジネスのセキュリティの見方。

別の方法は、自動化されたコンピュータ情報システムの助けを借りて個人情報の処理がより集中的に行われるため、個人情報を保護する権利をより詳細に規制することです。 残りの10年間で、低い国際組織の枠組みの中で、少数の国際文書が採用されました。これは、情報交換やその他の最新技術のトランスコードン交換の強化に伴うコミュニケーションの基本的な情報権利を発展させるものです。 そのような文書の中で、次のように名前を付けることができます。

1980年の欧州評議会 ザキストに関する欧州条約を咆哮した 物理的特徴自動的に処理される特別なデータである配給量で、nabula1985r。 条約は、特別な機能に関するデータを収集および処理するための手順、これらのデータへのアクセスを保護するための原則、およびデータを物理的に防御する方法を定義しています。 条約は、個人データを収集および処理する際の個人の権利の保護、これらのデータへのアクセスを保護する原則、データの物理的保護の方法、および人種、政治的外観、健康、宗教に関するデータの収集を保護することを保証します法的な制限なし。 ロシアは2001年に葉が落ちたときに欧州条約に参加しました。

欧州連合では、個人データの保護は一連の文書によって規制されています。 1979年 欧州議会は、「情報化の進展に関連して個人の権利を擁護することについて」という決議を採択しました。 決議は、ヨーロッパのスピブトヴァリアン委員会の評議会を広め、ガルシア情報学の技術的進歩に関連して個人に関するデータを保護するための法的行為を拡大および採用しました。 1980年に、欧州連合の加盟国を保護するための勧告が、「個人の性格への賛辞の州間交換における私生活の直接保護の核心にある」という勧告が採択されました。 個人データの保護は、欧州議会への指令および欧州連合のために詳細に規制されています。 1995年6月24日付けの欧州議会および欧州連合のためのCE指令No.95/46/ECおよびNo.2002/58/EC「個人データの処理に関する個人の権利の保護についてそして、そのようなデータの自由な流れについて」、欧州議会への指令No. 97/66 / EC、および1997年12月15日の欧州連合のために、個人データを収集し、プライバシーの欠如を保護する必要性電気通信およびその他の文書の領域。

欧州連合の行為は、データの自動処理の原則と基準の詳細な実装、被験者と個人データ所有者の権利と義務、それらのトランスコルドン転送の力、およびショディを管理するための有効性と制裁によって特徴付けられます。 欧州連合の指令No.95/46/ECへのVіdpovidnoが作成されました Robotchaグループ個人データの処理に関する個人の保護。 独立した構造をヤクする諮問委員会のステータスを獲得しました。 ワーキンググループは、その領域でのdotrimannyamを視野に入れて、皮膚の力の参加者によって作成された体の代表、指令の位置、体の代表、連合の機関と構造のために設立された体で構成されています、および欧州委員会の代表。

経済協力開発機構(OECD)の枠組みの中で、1980年9月23日に「私生活の不足と個人データの国際交換の保護に関する基本規定」が採択されました。 指令の前文には次のように書かれています。ブロックすることはできません これらの規定は、個人データの処理手順に関連して、またはその性格や競争の文脈に関連して、個人の欠如の破壊を脅かすために、州および民間部門の両方で施行されます。人生と個人の自由。 費用、剥奪、変更、またはナレーション、不正アクセスに関連するリスクに対する防御のための適切なメカニズムによって個人データを保護する必要があると判断されました。 ロシア、残念ながら私はこの組織に参加していません。

クライの議会間議会-1999年7月16日のSNDの参加者。 「個人情報に関する」モデル法が採択されました。

法律の裏側「個人データ」-特定の個人に関する情報(マテリアルキャリアに固定されている)。特定された、または特定された可能性があります。 個人データには、経歴および履歴データ、特殊な特性、家族、社会生活、教育、職業、サービスおよび金融生活、健康などに関する情報が含まれます。 法律はまた、個人データの法的規制の原則、個人データとの取引の主権的規制の形態、個人データの主体および主の権利と義務を回復させます。

