มาตรฐานสากลด้านความปลอดภัยของข้อมูล GOST r - มาตรฐานระดับชาติของสหพันธรัฐรัสเซียในด้านการปกป้องข้อมูล มาตรฐานความปลอดภัยของข้อมูลของรัสเซีย

1.1. มาตรฐานสากลสำหรับการแลกเปลี่ยนข้อมูล

ความปลอดภัยของข้อมูล (IB) จะต้องดำเนินการตามมาตรฐานของมาตรฐานและข้อกำหนดที่เกี่ยวข้อง

มาตรฐานในการเข้ารหัสและเอกสารสำคัญของ Federal Service for Technical and Export Control (FSTEC ของรัสเซีย เดิมคือ State Technical Commission ภายใต้ประธานาธิบดี Russian Federation) ได้รับการแก้ไขโดยกฎหมาย

บทบาทของมาตรฐานได้รับการแก้ไขในแนวคิดหลักของกฎหมายของสหพันธรัฐรัสเซีย "ในระเบียบทางเทคนิค" ลงวันที่ 27 ธันวาคม 2545 ภายใต้หมายเลข 184-FZ (รับรองโดย State Duma เมื่อวันที่ 15 ธันวาคม 2545):

มาตรฐาน - เอกสารที่ใช้วิธีการ bagatorasis victoria โดยสมัครใจกำหนดลักษณะของผลิตภัณฑ์กฎสำหรับการกำหนดลักษณะของกระบวนการของ virobnitstv การเอารัดเอาเปรียบการออมการขนส่งการใช้งานและการกำจัดบริการ vikonannya chi nadannya มาตรฐานยังสามารถครอบคลุมคำศัพท์ สัญลักษณ์ บรรจุภัณฑ์ การทำเครื่องหมายหรือฉลาก และกฎสำหรับการใช้งาน

มาตรฐาน - กิจกรรมจากการจัดตั้งกฎและข้อบ่งชี้ด้วยวิธีสมัครใจ bagatorazovy vykoristannya การเข้าถึงการสั่งซื้อโดยตรงในด้านการผลิตและปริมาณของผลิตภัณฑ์และเพื่อส่งเสริมการแข่งขันของผลิตภัณฑ์งานและบริการ

มีสองกลุ่มของมาตรฐานและข้อกำหนดในด้าน IB:

มาตรฐานการประเมิน ได้รับการยอมรับในการประเมินและจำแนกประเภท ระบบข้อมูล zasobіv zahistu สำหรับผู้ช่วยด้านความปลอดภัย

ข้อมูลจำเพาะ ซึ่งกำหนดแง่มุมต่าง ๆ ของการดำเนินการและการเลือกวิธีการป้องกัน

มาตรฐานโดยประมาณอธิบาย ความเข้าใจที่สำคัญที่สุดว่าด้านระบบสารสนเทศ (IS) ที่มีบทบาทตามข้อกำหนดขององค์กรและสถาปัตยกรรม

ลักษณะเฉพาะอื่น ๆ มีความหมายราวกับว่าพวกเขาเป็นตัวของตัวเอง สถาปัตยกรรมที่สนับสนุน ІС และ vimogi องค์กรที่ได้รับชัยชนะ

ก่อน การประเมินเห็นมาตรฐาน:

1. มาตรฐานกระทรวงกลาโหมสหรัฐฯ "เกณฑ์การประเมินความน่าเชื่อถือ ตาข่ายคอมพิวเตอร์"(Department of Defense Trusted Computer System Evaliation Criteria, TCSEC), ("Orange Book") และการกำหนดค่า merezhev เดียวกัน "การประสานกันของเกณฑ์สำหรับดินแดนยุโรป"

2. มาตรฐานสากล "เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ"

3. เอกสารสำคัญของ FSTEC ของรัสเซีย

4. "ซอฟต์แวร์ความปลอดภัยสำหรับโมดูลการเข้ารหัส" มาตรฐานของรัฐบาลกลางสหรัฐฯ

5. มาตรฐานสากล ISO IES 15408:1999 "เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ" ("Call Criteria")

ข้อกำหนดทางเทคนิค, zastosovnіถึงดอกกุหลาบปัจจุบันของІС, ถูกสร้างขึ้น, กลุ่มเฉพาะสำหรับเทคโนโลยีอินเทอร์เน็ต» (Internet Engineering Task Force, IETF) และ її podrozdil – คณะทำงานด้านความปลอดภัย หลักของข้อกำหนดทางเทคนิคที่กำลังดูอยู่คือเอกสารความปลอดภัยในระดับ IP (IPsec) นอกจากนี้ยังมีการวิเคราะห์การโจมตีในระดับการขนส่ง (Transport Layer Security, TLS) รวมถึงระดับส่วนเสริม (GSS-API, Kerberosเฉพาะ) จำเป็นต้องสังเกตว่าบริการอินเทอร์เน็ตยึดตามระดับความปลอดภัยการบริหารและขั้นตอน ("ผู้ช่วยรักษาความปลอดภัยข้อมูลของธุรกิจ", "วิธีรวบรวมผู้จัดการไปรษณีย์ของบริการอินเทอร์เน็ต", "วิธีตอบสนองต่อการหยุดชะงักของ ความปลอดภัย").

Merezheva Bezpekaสอดคล้องกับข้อกำหนด X.800 สถาปัตยกรรมความปลอดภัยสำหรับการทำงานร่วมกันของระบบที่สำคัญ", X.500" บริการไดเร็กทอรี: ภาพรวมของแนวคิด โมเดล และบริการ» ตา X.509 « บริการไดเรกทอรี: กรอบงานใบรับรอง เปิดกุญแจคุณสมบัตินั้น».

บริติช สแตนดาร์ด BS 7799" การจัดการความปลอดภัยของข้อมูล กฎของหัวแม่มือ»การแต่งตั้งบริษัทหลักและองค์กรที่สอดคล้องกับการรักษาความปลอดภัยของข้อมูล โดยไม่มีการเปลี่ยนแปลงใด ๆ ตามมาตรฐานสากล ISO/IEC 17799

ข้อมูลทั่วไปเกี่ยวกับมาตรฐานและข้อกำหนดในด้านความปลอดภัยของข้อมูลแสดงไว้ด้านล่าง

"หนังสือสีส้ม"

"Orange Book" มีแนวคิดพื้นฐานสำหรับ IB:

- ระบบที่เชื่อถือได้นั้นปลอดภัย

- นโยบายความปลอดภัย

– สายการรับประกัน,

- P_dzvіtnіst

- ฐานการแจงนับได้รับการอนุมัติแล้ว

- จอภาพสัตว์

- แกนและปริมณฑลความปลอดภัย มาตรฐานมองว่านโยบายความปลอดภัยเป็นการควบคุมการเข้าถึงโดยสมัครใจ (ตามดุลยพินิจ) และเบื้องต้น (บังคับ) ความปลอดภัยของการใช้วัตถุซ้ำ

จากมุมมองเชิงแนวคิด เอกสารที่สำคัญที่สุดของเขาคือ “การตีความหนังสือสีส้ม” โครงตาข่าย(ล่ามเครือข่ายที่เชื่อถือได้). ไวน์ประกอบด้วยสองส่วน อย่างแรกคือการตีความ อีกอันอธิบายบริการความปลอดภัย เฉพาะมีความสำคัญอย่างยิ่งสำหรับการกำหนดค่าลูกไม้

ความเข้าใจที่สำคัญที่สุด ส่วนที่สำคัญที่สุดของส่วนแรกคือฐานการนับ สิ่งสำคัญประการที่สองคือรูปลักษณ์ของไดนามิกของการเปลี่ยนแปลงตาข่าย ในบรรดากลไกที่อยู่เบื้องหลังนั้น มีการค้นพบการเข้ารหัส ซึ่งช่วยปรับปรุงทั้งการรักษาความลับและความสมบูรณ์

นอกจากนี้ มาตรฐานยังเพียงพอสำหรับความถูกต้องทางปัญญาของการแตกแฟรกเมนต์ของจอภาพ ซึ่งเป็นพื้นฐานทางทฤษฎีสำหรับการสลายตัวของ IC ที่ถูกแบ่งในลักษณะเชิงวัตถุร่วมกับการสื่อสารแบบเข้ารหัส

เกณฑ์ที่กลมกลืนกันสำหรับดินแดนยุโรป

จิตใจเหล่านี้มีสมองจำนวนมาก และบางคนอาจมีระบบข้อมูลที่สมบูรณ์แบบ ควรสังเกตว่าการประเมินเมตาถูกกำหนดขึ้นทันที จากนั้นจึงเลือกหน่วยรับรองให้มากที่สุดเท่าที่จะเป็นไปได้ เพื่อให้สถาปัตยกรรมและการนำกลไกความปลอดภัยไปใช้ในสถานการณ์เฉพาะนั้นถูกต้องและมีประสิทธิภาพ เพื่อให้ง่ายต่อการกำหนดวัตถุประสงค์ของการประเมิน มาตรฐานควรมีคำอธิบายของการทำงานที่แตกต่างกันสิบประเภทซึ่งเป็นแบบอย่างสำหรับระบบเชิงพาณิชย์และเชิงพาณิชย์

