منو
خانهدیگر

کاربرد عملی استاندارد بین المللی امنیت اطلاعات استانداردهای امنیت اطلاعات پیش نیازهای ایجاد استانداردهای بین المللی IS

این بخش ارائه می دهد اطلاعات کلیو متون استانداردهای ملی فدراسیون روسیه در زمینه امنیت اطلاعات GOST R.

فهرستی به روز از GOST های مدرن که در سال های اخیر توسعه یافته و برای توسعه برنامه ریزی شده است. سیستم صدور گواهینامه ابزارهای امنیت اطلاعات بر اساس الزامات امنیت اطلاعات شماره ROSS RU.0001.01BI00 (FSTEC روسیه). استاندارد دولتی فدراسیون روسیه. حفاظت اطلاعات. رویه ایجاد سیستم های خودکار در عملکرد محافظت شده. مقررات عمومی. مسکو استاندارد دولتی فدراسیون روسیه. امکانات کامپیوتری. محافظت در برابر دسترسی غیرمجاز به اطلاعات. عمومی الزامات فنی. تاریخ معرفی 1996-01-01 استاندارد ملی فدراسیون روسیه حفاظت اطلاعات. اصطلاحات و تعاریف اولیه حفاظت از اطلاعات اصطلاحات و تعاریف اولیه تاریخ معرفی 2008-02-01 استاندارد دولتی فدراسیون روسیه. حفاظت اطلاعات. سیستم استانداردها. مقررات اساسی (ایمنی اطلاعات. سیستم استانداردها. اصول اولیه) استاندارد دولتی فدراسیون روسیه. حفاظت اطلاعات. تست نرم افزار برای ویروس های کامپیوتری. نمونه راهنمای (امنیت اطلاعات. تست نرم افزار برای وجود ویروس های کامپیوتری. نمونه راهنمای). فناوری اطلاعات. حفاظت از فناوری اطلاعات و سیستم های خودکاراز تهدیدات امنیت اطلاعاتبا استفاده از کانال های مخفی اجرا می شود. قسمت 1. مقررات عمومی فناوری اطلاعات. حفاظت از فناوری های اطلاعات و سیستم های خودکار در برابر تهدیدات امنیت اطلاعات که با استفاده از کانال های مخفی اجرا می شود. بخش 2. توصیه هایی برای سازماندهی حفاظت از اطلاعات، فناوری اطلاعات و سیستم های خودکار در برابر حملات با استفاده از کانال های مخفی فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. راهنمایی برای توسعه پروفایل های حفاظتی و اهداف امنیتی شناسایی خودکار شناسایی بیومتریک تست های عملکرد و گزارش های آزمایش در بیومتریک. بخش 3. ویژگی های آزمایش برای روش های مختلف بیومتریک فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. روش شناسی برای ارزیابی امنیت فناوری اطلاعات GOST R ISO/IEC 15408-1-2008 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. معیارهای ارزیابی امنیت فناوری اطلاعات. قسمت 1. مقدمه و مدل کلی(فناوری اطلاعات. تکنیک های امنیتی. معیارهای ارزیابی امنیت فناوری اطلاعات. قسمت 1. مقدمه و مدل کلی) GOST R ISO/IEC 15408-2-2008: فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. معیارهای ارزیابی امنیت فناوری اطلاعات. بخش 2. الزامات عملکردی امنیتی (فناوری اطلاعات. تکنیک های امنیتی. معیارهای ارزیابی امنیت فناوری اطلاعات. بخش 2. الزامات عملکردی امنیتی) GOST R ISO/IEC 15408-3-2008 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. معیارهای ارزیابی امنیت فناوری اطلاعات. بخش 3. الزامات تضمین امنیت (فناوری اطلاعات. تکنیک های امنیتی. معیارهای ارزیابی برای امنیت فناوری اطلاعات. بخش 3. الزامات تضمین امنیت) GOST R 53109-2008 سیستم امنیت اطلاعات شبکه ارتباط عمومی. پاسپورت سازمان ارتباطات امنیت اطلاعات. امنیت اطلاعات سیستم تامین شبکه ارتباطات عمومی گذرنامه سازمان ارتباطات امنیت اطلاعات. تاریخ لازم الاجرا شدن 30.09.2009. GOST R 53114-2008 امنیت اطلاعات. تضمین امنیت اطلاعات در سازمان. اصطلاحات و تعاریف اولیه حفاظت از اطلاعات تامین امنیت اطلاعات در سازمان ها اصطلاحات و تعاریف اولیه تاریخ لازم الاجرا شدن 30.09.2009. GOST R 53112-2008 امنیت اطلاعات. مجتمع هایی برای اندازه گیری پارامترهای تابش الکترومغناطیسی کاذب و پیکاپ ها. الزامات فنی و روش های آزمایش. حفاظت از اطلاعات امکاناتی برای اندازه گیری تابش الکترومغناطیسی جانبی و پارامترهای پیکاپ. الزامات فنی و روش های آزمایش تاریخ لازم الاجرا شدن 30.09.2009. GOST R 53115-2008 امنیت اطلاعات. آزمایش ابزارهای فنی پردازش اطلاعات برای انطباق با الزامات امنیتی از دسترسی غیرمجاز. روش ها و وسایل. حفاظت از اطلاعات تست انطباق امکانات پردازش اطلاعات فنی با الزامات حفاظت از دسترسی غیرمجاز. روش ها و تکنیک ها. تاریخ لازم الاجرا شدن 30.09.2009. GOST R 53113.2-2009 فناوری اطلاعات. حفاظت از فناوری های اطلاعات و سیستم های خودکار در برابر تهدیدات امنیت اطلاعات که با استفاده از کانال های مخفی اجرا می شود. بخش 2. توصیه هایی برای سازماندهی حفاظت از اطلاعات، فناوری اطلاعات و سیستم های خودکار در برابر حملات با استفاده از کانال های مخفی. فناوری اطلاعات. حفاظت از فناوری اطلاعات و سیستم های خودکار در برابر تهدیدات امنیتی ناشی از استفاده از کانال های مخفی. بخش 2. توصیه هایی در مورد حفاظت از اطلاعات، فناوری اطلاعات و سیستم های خودکار در برابر حملات کانال های مخفی. تاریخ لازم الاجرا شدن 01.12.2009. GOST R ISO/IEC TO 19791-2008 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. ارزیابی ایمنی سیستم های خودکار فناوری اطلاعات. تکنیک های امنیتی ارزیابی امنیتی سیستم های عملیاتی تاریخ لازم الاجرا شدن 30.09.2009. GOST R 53131-2008 امنیت اطلاعات. توصیه هایی برای خدمات بازیابی فاجعه از توابع و مکانیسم های امنیتی فناوری اطلاعات و ارتباطات. مقررات عمومی حفاظت از اطلاعات دستورالعمل ها برای خدمات بازیابی عملکردها و مکانیسم های امنیتی فناوری اطلاعات و ارتباطات. عمومی. تاریخ لازم الاجرا شدن 30.09.2009. GOST R 54581-2011 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. مبانی اعتماد در امنیت فناوری اطلاعات بخش 1. بررسی اجمالی و اصول. فناوری اطلاعات. تکنیک های امنیتی چارچوبی برای تضمین امنیت فناوری اطلاعات بخش 1. بررسی اجمالی و چارچوب. تاریخ لازم الاجرا شدن 01.07.2012. GOST R ISO/IEC 27033-1-2011 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. امنیت شبکه. بخش 1. بررسی اجمالی و مفاهیم. فناوری اطلاعات. تکنیک های امنیتی امنیت شبکه. بخش 1. بررسی اجمالی و مفاهیم. تاریخ لازم الاجرا شدن 01.01.2012. GOST R ISO/IEC 27006-2008 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. الزامات