Главная  / Программы  /  Международные и государственные стандарты информационной безопасности. Основные стандарты безопасности

Международные и государственные стандарты информационной безопасности. Основные стандарты безопасности

Программы
24.11.2023

В данном разделе приводятся общие сведения и тексты национальных стандартов Российской Федерации в области защиты информации ГОСТ Р.

Актуальный перечень современных ГОСТов, разработанных в последние годы и планируемых к разработке. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России). ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. Общие положения. Москва ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Дата введения 1996-01-01 Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions. Дата введения 2008-02-01 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ЗАЩИТА ИНФОРМАЦИИ. СИСТЕМА СТАНДАРТОВ. ОСНОВНЫЕ ПОЛОЖЕНИЯ (SAFETY OF INFORMATION. SYSTEM OF STANDARDS. BASIC PRINCIPLES) ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ. Типовое руководство (Information security. Software testing for the existence of computer viruses. The sample manual). Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model) ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 2. Security functional requirements) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements) ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Information security of the public communications network providing system. Passport of the organization communications of information security. Дата введения в действие 30.09.2009. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Protection of information. Information security provision in organizations. Basic terms and definitions. Дата введения в действие 30.09.2009. ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Information protection. Facilities for measuring side electromagnetic radiation and pickup parameters. Technical requirements and test methods. Дата введения в действие 30.09.2009. ГОСТ Р 53115-2008 Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства. Information protection. Conformance testing of technical information processing facilities to unauthorized access protection requirements. Methods and techniques. Дата введения в действие 30.09.2009. ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technology and automated systems against covert channel attacks. Дата введения в действие 01.12.2009. ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems. Дата введения в действие 30.09.2009. ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения. Information protection. Guidelines for recovery services of information and communications technology security functions and mechanisms. General. Дата введения в действие 30.09.2009. ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы. Information technology. Security techniques. A framework for IT security assurance. Part 1. Overview and framework. Дата введения в действие 01.07.2012. ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции. Information technology. Security techniques. Network security. Part 1. Overview and concepts. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems. Дата введения в действие 30.09.2009. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Information technology. Security techniques. Information security management. Measurement. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Information technology. Security techniques. Information security risk management. Дата введения в действие 01.12.2011. ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска (Risk management. Risk assessment methods). Дата введения в действие: 01.12.2012 ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство (Risk management. Principles and guidelines). Дата введения в действие: 31.08.2011 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. Дата введения в действие: 30.06.1990. ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» – вступает в силу 1 сентября 2015 г. ГОСТ Р ИСО/МЭК 27033-3-2014 «Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» – вступает в силу 1 ноября 2015 г ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» – вступает в силу 1 ноября 2015 г. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. Information technology. Security techniques. Code of practice for information security management. Дата введения в действие 01.01.2014. Код ОКС 35.040. ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования (Information protection. Secure Software Development. General requirements). Дата введения в действие 01.06.2017. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Information protection. Sequence of protected operational system formation. General. 01.09.2014 ГОСТ Р 7.0.97-2016 Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов (System of standards on information, librarianship and publishing. Organizational and administrative documentation. Requirements for presentation of documents). Дата введения в действие 01.07.2017. Код ОКС 01.140.20. ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер - Security of Financial (banking) Operations. Information Protection of Financial Organizations. Basic Set of Organizational and Technical Measures. ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования - Business continuity management systems. Requirements. ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению - Business continuity management systems. Guidance for implementation. ГОСТ Р ИСО/МЭК 27031-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса - Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity. ГОСТ Р МЭК 61508-1-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 1. General requirements. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-2-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 2. Requirements for systems. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-3-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ. Требования к программному обеспечению. IEC 61508-3:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements (IDT). ГОСТ Р МЭК 61508-4-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ Часть 4 Термины и определения. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 4. Terms and definitions. Дата введения 2013-08-01. . ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3. IEC 61508-6:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (IDT). ГОСТ Р МЭК 61508-7-2012 Функциональная безопасность систем электрических, Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства. Functional safety of electrical electronic programmable electronic safety-related systems. Part 7. Techniques and measures. Дата введения 2013-08-01. ГОСТ Р 53647.6-2012. Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных

Международные стандарты

  • BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
  • BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
  • BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
  • ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
  • ISO/IEC 27000 - Словарь и определения.
  • ISO/IEC 27001:2005 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
  • ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
  • ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
  • German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

  • ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
  • Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
  • ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
  • ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
  • ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
  • ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
  • ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
  • ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
  • ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
  • ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
  • ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

Руководящие документы

  • РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.