ที่ "Harmonizing Minds" มีความแตกต่างระหว่างระบบและผลิตภัณฑ์ของเทคโนโลยีสารสนเทศ แต่สำหรับการรวมเป็นหนึ่ง อาจมีความเข้าใจเดียว - วัตถุประสงค์ของการประเมิน

สิ่งสำคัญคือต้องแสดงความคิดเห็นเกี่ยวกับความแตกต่างระหว่างฟังก์ชันการรักษาความปลอดภัย (บริการ) และกลไกที่นำมาใช้ ตลอดจนการดูความปลอดภัย 2 ด้าน ได้แก่ ประสิทธิภาพและความถูกต้องของมาตรการรักษาความปลอดภัย

"เกณฑ์การประสาน" จัดทำขึ้นโดยการปรากฏตัวของมาตรฐานสากล ISO / IEC 15408: 1999 "เกณฑ์การประเมินความปลอดภัยด้านไอที" ซึ่งในวรรณคดีรัสเซียเรียกว่า "เกณฑ์ทั่วไป"

ปัจจุบัน “เกณฑ์ฤดูร้อน” เป็นมาตรฐานการประเมินที่ดีที่สุดและเป็นปัจจุบันที่สุด นี่คือมาตรฐานที่กำหนดเครื่องมือการประเมินความปลอดภัยและลำดับที่เลือก วินไม่แก้แค้นคลาสความปลอดภัยที่ได้รับการแต่งตั้ง ชั้นเรียนดังกล่าวสามารถแตกหน่อและวนเวียนอยู่บน ci vimogi

"เกณฑ์องค์กร" เพื่อทดสอบความปลอดภัยหลักสองประเภท:

หน้าที่ซึ่งสนับสนุนด้านการใช้งานของการป้องกันซึ่งถูกนำเสนอก่อนหน้าที่ (บริการ) ของการรักษาความปลอดภัยและกลไกที่ดำเนินการ

vomogi doviri, scho vіdpovіdatด้านพาสซีฟ; กลิ่นเหม็นถูกนำเสนอต่อเทคโนโลยีและกระบวนการของการพัฒนาและการแสวงประโยชน์ Vymogi bezpeka เป็นสูตรที่ їх vikonannya ได้รับการพิสูจน์อีกครั้งสำหรับวัตถุประสงค์หลักของการประเมิน - ผลิตภัณฑ์ฮาร์ดแวร์และซอฟต์แวร์ของระบบข้อมูล

Bezpeka ใน "เกณฑ์ Zagalnye" ไม่ได้ดูแบบคงที่ แต่เห็นได้ชัดถึง วงจรชีวิตวัตถุประสงค์ของการประเมิน

“เกณฑ์ที่สำคัญ” เพื่อนำการจัดทำเอกสารกำกับดูแลพื้นฐานสองประเภทมาใช้ซึ่งได้รับชัยชนะในทางปฏิบัติคือรายละเอียดของการป้องกันและความปลอดภัย

โปรไฟล์ได้รับการคุ้มครองโดยชุด vimog ทั่วไปซึ่งเป็นความรับผิดชอบในการสร้างความพึงพอใจให้กับผลิตภัณฑ์ของ / หรือระบบของชั้นหนึ่ง

ผู้จัดการความปลอดภัยสามารถล้างแค้นการรักษาความปลอดภัยในระดับหนึ่ง พวกเขาสามารถอนุญาตให้มีการละเมิดคำสั่งที่กำหนดไว้สำหรับการรักษาความปลอดภัย

เอกสารสำคัญ (RD) FSTEC Russiaเริ่มปรากฏขึ้นในภายหลังหลังจากการตีพิมพ์ "Harmonizing Criteria" ซึ่งโดยการเปรียบเทียบกับส่วนที่เหลือยืนยันความแตกต่างระหว่างระบบอัตโนมัติ (AS) และผลิตภัณฑ์ (zasobami) เทคนิคการนับ, สวท.).

ในปี 1997 bu v priynyatiya RD สำหรับบริการรักษาความปลอดภัย okremy - หน้าจอตัวกลาง (ME) แนวคิดหลักคือการจำแนก ME ตามกระแสข้อมูลของแบบจำลองกึ่งมาตรฐานอ้างอิง ซึ่งช่วยปรับปรุงการกรอง - นำเอาการยอมรับในระดับสากลออกไปและยังคงเป็นปัจจุบันอยู่เสมอ

มี พ.ศ. 2545 คณะกรรมการเทคนิคแห่งรัฐของรัสเซียได้รับรอง RD ซึ่งเป็นคำแปลภาษารัสเซียของมาตรฐานสากล ISO/IEC 15408:1999 "เกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ"

X.800 “สถาปัตยกรรมความปลอดภัยสำหรับการทำงานร่วมกันของระบบที่สำคัญ”

ท่ามกลางข้อกำหนดทางเทคนิคของเอกสารหลัก

X.800 "สถาปัตยกรรมความปลอดภัยสำหรับระบบที่ทำงานร่วมกันได้" คุณสามารถดูบริการรักษาความปลอดภัยที่สำคัญที่สุดได้ที่นี่: การรับรองความถูกต้อง การควบคุมการเข้าถึง การรักษาความลับและ/หรือความสมบูรณ์ของข้อมูล ตลอดจนความเป็นไปไม่ได้ในการเข้าถึงบุคคลอื่น สำหรับการใช้งานบริการการส่งกลไกความปลอดภัยและชุดค่าผสม: การเข้ารหัส, อิเล็กทรอนิกส์ ลายเซ็นดิจิทัล(EDP), การควบคุมการเข้าถึง, การควบคุมความสมบูรณ์ของข้อมูล, การรับรองความถูกต้อง, การเพิ่มทราฟฟิก, การควบคุมการกำหนดเส้นทาง, การรับรองเอกสาร เลือกแบบจำลองเจ็ดระดับอ้างอิงที่เท่ากัน ซึ่งสามารถนำไปใช้บริการและกลไกการรักษาความปลอดภัย ดูรายละเอียดด้านโภชนาการของการรักษาความปลอดภัยด้านการบริหารสำหรับการกระจายการเปลี่ยนแปลง

RFC 1510 "บริการตรวจสอบสิทธิ์ Merezhevy Kerberos (V5)"

Vіnvіdnositsyaก่อนที่ปัญหาของauthentifikatsіїในrіznоrіdnyrozdоlоnіysredovischіสำหรับ podpomogoyu kontsії єї єєї єєї єєї єєї єєї єІІії merge Kerberos Authentication Server เป็นบุคคลที่สามที่เชื่อถือได้ซึ่งมีกุญแจลับของอาสาสมัครที่กำลังให้บริการ และช่วยในการเปลี่ยนอำนาจเป็นคู่ คอมโพเนนต์ไคลเอ็นต์ Kerberos มีอยู่ในระบบปฏิบัติการที่ทันสมัยส่วนใหญ่

มาตรฐานของรัฐบาลกลางสหรัฐ FIPS 140-2 "ข้อกำหนดด้านความปลอดภัยสำหรับโมดูลการเข้ารหัส"

ฟังก์ชั่นการจัดระเบียบVіnvykonuєอธิบายอินเทอร์เฟซภายนอกของโมดูลการเข้ารหัส zagalnі vomogi ไปยังโมดูลที่คล้ายกันของїkhny otochennya การมีมาตรฐานดังกล่าวช่วยอำนวยความสะดวกในการพัฒนาบริการรักษาความปลอดภัยและโปรไฟล์สำหรับพวกเขา

"การใช้อินเทอร์เฟซซอฟต์แวร์แอปพลิเคชันของบริการรักษาความปลอดภัย"

การเข้ารหัสในการใช้บริการรักษาความปลอดภัยมีสองด้าน: อัลกอริธึมและอินเทอร์เฟซ ด้านอินเทอร์เฟซตามลำดับมาตรฐาน FIPS 140-2 ได้เผยแพร่การปฏิบัติตามข้อกำหนดทางอินเทอร์เน็ตโดยมีลักษณะเป็นข้อกำหนดทางเทคนิค "Generic Security Service Application Program Interface, GSS-API"

อินเทอร์เฟซการรักษาความปลอดภัย GSS-API เพื่อวัตถุประสงค์ในการสื่อสารระหว่างส่วนประกอบของระบบซอฟต์แวร์ ตามที่แจ้งในสถาปัตยกรรมไคลเอ็นต์/เซิร์ฟเวอร์ เราสร้างความคิดสำหรับการรับรองความถูกต้องร่วมกันของพันธมิตรที่ทำงานร่วมกัน ควบคุมความสมบูรณ์ของข้อมูล และทำหน้าที่เป็นการรับประกันความลับของพวกเขา สอดคล้องกับอินเทอร์เฟซความปลอดภัย GSS-API และโปรโตคอลการสื่อสาร (ตั้งชื่อระดับแอปพลิเคชัน) หรือ ระบบซอฟต์แวร์ซึ่งเอาชนะการเอาชนะข้อมูลอย่างอิสระ