برای نهادهای انجام ممیزی و صدور گواهینامه سیستم های مدیریت امنیت اطلاعات. فناوری اطلاعات. تکنیک های امنیتی الزامات برای نهادهای ارائه دهنده ممیزی و گواهی سیستم های مدیریت امنیت اطلاعات. تاریخ لازم الاجرا شدن 30.09.2009. GOST R ISO/IEC 27004-2011 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. مدیریت امنیت اطلاعات اندازه گیری ها فناوری اطلاعات. تکنیک های امنیتی مدیریت امنیت اطلاعات اندازه گیری ها تاریخ لازم الاجرا شدن 01.01.2012. GOST R ISO/IEC 27005-2010 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. مدیریت ریسک امنیت اطلاعات فناوری اطلاعات. تکنیک های امنیتی مدیریت ریسک امنیت اطلاعات تاریخ لازم الاجرا شدن 01.12.2011. GOST R ISO/IEC 31010-2011 مدیریت ریسک. روش های ارزیابی ریسک (مدیریت ریسک. روش های ارزیابی ریسک). تاریخ لازم الاجرا شدن: 1391/01/12 GOST R ISO 31000-2010 مدیریت ریسک. اصول و دستورالعمل ها (مدیریت ریسک. اصول و دستورالعمل ها). تاریخ لازم الاجرا شدن: 31.08.2011 GOST 28147-89 سیستم های پردازش اطلاعات. حفاظت رمزنگاری الگوریتم تبدیل رمزنگاری تاریخ لازم الاجرا شدن: 1369/06/30. GOST R ISO/IEC 27013-2014 "فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. راهنما اشتراک گذاری ISO/IEC 27001 و ISO/IEC 20000-1” – قابل اجرا از 1 سپتامبر 2015 GOST R ISO/IEC 27033-3-2014 "امنیت شبکه. بخش 3. سناریوهای شبکه مرجع. تهدیدها، روش‌های طراحی، و مسائل مدیریتی» – از 1 نوامبر 2015 لازم الاجرا شد. GOST R ISO/IEC 27037-2014 "فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. دستورالعمل‌هایی برای شناسایی، جمع‌آوری، دریافت و ذخیره‌سازی شواهد به صورت دیجیتالی – لازم‌الاجرا از 1 نوامبر 2015. GOST R ISO/IEC 27002-2012 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. کد هنجارها و قوانین مدیریت امنیت اطلاعات. فناوری اطلاعات. تکنیک های امنیتی آیین نامه مدیریت امنیت اطلاعات تاریخ لازم الاجرا شدن 01.01.2014. کد OKS 35.040. GOST R 56939-2016 امنیت اطلاعات. توسعه نرم افزار امن الزامات عمومی (محافظت از اطلاعات. توسعه نرم افزار ایمن. الزامات عمومی). تاریخ لازم الاجرا شدن 1396/06/01. GOST R 51583-2014 امنیت اطلاعات. ترتیب ایجاد سیستم های خودکار در اجرای حفاظت شده. مقررات عمومی حفاظت از اطلاعات توالی تشکیل سیستم عملیاتی محافظت شده عمومی. 1393/09/01 GOST R 7.0.97-2016 سیستم استانداردهای اطلاعات، کتابداری و انتشارات. اسناد سازمانی و اداری. الزامات اسنادی (سیستم استانداردهای اطلاعاتی، کتابداری و نشر. مستندات سازمانی و اداری. الزامات ارائه اسناد). تاریخ لازم الاجرا شدن 1396.01.07. کد OKS 01.140.20. GOST R 57580.1-2017 امنیت معاملات مالی (بانکی). حفاظت از اطلاعات سازمان های مالی. ترکیب اساسی اقدامات سازمانی و فنی - امنیت عملیات مالی (بانکی). حفاظت اطلاعات سازمان های مالی. مجموعه اقدامات اساسی سازمانی و فنی. GOST R ISO 22301-2014 سیستم های مدیریت تداوم کسب و کار. الزامات عمومی - سیستم های مدیریت تداوم کسب و کار. الزامات. GOST R ISO 22313-2015 مدیریت تداوم کسب و کار. راهنمای پیاده سازی - سیستم های مدیریت تداوم کسب و کار. راهنمایی برای اجرا. GOST R ISO/IEC 27031-2012 فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. راهنمای آمادگی فناوری اطلاعات و ارتباطات برای تداوم کسب و کار - فناوری اطلاعات. تکنیک های امنیتی دستورالعمل های آمادگی فناوری اطلاعات و ارتباطات برای تداوم کسب و کار. GOST R IEC 61508-1-2012 ایمنی عملکردی سیستم های الکترونیکی الکتریکی، الکترونیکی، قابل برنامه ریزی مرتبط با ایمنی. بخش 1. الزامات عمومی. ایمنی عملکردی سیستم های الکتریکی، الکترونیکی، الکترونیکی قابل برنامه ریزی مرتبط با ایمنی. بخش 1. الزامات عمومی. تاریخ معرفی 2013-08-01. GOST R IEC 61508-2-2012 ایمنی عملکردی سیستم های الکترونیکی الکتریکی، الکترونیکی، قابل برنامه ریزی مرتبط با ایمنی. بخش 2. الزامات برای سیستم ها. ایمنی عملکردی سیستم های الکتریکی، الکترونیکی، الکترونیکی قابل برنامه ریزی مرتبط با ایمنی. بخش 2. الزامات برای سیستم ها. تاریخ معرفی 2013-08-01. GOST R IEC 61508-3-2012 ایمنی عملکردی سیستم های الکترونیکی قابل برنامه ریزی الکتریکی، الکترونیکی مرتبط با ایمنی. الزامات به نرم افزار. IEC 61508-3:2010 ایمنی عملکردی سیستم های مرتبط با ایمنی الکترونیکی الکتریکی/الکترونیکی/قابل برنامه ریزی - قسمت 3: الزامات نرم افزاری (IDT). GOST R IEC 61508-4-2012 ایمنی عملکردی سیستم های الکتریکی، الکترونیکی، قابل برنامه ریزی الکترونیکی مرتبط با ایمنی قسمت 4 شرایط و تعاریف. ایمنی عملکردی سیستم های الکتریکی، الکترونیکی، الکترونیکی قابل برنامه ریزی مرتبط با ایمنی. قسمت 4. اصطلاحات و تعاریف. تاریخ معرفی 2013-08-01. . GOST R IEC 61508-6-2012 ایمنی عملکردی سیستم های الکترونیکی الکتریکی، الکترونیکی، قابل برنامه ریزی مرتبط با ایمنی. بخش 6. دستورالعمل برای استفاده از GOST R IEC 61508-2 و GOST R IEC 61508-3. IEC 61508-6:2010. ایمنی عملکردی سیستم‌های مرتبط با ایمنی الکترونیکی الکتریکی/الکترونیکی/قابل برنامه‌ریزی - قسمت 6: دستورالعمل‌های کاربرد IEC 61508-2 و IEC 61508-3 (IDT). GOST R IEC 61508-7-2012 ایمنی عملکردی سیستم های الکتریکی، ایمنی عملکردی سیستم های الکترونیکی الکتریکی، الکترونیکی، قابل برنامه ریزی مرتبط با ایمنی. قسمت 7. روش ها و وسایل. ایمنی عملکردی سیستم های الکترونیکی قابل برنامه ریزی الکترونیکی مرتبط با ایمنی. بخش 7. تکنیک ها و اقدامات. تاریخ معرفی 2013-08-01. GOST R 53647.6-2012. مدیریت تداوم کسب و کار. الزامات یک سیستم مدیریت اطلاعات شخصی برای اطمینان از حفاظت از داده ها

V.V. تیخوننکورئیس اتحادیه متخصصان و کارشناسان کیفیت (کیف، اوکراین)، دکتری، مدیر عامل EKTC "WATT"

در این مقاله شرحی از استانداردهای اصلی امنیت ملی و بین المللی ارائه شده است. تعاریف اصطلاحات «ایمنی»، «خطر»، «ریسک» در نظر گرفته شده است. مفروضاتی در مورد امکان استفاده از اصول عدم قطعیت هایزنبرگ و اصول مکمل بودن بور برای توصیف خطرات مطرح شده است.