さて、国際的な法的行為からの個人データの保護の規範的な規制の別の方法が分析のために考慮されていることは明らかです。 このクラスの規範は、このギャラリーでの水の停止を規制するだけでなく、国のメンバーの所与の法律を国際基準に採用し、彼らの領土でこれらの規範の発展を確実にすることです。 このように、それは、残りの第12条「vtruchannyaまたは侵害の形で法律を擁護する権利」によって宣言された意味による情報権のある人の権利のZagalniy宣言によって確保および保証されます。

個人データの保護に関する規範を修正する3番目の方法は、国際条約における法的保護を修正することです。

情報交換に関する記事は、法的支援、従属の独自性、市民社会、文化圏の促進に関する国際協定の前に含める必要があります。

アートのために。 子会社の除外と収入と資本を購読するための補助金の保護に関するロシア連邦と米国の間の協定の25、甲状腺腫の力は、専門家の秘密になる方法についての情報を提供します。 第15条「守秘義務」を報復するための刑事共助に関するロシア連邦とインド共和国との間の合意:当事者は、送信された情報の守秘義務を保護するよう求められる場合があります。 国際条約を締結する慣行は、個人データの保護に関する国際基準を尊重する契約国の慣行を示しています。

この機関を国際的な法的レベルで規制するための最も効果的なメカニズムは、国際機関の境界に特別な規制文書を出現させることであることは明らかです。 このメカニズムは、法令の穂軸で違反された実際の問題の内部規制、およびこれらの組織の真ん中での個人情報の防御をサポートするだけでなく、国の参加者の国内法に心地よく注ぎ込みます。

情報セキュリティの分野で最も重要な国際規格を見てみましょう。

ISO規格 17799 「情報セキュリティを管理するための実用的なルール」では、IBの今後の側面について説明します。

その目的の基本的な理解;

情報セキュリティポリシー;

組織の食料安全保障;

分類と資産管理;

スタッフに関連する食料安全保障。

物理的なzahistt​​azahistvіdvplivіv dovkilla;

データの転送と運用活動の管理。

アクセス制御;

システムの開発と保守。

事業継続管理;

IBの内部監査;

Vіdpovіdnіstvimogam議会。

標準のシステムの重要な場所は標準を借ります ISO 15408「コモンクライテリア」が発行した「情報技術のセキュリティに関する重要な基準」。 「ZahalnyeCriteria」では、情報技術の幅広いセキュリティ機能の分類が行われ、このグループ化の構造と選択の原則が決定されました。

標準の重要なウェアハウスシステムは、PKI(公開鍵インフラストラクチャ)公開鍵インフラストラクチャです。 このインフラストラクチャは、キーの証明書センターの数と、X.509の推奨事項を満たすデジタル証明書の選択を転送します

情報セキュリティに関するロシアの基準

GOSTR50739-95。 カウントテクニックのコスト。 情報への不正アクセスに対する保護。 Zagalnitekhnіchnіvimogi。 ロシアのDerzhstandart

GOSTR50922-2006。 情報の保護者。 主な用語と定義。 ロシアのDerzhstandart

GOSTR51188-98。 情報の保護者。 Viprobuvannya プログラムへの貢献プレゼンスのために コンピュータウイルス。 典型的なセラミック。 ロシアのDerzhstandart

GOSTR51275-2006。 情報の保護者。 情報化の対象。 情報を注ぐ役人。 燃焼位置。 ロシアのDerzhstandart

DERZHSTANDARTR51583-2000。 情報の保護者。 盗まれたvikonanniのための自動化されたシステムの折り畳みの順序。 燃焼位置

GOSTR51624-2000。 情報の保護者。 盗まれたビコナンのための自動化されたシステム。 Zagalni vimogi

GOSTR52069-2003。 情報の保護者。 標準のシステム。 基本規定

GOST R 53131-2008(ISO / MEK TO 24762-2008)。 情報の保護者。 情報および電気通信技術のセキュリティのための機能およびメカニズムの超極端な状況のサービスに関する推奨事項。 燃焼位置

DSTUISO7498-1-99。 情報技術。 Vzaimozv'yazokvіdkritihシステム。 基本標準モデル。 パート1。基本モデル。 ロシアのDerzhstandart

DSTUISO7498-2-99。 情報技術。 Vzaimozv'yazokvіdkritihシステム。 基本標準モデル。 パート2。アーキテクチャzahistu。 ロシアのDerzhstandart

