Основные международные стандарты в области информационной безопасности. Основные стандарты безопасности Основные международные стандарты иб

Проблема информационной компьютерной безопасности не нова - специалисты занимаются ею с того самого момента, как компьютер начал обрабатывать данные, ценность которых высока для пользователя. Однако за последние годы в связи с развитием сетей, ростом спроса на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.

Для чего нужно знать теорию

Любой специалист по информационной безопасности проходит в своем профессиональном развитии три этапа. Первый из них - "работа руками". Новичок усиленно, с привлечением специализированных средств, ищет и ликвидирует вполне конкретные бреши в системном и прикладном ПО. Сканер, патч, порт, соединение - вот сущности, с которыми он работает на данном этапе.

Вторая ступень - "работа головой". Устав затыкать все новые и новые бреши, специалист приступает к разработке планов и методик, цель которых - упорядочить действия по повышению безопасности систем и ликвидации последствий информационных угроз. Именно на данной стадии возникает понятие "политики безопасности".

Наконец, приходит пора осмысления - на этом этапе умудренный опытом специалист понимает, что он, скорее всего, изобретает велосипед, поскольку стратегии обеспечения безопасности наверняка уже были разработаны до него. И в этом он, безусловно, прав.

Многочисленные организации по всему миру уже давно занимаются проблемой информационной безопасности, итогом их деятельности стали увесистые фолианты стандартов, положений, рекомендаций, правил и т.д. Изучать весь объем вряд ли целесообразно, однако знать основополагающие документы, конечно же, стоит. Поэтому в данной статье мы упомянем лишь наиболее важные российские и международные положения, устанавливающие стандарты в области информационной безопасности.

Понятие безопасности информации

Развитие информационных и телекоммуникационных систем различного назначения (в первую очередь сети Интернет), а также электронный обмен ценной информацией, нуждающейся в защите, потребовали от специалистов, работающих в этой сфере, систематизировать и упорядочить основные требования и характеристики компьютерных систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению сформированных стандартов, нужно определить, что же такое безопасность.

Учитывая важность понятия, попробуем сформулировать его расширенное определение, в котором будут учтены последние международные и отечественные наработки в этой области. Итак, безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.

Это положение особенно актуально для так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.

Международный стандарт информационной безопасности

Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. Тем более что в текущем, 2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.

Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.

Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.

Особенности процесса стандартизации в Интернете

В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF.

За несколько последних лет сетевой рынок стал свидетелем так называемого фрагментированного влияния на формирование стандартов. По мере того, как Интернет ширился и обретал черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы, такие как IETF. По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Порой стандарты де-факто задают своими покупками или заказами серьезные потребители интернет-услуг.

Одна из причин появления различных групп по стандартизации состоит в противоречии между постоянно возрастающими темпами развития технологий и длительным циклом создания стандартов.

Стандарты безопасности в Интернете

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.

SSL (TLS)

Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

SET

SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.

IPSec

Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:

• поддержку немодифицированных конечных систем;
• поддержку транспортных протоколов, отличных от ТСР;
• поддержку виртуальных сетей в незащищенных сетях;
• защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);
• защиту от атак типа "отказ в обслуживании".

Кроме того, IPSec имеет два важных преимущества:

1. его применение не требует изменений в промежуточных устройствах сети;
2. рабочие места и серверы не обязательно должны поддерживать IPSec.

Особенности российского рынка

Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались только в сфере охраны государственной тайны. Аналогичные, но имеющие собственную специфику задачи коммерческого сектора экономики долгое время не находили соответствующих решений. Данный факт до сих пор существенно замедляет появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной системе есть свои особенности, которые просто необходимо учитывать, ведь они оказывают серьезное влияние на технологию информационной безопасности. Перечислим основные из них:

1. Приоритет экономических факторов. Для коммерческой автоматизированной системы очень важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Важным условием при этом, в частности, является минимизация типично банковских рисков (например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т.п.);
2. Открытость проектирования, предусматривающая создание подсистемы защиты информации из средств, широко доступных на рынке и работающих в открытых системах;
3. Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации. Это условие в последнее время приобретает все большую значимость в нашей стране наряду с созданием нормативно-правовой базы безопасности ИТ (особенно при взаимодействии автоматизированных систем разных юридических лиц).

Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию, не содержащую государственной тайны, исключительно важно для экономико-финансовой жизни современной России. Применение в России гармонизированного стандарта ISO 15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной безопасности, позволит:

• приобщить российские ИТ к современным международным требованиям по информационной безопасности, что упростит, например, применение зарубежной продукции и экспорт собственной;
• облегчить разработку соответствующих российских специализированных нормативно-методических материалов для испытаний, оценки (контроля) и сертификации средств и систем безопасных банковских и других ИТ;
• создать основу для качественной и количественной оценки информационных рисков, необходимую при страховании автоматизированных систем;
• снизить общие расходы на поддержание режима информационной безопасности в банках и корпорациях за счет типизации и унификации методов, мер и средств защиты информации.

Государственные стандарты

Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем (Таблица 1, строки 1-3). К ним можно добавить нормативные документы по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем (cм. Таблицу 1, строки 4-8). Последняя группа документов, также как и многие ранее созданные зарубежные стандарты, ориентирована преимущественно на защиту государственной тайны.

Как и где работают различные стандарты

Все имеющиеся на сегодняшний день стандарты являются разноуровневыми. Это значит, что их применение ограничено определенным уровнем абстракции в информационных системах (например, нельзя применять "Common Criteria" для детального описания механизма выработки сеансового ключа в протоколе TLS). Очевидно, что для эффективного применения стандартов необходимо хорошо знать об их уровне и назначении.

Так, при формировании политики безопасности и системы оценок эффективности, а также при проведении комплексных испытаний защищенности лучше всего использовать положения ISO 15408 ("Common Criteria"). Для реализации и оценки технического совершенства систем шифрования и электронно-цифровой подписи предназначены соответствующие ГОСТы. Если нужно защитить канал обмена произвольной информацией, то целесообразно использовать протокол TLS. Когда же речь идет не просто о защите линии связи, а о безопасности финансовых транзакций, в дело вступает SET, включающий в себя протоколы защиты каналов в качестве одного из стандартов более низкого уровня.

От теории к практике

Чтобы продемонстрировать практическую важность перечисленных положений, приведем перечень стандартов безопасности, применяющихся в комплексе реализации электронных банковских услуг InterBank

Протокол SSL (TLS) может использоваться в качестве защиты канала обмена информацией в системах RS-Portal и "Интернет-Клиент" . Стандарты ГОСТ 28147-89, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94, регламентирующие шифрование данных и механизм электронно-цифровой подписи, реализованы во всех системах криптозащиты подсистем типа "клиент-банк" ("Клиент DOS", "Клиент Windows", "Интернет-Клиент").

С помощью протокола IPSec можно прозрачно защитить любой канал обмена информацией между клиентом и банком, использующий сетевой протокол IP. Это относится как к интернет-системам (RS-Portal и "Интернет-Клиент"), так и к системе электронной почты RS-Mail, поддерживающей работу по IP.

Надеемся, что приведенная в статье информация поможет вам оценить надежность ваших систем, а силы и время разработчиков будут направлены на создание действительно лучших средств, которые станут новой ступенью на пути развития технологии информационной безопасности.

В.В. Тихоненко Руководитель Союза специалистов-экспертов по качеству (г. Киев, Украина), к.тех.н., Генеральный директор ЭКТЦ "ВАТТ"

В статье приведено описание основных международных и национальных стандартов безопасности. Рассмотрены определения терминов «безопасность», «опасность», «риск». Сделаны предположения о возможности применения для описания опасностей принципов неопределенности Гейзенберга и дополнительности Бора.

Что такое «безопасность»?

Обеспечение безопасности — одно из важнейших требований, которое должны выполнять все, везде и всегда, так как любая деятельность потенциально опасна. Безопасность связана с риском (они взаимозависимы). Рассмотрим определения этих понятий, приведенные в стандартах .

Безопасность — отсутствие недопустимого риска .

Опасность — потенциальный источник возникновения ущерба .

Риск — эффект от неопределенности целей .