"امنیت" چیست؟

اطمینان از ایمنی یکی از مهم ترین الزاماتی است که همه در همه جا و همیشه باید رعایت کنند، زیرا هر فعالیتی بالقوه خطرناک است. امنیت با ریسک مرتبط است (آنها به یکدیگر وابسته هستند). تعاریف این مفاهیم ارائه شده در استانداردها را در نظر بگیرید.

ایمنی- بدون خطر غیرقابل قبول

خطرمنبع بالقوه آسیب است.

خطر- اثر عدم قطعیت اهداف.

بنابراین، امنیت به هیچ وجه با عدم وجود خطر، بلکه تنها با عدم وجود ریسک غیرقابل قبول مشخص می شود. استانداردها ریسک قابل تحمل را به عنوان "توازن بهینه بین ایمنی و الزاماتی که یک محصول، فرآیند یا خدمات باید برآورده کند، و همچنین عواملی مانند سود کاربر، اثربخشی هزینه، سفارشی و غیره" تعریف می‌کنند. این استاندارد که اغلب توسط شرکت ها مورد استفاده قرار می گیرد، ریسک قابل تحمل (قابل قبول) را به این صورت تعریف می کند: "خطر کاهش می یابد تا سطحی که یک سازمان بتواند با توجه به تعهدات قانونی و خط مشی خود در زمینه بهداشت و ایمنی شغلی تحمل کند."

استانداردها راه های کاهش ریسک (به ترتیب اولویت) را تنظیم می کنند:

  • توسعه یک پروژه ایمن؛
  • وسایل حفاظتی و تجهیزات حفاظت فردی (اینها تجهیزات حفاظتی جمعی و فردی هستند - ویرایش).
  • اطلاعات نصب و برنامه؛
  • تحصیلات.

انواع استانداردهای امنیتی

با توجه به انواع زیر از استانداردهای امنیتی می توان:

  • اساسی، از جمله مفاهیم اساسی، اصول و الزامات مربوط به جنبه های اصلی امنیت. این استانداردها برای طیف وسیعی از محصولات، فرآیندها و خدمات اعمال می شود.
  • گروه، حاوی جنبه های ایمنی قابل اعمال برای چندین نوع یا برای خانواده ای از انواع محصولات، فرآیندها یا خدمات مرتبط. این اسناد به استانداردهای اساسی ایمنی اشاره می کنند.
  • استانداردهای ایمنی محصول که شامل جنبه های ایمنی یک نوع یا خانواده خاص از محصولات، فرآیندها یا خدمات می شود. در این اسناد به استانداردهای بنیادی و گروهی اشاره شده است.
  • استانداردهای محصول شامل، اما نه محدود به، جنبه های ایمنی. آنها باید به استانداردهای ایمنی اساسی و گروهی اشاره کنند. جدول نمونه هایی از استانداردهای بین المللی مربوط به انواع ذکر شده را ارائه می دهد. می توانید خواندن جدول را توصیه کنید. 1 استاندارد، که اسناد نظارتی بین المللی، اروپایی و روسی را شامل الزامات ویژگی های عملکرد ایمنی را مشخص می کند.

تنظیم الزامات ایمنی در مقررات / استانداردها باید بر اساس تجزیه و تحلیل خطر آسیب به افراد، اموال یا محیط زیست یا ترکیبی از آنها، همانطور که استانداردها می گویند، باشد. شکل به صورت شماتیک ریسک های اصلی شرکت را نشان می دهد که استانداردهای مدیریت ریسک را نشان می دهد.

این امکان وجود دارد که توابع دلتای دیراک و توابع Heaviside برای توصیف و تحلیل خطرات و خطرات مورد استفاده قرار گیرند، زیرا انتقال از ریسک قابل قبول به غیرقابل قبول ناگهانی است.

اصول و ابزارهای امنیتی

از لحاظ نظری، اصول امنیتی زیر را می توان متمایز کرد:

  • مدیریتی (کفایت، کنترل، بازخورد، مسئولیت، برنامه ریزی، تحریک، مدیریت، کارایی).
  • سازمانی (محافظت با زمان، اطلاعات، افزونگی، ناسازگاری، سهمیه بندی، استخدام، سازگاری، ارگونومی)؛
  • فنی (مسدود کردن، جاروبرقی، آب بندی، حفاظت از راه دور، فشرده سازی، استحکام، پیوند ضعیف، بلغم، محافظ)؛
  • جهت دهی (فعالیت های اپراتور، جایگزینی اپراتور، طبقه بندی، حذف خطر، ثبات، کاهش ریسک).

بگذارید با جزئیات بیشتری در مورد اصل طبقه بندی (رده بندی) صحبت کنیم. این شامل تقسیم اشیاء به کلاس ها و دسته ها بر اساس علائم مرتبط با خطرات است. به عنوان مثال: مناطق حفاظت بهداشتی (5 کلاس)، دسته های تولید (محل) برای خطر انفجار (A، B، C، D، E)، دسته ها / طبقات طبق دستورالعمل های ATEX (3 دسته تجهیزات، 6 منطقه)، خطر زباله کلاس ها (5 کلاس - در روسیه، 4 کلاس - در اوکراین)، کلاس های خطر مواد (4 کلاس)، کلاس های خطر برای حمل و نقل کالاهای خطرناک (9 کلاس) و غیره.

اطلاعات

بر اساس محاسبات هاینریش، برای یک تصادف مرگبار، حدود 30 جراحت با عواقب کمتر جدی و حدود 300 حادثه دیگر وجود دارد که می تواند تقریباً نادیده گرفته شود. در عین حال، هزینه های غیرمستقیم اقتصادی از بین بردن پیامدها چهار برابر بیشتر از هزینه های مستقیم است.

ارجاع

حدود 20٪ از تمام حوادث نامطلوب مربوط به خرابی تجهیزات و 80٪ با خطای انسانی است که 70٪ از خطاها ناشی از ضعف های پنهان سازمانی است (خطاها پنهان بودند، هیچ پاسخی به آنها وجود نداشت) و حدود 30٪ با یک کارگر منفرد مرتبط بودند.

برنج. ریسک های شرکت (مثال) و استانداردهای قابل اجرا

یادداشت:

ECO - استانداردهای ارزش گذاری اروپا (گروه اروپایی ارزیابی کنندگان TEGoVA)؛

IVS - استانداردهای بین المللی ارزش گذاری (ملاک)؛

IFRS - استانداردهای بین المللی گزارشگری مالی (IFRS)؛

بازل II - موافقتنامه "همگرایی بین المللی اندازه گیری سرمایه و استانداردهای سرمایه: رویکردهای جدید" کمیته بازل در مورد نظارت بانکی.

BRC - استانداردهای جهانی کنسرسیوم خرده فروشی بریتانیا (استانداردهای کنسرسیوم تجارت بریتانیا).

COBIT - اهداف کنترل اطلاعات و فناوری های مرتبط ("مشکلات اطلاعات و فناوری های مرتبط" - بسته اسناد باز، حدود 40 استاندارد و دستورالعمل بین المللی و ملی در زمینه مدیریت فناوری اطلاعات، حسابرسی و امنیت فناوری اطلاعات); COSO - کمیته سازمان های حامی کمیسیون ترد وی (استاندارد کمیته سازمان های حامی کمیسیون ترد وی).