См. также

  • Недекларированные возможности

Внешние ссылки


Wikimedia Foundation . 2010 .

Смотреть что такое "Стандарты информационной безопасности" в других словарях:

    Аудит информационной безопасности системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности… … Википедия

    ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения - Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении; АС в защищенном исполнении:… … Словарь-справочник терминов нормативно-технической документации

    СТАНДАРТЫ БЕЗОПАСНОСТИ ТРУДА - документы, в которых в целях добровольного многократного использования устанавливаются характеристики безопасности продукции, правила безопасного осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации … Российская энциклопедия по охране труда

    Содержание 1 Определение политики безопасности 2 Методы оценки 3 … Википедия

    National Security Agency/Central Security Service … Википедия

    Аудит Виды аудита Внутренний аудит Внешний аудит Налоговый аудит Экологический аудит Социальный аудит Пожарный аудит Due diligence Основные понятия Аудитор Материа … Википедия

    Государственные стандарты на продукцию, работы и услуги - Государственные стандарты разрабатываются на продукцию, работы и услуги, имеющие межотраслевое значение, и не должны противоречить законодательству Российской Федерации. Государственные стандарты должны содержать: требования к продукции, работам… … Словарь: бухгалтерский учет, налоги, хозяйственное право

    МЧС Украины (ЛГУБЖД, ЛДУ БЖД) … Википедия

    Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение … Википедия

Книги

  • Стандарты информационной безопасности. Защита и обработка конфиденциальных документов. Учебное пособ , Сычев Юрий Николаевич. Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения…
  • Международные основы и стандарты информационной безопасности финансово-экономических систем. Учебное пособие , Бекетнова Юлия Михайловна. Издание предназначено для студентов, обучающихся по специальности&171;Информационная безопасность&187;бакалавриата и магистратуры, а также научных работников, преподавателей, аспирантов,…

ISO/IEC 27001 - международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

Назначение стандарта. В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия. Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность - обеспечение точности и полноты информации, а также методов её обработки.

Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Стандарт ISO 27001 обеспечивает:

· определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;

· определение подходов к оценке и управлению рисками в организации;

· управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;

· использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;

· определение процессов системы менеджмента информационной безопасности;

· определение статуса мероприятий по обеспечению информационной безопасности;

· использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;



· предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.


Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации по содержанию ФЗ РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.


Стратегия национальной безопасности Российской Федерации до 2020г.». Структура, задачи, методы и пути реализации государством своих функций по обеспечению информационной безопасности в «Доктрине информационной безопасности Российской Федерации».



Стратегия национальной безопасности Российской Федерации до 2020 года - официально признанная система стратегических приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу.

Доктрина информационной безопасности Российской Федерации - совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Составляющие национальных интересов Российской Федерации в информационной сфере в доктрине:

1) Обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею.

2) Информационное обеспечение государственной политики РФ (доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в России и в мире) с доступом граждан к открытым государственным ресурсам.

3) Развитие современных ИТ отечественной индустрии (средств информатизации, телекоммуникации и связи). Обеспечение ИТ внутреннего рынка России и выход на мировые рынки.

4) Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Виды угроз информационной безопасности РФ в доктрине:

1. Угрозы, направленные на конституционные права и свободы человека в области информационной деятельности.

2. Угрозы информационному обеспечению государственной политики РФ.

3. Угроза развитию современных ИТ отечественной индустрии, а также выходу на внутренний и мировой рынок.

4. Угрозы безопасности информационных и телекоммуникационных средств и систем.