Таким образом, безопасность характеризуется не отсутствием риска вообще, а только отсутствием недопустимого риска. Стандарты определяют допустимый риск как «оптимальный баланс между безопасностью и требованиями, которым должны удовлетворять продукция, процесс или услуга, а также такими факторами, как выгодность для пользователя, эффективность затрат, обычаи и др.». Стандарт , часто используемый предприятиями, трактует допустимый (приемлемый) риск как «риск, уменьшенный до уровня, который организация может допустить, учитывая свои законодательные обязательства и собственную политику в области гигиены и безопасности труда».

В стандартах регламентированы способы уменьшения риска (в порядке приоритетов):

• разработка безопасного проекта;
• защитные устройства и персональное защитное оборудование (это коллективные и индивидуальные средства защиты — прим. авт.);
• информация по установке и применению;
• обучение.

Типы стандартов безопасности

Согласно могут быть следующие типы стандартов безопасности:

• основополагающие, включающие в себя фундаментальные концепции, принципы и требования, относящиеся к основным аспектам безопасности. Эти стандарты применяют для широкого диапазона видов продукции, процессов и услуг;
• групповые, содержащие аспекты безопасности, применимые к нескольким видам или к семейству близких видов продукции, процессов или услуг. В этих документах делают ссылки на основополагающие стандарты безопасности;
• стандарты безопасности продукции, включающие в себя аспекты безопасности определенного вида или семейства продукции, процессов или услуг. В этих документах делают ссылки на основополагающие и групповые стандарты;
• стандарты на продукцию, содержащие аспекты безопасности, но касающиеся не только этих вопросов. В них должны быть сделаны ссылки на основополагающие и групповые стандарты безопасности. В таблице приведены примеры международных стандартов, относящихся к перечисленным типам. Можно рекомендовать ознакомиться с табл. 1 стандарта , в которой указаны международные, европейские и российские нормативные документы, содержащие требования к характеристикам функции безопасности.

Задание требований безопасности в регламентах/стандартах должно основываться на анализе риска причинения вреда людям, имуществу или окружающей среде или их сочетанию - так говорится в стандартах . На рисунке схематически приведены основные риски предприятия с указанием стандартов управления рисками.

Возможно, для описания и анализа опасностей и рисков можно было бы применять дельта-функции Дирака и функции Хевисайда, так как переход от допустимого к недопустимому риску — скачкообразный.

Принципы и средства обеспечения безопасности

Теоретически можно выделить следующие принципы обеспечения безопасности:

• управленческие (адекватности, контроля, обратной связи, ответственности, плановости, стимулирования, управления, эффективности);
• организационные (защиты временем, информации, резервирования, несовместимости, нормирования, подбора кадров, последовательности, эргономичности);
• технические (блокировки, вакуумирования, герметизации, защиты расстоянием, компрессии, прочности, слабого звена, флегматизации, экранирования);
• ориентирующие (активности оператора, замены оператора, классификации, ликвидации опасности, системности, снижения опасности).

Остановимся подробнее на принципе классификации (категорирования). Он состоит в делении объектов на классы и категории по признакам, связанным с опасностями. Примеры: санитарнозащитные зоны (5 классов), категории производств (помещений) по взрывопожарной опасности (А, Б, В, Г, Д), категории/классы по директивам АТЕХ (3 категории оборудования, 6 зон), классы опасности отходов (5 классов — в России, 4 класса — в Украине), классы опасности веществ (4 класса), классы опасности при перевозках опасных грузов (9 классов) и др.

Информация

По расчетам Гейнриха на один несчастный случай со смертельным исходом приходится около 30 травм с менее тяжелыми последствиями и около 300 других инцидентов, которые могут пройти практически незамеченными. При этом косвенные экономические затраты на ликвидацию последствий в четыре раза превышают прямые.

Справка

около 20% всех неблагоприятных событий связаны с отказами оборудования, а 80% - с человеческой ошибкой, из которых 70% ошибок произошли из-за скрытых организационных слабостей (ошибки скрывались, не было реакции на них), а около 30% связаны с индивидуальным работником.