FERMA - فدراسیون انجمن های مدیریت ریسک اروپا (استاندارد فدراسیون انجمن های مدیریت ریسک اروپا)؛ GARP - انجمن جهانی متخصصان ریسک (استاندارد انجمن متخصصان ریسک)؛

IFS - استانداردهای ویژه بین المللی (استانداردهای بین المللی برای تولید و فروش محصولات غذایی)؛

ISO / PAS 28000 - مشخصات سیستم های مدیریت امنیتی برای زنجیره تامین (سیستم های مدیریت امنیت زنجیره تامین. مشخصات).

NIST SP 800-30 - راهنمای مدیریت ریسک برای سیستم های فناوری اطلاعات.

جدول. استانداردهای ایمنی (مثال)

نوع استانداردها

نمونه هایی از استانداردها

استانداردهای اساسی

ISO 31000 Risk management - Principles and Guidelines (Risk management. Principles and Guidelines);

IEC/ISO 31010 مدیریت ریسک - تکنیک های ارزیابی ریسک

BS 31100 مدیریت ریسک. BS 25999 مدیریت تداوم کسب و کار (قسمت 1، قسمت 2) (مدیریت تداوم کسب و کار، بخش 1، 2).

IEC 61160 مدیریت ریسک. بررسی رسمی طراحی (مدیریت ریسک. تحلیل رسمی پروژه).

BS OHSAS 18001 سیستم های مدیریت ایمنی و بهداشت شغلی. الزامات. (سیستم های مدیریت ایمنی و بهداشت شغلی. الزامات).

GS-R-1 زیرساخت های قانونی و دولتی برای ایمنی هسته ای، تشعشعی، زباله های رادیواکتیو و حمل و نقل. الزامات (زیرساخت های قانونی و دولتی برای ایمنی هسته ای و تشعشعی، ایمنی زباله های رادیواکتیو و حمل و نقل). ISO 22000:2005 سیستم های مدیریت ایمنی مواد غذایی - الزامات برای هر سازمان در زنجیره غذایی

استانداردهای گروهی

ISO 14121 ایمنی ماشین آلات - ارزیابی ریسک

ISO 12100 ایمنی ماشین آلات - مفاهیم اساسی، اصول کلی برای طراحی

مفاهیم اساسی، اصول اساسی برای طراحی)؛

ISO 13849 ایمنی ماشین آلات - قطعات مرتبط با ایمنی سیستم های کنترل

دستورالعمل ATEX 95 94/9/EC، تجهیزات و سیستم های حفاظتی در نظر گرفته شده برای استفاده در جوهای بالقوه انفجاری

دستورالعمل ATEX 137 99/92/EC، حداقل الزامات برای بهبود ایمنی و حفاظت از سلامت کارگران به طور بالقوه در معرض خطر از جو مواد انفجاری.

IEC 62198 مدیریت ریسک پروژه - دستورالعمل های کاربردی

ISO 15190 آزمایشگاه های پزشکی - الزامات ایمنی

ISO 14971 دستگاه های پزشکی - کاربرد مدیریت ریسک در دستگاه های پزشکی

ISO 14798 آسانسورها (آسانسور)، پله برقی و پیاده روی متحرک - روش ارزیابی و کاهش ریسک ISO 15408 فناوری اطلاعات - تکنیک های امنیتی - معیارهای ارزیابی امنیت فناوری اطلاعات

استانداردهای ایمنی محصول

ISO 10218 ربات برای محیط های صنعتی - الزامات ایمنی

IEC 61010-1:2001 الزامات ایمنی برای تجهیزات الکتریکی برای اندازه گیری، کنترل و استفاده آزمایشگاهی - قسمت 1: الزامات عمومی

IEC 60086-4:2000-باتری های اولیه-بخش 4: ایمنی باتری های لیتیومی. (باتری های اولیه. قسمت 4: ایمنی باتری های لیتیومی).

EC 61199 لامپ های فلورسنت تک سرپوش. مشخصات ایمنی (لامپ های فلورسنت تک سر. الزامات ایمنی).

IEC 60335 لوازم برقی خانگی و مشابه - ایمنی

IEC 60065 صوتی، تصویری و دستگاه های الکترونیکی مشابه - الزامات ایمنی EN 692 Mechanical Presses - Safety (Mechanical Presses. Safety); EN 50088 ایمنی اسباب بازی های الکتریکی

استانداردهای محصول

استانداردهای کمیسیون Codex Alimentarius. (استانداردهای کمیسیون Codex Alimentarius برای محصولات CODEX STAN 12-1981، CODEX STAN 13-1981، و غیره)؛

سیلندرهای گاز ISO 3500:2005 - سیلندرهای CO2 فولادی بدون درز برای تاسیسات آتش نشانی ثابت در کشتی ها

سیلندرهای گاز ISO 4706:2008 - سیلندرهای فولادی جوش داده شده قابل شارژ مجدد - فشار تست 60 بار و کمتر EN 13109:2002 مخازن LPG. Disposa (سیلندرهای گاز مایع. استفاده); EN 13807:2003 سیلندرهای گاز قابل حمل. وسایل نقلیه باتری دار طراحی، ساخت، شناسایی و آزمایش (سیلندرهای گاز قابل حمل. خودروهای باطری. طراحی، ساخت، شناسایی و آزمایش); GOST 10003-90. استایرن. مشخصات فنی؛ GOST 10007-80. فلوئوروپلاست-4. مشخصات فنی؛

GOST 10121-76. روغن ترانسفورماتور تصفیه انتخابی. مشخصات فنی؛ GOST 10037-83. اتوکلاو برای صنعت ساختمان. مشخصات فنی

تجهیزات امنیتی به تجهیزات حفاظت جمعی (SKZ) و تجهیزات حفاظت فردی (PPE) تقسیم می شوند. به نوبه خود، SKZ و PPE بسته به ماهیت خطرات، طراحی، محدوده و غیره به گروه هایی تقسیم می شوند.

استانداردهای ایمنی پایه

در اتحادیه اروپا، الزامات ارزیابی ریسک شغلی در موارد زیر آمده است:

  • دستورالعمل 89/391/EEC (الزامات برای معرفی ارزیابی ریسک شغلی در کشورهای عضو اتحادیه اروپا)؛
  • دستورالعمل های اتحادیه اروپا در مورد ایمنی در محل کار (89/654/EEC، 89/655/EEC، 89/656/EEC، 90/269/EEC، 90/270/EEC، 1999/92/EC، و غیره) و در مورد حفاظت از کارگران در برابر خطرات شیمیایی، فیزیکی و بیولوژیکی، مواد سرطان زا و جهش زا (98/24/EC, 2000/54/EC, 2002/44/EC, 2003/10/EC, 2004/40/EC, 2004/37/EC و غیره) دستورالعمل های اتحادیه اروپا ATEX نیز جایگاه ویژه ای در زمینه ایمنی دارند - یکی برای تولید کنندگان و دیگری برای کاربران تجهیزات:
  • "تجهیزات ATEX 95" (دستورالعمل 94/9/EC) - تجهیزات و سیستم های حفاظتی در نظر گرفته شده برای استفاده در جوهای بالقوه انفجاری؛
  • ATEX 137 محل کار» (دستورالعمل 1999/92/EC) حداقل الزامات برای بهبود ایمنی، سلامت و ایمنی کارگرانی است که به طور بالقوه در معرض خطر از جوهای انفجاری هستند.

با توجه به اهمیت ارزیابی ریسک شغلی برای ایمنی شغلی در محیط کار، آژانس اروپایی سلامت و ایمنی کارگران، راهنمای ارزیابی ریسک در محل کار را در سال 1996 منتشر کرد و به طور مستمر موارد زیادی را اضافه می کند. مثال های مفیدشناسایی خطرات در ارزیابی ریسک شغلی

به طور کلی، الزامات دستورالعمل REACH اروپا نیز با هدف اطمینان از ایمنی است. این سیستم مبتنی بر مدیریت خطرات مرتبط با مواد موجود در ترکیبات شیمیایی و در برخی موارد در محصولات است.