GOSTRІSO/MEK13335-1-2006。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 パート1。情報通信技術のセキュリティ管理の概念とモデル

GOSTRІSO/MEKTO13335-3-2007。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 パート3。情報技術セキュリティの方法と管理

GOSTRІSO/MEKTO13335-4-2007。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 パート4

GOSTRІSO/MEKTO13335-5-2007。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 パート5。セキュリティ管理のヘルパー

GOST R ISO / MEK 15408 -1-2008。 zasobizabezpechennyabezpekiというメトディ。 情報技術のセキュリティを評価するための基準。 パート1。その野生のモデルを紹介します。 ロシアのDerzhstandart

GOSTRІSO/MEK15408-2-2008。 zasobizabezpechennyabezpekiというメトディ。 情報技術のセキュリティを評価するための基準。 パート2。安全への機能支援。 ロシアのDerzhstandart

GOSTRІSO/MEK15408-3-2008。 zasobizabezpechennyabezpekiというメトディ。 情報技術のセキュリティを評価するための基準。 パート3。私たちはあなたを安全に信頼することができます。 ロシアのDerzhstandart

GOSTRІSO/MEKTO15443-1-2011。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 ITセキュリティへの信頼の基本。 パート1。基礎を見て

GOSTRІSO/MEKTO15443-2-2011。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 ITセキュリティへの信頼の基本。 パート2。信頼の方法

GOSTRІSO/MEKTO15443-3-2011。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 ITセキュリティへの信頼の基本。 パート3。信頼方法の分析

GOST R ISO / MEK 17799- 2005年。情報配信。 zasobizabezpechennyabezpekiというメトディ。 情報セキュリティを維持するための実践的なルール

GOSTRІSO/MEK18028-1-2008。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 情報技術のMerezhevaセキュリティ。 リースセキュリティ管理

GOSTRІSO/MEKTO19791-2008。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 自動化システムの安全性の評価

GOST R ISO / MEK 27001- 2006. zasobizabezpechennyabezpekiというメトディ。 情報セキュリティマネジメントシステム。 ウィモギ

GOSTRІSO/MEK27004-2011。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 情報セキュリティ管理。 Vimiryuvannya

GOSTRІSO/MEK27005-2009。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 情報セキュリティリスク管理

GOSTRІSO/MEK27033-1-2011。 情報技術。 zasobizabezpechennyabezpekiというメトディ。 Bezpekamerezh。 パート1。その概念の概要

GOST 28147 -89情報処理システム。 暗号化ディフェンダー。 暗号変換アルゴリズム.

GOST R 34.10 -2001r。 情報技術。 暗号化ザキスト情報。 電子機器の成形と再検証のプロセス デジタル署名.

GOST R 34.11 -94情報配信。 情報の暗号化による保護。 ハッシュの機能.

さらに重要なのは、ISO 27000シリーズの情報セキュリティを管理するための国際規格のファミリーです(ロシアの州規格は頻繁に受け入れられているため)。 Okremoは重要なGOST/ISO 27001(情報セキュリティ管理システム)、GOST / ISO 27002(17799)(情報セキュリティ管理の実用的なルール)

中間スクリーンの技術

中間画面(ME)-ルールを設定する前に、新しいメッシュパッケージを通過するメッシュパッケージを視覚的に制御およびフィルタリングするハードウェアおよびソフトウェアツールのセット。 MEはまた呼ばれます ファイアウォール(ニム。 Brandmauer) また ファイアウォール(英語 ファイアウォール)。 MEを使用すると、境界線を2つの部分に分割し、境界線のある部分から次の部分への画面を通過するデータパケットの通過を決定する一連のルールを実装できます。 企業(ローカル)ネットワークとインターネットネットワークの間にインストールされ、グローバルネットワークからの攻撃から企業の内部ネットワークを保護するSound ME、またはそれを保護することができます ローカルメジャー企業側からの脅威という形で。

トラススクリーンの主なタスクは、コンピューターのテザリングまたは不正アクセスによるokremihvuzlіvです。 Merezhevі画面はしばしばフィルターと呼ばれるので、それらの主なタスクは、構成で指定された基準を満たさないパケットを通過(フィルター)しないことです。

編集者の選択

©2022androidas.ru-Androidのすべて