ข้อมูลจำเพาะทางเทคนิค IPsec

พวกเขาอธิบายการสรรหามาตรการรักษาความปลอดภัยใหม่เพื่อรักษาความลับและความสมบูรณ์บนพรมแดน สำหรับโปรโตคอลที่มีอำนาจเหนือ IP เวอร์ชัน 4 กลิ่นเหม็นอาจเป็นอักขระ neobov'yazykovy เวอร์ชันของ IPv6 มีการใช้งาน obov'yazkova บนพื้นฐานของ IPsec จะมีกลไกการพัฒนาสำหรับโปรโตคอลในระดับสูงสุด จนถึงระดับที่ใช้ เช่นเดียวกับการเสร็จสิ้นกระบวนการรักษาความปลอดภัย การสร้างมาตรการส่วนตัวเสมือน IPsec ขึ้นอยู่กับกลไกการเข้ารหัสและโครงสร้างพื้นฐานที่สำคัญ

TLS, Transport Layer Security (TLS)

ข้อกำหนด TLS พัฒนาและปรับแต่งโปรโตคอล Secure Socket Layer (SSL) ยอดนิยม ซึ่งได้รับชัยชนะเหนือ ผลิตภัณฑ์ซอฟต์แวร์การรับรู้ที่แตกต่างกัน

X.500 "บริการไดเรกทอรี: ภาพรวมของแนวคิด รุ่นและบริการ"

ในแง่ของโครงสร้างพื้นฐาน คำแนะนำ X.500 "The Directory: Overview of concepts, models and services" และ X.509 "The Directory Service: Certificate Frameworks for Critical Keys and Attributes" (The Directory : Public-key and attribute certificate frameworks ). คำแนะนำ X.509 อธิบายรูปแบบของใบรับรองฮาร์ดคีย์และแอตทริบิวต์ องค์ประกอบพื้นฐานของโครงสร้างพื้นฐานของฮาร์ดคีย์ และการจัดการสิทธิ์

การรักษาความปลอดภัยของความปลอดภัยของข้อมูลเป็นปัญหาที่ซับซ้อน เนื่องจากต้องใช้อายุขัยที่แคบเพื่อเข้าสู่ระดับกฎหมาย การบริหาร ขั้นตอนและซอฟต์แวร์ และเทคนิค เมื่อพัฒนาและดำเนินการเอกสารพื้นฐานของระดับการบริหาร (นโยบายความปลอดภัยขององค์กร) ข้อเสนอแนะของชุมชนอินเทอร์เน็ต "คู่มือการรักษาความปลอดภัยของเว็บไซต์" อาจได้รับการสนับสนุน ในเวลาเดียวกัน มีการพูดคุยถึงแง่มุมที่ใช้งานได้จริงของการก่อตัวของนโยบายและกระบวนการรักษาความปลอดภัย แนวคิดหลักของความเท่าเทียมกันในการบริหารและกระบวนการ มีการอธิบายแรงจูงใจสำหรับข้อเสนอแนะของการดำเนินการ การวิเคราะห์ความเสี่ยง การตอบสนองต่อการหยุดชะงัก ความปลอดภัยของข้อมูลและผลที่ตามมาของผลที่ตามมา รายงานที่เหลือจะได้รับการตรวจสอบตามคำแนะนำ "วิธีตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของข้อมูล" (ความคาดหวังสำหรับการตอบสนองต่อเหตุการณ์ความปลอดภัยของคอมพิวเตอร์) สำหรับเอกสารนี้ คุณสามารถค้นหาข้อมูลเกี่ยวกับแหล่งข้อมูลและ เหตุผลเชิงปฏิบัติระดับขั้นตอน

ในระหว่างการพัฒนาและการปรับโครงสร้างระบบข้อมูลองค์กร คำแนะนำหลัก “วิธีเลือกผู้ให้บริการอินเทอร์เน็ต” (ภาคผนวกคู่มือการรักษาความปลอดภัยของเว็บไซต์สำหรับ ISP) จะถูกเปิดเผย ตำแหน่ง Nasampered จำเป็นต้องดูแลกระบวนการขึ้นรูปความปลอดภัยขององค์กรและสถาปัตยกรรมซึ่งอิงตามขั้นตอนอื่น ๆ ของระดับขั้นตอนและซอฟต์แวร์ - เทคนิค

มาตรฐานอังกฤษ BS 7799 “ดูแลความปลอดภัยข้อมูล กฎการปฏิบัติ»

สำหรับการใช้งานจริงและการสนับสนุนระบอบการรักษาความปลอดภัยของข้อมูลสำหรับผู้กำกับดูแลเพิ่มเติมเกี่ยวกับความเท่าเทียมกันในการบริหารและขั้นตอน จำเป็นต้องปฏิบัติตามมาตรฐานอังกฤษ BS 7799 "การจัดการความปลอดภัยของข้อมูล กฎการปฏิบัติ” (หลักปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล) และส่วนอื่นของ BS 7799-2: 2002“ ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนดพร้อมคำแนะนำสำหรับการใช้งาน” (ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนดพร้อมคำแนะนำสำหรับการใช้งาน) ใหม่อธิบายในลักษณะที่ขั้นตอนเป็นเหมือนนโยบายความปลอดภัย หลักการกุศลการจัดระเบียบการป้องกัน การจำแนกทรัพยากรและการจัดการ การรักษาความปลอดภัยสำหรับบุคลากร การรักษาความปลอดภัยทางกายภาพ หลักการบริหารระบบและมาตรการ การควบคุมการเข้าถึง การพัฒนาและสนับสนุน IV การวางแผนองค์กรที่ทำงานอย่างต่อเนื่อง

ISO/IEC 27001- มาตรฐานสากลด้านความปลอดภัยของข้อมูล แยกร่วมกันโดยองค์การระหว่างประเทศเพื่อการมาตรฐานและคณะกรรมการไฟฟ้าระหว่างประเทศ มาตรฐานการล้างแค้นการจัดการความปลอดภัยของข้อมูลสำหรับการพัฒนา การพัฒนา และการสนับสนุนของระบบการจัดการความปลอดภัยของข้อมูล (SMIB)

ผ่านการรับรองมาตรฐานมาตรฐาน ISO/IEC 27001 (ISO 27001) มีคำอธิบายแนวทางปฏิบัติด้านแสงสว่างที่ดีที่สุดในการจัดการความปลอดภัยของข้อมูล ISO 27001 ให้การสนับสนุนระบบการจัดการความปลอดภัยของข้อมูลเพื่อแสดงความสามารถขององค์กรในการปกป้องทรัพยากรข้อมูล มาตรฐานการฝึกอบรมนี้เป็นแบบอย่างสำหรับการพัฒนา การนำไปใช้ การปฏิบัติงาน การเฝ้าติดตาม การวิเคราะห์ การสนับสนุน และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล (SMIB)

ซิล ZMIB- การคัดเลือกรายการที่มีศักยภาพในการจัดการความปลอดภัย ได้รับการยอมรับสำหรับการปกป้องทรัพย์สินข้อมูลและรับประกันความไว้วางใจของผู้ได้รับผลกระทบ

ความเข้าใจพื้นฐาน.ความปลอดภัยของข้อมูล - การรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูล นอกจากนี้ยังสามารถรวมอยู่ในหน่วยงานอื่น ๆ เช่นความยุติธรรม ความเป็นไปไม่ได้ของการประพันธ์ ความน่าเชื่อถือ

การรักษาความลับ - การตรวจสอบความพร้อมของข้อมูลสำหรับผู้ที่อาจอยู่ในการควบคุมเท่านั้น (ผู้สื่อข่าวที่ได้รับอนุญาต)

ความสมบูรณ์ - รับรองความถูกต้องและความสมบูรณ์ของข้อมูลตลอดจนวิธีการประมวลผล

ความพร้อมใช้งาน - รับรองการเข้าถึงข้อมูลสำหรับผู้สื่อข่าวที่ได้รับอนุญาต หากจำเป็น (เป็นทางเลือก)

ISO 27001 ช่วยให้มั่นใจได้ว่า:

· การกำหนดเป้าหมายและข้อความเกี่ยวกับโดยตรงและหลักการของกิจกรรมการรักษาความปลอดภัยของข้อมูล

· การกำหนดแนวทางการประเมินและการจัดการความเสี่ยงในองค์กร

· การจัดการความปลอดภัยของข้อมูล จนถึงสภานิติบัญญัติ zastosovogo และ vimog เชิงบรรทัดฐาน

- กำหนดแนวทางเดียวในการสร้าง ดำเนินการ ดำเนินการ ตรวจสอบ วิเคราะห์ และปรับปรุงระบบการจัดการเพื่อให้บรรลุเป้าหมายของการรักษาความปลอดภัยข้อมูลในภูมิภาค

· การกำหนดกระบวนการของระบบการจัดการความปลอดภัยของข้อมูล

· การนัดหมายเพื่อสถานะของผู้เข้าชมการรักษาความปลอดภัยของข้อมูล;

· Vykoristannya vnutrishnіh และ zovnіshnіh auditіv ใน vyznachennya ขั้นตอนvіdpovіdnostіระบบіnformаtsiynoї ї ї bezpeka vmomogo มาตรฐาน;

· การให้ข้อมูลที่เพียงพอแก่คู่ค้าและผู้มีส่วนได้ส่วนเสียอื่น ๆ เกี่ยวกับนโยบายการรักษาความปลอดภัยของข้อมูล