جایگاه مهمی توسط استانداردهای سیستم کار ایمن (GOST SSBT) اشغال شده است. اینها اسناد یک سیستم خوش ساخت است که در چند کشور جهان وجود دارد. بنابراین ایمنی تجهیزات فرآیند باید با GOST 12.2.003، ایمنی مطابقت داشته باشد فرآیندهای تکنولوژیکی- GOST 12.3.002. و اگر مواد خطرناک تولید، ذخیره و استفاده شود، الزامات ایمنی مطابق با GOST 12.1.007 تعیین می شود. سیستم های امنیتی (دستگاه ها، عناصر) باید با GOST 12.4.011 و در صورت آتش سوزی و انفجار - همچنین با GOST 12.1.004 مطابقت داشته باشند.

الزامات ایمنی ساختمان ها / سازه ها توسط قوانین و مقررات ساختمانی تعیین می شود.

استانداردها و مقررات پزشکی نیز از اهمیت بالایی برخوردار هستند (GMP - Good Manufacturing Practice، GLP - Good Laboratory Practice، GDP - Good Distribution Practice، GPP - Good Pharmacy Practice و غیره).

استانداردهای ایمنی مواد غذایی توسط کمیسیون Codex Alimentarius تعیین می شود. همچنین مقررات ایمنی در دامپزشکی، تولید محصولات زراعی وجود دارد.

توسعه فضانوردی و انرژی هسته ای، پیچیدگی فناوری هوانوردی منجر به این واقعیت شد که مطالعه ایمنی سیستم به عنوان یک حوزه مستقل مستقل از فعالیت مشخص شد (به عنوان مثال، آژانس بین المللی انرژی اتمی ساختار جدیدی از ایمنی را منتشر کرد. استانداردها: GS-R-1 "زیرساخت های قانونی و دولتی برای ایمنی هسته ای و تشعشعی، ایمنی زباله های رادیواکتیو و حمل و نقل"). در سال 1969، وزارت دفاع ایالات متحده استاندارد MILSTD-882 "Systems, Subsystems, and Equipment Reliability Program" را پذیرفت. این الزامات را برای تمام پیمانکاران صنعتی برای برنامه های نظامی تعیین می کند.

اسناد مهم برگه های اطلاعات ایمنی مواد هستند (کارت های MSDS - برگه های اطلاعات ایمنی مواد). MSDS معمولاً شامل بخش‌های زیر است: جزئیات محصول، ترکیبات خطرناک، اثرات بالقوه سلامت (تماس با پوست، قرار گرفتن در معرض بلع، محدودیت‌های دوز، اثر تحریک‌کننده، اثر محرک، اثر تقویت‌کننده متقابل در تماس با سایر مواد شیمیایی، قرار گرفتن در معرض کوتاه‌مدت، قرار گرفتن در معرض طولانی‌مدت ، اثرات بر تولید مثل، جهش زایی، سرطان زایی)، روش کمک های اولیه (در صورت تماس با پوست، چشم، معده، استنشاق)، خطر آتش سوزی و انفجار (اشتعال پذیری / قابل اشتعال - در چه شرایطی، روش های دستورالعمل اطفاء حریق، محصولات احتراق خطرناک) داده های واکنش پذیری (پایداری شیمیایی، شرایط واکنش، محصولات تجزیه خطرناک)، واکنش نشت/نشتی (از جمله دفع زباله، تخریب/سمیت برای آبزیان، خاک، هوا)، مبارزه با اثرات مواد و تجهیزات حفاظت فردی (فنی تجهیزات حفاظتی، دستکش، محافظ تنفسی و چشم، کفش ایمنی، لباس محافظ)، الزامات نگهداری و جابجایی مواد (نگهداری، جابجایی، حمل و نقل)، مشخصات فیزیکی ماده، محیطی، نظارتی، اطلاعات اضافی. چنین کارت های MSDS توسط سازنده تهیه و به کاربر/مصرف کننده تحویل داده می شود. داده های کارت های MSDS باید در دستورالعمل های تولید و حفاظت از کار گنجانده شود.

داده ها

نمونه هایی از فراخوان محصولات به دلیل خطر آن ها

  • اپل در سال 2009 پخش کننده های iPod nano 1G را به دلیل خطر انفجار باتری (http://proit.com.ua/print/?id=20223) فراخواند.
  • مک دونالد در سال 2010، 12 میلیون عینک کلکسیونی با نمادهای کارتون شرک در ایالات متحده را به دلیل یافتن کادمیوم در رنگی که با آن نقاشی شده بود، فراخوانی کرد (www.gazeta.ru/news/lenta/... / n_1503285.shtml).
  • در سال 2008، هزاران نوزاد در چین پس از مسمومیت با شیر خشک که حاوی ملامین بود، به بیمارستان‌ها رفتند. سانلو یک عذرخواهی رسمی از مصرف کنندگان خود صادر کرد و بیان کرد که تامین کنندگان شیر مواد سمی را به محصولات خود اضافه کردند (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/ international/newsid_7620000/7620305.stm).
  • دفتر ایمنی فرآورده های پزشکی فرانسه از اول آوریل 2010 به دلیل عدم قبولی در تست لازم، یکی از انواع پروتزها (ایمپلنت های سیلیکونی) را ملزم به فراخوانی کرد (http://www.newsru.co.il/). health/01apr2010/pip301.html).
  • Thule اخیراً کشف کرده است که کیت قفسه سقف آن به اندازه کافی قوی نیست (برای محصولات تولید شده بین 1 ژانویه 2008 تا 28 فوریه 2009) به دلیل شکنندگی پیچ موجود. پس از تست داخلی توسط شرکت، مشخص شد که پیچ موجود در پایه استانداردهای ایمنی شرکت را ندارد. با توجه به سطح بالای خطر برای مصرف کنندگان (شکست احتمالی پیچ در زیر بار می تواند باعث جدا شدن قفسه و وزن در حین حرکت شود)، Thule تصمیم گرفته است که فوراً محصول را از گردش خارج کند (http://www2.thulegroup. com/en/Product-Recall /Introduction2/).

نتیجه

متخصصانی که استانداردهای ایمنی را توسعه می دهند باید توجه بیشتری به هماهنگی مقررات اعمال شده در آن داشته باشند مناطق مختلف. برای مثال، از رویکردهای مطرح شده در اصول عدم قطعیت هایزنبرگ و مکمل بودن بور استفاده کنید. علاوه بر این خطاهای انسانی و رفع نقاط ضعف سازمانی را فراموش نکنید. معرفی مدیریت ریسک در شرکت ها به افزایش سطح امنیت کمک می کند. به عنوان مثال، در سال های اخیر، استانداردهای مدیریت ریسک به طور فعال توسعه یافته است. مطالعه و به کارگیری این اسناد نیز به بهبود فرهنگ ایمنی کمک می کند.

البته در حوزه امنیت، استانداردها، مقررات، هنجارها، ضوابط، دستورالعمل ها ضروری است، اما اجرای آنها کم اهمیت نیست.