Рис. Риски компании (пример) и применимые к ним стандарты

Примечания:

ЕСО — Европейские стандарты оценки (Европейская группа оценщиков TEGoVA);

МСО — Международные стандарты оценки (имущества);

МСФО — Международные стандарты финансовой отчетности (IFRS);

BASEL II — соглашение «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» Базельского комитета по банковскому надзору;

BRC — The British Retail Consortium Global standards (Стандарты Консорциума Британской торговли);

COBIT — Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий» — пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности); COSO — Committee of Sponsoring Organizations of the Treadway Commission (стандарт комитета спонсорских организаций комиссии Тредвея);

FERMA — Federation of European Risk Management Associations (стандарт Федерации европейских ассоциаций риск-менеджеров); GARP — Global Association of Risk Professionals (стандарт Ассоциации риск-профессионалов);

IFS — International Featured Standards (Международные стандарты по производству и реализации продуктов питания);

ISO/PAS 28000 — Specification for security management systems for the supply chain (Системы менеджмента безопасности цепи поставок. Технические условия);

NIST SP 800-30 — Risk Management Guide for Information Technology Systems (Руководство по управлению рисками в системах информационных технологий).

Таблица. Стандарты безопасности (примеры)

Средства обеспечения безопасности делятся на средства коллективной (СКЗ) и индивидуальной защиты (СИЗ). В свою очередь, СКЗ и СИЗ делятся на группы в зависимости от характера опасностей, конструктивного исполнения, области применения и т.д.

Основные стандарты безопасности

В Европейском Союзе требования по оценке профессиональных рисков содержатся в:

• Директиве 89/391/ЕЕС (требования по введению оценки профессиональных рисков в государствахчленах ЕС);
• индивидуальных директивах Евросоюза о безопасности труда на рабочих местах (89/654/ЕЕС, 89/655/ЕЕС, 89/656/ЕЕС, 90/269/ЕЕС, 90/270/ ЕЕС, 1999/92/ЕС и др.) и о защите работников от химических, физических и биологических рисков, канцерогенов и мутагенов (98/24/ЕС, 2000/54/ЕС, 2002/44/ЕС, 2003/10/ ЕС, 2004/40/ЕС, 2004/37/ЕС и др.) Свое особое место в сфере безопасности занимают и АТЕХ директивы ЕС — одна для изготовителей, а другая для пользователей оборудования:
• «ATEX 95 оборудование» (Директива 94/9/EC) — оборудование и защитные системы, предназначенные для применения в потенциально взрывоопасных атмосферах;
• «ATEX 137 рабочее место» (Директива 1999/92/EC) — минимальные требования для улучшения безопасности, охраны труда и здоровья работников, подвергаемых потенциальному риску от воздействия взрывоопасной атмосферы.

Учитывая важность оценки профессиональных рисков для безопасности труда на рабочих местах, Европейское агентство по обеспечению здоровья и безопасности работников в 1996 г. опубликовало Руководство о порядке проведения оценки рисков (Guidance on risk assessment at work) и постоянно добавляет много полезных примеров для определения опасностей при оценке профессиональных рисков.

В целом также и требования европейской Директивы REACH направлены на обеспечение безопасности. Эта система основана на управлении рисками, связанными с веществами, которые содержатся в химических соединениях, а в отдельных случаях и в изделиях.

Важное место занимают стандарты системы безопасного труда (ГОСТ ССБТ). Это документы хорошо выстроенной системы, которая существует в немногих странах мира. Так безопасность технологического оборудования должна соответствовать ГОСТ 12.2.003 , безопасность технологических процессов — ГОСТ 12.3.002 . А если производятся, сохраняются и применяются опасные вещества, то требования к безопасности определяются по ГОСТ 12.1.007 . Системы (устройства, элементы) безопасности должны соответствовать ГОСТ 12.4.011 , а при пожаре и взрыве — еще и ГОСТ 12.1.004 .

Требования к безопасности строений/сооружений определяются по строительным нормам и правилам.

Большое значение имеют также медицинские стандарты и регламенты (GMP — надлежащая производственная практика, GLP — надлежащая лабораторная практика, GDP — надлежащая дистрибьюторская практика, GPP — надлежащая аптечная практика и др.).