หลักการของข้อบังคับทางกฎหมายในด้านข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูลสำหรับ zmist ของกฎหมายแห่งสหพันธรัฐรัสเซีย ลงวันที่ 27 เมษายน 2549 หมายเลข 149-FZ "เกี่ยวกับข้อมูลเทคโนโลยีสารสนเทศและการปกป้องข้อมูล"

ข้อบังคับทางกฎหมายของกฎหมาย ซึ่งถูกตำหนิในด้านของข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล เป็นไปตามหลักการที่ไม่เหมาะสม:

1) เสรีภาพในการแสวงหา เพิกถอน โอน หมุนเวียน และแจกจ่ายข้อมูลในลักษณะทางกฎหมายใดๆ

2) การสร้างอุปสรรคในการเข้าถึงข้อมูลโดยกฎหมายของรัฐบาลกลางเท่านั้น

3) การเข้าถึงข้อมูลเกี่ยวกับกิจกรรมของหน่วยงานของรัฐและหน่วยงานกำกับดูแลตนเองและการเข้าถึงข้อมูลอาชญากรรมที่จัดตั้งขึ้นโดยกฎหมายของรัฐบาลกลาง

4) ความเท่าเทียมกันของประชาชนในสหพันธรัฐรัสเซียในกรณีของการสร้างระบบข้อมูลและการดำเนินงานของพวกเขา;

5) สร้างความมั่นใจในความปลอดภัยของสหพันธรัฐรัสเซียในระหว่างการสร้างระบบข้อมูลการทำงานและการปกป้องข้อมูลในนั้น

6) ความน่าเชื่อถือของข้อมูลและความทันเวลาของข้อมูล

7) ความไม่เพียงพอของชีวิตส่วนตัว การไม่สามารถรวบรวม บันทึก ฉ้อโกง และแบ่งปันข้อมูลเกี่ยวกับชีวิตส่วนตัวของบุคคลโดยไม่ได้;

8) การไม่สามารถยอมรับการจัดตั้งโดยการกระทำทางกฎหมายเชิงบรรทัดฐานของความซบเซาของเทคโนโลยีสารสนเทศบางอย่างเหนือสิ่งอื่นใดเนื่องจากภาระผูกพันของความซบเซาของเทคโนโลยีสารสนเทศครั้งแรกก่อนที่จะมีการจัดตั้งการทำงานของระบบสารสนเทศของรัฐนั้นไม่ได้ จัดตั้งขึ้นโดยกฎหมายของรัฐบาลกลาง

ยุทธศาสตร์ความมั่นคงแห่งชาติของสหพันธรัฐรัสเซียจนถึงปี 2020” โครงสร้างงานวิธีการและวิธีการรับรู้ด้วยพลังของหน้าที่จากการรักษาความปลอดภัยข้อมูลใน "หลักคำสอนเรื่องความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย"

กลยุทธ์ความมั่นคงของชาติของสหพันธรัฐรัสเซียจนถึงปี 2020 - ระบบลำดับความสำคัญเชิงกลยุทธ์ได้รับการยอมรับอย่างเป็นทางการเป้าหมายและแนวทางในขอบเขตของนโยบายภายในประเทศและต่างประเทศซึ่งกำหนดความมั่นคงของชาติและระดับของโอกาสในการพัฒนา

หลักคำสอนของการรักษาความปลอดภัยข้อมูลของสหพันธรัฐรัสเซียคือการมองอย่างเป็นทางการที่เป้าหมายวัตถุประสงค์หลักการและหลักการของการรักษาความปลอดภัยโดยตรงหลักของการรักษาความปลอดภัยข้อมูลของสหพันธรัฐรัสเซีย

โกดังเก็บผลประโยชน์ของชาติของสหพันธรัฐรัสเซีย ทรงกลมข้อมูลในหลักคำสอน:

1) Obov'yazkove dotrimannya สิทธิตามรัฐธรรมนูญและเสรีภาพของผู้คนในขอบเขตของ otrimannya іnformatsіїและ koristuvannya มัน

2) ความปลอดภัยของข้อมูลของนโยบายของรัฐของสหพันธรัฐรัสเซีย (นำมาซึ่งพลเมืองของสหพันธรัฐรัสเซียและประชาคมระหว่างประเทศเกี่ยวกับนโยบายของรัฐของสหพันธรัฐรัสเซีย, ตำแหน่งอย่างเป็นทางการของความคิดเห็นที่มีนัยสำคัญในทำนองเดียวกันในรัสเซียและโลก) พร้อมการเข้าถึง ประชาชนสู่ทรัพยากรสาธารณะของรัฐ

3) การพัฒนาอุตสาหกรรมธุรกิจไอทีสมัยใหม่ (สารสนเทศ โทรคมนาคม และการสื่อสาร) ความปลอดภัยของตลาดไอทีในประเทศรัสเซียและนอกตลาดโลก

4) ซาฮิสต์ แหล่งข้อมูลสำหรับการเข้าถึงโดยไม่ได้รับอนุญาต ความปลอดภัยของข้อมูลและระบบโทรคมนาคม

ดูภัยคุกคามต่อความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียในหลักคำสอน:

1. ภัยคุกคาม การสร้างสรรค์เพื่อสิทธิตามรัฐธรรมนูญและเสรีภาพของประชาชนในด้านกิจกรรมสารสนเทศ

2. ภัยคุกคามต่อความปลอดภัยของข้อมูลของนโยบายอธิปไตยของสหพันธรัฐรัสเซีย

3. ภัยคุกคามต่อการพัฒนาอุตสาหกรรมไอทีสมัยใหม่ และกระตุ้นให้เกิดการออกจากตลาดภายในและตลาดเบา

4. ภัยคุกคามต่อความปลอดภัยของบริการและระบบสารสนเทศและโทรคมนาคม

วิธีการรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียในหลักคำสอน:

วิธีการทางกฎหมาย

การพัฒนากฎหมายเชิงบรรทัดฐานที่ควบคุมกฎหมายในด้านไอที

วิธีการขององค์กรและเทคนิค

การสร้างระบบความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียและїїอย่างทั่วถึง

ดึงดูดosіbเพื่อvidpovіdalnostі, yakіพวกเขาทำสิ่งชั่วร้ายในทรงกลมนี้

การสร้างระบบและอุปกรณ์ป้องกันการเข้าถึงข้อมูลที่ประมวลผลโดยไม่ได้รับอนุญาต

วิธีการทางเศรษฐกิจ

การพัฒนาซอฟต์แวร์รักษาความปลอดภัยข้อมูลและบริการทางการเงิน

งานการเงินที่เกี่ยวข้องกับความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย

Vishno, scho razumіє vozmіvіst і nebhіdnіst ІB, yоgo เคารพในโภชนาการ ІБ เติบโตอย่างไร้เดียงสา

เพื่ออธิบายแนวโน้มนี้ คุณไม่จำเป็นต้องไปไกลกว่านั้น: มีระบบสารสนเทศที่ประนีประนอมมากมาย ซึ่งนำมาซึ่งผลประโยชน์ทางการเงินและความสูญเสียชื่อเสียง ในหลายวิธี กลิ่นเหม็นได้กลายเป็นสิ่งที่ไม่สามารถเพิกถอนได้สำหรับธุรกิจหนึ่งๆ ด้วยวิธีนี้ ความปลอดภัยของข้อมูลรัฐบาลสำหรับองค์กรไม่เพียงแต่รับประกันการทำงานอย่างต่อเนื่อง แต่ยังเป็นเกณฑ์ของความน่าเชื่อถือสำหรับคู่ค้าและลูกค้าของ її

ตลาดทำตามกฎเดียวกันและเกณฑ์สำหรับ vimiryuvannya ปรับปรุงการป้องกันและประสิทธิภาพของกระบวนการ ІB єเหมือนกันสำหรับกรวดโยคะทั้งหมด บทบาทนี้เล่นตามมาตรฐาน ซึ่งอาจช่วยให้บริษัทสร้างสมดุลการป้องกันที่จำเป็น มาตรฐานที่ได้รับความนิยมมากที่สุดในภาคการธนาคารของรัสเซีย ได้แก่ มาตรฐาน ISO/IEC 27000 มาตรฐานสำหรับธนาคารแห่งรัสเซียจากองค์กรรักษาความปลอดภัยข้อมูลของระบบธนาคาร และมาตรฐานความปลอดภัยของข้อมูลโครงสร้างพื้นฐานบัตรชำระเงิน PCI DSS

องค์การระหว่างประเทศเพื่อการมาตรฐาน (ISO) และคณะกรรมการไฟฟ้าระหว่างประเทศ (IEC) ได้พัฒนาและเผยแพร่มาตรฐานของชุด ISO/IEC 27000 ผู้ตรวจสอบ บริษัท ที่ได้รับการรับรองมีสิทธิ์ในการรับรองzdіysnyuvatsiyuสำหรับมาตรฐาน keruyuchichi ให้คำมั่นสัญญากับพวกเขาโดยเจ้าหน้าที่