Методы обеспечения информационной безопасности РФ в доктрине:

Правовые методы

Разработка нормативных правовых актов, регламентирующих отношения в сфере IT

Организационно-технические методы

Создание системы информационной безопасности РФ и её совершенствование

Привлечение лиц к ответственности, совершивших преступления в этой сфере

Создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации

Экономические методы

Разработка программ обеспечения информационной безопасности и их финансирование

Финансирование работ, связанных с обеспечением информационной безопасности РФ

Одной из важнейших проблем и потребностей современного общества является защита прав человека в условиях вовлечения его в процессы информационного взаимодействия в том числе, право на защиту личной (персональной) информации в процессах автоматизированной обработки информации.

И. Н. Маланыч, студент 6 курса ВГУ

Институт защиты персональных данных сегодня уже не является той категорией, которую можно регулировать только национальным правом. Важнейшей особенностью современных автоматизированных информационных систем является «наднациональность» многих из них, «выход» их за пределы границ государств, развитие общедоступных мировых информационных сетей, таких, как Интернет, формирование единого информационного пространства в рамках таких международных структур.

Сегодня в Российской Федерации существует проблема не только введения в правовое поле института защиты персональных данных в рамках автоматизированных информационных процессов, но и соотнесения ее с существующими международно-правовыми стандартами в этой области.

Можно выделить три основные тенденции международно-правового регулирования института защиты персональных данных, относимого к процессам автоматизированной обработки информации.

1) Декларирование права на защиту персональных данных, как неотъемлемой части фундаментальных прав человека, в актах общегуманитарного характера, принимаемых в рамках международных организаций.

2) Закрепление и регулирование права за защиту персональной информации в актах регулятивного характера Европейского Союза, Совета Европы, отчасти Содружества Независимых Государств и некоторых региональных международных организаций. Этот класс норм – наиболее универсальный и непосредственно касается прав на защиту персональных данных в процессах автоматизированной обработки информации.

3) Включение норм об охране конфиденциальной информации (в том числе, и персональной) в международные договоры.

Первый способ – исторически появился раньше остальных. В современном мире информационные права и свободы являются неотъемлемой частью фундаментальных прав человека.

Всеобщая декларация прав человека 1948 г. провозглашает: «Никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, произвольным посягательствам на … тайну его корреспонденции» и далее: «Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Международный пакт о гражданских и политических правах 1966 г. в этой части повторяет декларацию. Европейская Конвенция 1950 г. детализирует это право: «Каждый человек имеет право на свободу выражения своего мнения. Это право включает свободу придерживаться своего мнения, получать и распространять информацию и идеи без вмешательства со стороны государственных органов и независимо от государственных границ».

Указанные международные документы закрепляют информационные права человека.

В настоящее время на международном уровне сформировалась устойчивая система взглядов на информационные права человека. В обобщенном плане это - право на получение информации, право на частную жизнь с точки зрения охраны информации о ней, право на защиту информации как с точки зрения безопасности государства, так и с точки зрения безопасности бизнеса, включая финансовую деятельность.

Второй способ - более детального регулирования права на защиту персональной информации связан со все возрастающей в последние годы интенсивностью обработки персональной информации с помощью автоматизированных компьютерных информационных систем. В последние десятилетия в рамках ряда международных организаций был принят ряд международных документов, развивающих основные информационные права в связи с интенсификацией трансграничного обмена информацией и использованием современных информационных технологий. Среди таких документов можно назвать следующие:

Совет Европы в 1980 г. разработал Европейскую конвенцию о защите физических лиц в вопросах, касающихся автоматической обработки личных данных, вступившую в силу в 1985 г. В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, принципы хранения и доступа к этим данным, способы физической защиты данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Россия присоединилась к Европейской Конвенции в ноябре 2001 года.

В Европейском Союзе вопросы защиты персональных данных регулируются целым комплексом документов. В 1979 г. была принята Резолюция Европарламента «О защите прав личности в связи с прогрессом информатизации». Резолюция предложила Совету и Комиссии Европейских сообществ разработать и принять правовые акты по защите данных о личности в связи с техническим прогрессом в области информатики. В 1980 году приняты Рекомендации Организации по сотрудничеству стран-членов Европейского Союза «О руководящих направлениях по защите частной жизни при межгосударственном обмене данными персонального характера». В настоящее время вопросы защиты персональных данных детально регламентируются директивами Европарламента и Совета Европейского Союза. Это Директивы № 95/46/EC и № 2002/58/EC Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», Директива № 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций и другие документы.