Стандарты безопасности в продовольственной сфере определяются Комиссией Codex Alimentarius. Есть также регламенты безопасности в ветеринарии, растениеводстве.

Развитие космонавтики и ядерной энергетики, усложнение авиационной техники привело к тому, что изучение безопасности систем было выделено в независимую отдельную область деятельности (например, МАГАТЭ была опубликована новая структура стандартов по безопасности: GS-R-1 «Законодательная и правительственная инфраструктура для ядерной и радиационной безопасности, безопасности радиоактивных отходов и транспортировки»). Еще в 1969 г. Министерство обороны США приняло стандарт MILSTD-882 «Программа по обеспечению надежности систем, подсистем и оборудования». В нем изложены требования для всех промышленных подрядчиков по военным программам.

Важными документами являются карты безопасности материала (MSDSкарты — Material safety data sheet) . MSDS-карты, как правило, содержат следующие разделы: сведения о продукте, опасные составляющие, потенциальное воздействие на здоровье (контакт с кожей, воздействие при приеме пищи, предельные дозы, раздражающее действие, возбуждающее действие, взаимно усиливающее действие в контакте с другими химическими веществами, кратковременное воздействие, долговременное воздействие, влияние на репродуктивность, мутагенность, канцерогенность), порядок оказания первой медицинской помощи (при попадании на кожу, в глаза, желудок, при вдыхании), пожаро- и взрывоопасность (огнеопасность/горючесть — при каких условиях, способы тушения, особые инструкции по тушению огня, опасные продукты сгорания), данные по химической активности (химическая стабильность, условия химической активности, опасные продукты распада), действия в случае розлива/утечки (включая утилизацию отходов, распад/токсичность для водной флоры/фауны, грунта, воздуха), борьба с воздействием вещества и средства индивидуальной защиты (технические средства, перчатки, средства защиты органов дыхания и зрения, защитная обувь, защитная одежда), требования к хранению и работе с веществом (хранение, работа, порядок транспортировки), физические характеристики вещества, экологическая, нормативная, дополнительная информация. Такие MSDS-карты готовит производитель и передает пользователю/потребителю. Данные из MSDS-карт необходимо включить в инструкции производственные и по охране труда.

Факты

Примеры отзывов продукции по причине ее опасности

• Компания Apple отзывала в 2009 г. плееры iPod nano 1G из-за опасности взрывов аккумуляторной батареи (http://proit.com.ua/print/?id=20223).
• McDonald"s в 2010 г. отзывал в США 12 миллионов коллекционных стаканов с символикой мультфильма «Шрек» из-за того, что в краске, которой они окрашены, был обнаружен кадмий (www.gazeta.ru/news/lenta/.../n_1503285.shtml).
• В 2008 г. тысячи младенцев в Китае попали в больницы после отравления молочной смесью, в которой был обнаружен меламин. Компания Sanlu официально извинилась перед своими потребителями, заявив, что токсичные вещества добавляли в свою продукцию поставщики молока (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/international/newsid_7620000/7620305.stm).
• Французское Управление по безопасности медицинской продукции требовало отозвать один из видов протезов (силиконовые импланты) с 1 апреля 2010 г., так как он не прошел необходимую проверку (http://www.newsru.co.il/health/01apr2010/pip301.html).
• Компания Thule недавно обнаружила, что предлагаемый ею набор для крепления багажника к крыше автомобиля является недостаточно надежным (для изделий выпущенных с 1 января 2008 г. по 28 февраля 2009 г.) по причине хрупкости входящего в комплект болта. После проведения фирмой внутренних испытаний было установлено, что болт в основании не соответствует стандартам компании по технике безопасности. Из-за высокой степени риска для потребителей (возможное разрушение болта при нагрузке может привести к отсоединению рейки и груза во время движения) компания Thule приняла решение немедленно отозвать продукцию из обращения (http://www2.thulegroup.com/en/Product-Recall/Introduction2/).

Заключение

Специалистам, разрабатывающим стандарты безопасности, нужно больше внимания уделять гармонизации нормативов, применяемых в различных областях. Например, использовать подходы, изложенные в принципах неопределенности Гейзенберга и дополнительности Бора. Кроме того, не забывать о человеческих ошибках и устранении организационных слабостей. Введение риск-менеджмента на предприятиях поможет повысить уровень безопасности. В последние годы активно развиваются стандарты риск-менеджмента, например . Изучение и применение этих документов также способствует улучшению культуры безопасности.