Vіdsutnіst suvoroї vomoga schodo vykonannya มาตรฐานสำหรับผู้เข้าร่วมในตลาดรัสเซียโยกเยกไปยังผู้ที่มีความกว้างต่ำ ตัวอย่างเช่น ในประเทศญี่ปุ่นเพียงแห่งเดียว จำนวนบริษัทที่ผ่านการตรวจสอบมาไกลเพื่อให้ได้มาตรฐานสากล มากกว่าตัวบ่งชี้ที่คล้ายคลึงกันสำหรับรัสเซียและประเทศ CIS อาจมากกว่า 200 เท่า

ในกรณีนี้ เป็นไปไม่ได้ที่จะไม่สังเกตว่าบริษัทต่างๆ ไม่ได้ใช้เวลาในทุกกรณี ราวกับว่าพวกเขาได้รับชัยชนะเหนือมาตรฐานสำหรับข้อเท็จจริง แต่พวกเขาไม่ผ่านการรับรองอย่างเป็นทางการ กล่าวอีกนัยหนึ่งในอาณาเขตของรัสเซียและอาณาเขตของ SND มี บริษัท ที่ไม่มีตัวตนที่พยายามสนับสนุนกระบวนการจัดการและปรับปรุงระดับ IB ไม่ให้ทำเครื่องหมายใบรับรองความสมบูรณ์ แต่เพื่อความซื่อสัตย์อย่างแท้จริง . ทางด้านขวา บ่อยครั้งที่มาตรฐานของ 27000 ซีรีส์เป็นก้าวแรกในการพัฒนาระบบ IB และ їх vikoristannya เป็นการปฐมนิเทศ - พื้นฐานนั้น ยากิ ถ่ายทอดชีวิตและการพัฒนาระบบที่มีประสิทธิภาพไปสู่การจัดการ IB

IBBS STO BR - เพื่อให้ได้มาตรฐาน ISO / IEC 27001 ที่ใกล้ชิดซึ่งสร้างขึ้นโดยธนาคารแห่งรัสเซียสำหรับองค์กรของภาคการธนาคารเรียกร้องให้มีระดับความปลอดภัยของข้อมูลในระดับที่ยอมรับได้และกระบวนการจัดการความปลอดภัยของธนาคาร ประกาศเป้าหมายหลักของการประชุม - เพื่อเพิ่มระดับสินเชื่อให้กับภาคการธนาคาร เพื่อป้องกันภัยคุกคามด้านความปลอดภัย และเพื่อลดระดับความสูญเสียในกรณีที่เกิดเหตุการณ์ IB แนะนำให้ใช้มาตรฐานและจนถึงเวอร์ชัน 2010 ที่ไม่ได้รับความนิยมเป็นพิเศษ

การส่งเสริมอย่างแข็งขันของ IBBS STO BR เริ่มต้นด้วยการเปิดตัวมาตรฐานซึ่งรวมถึงวิธีการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและแผ่นข้อมูลเพิ่มเติมซึ่งถือว่าได้รับการยอมรับก่อนสิ้นสุดมาตรฐานเป็น ทางเลือกอื่นในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลในห้องโถง บน ช่วงเวลาปัจจุบันสำหรับสถิติที่ไม่เป็นทางการ ธนาคารประมาณ 70% นำมาตรฐานสำหรับธนาคารแห่งรัสเซียมาใช้เป็นเอกสารผูกพันก่อนสิ้นปี

มาตรฐาน ІХБС BR คือชุดเอกสารที่กำลังพัฒนาแบบไดนามิก โดยมีภัยคุกคามที่เพียงพอในปัจจุบันเพื่อช่วยรักษาความปลอดภัยในการจัดการความปลอดภัยของข้อมูล โยคะในธนาคารกลายเป็นสิ่งที่จำเป็นโดยพฤตินัยแล้ว โดยไม่คำนึงถึงสถานะคำแนะนำอย่างเป็นทางการ สำหรับองค์กรที่ไม่ได้อยู่ในแวดวงการเงิน เอกสารสำหรับคอมเพล็กซ์ IXC สามารถใช้เป็นชุดได้ แนวปฏิบัติที่ดีที่ความปลอดภัยของข้อมูล

Nareshti มาตรฐานที่สำคัญอีกอย่างหนึ่งสำหรับองค์กรทางการเงินคือมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS, มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน) ในบรรดาการสร้างสรรค์ระบบการชำระเงินที่ใหญ่ที่สุดห้าระบบ ได้แก่ Visa, MasterCard, JCB, American Express และ Discover ซึ่งจัดคณะมนตรีความมั่นคงแห่งอุตสาหกรรมบัตรชำระเงิน (PCI SSC) การบริการของบัตรชำระเงินนั้นเกิดจากzdіysnyuvatisyaตามกฎเดียวกันและการยอมรับค่า ІB ที่เท่ากันครั้งแรก เห็นได้ชัดว่าการรักษาความปลอดภัยเป็นปัจจัยสำคัญในเทคโนโลยีแห่งชัยชนะที่เชื่อมโยงกับเงินเพนนี ดังนั้นการปกป้องบัตรชำระเงินเหล่านี้จึงมีความสำคัญในการตั้งค่าระบบการชำระเงิน

จุดสำคัญของมาตรฐาน PCI DSS ในกรณีของการประกันภัยต่อคือองค์กรแรก obov'yazkove zastosuvannya ที่ดำเนินการกับบัตรชำระเงิน หากคุณต้องการได้รับการประเมินความน่าเชื่อถือคุณควรได้รับกลิ่นเหม็น - กลิ่นเหม็นจะอยู่ในจำนวนธุรกรรมที่ดำเนินการ: ในกรณีของการประเมินตนเองก่อนที่จะผ่านการตรวจสอบการรับรอง ส่วนที่เหลือจะถือครองโดยบริษัท ตราบใดที่มีสถานะ PCI QSA

คุณลักษณะสำคัญของรูปลักษณ์ของมาตรฐาน PCI DSS คือการรับรู้ถึงเงื่อนไขสุดขีดของการลดความถูกต้อง สิ่งนี้นำไปสู่ความจริงที่ว่าผู้มีอิทธิพลในอุตสาหกรรมบัตรชำระเงินส่วนใหญ่ได้ทำงานผ่านหุ่นยนต์ ผลที่ได้คือระดับการคุ้มครองที่ชัดเจนเหมือนกับผู้เข้าร่วมคนอื่นๆ และข้อดีและข้อเสียทั้งหมดของการชำระเงินที่ไม่ได้เตรียมไว้

หากคุณต้องการเป็นมาตรฐานและเป็นผู้ริเริ่มที่มีอิทธิพลมากที่สุดในอุตสาหกรรมระบบการชำระเงิน คุณสามารถทราบสถานะของคุณและเป็นแนวทางสำหรับองค์กรที่ไม่เข้าไปยุ่งเกี่ยวกับอุตสาหกรรม พาดหัวของ yogo winkoristannya คือ post-yni novlennya ซึ่งส่งผลให้ go in ที่เกี่ยวข้องและคำแนะนำเกี่ยวกับวิธีการลดภัยคุกคาม IB

มาตรฐานของ Zastosuvannya และความอยู่รอดของ їkhnіm vymogam โดยไม่มีปัญหา є garnoy practice และจระเข้ผู้ยิ่งใหญ่นำหน้าระบบ vibudovuvanni ของการรักษาความปลอดภัยข้อมูล เอล ขอโทษนะ ใช้มันซะ เพราะความจริงของการรักษาความปลอดภัยไม่ได้รับประกันการป้องกันในระดับสูง ขยายขอบเขตของใบรับรองเป็น ช่วงร้องเพลงถ้าขั้นตอนที่แตกสลายเพียงเพื่อประโยชน์ของพิธีการ เลิกปฏิบัติได้ ในอันดับนี้ อาจเป็นไปได้ว่าระบบ IB ในองค์กร ณ เวลาที่ทำการตรวจสอบไม่ได้ให้ค่าประมาณที่หักผ่านการตรวจสอบ

ถึงตอนนั้นเมื่อวิเคราะห์ความเสี่ยงแล้ว จะปิดไม่ได้ ปัจจัยมนุษย์ซึ่งอาจหมายถึงการให้อภัยของผู้ตรวจสอบเองในพื้นที่ที่กำหนดของการตรวจสอบซ้ำ คลังสินค้าของส่วนประกอบที่ได้รับการตรวจสอบซ้ำ และ visnovkas ที่สูงขึ้น

Nasamkinets ต้องการชี้ให้เห็นว่าการปฏิบัติตามมาตรฐานไม่ส่งผลกระทบต่อกระบวนการต่อเนื่องในการตรวจสอบความปลอดภัยของข้อมูลที่สำคัญ ไม่มีการรักษาความปลอดภัยในอุดมคติ แต่การใช้เครื่องมือต่าง ๆ ช่วยให้คุณเข้าถึงระดับสูงสุดของ IB IB มาตรฐานเป็นเครื่องมือดังกล่าว

ประเมิน:

0 4

ปัญหาที่สำคัญที่สุดประการหนึ่งคือความต้องการของสังคมสมัยใหม่คือการปกป้องสิทธิของผู้คนในจิตใจในการนำโยคะไปสู่กระบวนการ ปฏิสัมพันธ์ข้อมูลนอกจากนี้ สิทธิในการปกป้องข้อมูลพิเศษ (ส่วนบุคคล) ในกระบวนการประมวลผลข้อมูลอัตโนมัติ