برای اطمینان از امنیت، باید پاسخ سوالات را بدانید:

1. احتمال وقوع حادثه چقدر است؟

2. پیامدهای منفی آن چه خواهد بود؟

3. چگونه آنها را به حداقل برسانیم؟

4. چگونه می توان فعالیت ها را در حین و بعد از حادثه ادامه داد؟

5. اولویت ها و چارچوب های زمانی بازیابی چیست؟

6. چه، چگونه، چه زمانی و برای چه کسی باید انجام شود؟

7. چه اقدامات پیشگیرانه ای برای پیشگیری/به حداقل رساندن پیامدهای منفی باید انجام شود؟

منابع

1. GOST 12.1.007-76 (1999). SSBT. مواد مضر. طبقه بندی و الزامات ایمنی عمومی

2. GOST 12.1.004-91. SSBT. ایمنی آتش. الزامات کلی.

3. GOST 12.2.003-91. SSBT. تجهیزات تولید. الزامات ایمنی عمومی

4. GOST 12.3.002-75 (2000). SSBT. فرآیندهای تولید الزامات ایمنی عمومی

5. GOST 12.4.011-89. SSBT. وسایل حفاظتی برای کارگران الزامات عمومی و طبقه بندی.

6. GOST R 51898-2002. جنبه های امنیتی. قوانین گنجاندن در استانداردها

7. GOST R 12.1.052-97. SSBT. اطلاعات مربوط به ایمنی مواد و مواد (برگ اطلاعات ایمنی). مقررات اساسی

8. GOST R ISO 13849-1-2003. ایمنی تجهیزات. عناصر سیستم های کنترل مرتبط با ایمنی. قسمت 1. اصول کلی طراحی.

9. BS 31100:2008. مدیریت ریسک - آیین نامه عمل.

10. BS OHSAS 18001:2007. سیستم های مدیریت ایمنی و بهداشت شغلی الزامات.

11. CWA 15793:2008. استاندارد مدیریت بیوریسک آزمایشگاهی

12. ISO/IEC 51:1999. جنبه های ایمنی - دستورالعمل هایی برای گنجاندن آنها در استانداردها.

13. ISO/IEC Guide 73:2009. مدیریت ریسک - واژگان - رهنمودهایی برای استفاده در استانداردها.

14. ISO 31000:2009. مدیریت ریسک - اصول و دستورالعمل ها.

15. IEC/ISO 31010:2009. مدیریت ریسک - تکنیک های ارزیابی ریسک.

16.ISO 15190:2003. آزمایشگاه های پزشکی - الزامات ایمنی.

17. دلیل J. خطای انسانی. - نیویورک: انتشارات دانشگاه کمبریج، 1990. - 316 ص.

18. مقررات (EC) شماره 1907/2006 پارلمان اروپا و شورای 18 دسامبر 2006 در مورد ثبت، ارزیابی، مجوز و محدودیت مواد شیمیایی (REACH)، ایجاد آژانس شیمیایی اروپا، اصلاح دستورالعمل 1999/45/EC و لغو مقررات شورای (EEC) شماره 793/93 و مقررات کمیسیون (EC) شماره 1488/94 و همچنین دستورالعمل شورای 76/769/EEC و دستورالعمل های کمیسیون 91/155/EEC، 93/67/EEC، 93/105 /EC و 2000/21/EC.

1.1. استانداردهای بین المللی برای تبادل اطلاعات

تضمین امنیت اطلاعات (IS) باید با در نظر گرفتن استانداردها و مشخصات مربوطه انجام شود.

استانداردها در زمینه رمزنگاری و دستورالعمل های خدمات فدرال برای کنترل فنی و صادرات (FSTEC روسیه، سابقاً کمیسیون فنی دولتی زیر نظر رئیس جمهور فدراسیون روسیه) در قانون ذکر شده است.

نقش استانداردها در مفاهیم اساسی قانون فدراسیون روسیه "در مورد مقررات فنی" مورخ 27 دسامبر 2002 تحت شماره 184-FZ (مصوب دومای ایالتی در 15 دسامبر 2002) ثابت شده است:

استاندارد - سندی که در آن به منظور استفاده مجدد داوطلبانه، ویژگی های محصول، قوانین اجرا و ویژگی های فرآیندهای تولید، بهره برداری، ذخیره سازی، حمل و نقل، فروش و دفع، انجام کار یا ارائه خدمات ایجاد شده است. این استاندارد همچنین ممکن است شامل الزاماتی برای اصطلاحات، نمادها، بسته بندی، علامت گذاری یا برچسب ها و قوانین مربوط به کاربرد آنها باشد.

استاندارد سازی - فعالیت هایی برای ایجاد قوانین و ویژگی ها به منظور استفاده چندگانه داوطلبانه از آنها، با هدف دستیابی به نظم در زمینه های تولید و گردش محصولات و افزایش رقابت پذیری محصولات، کارها یا خدمات.

دو گروه استاندارد و مشخصات در زمینه امنیت اطلاعات وجود دارد:

استانداردهای ارزیابی طراحی شده برای ارزیابی و طبقه بندی سیستم های اطلاعاتی و وسایل حفاظتی بر اساس الزامات امنیتی؛

مشخصات فنی تنظیم جنبه های مختلف اجرا و استفاده از وسایل و روش های حفاظت.

استانداردهای ارزیابی مهمترین مفاهیم و جنبه های سیستم های اطلاعاتی (IS) را توصیف می کنند که نقش مشخصات سازمانی و معماری را ایفا می کنند.

سایر مشخصات دقیقاً نحوه ساخت یک IS با معماری تجویز شده و برآورده کردن الزامات سازمانی را مشخص می کند.

به تخمین زدهاستانداردها عبارتند از:

1. استاندارد معیارهای ارزیابی سیستم کامپیوتری مورد اعتماد وزارت دفاع ایالات متحده (TCSEC) وزارت دفاع ایالات متحده ("کتاب نارنجی") و پیکربندی شبکه آن "معیارهای هماهنگ اروپایی".

2. استاندارد بین المللی "معیارهای ارزیابی امنیت فناوری اطلاعات".

3. اسناد راهنمای FSTEC روسیه.

4. استاندارد فدرال ایالات متحده "الزامات امنیتی برای ماژول های رمزنگاری".

5. استاندارد بین المللی ISO IES 15408:1999 "معیارهای ارزیابی امنیت فناوری اطلاعات" ("معیارهای عمومی").

مشخصات فنی، قابل استفاده برای آی سی های توزیع شده مدرن، ایجاد می شوند، " گروه موضوعی فناوری اینترنت» (گروه ویژه مهندسی اینترنت، IETF) و زیرمجموعه آن، کارگروه امنیت. هسته اصلی این مشخصات فنی اسناد امنیتی IP (IPsec) است. علاوه بر این، حفاظت در سطح حمل و نقل (Transport Layer Security، TLS)، و همچنین در سطح برنامه (مشخصات GSS-API، Kerberos) تجزیه و تحلیل می شود. لازم به ذکر است که جامعه اینترنتی به سطوح اداری و رویه ای امنیت («راهنمای امنیت اطلاعات سازمانی»، «نحوه انتخاب ارائه دهنده خدمات اینترنتی»، «نحوه پاسخگویی به تخلفات امنیت اطلاعات») توجه لازم را دارد.

امنیت شبکهتعریف شده توسط مشخصات X.800 " معماری امنیتی برای قابلیت همکاری سیستم های باز", X.500" خدمات دایرکتوری: مروری بر مفاهیم، ​​مدل ها و خدمات"و X.509" سرویس دایرکتوری: کلید عمومی و چارچوب های گواهی ویژگی».

استاندارد بریتانیا BS 7799 " مدیریت امنیت اطلاعات قوانین سرانگشتی» برای روسای سازمان ها و افراد مسئول امنیت اطلاعات بدون هیچ گونه تغییر قابل توجهی در استاندارد بین المللی ISO/IEC 17799 در نظر گرفته شده است.

اطلاعات کلی در مورد استانداردها و مشخصات در زمینه امنیت اطلاعات در زیر ارائه شده است.

"کتاب نارنجی"

کتاب نارنجی حاوی مبانی مفهومی امنیت اطلاعات است:

- سیستم های ایمن و قابل اعتماد،

- خط مشی امنیتی،

- سطح اطمینان،

- مسئوليت

- پایگاه محاسباتی قابل اعتماد،

- درخواست مانیتور

– هسته و محیط امنیتی این استاندارد خط مشی امنیتی را به عنوان کنترل دسترسی داوطلبانه (اختیاری) و اجباری (اجباری) و امنیت استفاده مجدد از اشیا مشخص می کند.