Акты Европейского Союза характеризуются детальной проработкой принципов и критериев автоматизированной обработки данных, прав и обязанностей субъектов и держателей персональных данных, вопросов их трансграничной передачи, а также ответственности и санкций за нанесение ущерба. В соответствии с Директивой № 95/46/EC в Европейском Союзе создана Рабочая группа по защите индивидуумов в отношении обработки их персональных данных. Она имеет статус консультативного органа и действует в качестве независимой структуры. Рабочая группа состоит из представителя органа, созданного каждым государством-участником для целей надзора за соблюдением на своей территории положений Директивы, представителя органа или органов, учрежденных для институтов и структур Сообщества, и представителя Еврокомиссии.

В рамках Организации по экономическому сотрудничеству и развитию (ОЭСР) действуют «Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными» , которая была принята 23 сентября 1980 года. В преамбуле этой Директивы говорится: «…Страны - члены ОЭСР сочли необходимым разработать Основные положения, которые могли бы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблюдение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными…». Настоящие положения применяются как в государственном, так и в частном секторе к персональным данным, которые либо в связи с процедурой их обработки, либо в связи с их характером или контекстом их использования несут в себе угрозу нарушения неприкосновенности частной жизни и индивидуальных свобод. В ней определена необходимость обеспечения персональных данных должными механизмами защиты от рисков, связанных с их потерей, уничтожением, изменением или разглашением, несанкционированным доступом. Россия, к сожалению, в этой организации не участвует.

Межпарламентской ассамблеей государств – участников СНГ 16 октября 1999г. принят Модельный Закон «О персональных данных».

По закону «Персональные данные» - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие. В законе также перечислены принципы правового регулирования персональных данных, формы государственного регулирования операций с персональными данными, права и обязанности субъектов и держателей персональных данных.

Представляется, что рассмотренный второй способ нормативного регулирования защиты персональных данных в международных правовых актов является наиболее интересным для анализа. Нормы этого класса не только непосредственно регулируют общественные отношения в этой области, но и способствуют приведению законодательства стран-членов к международным стандартам, тем самым обеспечивая действенность этих норм на их территории. Тем самым, обеспечивается и гарантированность закрепленных во Всеобщей декларации прав человека информационных прав в смысле декларированного в статье 12 последней «права на защиту закона от …вмешательства или …посягательств».

Третий способ закрепления норм о защите персональных данных - закрепление их правовой охраны в международных договорах.

Статьи об обмене информацией включаются в международные договоры о правовой помощи, об избежании двойного налогообложения, о сотрудничестве в определенной общественной, культурной сфере.

По ст. 25 Договора между Российской Федерацией и США об избежании двойного налогообложения и предотвращении уклонения от налогообложения в отношении налогов на доходы и капитал, государства обязаны предоставлять информацию, составляющую профессиональную тайну. Договор между Российской Федерацией и Республикой Индией о взаимной правовой помощи по уголовным делам содержит статью 15 «Конфиденциальность»: запрашиваемая сторона может потребовать сохранения конфиденциальности переданной информации. Практика заключения международных договоров показывает стремление договаривающихся государств соблюдать международные стандарты защиты персональных данных.

Представляется, что наиболее эффективным механизмом регулирования этого института на международно-правовом уровне является издание специальных регулятивных документов в рамках международных организаций. Этот механизм не только способствует соответствующему внутреннему регулированию затронутых в начале статьи актуальных проблем защиты персональной информации внутри этих организаций, но и благотворно влияет на национальное законодательство стран-участниц.


Специалистам в области информационной безопасности сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин. Формальная состоит в том, что необходимость следования некоторым стандартам, таким как «криптографические» стандарты или «руководящие документы» закреплена законодательно. Однако наиболее убедительны содержательные причины.

Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях информационной безопасности. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

В-третьих перед стандартами информационной безопасности стоит непростая задача примирить три разные точки зрения, «производителя средств защиты», «потребителя» и различных «специалистов по сертификации», а так же создать эффективный механизм взаимодействия всех сторон.