ฉัน. N. Malanich นักศึกษาชั้นปีที่ 6 ของ VDU

สถาบันคุ้มครองข้อมูลส่วนบุคคลในปัจจุบันไม่อยู่ในหมวดหมู่นี้แล้ว เนื่องจากอยู่ภายใต้การควบคุมของกฎหมายภายในประเทศเท่านั้น คุณลักษณะที่สำคัญที่สุดของระบบข้อมูลอัตโนมัติในปัจจุบันคือ "ความเป็นสากล" ของความอุดมสมบูรณ์ของพวกเขา "การปล่อยให้" ของพวกเขาสำหรับรัฐต่างๆ การพัฒนาของแสงที่เข้าถึงได้ทั่วโลก มาตรการข้อมูลเช่น อินเทอร์เน็ต การก่อตัวเดียว พื้นที่ข้อมูลที่ชายแดนของโครงสร้างระหว่างประเทศดังกล่าว

วันนี้ในสหพันธรัฐรัสเซียปัญหาไม่ได้เป็นเพียงการแนะนำในด้านกฎหมายของสถาบันเพื่อการปกป้องข้อมูลส่วนบุคคลในกรอบการทำงานอัตโนมัติ กระบวนการข้อมูล, และ pіvvіdnoshennia її z іsnuyuchimi มาตรฐานทางกฎหมายระหว่างประเทศ іy galuzі

คุณสามารถดูแนวโน้มหลักสามประการในกฎระเบียบทางกฎหมายระหว่างประเทศของสถาบันคุ้มครองข้อมูลส่วนบุคคล ซึ่งอยู่ข้างหน้ากระบวนการประมวลผลข้อมูลอัตโนมัติ

1) ประกาศสิทธิในการปกป้องข้อมูลส่วนบุคคลเป็นส่วนสำคัญของสิทธิขั้นพื้นฐานของบุคคลในการกระทำที่มีลักษณะมนุษยธรรมขั้นพื้นฐานที่ได้รับการยอมรับภายในกรอบขององค์กรระหว่างประเทศ

2) การบังคับใช้และข้อบังคับเกี่ยวกับสิทธิ์ในการปกป้องข้อมูลส่วนบุคคลในลักษณะการกำกับดูแลของสหภาพยุโรป เพื่อประโยชน์ของยุโรป โดยส่วนตัวในเครือรัฐเอกราชและองค์กรระหว่างประเทศระดับภูมิภาคอื่นๆ บรรทัดฐานระดับนี้เป็นสากลที่สุดและไม่มีสิทธิ์คนกลางในการปกป้องข้อมูลส่วนบุคคลจากกระบวนการประมวลผลข้อมูลโดยอัตโนมัติ

3) การรวมบรรทัดฐานในการปกป้องข้อมูลที่เป็นความลับ (zocrema ข้อมูลส่วนบุคคลนั้น) เข้ากับข้อตกลงระหว่างประเทศ

วิธีแรก - แสดงให้คนอื่นเห็นก่อนหน้านี้ในอดีต ที่ สู่โลกปัจจุบันіnformatsiyni pravnichiy และเสรีภาพ є nevid'єmnoy เป็นส่วนหนึ่งของสิทธิมนุษยชนขั้นพื้นฐาน

ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน พ.ศ. 2491 ฉันจะพูดว่า: "ไม่มีใครสามารถยอมแพ้ในชีวิตครอบครัวพิเศษได้มากพอที่จะบุกรุก ... ความลึกลับของการติดต่อของคุณ" และ nadali: "คนผิวมีสิทธิที่จะปกป้องกฎหมายต่อหน้า แห่งการกระทำหรือการบุกรุกดังกล่าว” สนธิสัญญาระหว่างประเทศว่าด้วยสิทธิสาธารณะและสิทธิทางการเมือง พ.ศ. 2509 ในส่วนนี้ฉันทำซ้ำการประกาศ อนุสัญญายุโรป 1950 รายละเอียดด้านขวา: “ผิวของบุคคลมีสิทธิที่จะมีเสรีภาพในการแสดงออกโดยการมอง สิทธินี้รวมถึงเสรีภาพในการดูความคิดของตนเอง การยอมรับและเผยแพร่ข้อมูลและความคิดโดยไม่ได้รับคำแนะนำจากหน่วยงานของรัฐและเป็นอิสระจากวงล้อมของรัฐ

ได้รับการแต่งตั้งเอกสารระหว่างประเทศรักษาความปลอดภัยสิทธิข้อมูล

Ninі International Equal ได้ก่อตั้งระบบการดูสิทธิในข้อมูลของผู้คน ในแผนเฉพาะ สิทธิในการเพิกถอนข้อมูล สิทธิในความเป็นส่วนตัวจากมุมมองของการปกป้องข้อมูล สิทธิในการปกป้องข้อมูลจากมุมมองของความมั่นคงของรัฐ และจากจุด ความมั่นคงของธุรกิจ รวมทั้งกิจกรรมทางการเงิน

อีกวิธีหนึ่งคือการควบคุมสิทธิ์ในการปกป้องข้อมูลส่วนบุคคลโดยละเอียดยิ่งขึ้น เนื่องจากการประมวลผลข้อมูลส่วนบุคคลที่เข้มข้นยิ่งขึ้นสำหรับความช่วยเหลือจากระบบข้อมูลคอมพิวเตอร์อัตโนมัติ ในช่วงที่เหลือของทศวรรษ ภายในกรอบขององค์กรระดับล่าง มีการนำเอกสารระหว่างประเทศจำนวนน้อยมาใช้ ซึ่งพัฒนาสิทธิ์ข้อมูลพื้นฐานของการสื่อสารด้วยการแลกเปลี่ยนข้อมูลและเทคโนโลยีที่ทันสมัยอื่นๆ ในบรรดาเอกสารดังกล่าวสามารถตั้งชื่อได้ดังนี้:

สภายุโรปในปี 1980 คำรามของอนุสัญญายุโรปว่าด้วย Zakhist ลักษณะทางกายภาพที่ปันส่วนซึ่งจะถูกประมวลผลโดยอัตโนมัติข้อมูลพิเศษซึ่ง nabula 1985 r. อนุสัญญากำหนดขั้นตอนในการรวบรวมและประมวลผลข้อมูลเกี่ยวกับคุณสมบัติพิเศษ หลักการรักษาความปลอดภัยการเข้าถึงข้อมูลเหล่านี้ และวิธีการป้องกันข้อมูลทางกายภาพ อนุสัญญารับประกันการคุ้มครองสิทธิของบุคคลเมื่อรวบรวมและประมวลผลข้อมูลส่วนบุคคล หลักการในการปกป้องการเข้าถึงข้อมูลเหล่านี้ วิธีการคุ้มครองทางกายภาพของข้อมูล และยังปกป้องการรวบรวมข้อมูลเกี่ยวกับเชื้อชาติ รูปลักษณ์ทางการเมือง สุขภาพ ศาสนา โดยไม่มีข้อจำกัดทางกฎหมาย รัสเซียเข้าร่วมอนุสัญญายุโรปเมื่อใบไม้ร่วงในปี 2544

ในสหภาพยุโรป การปกป้องข้อมูลส่วนบุคคลถูกควบคุมโดยชุดเอกสาร ในปี 1979 รัฐสภายุโรปมีมติรับรอง "ในการปกป้องสิทธิของบุคคลที่เกี่ยวข้องกับความคืบหน้าของการให้ข้อมูล" มติดังกล่าวเผยแพร่ให้สภาคณะกรรมาธิการยุโรป Spivtovarians ขยายและนำการดำเนินการทางกฎหมายมาใช้เพื่อปกป้องข้อมูลเกี่ยวกับบุคคลที่เกี่ยวข้องกับความก้าวหน้าทางเทคนิคของสารสนเทศกาลูเซียน ในปีพ. ศ. 2523 องค์กรได้นำข้อเสนอแนะไปใช้ในการคุ้มครองประเทศสมาชิกสหภาพยุโรป "บนแกนกลางของการคุ้มครองชีวิตส่วนตัวโดยตรงในการแลกเปลี่ยนระหว่างรัฐเพื่อยกย่องบุคลิกส่วนตัว" การคุ้มครองข้อมูลส่วนบุคคลได้รับการควบคุมอย่างละเอียดโดยคำสั่งของรัฐสภายุโรปและเพื่อประโยชน์ของสหภาพยุโรป CE Directive No. 95/46/EC และ No. 2002/58/EC ของรัฐสภายุโรปและเพื่อประโยชน์ของสหภาพยุโรป ลงวันที่ 24 มิถุนายน 1995 "ในการคุ้มครองสิทธิของเอกชนเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล และการไหลของข้อมูลดังกล่าวอย่างเสรี" Directive No. 97/66 / EC ถึงรัฐสภายุโรปและเพื่อประโยชน์ของสหภาพยุโรปเมื่อวันที่ 15 ธันวาคม 1997 ความจำเป็นในการรวบรวมข้อมูลส่วนบุคคลและเพื่อป้องกันการขาดความเป็นส่วนตัวใน ด้านโทรคมนาคมและเอกสารอื่นๆ