از نقطه نظر مفهومی، مهمترین سند موجود در آن "تفسیر کتاب نارنجی برای تنظیمات شبکه" (تفسیر شبکه مورد اعتماد) است. از دو بخش تشکیل شده است. اولی حاوی یک تفسیر است، دومی خدمات امنیتی را توصیف می کند که برای پیکربندی های شبکه خاص یا مهم هستند.

مهمترین مفهومی که در بخش اول معرفی شد، پایگاه محاسباتی قابل اعتماد شبکه است. یکی دیگر از جنبه های اساسی، در نظر گرفتن پویایی پیکربندی های شبکه است. در میان مکانیسم های حفاظتی، رمزنگاری برای کمک به حفظ محرمانگی و یکپارچگی برجسته شده است.

این استاندارد همچنین شرایط کافی را برای صحت تکه تکه شدن مانیتور مرجع توصیف می کند که این است مبنای نظریتجزیه یک IS توزیع شده در سبک شی گرا در ترکیب با حفاظت رمزنگاری از ارتباطات.

معیارهای هماهنگ کشورهای اروپایی

در این معیارها هیچ الزامی برای شرایطی که سیستم اطلاعاتی باید در آن فعالیت کند وجود ندارد. فرض بر این است که هدف ارزیابی ابتدا تدوین می شود، سپس مرجع صدور گواهینامه تعیین می کند که تا چه حد به طور کامل به آن دست یافته است، یعنی تا چه اندازه معماری و اجرای مکانیسم های امنیتی در یک موقعیت خاص صحیح و موثر است. برای تسهیل فرمول‌بندی هدف ارزیابی، استاندارد شامل شرحی از ده کلاس نمونه از عملکرد است که برای سیستم‌های دولتی و تجاری معمول است.

معیارهای هماهنگ بر تفاوت بین سیستم های فناوری اطلاعات و محصولات تأکید می کند، اما برای یکسان سازی الزامات، یک مفهوم واحد - موضوع ارزیابی معرفی شده است.

همچنین مهم است که به تفاوت بین عملکردهای امنیتی (سرویس ها) و مکانیسم هایی که آنها را اجرا می کنند و همچنین برجسته کردن دو جنبه اطمینان - اثربخشی و صحت ابزارهای امنیتی اشاره کنیم.

"معیارهای هماهنگ" ظاهر استاندارد بین المللی ISO / IEC 15408: 1999 "معیارهای ارزیابی امنیت فناوری اطلاعات" را تهیه کرد، که در ادبیات روسی به عنوان "معیارهای عمومی" شناخته می شود.

در این لحظهزمان "معیارهای عمومی" - کاملترین و به روزترین استاندارد ارزیابی. این استانداردی است که ابزارهای ارزیابی امنیت IP و روش استفاده از آنها را تعریف می کند. این شامل کلاس های امنیتی از پیش تعریف شده نیست. چنین کلاس هایی را می توان بر اساس نیازهای داده شده ایجاد کرد.

"معیارهای عمومی" شامل دو نوع اصلی الزامات ایمنی است:

عملکردی، مطابق با جنبه فعال حفاظت، اعمال شده در عملکردهای امنیتی (سرویس ها) و مکانیسم هایی که آنها را اجرا می کنند.

الزامات اعتماد مربوط به جنبه انفعالی؛ آنها برای فناوری و فرآیند توسعه و بهره برداری اعمال می شوند. الزامات امنیتی فرموله می شود و اجرای آنها برای یک هدف خاص ارزیابی می شود - یک محصول سخت افزاری و نرم افزاری یا یک سیستم اطلاعاتی.

ایمنی در "معیارهای عمومی" به صورت ایستا در نظر گرفته نمی شود، بلکه مطابق با آن است چرخه زندگیموضوع ارزیابی

"معیارهای مشترک" به شکل گیری دو نوع اساسی از اسناد هنجاری مورد استفاده در عمل کمک می کند - این مشخصات حفاظتی و وظیفه ایمنی است.

مشخصات امنیتی مجموعه ای عمومی از الزامات است که محصولات و/یا سیستم های یک کلاس خاص باید برآورده شوند.

وظیفه ایمنی شامل مجموعه ای از الزامات برای یک توسعه خاص است، اجرای آنها به حل وظایف ایمنی اختصاص داده شده اجازه می دهد.

اسناد راهنما (RD) FSTEC روسیهکمی بعد، پس از انتشار معیارهای هماهنگ، ظاهر شد و به قیاس با دومی، تفاوت بین سیستم های خودکار (AS) و محصولات (تجهیزات کامپیوتری، CBT) را تأیید کرد.

در سال 1997، یک RD برای یک سرویس امنیتی جداگانه - فایروال ها (FW) به تصویب رسید. ایده اصلی آن طبقه بندی ME بر اساس سطوح مدل هفت سطحی مرجع است که جریان داده ها را فیلتر می کند - به رسمیت شناخته شده بین المللی است و همچنان مرتبط است.

در سال 2002، کمیسیون فنی دولتی روسیه ترجمه روسی استاندارد بین المللی ISO/IEC 15408:1999 را برای ارزیابی امنیت فناوری اطلاعات به عنوان RD پذیرفت.

X.800 "معماری امنیتی برای قابلیت همکاری سیستم های باز"

از جمله مشخصات فنی، سند اصلی است

معماری امنیتی X.800 برای قابلیت همکاری سیستم های باز. مهمترین خدمات امنیت شبکه در اینجا برجسته شده است: احراز هویت، کنترل دسترسی، محرمانه بودن و/یا یکپارچگی داده، و عدم انکار. برای اجرای خدمات، مکانیسم های امنیتی شبکه و ترکیبات آنها ارائه می شود: رمزگذاری، امضای دیجیتال الکترونیکی (EDS)، کنترل دسترسی، کنترل یکپارچگی داده ها، احراز هویت، اضافه کردن ترافیک، کنترل مسیریابی، تأیید اسناد رسمی. سطوح مدل هفت سطحی مرجع انتخاب می شوند که می توان خدمات و مکانیسم های امنیتی را بر روی آنها پیاده سازی کرد. مسائل مربوط به مدیریت ابزارهای امنیتی برای پیکربندی های توزیع شده با جزئیات در نظر گرفته شده است.

مشخصات انجمن اینترنت RFC 1510 "سرویس احراز هویت شبکه Kerberos (V5)"

این به مشکل احراز هویت در یک محیط توزیع ناهمگن با پشتیبانی از مفهوم اشاره دارد. ورود تکبه شبکه سرور احراز هویت Kerberos یک شخص ثالث قابل اعتماد است که دارای کلیدهای مخفی موجودیت های ارائه شده است و به آنها در احراز هویت زوجی کمک می کند. اجزای مشتری Kerberos در اکثر سیستم عامل های مدرن وجود دارد.

استاندارد فدرال ایالات متحده FIPS 140-2 الزامات امنیتی برای ماژول های رمزنگاری

این یک عملکرد سازماندهی را انجام می دهد و توصیف می کند قسمت جلوییماژول رمزنگاری، الزامات عمومی برای چنین ماژول ها و محیط آنها. داشتن چنین استانداردی توسعه خدمات امنیتی و پروفایل های حفاظتی را برای آنها ساده می کند.

"رابط برنامه نویسی برنامه امنیتی عمومی"

رمزنگاری به عنوان وسیله ای برای پیاده سازی خدمات امنیتی دو جنبه دارد: الگوریتمی و رابط. جنبه رابط، همراه با استاندارد FIPS 140-2، توسط جامعه اینترنتی در قالب مشخصات فنی رابط برنامه کاربردی سرویس امنیت عمومی (GSS-API) پیشنهاد شده است.