Потребители заинтересованы в методах, позволяющих выбрать продукт, соответствующий их запросам и решающий их проблемы, это может быть в том числе и VPS под управлением ОС Wшndows Server, для чего им необходима шкала оценки безопасности. А так же потребителю необходим инструмент, с помощью которого он сможет сформулировать свои требования перед произво¬дителем. К большому сожалению, многие потребители зачастую не пони¬мают, что требования безопасности обязательно противоречат не только удобству работы но быстродействию, а чаще накладывают определенные ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных, удобных в использовании, но менее защищенных средств.

Специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности и предоставить потребителям возможность сделать для себя наиболее эффективный выбор.

Одним из первых и наиболее известных документов стала так называемая «Оранжевая книга» разработанная в 90-х как «Критерии безопасности компьютерных систем» Министерства обороны США. В ней определены 4 уровня безопасности, A, B, C, D, где А наиболее высокий уровень безопасности, в котором, соответственно, предъявляются самые жесткие требования.

Хоть «Оранжевая книга» и стала одной из первых наиболее известных документов, однако понятно, что каждое государство, которое хочет обеспечить свою информационную безопасность, разрабатывало свою документацию - «национальные стандарты», в сфере информационной безопасности. К ним можно отнести «Европейские критерии безопасности информационных технологий», «Канадские критерии безопасности компьютерных систем», а так же «Британские практические правила управления информационной безопасностью» на основе которого, кстати, создан международный стандарты ISO/IEC 17799:2000 (BS 7799-1:2000). В данный момент последняя версия стандарта ISO/IEC 27001:2013, а так же «Руководящие документы Гостехкомиссии СССР» (а позднее России).

Следует отметить, что американцы высоко оценили деятельность «Гостехкомиссии СССР». В американских изданиях писали, что советский орган по защите информации и противодействию технической разведке тщательнейшим образом изучает все, что известно на Западе о Советском Союзе, и разрабатывает «огромное количество материалов в целях искажения действительной картины». Комиссия, как сообщали они, контролирует все военные парады и учения, на которых присутствуют иностранцы, строительство ракетных баз и казарм, при этом в некоторых областях достижения умышленно скрываются, в других таких как противоракетная оборона, значительно преувеличиваются. Деятельность Гостехкомиссии на данном направлении действительно очень скоро принесла свои первые плоды. Как писала американская газета «Нью-Йорк Таймс», уже в 1977 г. вследствие мер, принятых на судостроительных заводах и верфях СССР, у американцев возникли проблемы с контролем за ходом строительства советских подводных лодок.

Результатами работы «Гостехкомиссии СССР» в советский период стало не только повышение защищенности информации на предприятиях ВПК, испытаний новых видов вооружения на полигонах. Была проведена серьезная работа по обеспечению безопасности информации, обрабатываемой в АСУ и ЭВМ, в частности, созданы защищенные системы управления ЭВМ и средства обработки конфиденциальных документов, исключающие утечку секретной информации, внедрены каналы связи на уровне правительственных органов и высшего командования Советской Армии и многое другое.

Так же нельзя не отметить что ранее указанная роль стандартов зафиксирована и в Федеральном законе "О техническом регулировании " от 27.12.2002 N 184-ФЗ

Необходимо отметить, что в число принципов стандартизации, провозглашенных в упомянутом законе, в Статье 7 «Содержание и применение технических регламентов» входит принцип применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям, техническим или технологическим особенностям или по иным основаниям, или если Российская Федерация, выступала против принятия международного стандарта или отдельного его положения.

Статья 7. Пункт 8:

Международные стандарты должны использоваться полностью или частично в качестве основы для разработки проектов технических регламентов, за исключением случаев, если международные стандарты или их разделы были бы неэффективными или не подходящими для достижения установленных статьей 6 настоящего Федерального закона целей, в том числе вследствие климатических и географических особенностей Российской Федерации, технических и (или) технологических особенностей. (в ред. Федерального закона от 18.07.2009 N 189-ФЗ)
Национальные стандарты Российской Федерации могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов.