การกระทำของสหภาพยุโรปมีลักษณะโดยการดำเนินการโดยละเอียดของหลักการและเกณฑ์สำหรับการประมวลผลข้อมูลโดยอัตโนมัติ สิทธิ์และภาระผูกพันของอาสาสมัครและผู้ถือข้อมูลส่วนบุคคล อำนาจของการถ่ายโอน transcordon เช่นเดียวกับความถูกต้องและการลงโทษสำหรับการบริหาร shodi . Vіdpovidnoถึง Directive No. 95/46/EC ในสหภาพยุโรปที่สร้างขึ้น โรบอทชากรุ๊ปการคุ้มครองบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ได้รับสถานะของคณะที่ปรึกษาที่แยกโครงสร้างอิสระ คณะทำงานประกอบด้วยตัวแทนของร่างกายซึ่งสร้างขึ้นโดยผู้เข้าร่วมที่มีอำนาจทางผิวหนังโดยมีจุดประสงค์เพื่อ dotriannyam ในอาณาเขตของตนตำแหน่งของคำสั่งตัวแทนของร่างกายหรือหน่วยงานการก่อตั้งสถาบันและโครงสร้างของสหภาพ และผู้แทนคณะกรรมาธิการยุโรป

ภายในกรอบขององค์การเพื่อการคุ้มครองและการพัฒนาเศรษฐกิจ (OECD) “บทบัญญัติพื้นฐานเกี่ยวกับการคุ้มครองความไม่เพียงพอของชีวิตส่วนตัวและการแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างประเทศ” ได้รับการรับรองเมื่อวันที่ 23 กันยายน พ.ศ. 2523 คำนำของ Directive อ่านว่า: "... ประเทศ OECD เคารพในการพัฒนาที่จำเป็นของบทบัญญัติพื้นฐานซึ่งสามารถช่วยในการรวมกฎหมายระดับชาติเกี่ยวกับการขาดความเป็นส่วนตัวเพื่อให้มั่นใจว่าสิทธิทั่วไปของประชาชนไม่ได้รับอนุญาต ถูกบล็อค" บทบัญญัติเหล่านี้บังคับใช้ทั้งในรัฐและในภาคเอกชนจนถึงข้อมูลส่วนบุคคลไม่ว่าจะเกี่ยวข้องกับขั้นตอนการประมวลผลหรือเกี่ยวข้องกับลักษณะหรือบริบทของการแข่งขันเพื่อคุกคามการทำลายของการขาดความเป็นส่วนตัว ชีวิตและเสรีภาพส่วนบุคคล ได้รับการพิจารณาแล้วว่าจำเป็นต้องรักษาความปลอดภัยข้อมูลส่วนบุคคลด้วยกลไกที่เหมาะสมในการป้องกันความเสี่ยง ซึ่งเกี่ยวข้องกับค่าใช้จ่าย การกีดกัน การเปลี่ยนแปลง หรือการพากย์เสียง การเข้าถึงโดยไม่ได้รับอนุญาต รัสเซียโชคไม่ดีที่ฉันไม่ได้มีส่วนร่วมในองค์กรนี้

สมัชชารัฐสภาแห่งไกร - ผู้เข้าร่วม SND เมื่อวันที่ 16 กรกฎาคม 2542 กฎหมายต้นแบบ "เกี่ยวกับข้อมูลส่วนบุคคล" ถูกนำมาใช้

เบื้องหลังกฎหมาย "ข้อมูลส่วนบุคคล" - ข้อมูล (แก้ไขในผู้ให้บริการวัสดุ) เกี่ยวกับบุคคลใดบุคคลหนึ่งตามที่ระบุหรืออาจระบุตัวตนกับเธอ ข้อมูลส่วนบุคคลรวมถึงข้อมูลชีวประวัติและประวัติศาสตร์ ลักษณะพิเศษ ข้อมูลเกี่ยวกับครอบครัว ชีวิตทางสังคม การศึกษา อาชีพ บริการและชีวิตทางการเงิน สุขภาพและอื่น ๆ กฎหมายยังฟื้นฟูหลักการของกฎระเบียบทางกฎหมายของข้อมูลส่วนบุคคล รูปแบบของกฎระเบียบอธิปไตยของการทำธุรกรรมกับข้อมูลส่วนบุคคล สิทธิและภาระผูกพันของอาสาสมัครและเจ้านายของข้อมูลส่วนบุคคล

เป็นที่ชัดเจนว่าอีกวิธีหนึ่งของกฎระเบียบเชิงบรรทัดฐานในการปกป้องข้อมูลส่วนบุคคลจากการกระทำทางกฎหมายระหว่างประเทศนั้นได้รับการพิจารณาเพื่อการวิเคราะห์ บรรทัดฐานของชั้นนี้ไม่เพียงแต่จะควบคุมการระงับน้ำในแกลเลอรีนี้เท่านั้น แต่ยังรวมถึงการนำกฎหมายที่กำหนดของสมาชิกประเทศไปสู่มาตรฐานสากลด้วย เพื่อให้มั่นใจว่าตนเองได้พัฒนาบรรทัดฐานเหล่านี้ในอาณาเขตของตน ในลักษณะนี้ มันได้รับการประกันและรับรองโดยปฏิญญา Zagalniy เกี่ยวกับสิทธิของบุคคลที่มีสิทธิข้อมูลตามความหมายที่ประกาศโดยมาตรา 12 ของส่วนที่เหลือ "สิทธิในการปกป้องกฎหมายในรูปแบบของ vtruchannya หรือการบุกรุก"

วิธีที่สามในการแก้ไขบรรทัดฐานสำหรับการปกป้องข้อมูลส่วนบุคคลคือการแก้ไขการคุ้มครองทางกฎหมายในสนธิสัญญาระหว่างประเทศ

บทความเกี่ยวกับการแลกเปลี่ยนข้อมูลควรรวมไว้ก่อนข้อตกลงระหว่างประเทศว่าด้วยความช่วยเหลือทางกฎหมาย เกี่ยวกับเอกลักษณ์ของการอยู่ใต้บังคับบัญชา การส่งเสริมภาคประชาสังคม ขอบเขตวัฒนธรรม

สำหรับศิลปะ 25 ของข้อตกลงระหว่างสหพันธรัฐรัสเซียและสหรัฐอเมริกาเกี่ยวกับการยกเว้นสาขาและการคุ้มครองเงินอุดหนุนสำหรับการสมัครรับรายได้และทุนอำนาจของคอพอกให้ข้อมูลเกี่ยวกับวิธีการที่จะกลายเป็นความลับของมืออาชีพ ข้อตกลงระหว่างสหพันธรัฐรัสเซียและสาธารณรัฐอินเดียว่าด้วยความช่วยเหลือทางกฎหมายร่วมกันด้วยสิทธิทางอาญาในการล้างแค้น มาตรา 15 เรื่อง "การรักษาความลับ": บุคคลอาจถูกขอให้ปกป้องความลับของข้อมูลที่ส่ง แนวปฏิบัติในการวางสนธิสัญญาระหว่างประเทศแสดงให้เห็นถึงแนวปฏิบัติของอำนาจผู้ทำสัญญาในการเคารพมาตรฐานสากลในการปกป้องข้อมูลส่วนบุคคล

เป็นที่ชัดเจนว่ากลไกที่มีประสิทธิภาพที่สุดในการควบคุมสถาบันนี้ในระดับกฎหมายระหว่างประเทศคือการปรากฏของเอกสารกำกับดูแลพิเศษที่พรมแดนขององค์กรระหว่างประเทศ กลไกนี้ไม่เพียงแต่สนับสนุนกฎระเบียบภายในของปัญหาที่เกิดขึ้นจริงซึ่งถูกละเมิดในกฎหมายและการป้องกันข้อมูลส่วนบุคคลในองค์กรเหล่านี้เท่านั้น แต่ยังรวมถึงกฎหมายระดับประเทศของผู้เข้าร่วมประเทศด้วย

เรามาดูมาตรฐานสากลที่สำคัญที่สุดในด้านความปลอดภัยของข้อมูลกัน

มาตรฐาน ISO 17799 "กฎการปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล" จะพิจารณาถึงแง่มุมต่างๆ ที่จะเกิดขึ้นของ IB:

ความเข้าใจพื้นฐานเกี่ยวกับจุดประสงค์นั้น

นโยบายการรักษาความปลอดภัยของข้อมูล

ความมั่นคงทางอาหารขององค์กร

การจำแนกประเภทและการจัดการสินทรัพย์

ความมั่นคงด้านอาหารที่เกี่ยวข้องกับพนักงาน

zahist ทางกายภาพ ta zahist กับ vplivіv dovkilla;

การจัดการการถ่ายโอนข้อมูลและกิจกรรมการดำเนินงาน

การควบคุมการเข้าถึง;

การพัฒนาและบำรุงรักษาระบบ

การจัดการความต่อเนื่องทางธุรกิจ

การตรวจสอบภายในของ IB;

Vіdpovіdnіst vimogam สภานิติบัญญัติ

สถานที่สำคัญในระบบมาตรฐานยืมมาตรฐาน ISO 15408"เกณฑ์สำคัญสำหรับความปลอดภัยของเทคโนโลยีสารสนเทศ" จัดพิมพ์โดย "เกณฑ์ทั่วไป" ใน "เกณฑ์ Zahalnye" มีการจำแนกประเภทสำหรับเทคโนโลยีข้อมูลความปลอดภัยที่เป็นไปได้ที่หลากหลาย โครงสร้างของการจัดกลุ่มนี้และหลักการเลือกได้รับการพิจารณา