Безусловно, в сфере безопасности стандарты, регламенты, нормы, правила, инструкции необходимы, но не менее важно их выполнение.

Для обеспечения безопасности необходимо знать ответы на вопросы:

1. Какова вероятность возникновения инцидента?

2. Каковы будут негативные последствия?

3. Как их минимизировать?

4. Как продолжать деятельность во время и после инцидента?

5. Каковы приоритеты и временные рамки восстановления?

6. Что, как, когда и кому необходимо сделать?

7. Какие предупреждающие меры надо предпринимать, чтобы упредить/ минимизировать негативные последствия?

Использованная литература

1. ГОСТ 12.1.007-76 (1999). ССБТ. Вредные вещества. Классификация и общие требования безопасности.

2. ГОСТ 12.1.004-91. ССБТ. Пожарная безопасность. Общие требования.

3. ГОСТ 12.2.003-91. ССБТ. Оборудование производственное. Общие требования безопасности.

4. ГОСТ 12.3.002-75 (2000). ССБТ. Процессы производственные. Общие требования безопасности.

5. ГОСТ 12.4.011-89. ССБТ. Средства защиты работающих. Общие требования и классификация.

6. ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты.

7. ГОСТ Р 12.1.052-97. ССБТ. Информация о безопасности веществ и материалов (Паспорт безопасности). Основные положения.

8. ГОСТ Р ИСО 13849-1-2003. Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования.

9. BS 31100:2008. Risk management — Code of practice.

10. BS OHSAS 18001:2007. Occupational health and safety management systems. Requirements.

11. CWA 15793:2008. Laboratory biorisk management standard.

12. ISO/IEC 51:1999. Safety aspects - Guidelines for their inclusion in standards.

13. ISO/IEC Guide 73:2009. Risk management — Vocabulary — Guidelines for use in standards.

14. ISO 31000:2009. Risk management - Principles and guidelines.

15. IEC/ISO 31010:2009. Risk management — Risk assessment techniques.

16. ISO 15190:2003. Medical laboratories - Requirements for safety.

17. Reason J. Human error. — New York: Cambridge University Press, 1990. — 316 p.

18. Regulation (EC) № 1907/2006 of the European Parliament and the Council of 18 December 2006 concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH), establishing a European Chemicals Agency, amending Directive 1999/45/EC and repealing Council Regulation (EEC) № 793/93 and Commission Regulation (EC) № 1488/94 as well as Council Directive 76/769/EEC and Commission Directives 91/155/EEC, 93/67/ EEC, 93/105/EC and 2000/21/EC.

Международные стандарты

• BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
• BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
• BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
• ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
• ISO/IEC 27000 - Словарь и определения.
• ISO/IEC 27001:2005 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
• ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
• ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
• German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

• ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
• Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
• ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
• ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
• ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
• ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
• ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
• ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
• ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
• ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
• ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

Руководящие документы

• РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.

См. также

• Недекларированные возможности

Внешние ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое "Стандарты информационной безопасности" в других словарях:

Аудит информационной безопасности системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности… … Википедия

ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения - Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении; АС в защищенном исполнении:… … Словарь-справочник терминов нормативно-технической документации

СТАНДАРТЫ БЕЗОПАСНОСТИ ТРУДА - документы, в которых в целях добровольного многократного использования устанавливаются характеристики безопасности продукции, правила безопасного осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации … Российская энциклопедия по охране труда

Содержание 1 Определение политики безопасности 2 Методы оценки 3 … Википедия

National Security Agency/Central Security Service … Википедия

Аудит Виды аудита Внутренний аудит Внешний аудит Налоговый аудит Экологический аудит Социальный аудит Пожарный аудит Due diligence Основные понятия Аудитор Материа … Википедия

Государственные стандарты на продукцию, работы и услуги - Государственные стандарты разрабатываются на продукцию, работы и услуги, имеющие межотраслевое значение, и не должны противоречить законодательству Российской Федерации. Государственные стандарты должны содержать: требования к продукции, работам… … Словарь: бухгалтерский учет, налоги, хозяйственное право