Так как с практической точки зрения, количество стандартов и спецификаций, включая международные, национальные и отраслевые в области информационной безопасности бесконечно, приведем только некоторые из них, полный список национальных стандартов предоставлен на сайте ФСТЭК России в соответствующем разделе «Национальные стандарты».
Обозначение Наименование на русском языке
ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
ГОСТ Р 51188-98 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
ГОСТ Р 53111-2008 Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
ГОСТ Р 53113.1-2008 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения
ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов
ГОСТ Р 54581-2011 / I SO/IEC TR 15443-1:2005 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы
ГОСТ Р 54582-2011 / ISO/IEC TR 15443-2:2005 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия
ГОСТ Р 54583-2011 / ISO/IEC TR 15443-3:2007 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия
ГОСТ Р ИСО 7498-1-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель
ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети
ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

Для примера рассмотрим ГОСТ Р 53113.2-2009 «Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов».

В данном стандарте представлены не только общая схема функционирования скрытых каналов в автоматизированной системе, правила формирования модели угроз, но и различные рекомендации по защите информации и применяемые при построении системы информационной безопасности методики, учитывающие наличие подобных скрытых каналов.

Ниже на рисунке 1, представлена общая схема функционирования скрытых каналов в автоматизированной системе.

Рисунок 1 - Общая схема механизма функционирования скрытых каналов в автоматизированной системе

1 - нарушитель безопасности (злоумышленник), целью которого является несанкционированный доступ к информации ограниченного доступа либо несанкционированное влияние на автоматизированную систему;
2 - информация ограниченного доступа либо критически важная функция;
3 - субъект, имеющий санкционированный доступ к 2 и 5;
3" - агент нарушителя безопасности, находящийся в замкнутом контуре с 2 и взаимодействующий с 2 от имени субъекта 3;
4 - инспектор (программное, программно-аппаратное, аппаратное средство или лицо), контролирующий(ее) информационное взаимодействие 3, пересекающее замкнутый контур, отделяющий объект информатизации от внешней среды;
5 - субъект, находящийся вне замкнутого контура, с которым 3 осуществляет санкционированное информационное взаимодействие

Угрозы безопасности, которые могут быть реализованы с помощью скрытых каналов, включают в себя:

1. Внедрение вредоносных программ и данных;
2. Подачу злоумышленником команд агенту для выполнения;
3. Утечку криптографических ключей или паролей;
4. Утечку отдельных информационных объектов.

Защита информации, информационных технологий и автоматизированных систем от атак, реализуемых с использованием скрытых каналов, является циклическим процессом, включающим в себя следующие этапы, повторяющиеся на каждой из итераций процесса:

1. Анализ рисков для активов организации, включающий в себя выявление ценных активов и оценку возможных последствий реализации атак с использованием скрытых каналов
2. Выявление скрытых каналов и оценка их опасности для активов организации
3. Реализация защитных мер по противодействию скрытых каналов
4. Организация контроля за противодействием скрытых каналов.

Цикличность процесса защиты от угроз информационной безопасности, реализуемых с использованием скрытых каналов, определяется появлением новых способов построения скрытых каналов, неизвестных на момент предыдущих итераций.

На основании оценки опасности скрытых каналов с учетом результатов проведенного анализа рисков делается вывод о целесообразности или нецелесообразности противодействия таким каналам.

По результатам выявления скрытых каналов формируется план мероприятий по противодействию угрозам, реализуемым с их использованием. Данные мероприятия могут включать в себя реализацию одного из уже известных (либо усовершенствование уже существующих) методов противодействия угрозам информационной безопасности, реализуемым с использованием скрытых каналов.

В качестве защитных мероприятий целесообразно использовать:

1. Снижение пропускной способности канала передачи информации;
2. Архитектурные решения построения автоматизированных систем;
3. Мониторинг эффективности защиты автоматизированных систем.

Выбор методов противодействия угрозам информационной безопасности арендуемого вами VDS сервера, реализуемым с использованием скрытых каналов и формирование плана по их реализации определяется экспертами, исходя из индивидуальных особенностей защищаемой автоматизированной системы.

Как видите, даже краткий перечень стандартов, далеко не краткий, не говоря уже о нормативных актах и рекомендациях, однако необходимо обладать хотя бы базовыми знаниями в данной области, чтобы можно было не только ориентироваться но и применять на практике необходимые стандарты.