ระบบมาตรฐานของคลังสินค้าที่สำคัญคือโครงสร้างพื้นฐานคีย์สาธารณะของ PKI (Public Key Infrastructure) โครงสร้างพื้นฐานนี้จะถ่ายโอนจำนวนศูนย์ใบรับรองของคีย์และทางเลือกของใบรับรองดิจิทัลที่ตรงตามคำแนะนำของ X.509

มาตรฐานความปลอดภัยของข้อมูลของรัสเซีย

GOST R 50739-95 เทคนิคการนับต้นทุน การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต Zagalni tekhnіchnі vimogi Derzhstandart แห่งรัสเซีย

GOST R 50922-2006 ผู้พิทักษ์ข้อมูล เงื่อนไขหลักและคำจำกัดความ Derzhstandart แห่งรัสเซีย

GOST R 51188-98 ผู้พิทักษ์ข้อมูล วิโปรบูวันยา ผลงานโปรแกรมสำหรับการปรากฏตัว ไวรัสคอมพิวเตอร์. เซรามิกส์ทั่วไป. Derzhstandart แห่งรัสเซีย

GOST R 51275-2006 ผู้พิทักษ์ข้อมูล วัตถุประสงค์ของการให้ข้อมูล เจ้าหน้าที่ที่กรอกข้อมูล ตำแหน่งการเผาไหม้. Derzhstandart แห่งรัสเซีย

DERZHSTANDART R 51583-2000. ผู้พิทักษ์ข้อมูล ลำดับของการพับระบบอัตโนมัติที่ vikonanni ที่ถูกขโมย ตำแหน่งการเผาไหม้

GOST R 51624-2000 ผู้พิทักษ์ข้อมูล ระบบอัตโนมัติสำหรับ viconan ที่ถูกขโมย Zagalni vimogi

GOST R 52069-2003 ผู้พิทักษ์ข้อมูล ระบบมาตราฐาน. บทบัญญัติพื้นฐาน

GOST R 53131-2008 (ISO/MEK ถึง 24762-2008) ผู้พิทักษ์ข้อมูล ข้อเสนอแนะสำหรับบริการในสถานการณ์สุดโต่งของฟังก์ชันและกลไกในการรักษาความปลอดภัยของเทคโนโลยีสารสนเทศและโทรคมนาคม ตำแหน่งการเผาไหม้

DSTU ISO 7498-1-99 เทคโนโลยีสารสนเทศ. ระบบ Vzaimozv'yazok vіdkritih รุ่นมาตรฐานพื้นฐาน ส่วนที่ 1 โมเดลพื้นฐาน Derzhstandart แห่งรัสเซีย

DSTU ISO 7498-2-99 เทคโนโลยีสารสนเทศ ระบบ Vzaimozv'yazok vіdkritih รุ่นมาตรฐานพื้นฐาน ส่วนที่ 2 สถาปัตยกรรม zahistu Derzhstandart แห่งรัสเซีย

GOST R ІSO/MEK 13335-1-2006 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki ส่วนที่ 1 แนวคิดและรูปแบบการจัดการความปลอดภัยของเทคโนโลยีสารสนเทศและโทรคมนาคม

GOST R ІSO/MEK ถึง 13335-3-2007 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki ส่วนที่ 3 วิธีการและการจัดการความปลอดภัยของเทคโนโลยีสารสนเทศ

GOST R ІSO/MEK ถึง 13335-4-2007 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki ตอนที่ 4

GOST R ІSO/MEK ถึง 13335-5-2007 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki ส่วนที่ 5. ตัวช่วยในการจัดการความปลอดภัย

GOST R ISO/MEK 15408 -1-2008. Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki หลักเกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ. ตอนที่ 1. แนะนำตัวแบบดุร้าย Derzhstandart แห่งรัสเซีย

GOST R ІSO/MEK 15408-2-2008 Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki หลักเกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 2 การทำงานช่วยเหลือด้านความปลอดภัย Derzhstandart แห่งรัสเซีย

GOST R ІSO/MEK 15408-3-2008 Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki หลักเกณฑ์การประเมินความปลอดภัยของเทคโนโลยีสารสนเทศ ส่วนที่ 3 เราสามารถไว้วางใจคุณเพื่อความปลอดภัย Derzhstandart แห่งรัสเซีย

GOST R ІSO/MEK ถึง 15443-1-2011 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki พื้นฐานของความไว้วางใจในการรักษาความปลอดภัยด้านไอที ตอนที่ 1 ดูรากฐาน

GOST R ІSO/MEK ถึง 15443-2-2011 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki พื้นฐานของความไว้วางใจในการรักษาความปลอดภัยด้านไอที ส่วนที่ 2 วิธีการไว้วางใจ

GOST R ІSO/MEK ถึง 15443-3-2011 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki พื้นฐานของความไว้วางใจในการรักษาความปลอดภัยด้านไอที ส่วนที่ 3 การวิเคราะห์วิธีความไว้วางใจ

GOST R ISO/MEK 17799- 2548. การกระจายข้อมูล. Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki กฎการปฏิบัติสำหรับการรักษาความปลอดภัยข้อมูล

GOST R ІSO/MEK 18028-1-2008 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki Merezheva ความปลอดภัยของเทคโนโลยีสารสนเทศ การจัดการความปลอดภัยเช่า

GOST R ІSO/MEK ถึง 19791-2008 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki การประเมินความปลอดภัยของระบบอัตโนมัติ

GOST R ISO/MEK 27001- 2006. Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki ระบบการจัดการความปลอดภัยของข้อมูล. วิโมกิ

GOST R ІSO/MEK 27004-2011 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki การจัดการความปลอดภัยของข้อมูล วิมิริววรรณยา

GOST R ІSO/MEK 27005-2009 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki การจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล

GOST R ІSO/MEK 27033-1-2011 เทคโนโลยีสารสนเทศ Metodi that zasobi zabezpechennya bezpeki. ที่ zasobi zabezpechennya bezpeki เบซเปก้า เมเรซ. ส่วนที่ 1 ภาพรวมของแนวคิดนั้น

GOST 28147 -89 ระบบประมวลผลข้อมูล ผู้พิทักษ์การเข้ารหัส อัลกอริธึมการแปลงการเข้ารหัส.

GOST R 34.10 -2001 ร. เทคโนโลยีสารสนเทศ การเข้ารหัส Zakhistข้อมูล. กระบวนการขึ้นรูปและการตรวจสอบซ้ำของอิเล็กทรอนิกส์ ลายเซ็นดิจิทัล.

GOST R 34.11 -94 การกระจายข้อมูล การป้องกันการเข้ารหัสข้อมูล หน้าที่ของ hashing.

สิ่งที่สำคัญยิ่งกว่านั้นคือตระกูลของมาตรฐานสากลสำหรับการจัดการความปลอดภัยของข้อมูลของ ISO 27000 ซีรี่ส์ (เนื่องจากมาตรฐานของรัฐรัสเซียเป็นที่ยอมรับกันบ่อยๆ) Okremo มีความสำคัญ GOST / ISO 27001 (ระบบการจัดการความปลอดภัยของข้อมูล), GOST / ISO 27002 (17799) (กฎการปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล)

เทคโนโลยีของหน้าจอตัวกลาง

หน้าจอระดับกลาง(ME) - ความซับซ้อนของเครื่องมือฮาร์ดแวร์และซอฟต์แวร์ที่ควบคุมและกรองแพ็คเกจตาข่ายที่ผ่านชุดใหม่ ขึ้นอยู่กับกฎที่ตั้งไว้ ME เรียกอีกอย่างว่า ไฟร์วอลล์(นิ่ม. Brandmauer) หรือ ไฟร์วอลล์(ภาษาอังกฤษ ไฟร์วอลล์). ME อนุญาตให้แบ่งเส้นขอบออกเป็น 2 ส่วนและใช้ชุดกฎที่กำหนดเส้นทางของแพ็กเก็ตข้อมูลผ่านหน้าจอจากส่วนหนึ่งของเส้นขอบไปยังส่วนถัดไป Sound ME ที่จะติดตั้งระหว่างเครือข่ายองค์กร (ท้องถิ่น) และเครือข่ายอินเทอร์เน็ตปกป้องเครือข่ายภายในขององค์กรจากการถูกโจมตีจากเครือข่ายทั่วโลกหรือคุณสามารถป้องกันได้ มาตรการท้องถิ่นในรูปแบบของภัยคุกคามจากฝ่ายองค์กร

งานหลักของหน้าจอโครงถักคือการปล่อยสัญญาณคอมพิวเตอร์หรือ okremikh vuzlіvในการเข้าถึงโดยไม่ได้รับอนุญาต หน้าจอMerezhevіมักเรียกว่าตัวกรอง ดังนั้นงานหลักของพวกเขาคือไม่ให้ผ่านแพ็กเก็ต (ตัวกรอง) ที่ไม่ตรงตามเกณฑ์ที่ระบุในการกำหนดค่า