МЧС Украины (ЛГУБЖД, ЛДУ БЖД) … Википедия

Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение … Википедия

Книги

• Стандарты информационной безопасности. Защита и обработка конфиденциальных документов. Учебное пособ , Сычев Юрий Николаевич. Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения…
• Международные основы и стандарты информационной безопасности финансово-экономических систем. Учебное пособие , Бекетнова Юлия Михайловна. Издание предназначено для студентов, обучающихся по специальности&171;Информационная безопасность&187;бакалавриата и магистратуры, а также научных работников, преподавателей, аспирантов,…

Георгий Гарбузов,
CISSP, MCSE:Security, дирекция информационной безопасности Страховой Группы "УРАЛСИБ"

ИСТОРИЯ стандартизации, как процесса установления единых требований, пригодных для многократного применения, насчитывает несколько тысячелетий - еще при строительстве пирамид в Древнем Египте использовались блоки стандартного размера, а специальные люди контролировали степень соответствия этому древнему стандарту. Сегодня стандартизация занимает прочное место практически во всех отраслях человеческой деятельности.

Стандартизация в области информационной безопасности

Стандартизация в области информационной безопасности (ИБ) выгодна и профессионалам, и потребителям продуктов и услуг ИБ, так как позволяет установить оптимальный уровень упорядочения и унификации, обеспечить взаимозаменяемость продуктов ИБ, а также измеряемость и повторяемость результатов, полученных в разных странах и организациях. Для профессионалов - это экономия времени на поиск эффективных и зарекомендовавших себя решений, а для потребителя - гарантия получения результата ожидаемого качества.

Объектом стандартизации может являться любой продукт или услуга ИБ: метод оценки, функциональные возможности средств защиты и параметры настройки, свойства совместимости, процесс разработки и производства, системы менеджмента и т.д.

Стандартизация, в зависимости от состава участников, бывает международной, региональной или национальной, при этом международная стандартизация (наравне с официальными органами стандартизации, такими как ISO) включает в себя стандартизацию консорциумов (например, IEEE или SAE), а национальная стандартизация бывает государственной или отраслевой.

Остановимся подробнее на некоторых востребованных сегодня зарубежных стандартах, так или иначе затрагивающих вопросы информационной безопасности.

Международные стандарты в области ИБ - зарубежный опыт

Стандартизация в области ИБ за рубежом развивается уже не один десяток лет, и некоторые страны, например Великобритания, имеют огромный опыт в разработке стандартов - многие британские национальные стандарты, такие как BS7799-1/2, приобрели со временем статус международных. С них и начнем.

Международные стандарты ISO 27002 и ISO 27001

Пожалуй, на сегодня это самые востребованные стандарты в области ИБ.

ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:

• формирование политики ИБ;
• безопасность, связанная с персоналом;
• безопасность коммуникаций;
• физическая безопасность;
• управление доступом;
• обработка инцидентов;
• обеспечение соответствия требованиям законодательства.

Стандарт ISO 27001 является сборником критериев при проведении сертификации системы менеджмента, по результатам которой аккредитованным органом по сертификации выдается международный сертификат соответствия, включаемый в реестр.

Согласно реестру, в России в настоящее время зарегистрировано около полутора десятка компаний, имеющих такой сертификат, при общем числе сертификаций в мире более 5000. Подготовка к сертификации может осуществляться либо силами самой организации, либо консалтинговыми компаниями, причем практика показывает, что намного проще получить сертификат ISO 27001 компаниям, уже имеющим сертифицированную систему управления (например, качеством).

Стандарты ISO 27001/27002 являются представителями новой серии стандартов, окончательное формирование которой еще не закончено: в разработке находятся стандарты 27000 (основные принципы и терминология), 27003 (руководство по внедрению системы управления ИБ), 27004 (измерение эффективности системы управления ИБ) и другие - всего в серии 27000 предполагается более 30 стандартов. Подробнее о составе серии и текущем состоянии ее разработки можно узнать на официальном сайте ISO (www.iso.org).

Международные стандарты ISO13335 и ISO15408

Стандарт ISO 13335 является семейством стандартов безопасности информационных технологий, охватывающих вопросы управления ИТ-безопасностью, предлагая конкретные защитные меры и способы. В настоящее время происходит постепенное замещение серии 13335 более новой серией 27000. Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне (подобно знаменитой Оранжевой книге, которая также известна как критерии оценки TCSEC, или европейские критерии ITSEC), которые позволяют сравнивать результаты, полученные в разных странах.

В целом данные стандарты, хотя и содержат лишь технологическую часть, могут использоваться как независимо, так и при построении систем управления ИБ в рамках, например, подготовки к сертификации на соответствие ISO 27001.

CobiT

CobiT представляет собой набор из около 40 международных стандартов и руководств в области управления ИТ, аудита и безопасности и содержит описания соответствующих процессов и метрик. Основная цель CobiT заключается в нахождении общего языка между бизнесом, имеющим конкретные цели, и ИТ, способствующими их достижению, позволяя создавать адекватные планы развития информационных технологий организации.

CobiT применяется для аудита и контроля системы управления ИТ организации и содержит подробные описания целей, принципов и объектов управления, возможных ИТ-процессов и процессов управления безопасностью. Полнота, понятные описания конкретных действий и инструментов, а также нацеленность на бизнес делают CobiT хорошим выбором при создании информационной инфраструктуры и системы управления ею.

В следующей части статьи мы рассмотрим некоторые интересные национальные и отраслевые зарубежные стандарты, такие как NIST SP 800, BS, BSI, PCI DSS, ISF, ITU и другие.

Комментарий эксперта

Алексей Плешков,
начальник отдела защиты информационных технологий, Газпромбанк (Открытое акционерное общество)

Дополнительно к приведенному выше обзору международных стандартов хотелось бы обратить внимание на еще один регламентирующий документ по информационной безопасности, не распространенный на территории РФ. Одним из таких стандартов является документ из линейки методов EBIOS.

Проект EBIOS по разработке методов и инструментальных средств управления ИБ в информационных системах поддерживается правительством Франции и продвигается комиссией DCSSI при премьер-министре Франции на уровень общеевропейского. Назначение этого проекта - способствовать повышению безопасности информационных систем государственных или частных организаций (http://www.securiteinfo.com/conseils/ebios.shtml).

Текст комплекта документации на продукт автоматизации оценочных задач обеспечения ИБ "Методологические инструментальные средства достижения безопасности информационных систем EBIOS (определение потребностей и идентификация целей безопасности)" был опубликован на официальном сайте правительства Франции, посвященном вопросам обеспечения информационной безопасности автоматизированных систем в 2004 г.

Метод EBIOS, предложенный Генеральным секретариатом министерства национальной обороны Франции и названный "Определение потребностей и идентификация целей безопасности" (EBIOS), был разработан с учетом международных стандартов, направленных на обеспечение ИБ. Он формализует подход к осуществлению оценки и обработки рисков в области безопасности информационных систем и применяется для оценки уровня ИБ в разрабатываемых и существующих системах.
Цель метода - позволить любой организации, находящейся под управлением государства, определить перечень действий по обеспечению безопасности, которые необходимо предпринять в первую очередь. Метод может быть реализован администраторами подразделения безопасности организации и может применяться на всех уровнях структуры разрабатываемой или существующей информационной системы (подсистемы, прикладные программы).

Подход EBIOS учитывает три основных свойства ИБ: конфиденциальность, целостность и доступность как информации, так и систем, а также среды, в которой они находятся. В определенных случаях предлагается позаботиться об обеспечении потребностей неотказуемости, авторизации и аутентификации.

Международные стандарты

• BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
• BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
• BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
• ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
• ISO/IEC 27000 - Словарь и определения.
• ISO/IEC 27001 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
• ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
• ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
• German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

• ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
• Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
• ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
• ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
• ГОСТ Р ИСО/МЭК 15408-1-2012 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
• ГОСТ Р ИСО/МЭК 15408-2-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
• ГОСТ Р ИСО/МЭК 15408-3-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
• ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
• ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
• ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
• ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.