رابط امنیتی GSS-API برای محافظت از ارتباطات بین اجزای سیستم های نرم افزاری ساخته شده در معماری مشتری/سرور طراحی شده است. این شرایط را برای احراز هویت متقابل شرکای ارتباطی ایجاد می کند، یکپارچگی پیام های ارسال شده را کنترل می کند و به عنوان تضمین محرمانه بودن آنها عمل می کند. کاربران رابط امنیتی GSS-API پروتکل های ارتباطی (معمولاً لایه برنامه) یا سایر سیستم های نرم افزاری هستند که به طور مستقل انتقال داده را انجام می دهند.

مشخصات فنی IPsec

توصیف می کنند مجموعه کاملابزاری برای اطمینان از محرمانه بودن و یکپارچگی در سطح شبکه. برای پروتکل غالب فعلی، IP نسخه 4، آنها اختیاری هستند. در IPv6 پیاده سازی آنها اجباری است. بر اساس IPsec، مکانیسم های حفاظتی پروتکل ها برای بیش از سطح بالا، تا کاربردی و همچنین ابزارهای امنیتی کامل از جمله شبکه های خصوصی مجازی. IPsec به شدت بر مکانیزم های رمزنگاری و زیرساخت های کلیدی متکی است.

TLS، امنیت لایه حمل و نقل (TLS)

مشخصات TLS پروتکل محبوب لایه سوکت امن (SSL) را توسعه و اصلاح می کند که به طور گسترده در محصولات نرم افزاریبرای متنوع ترین اهداف

X.500 "سرویس دایرکتوری: مروری بر مفاهیم، ​​مدل ها و خدمات"

از منظر زیرساخت، توصیه‌های X.500 دایرکتوری: مروری بر مفاهیم، ​​مدل‌ها و سرویس‌ها و X.509 سرویس فهرست: چارچوب‌های گواهی کلید عمومی و ویژگی بسیار مهم هستند. : چارچوب‌های گواهی کلید عمومی و ویژگی). توصیه‌های X.509 فرمت گواهی‌ها و ویژگی‌های کلید عمومی، عناصر اساسی زیرساخت‌های کلید عمومی و مدیریت امتیاز را توصیف می‌کنند.

تضمین امنیت اطلاعات یک مشکل پیچیده است که نیازمند اقدامات هماهنگ در سطوح قانونی، اداری، رویه ای، نرم افزاری و سخت افزاری است. هنگام تدوین و اجرای سند پایه سطح اداری (سیاست امنیتی سازمان) می توان از توصیه جامعه اینترنتی "راهنمای امنیت اطلاعات شرکت" (راهنمای امنیت سایت) استفاده کرد. برجسته می کند جنبه های عملیشکل‌گیری سیاست‌ها و رویه‌های امنیتی، مفاهیم اساسی سطوح اداری و رویه‌ای را توضیح می‌دهد، انگیزه‌ای برای اقدامات توصیه‌شده فراهم می‌کند، موضوعات تحلیل ریسک، پاسخ به نقض امنیت اطلاعات و اقدامات پس از رفع تخلف را بررسی می‌کند. برای بحث دقیق تر در مورد این مسائل اخیر، انتظارات برای پاسخ به حوادث امنیتی رایانه را ببینید. این سند حاوی پیوندهایی به منابع اطلاعاتی و توصیه عملیسطح رویه ای

هنگام توسعه و سازماندهی مجدد سیستم های اطلاعات شرکتی، توصیه "نحوه انتخاب یک ارائه دهنده خدمات اینترنتی" (ضمیمه راهنمای امنیت سایت برای ISP ها) مفید خواهد بود. قبل از هر چیز باید مفاد آن در هنگام شکل گیری امنیت سازمانی و معماری رعایت شود که سایر اقدامات سطوح رویه ای و نرم افزاری و سخت افزاری بر آن استوار است.

استاندارد بریتانیا BS 7799 "مدیریت امنیت اطلاعات. قوانین عملی »

برای ایجاد عملیو حفظ رژیم امنیت اطلاعات با کمک تنظیم کنندگان سطوح اداری و رویه ای، استفاده از استاندارد بریتانیایی BS 7799 «مدیریت امنیت اطلاعات» ضروری است. قوانین عملی "(کد عمل برای مدیریت امنیت اطلاعات) و بخش دوم آن BS 7799-2: 2002" سیستم های مدیریت امنیت اطلاعات - مشخصات با راهنمایی برای استفاده. مفاهیم و رویه هایی مانند سیاست امنیتی، اصول کلی سازمان امنیت، طبقه بندی و مدیریت منابع، امنیت پرسنل، امنیت فیزیکی، اصول مدیریت سیستم و شبکه، کنترل دسترسی، توسعه و نگهداری سیستم های اطلاعاتی، برنامه ریزی تداوم کسب و کار را توضیح می دهد.

این متنیک قطعه مقدماتی است

مشکل امنیت رایانه اطلاعات جدید نیست - کارشناسان از همان لحظه ای که رایانه شروع به پردازش داده ها کرد که ارزش آنها برای کاربر بالا است با آن برخورد کردند. با این حال، در سال های اخیر، به دلیل توسعه شبکه ها و رشد تقاضا برای خدمات الکترونیکی، وضعیت در حوزه امنیت اطلاعات به طور جدی بدتر شده است و موضوع استانداردسازی رویکردها برای حل آن به ویژه برای توسعه دهندگان و توسعه دهندگان اهمیت پیدا کرده است. کاربران ابزارهای فناوری اطلاعات

چرا باید تئوری را بدانید

هر متخصص امنیت اطلاعات در رشد حرفه ای خود سه مرحله را طی می کند. اولین مورد "کار با دست" است. تازه وارد به شدت، با درگیر شدن ابزارهای تخصصی، شکاف های کاملاً مشخصی را در نرم افزارهای سیستمی و کاربردی جستجو و برطرف می کند. اسکنر، پچ، پورت، اتصال - اینها موجوداتی هستند که در این مرحله با آنها کار می کند.

مرحله دوم «سر کار» است. این متخصص خسته از ایجاد شکاف های بیشتر و بیشتر، شروع به توسعه برنامه ها و روش هایی می کند که هدف آنها ساده کردن اقدامات برای بهبود امنیت سیستم ها و از بین بردن پیامدهای تهدیدات اطلاعاتی است. در این مرحله است که مفهوم «سیاست امنیتی» مطرح می شود.

در نهایت، زمان تأمل است - در این مرحله، متخصص با تجربه می فهمد که به احتمال زیاد، چرخ را دوباره اختراع می کند، زیرا احتمالاً استراتژی های امنیتی قبلاً قبل از او ایجاد شده است. و در این مورد قطعاً حق دارد.

سازمان‌های متعددی در سراسر جهان مدت‌هاست که با مشکل امنیت اطلاعات دست و پنجه نرم می‌کنند و فعالیت‌های آن‌ها منجر به تدوین مجموعه‌های سنگین استانداردها، مقررات، توصیه‌ها، قوانین و غیره شده است. مطالعه کل جلد به سختی توصیه می شود، اما البته ارزش دانستن اسناد اساسی را دارد. بنابراین در این مقاله تنها به مهم ترین مقررات روسی و بین المللی که استانداردهایی را در زمینه امنیت اطلاعات تعیین می کنند اشاره می کنیم.

مفهوم امنیت اطلاعات

توسعه سیستم های اطلاعاتی و مخابراتی برای اهداف مختلف (در درجه اول اینترنت) و همچنین تبادل الکترونیکی اطلاعات ارزشمندی که نیاز به حفاظت دارند، متخصصانی را که در این زمینه فعالیت می کنند، ایجاب می کند که الزامات و ویژگی های اساسی سیستم های رایانه ای را از نظر سیستماتیک و ساده کنند. امنیت. با این حال، قبل از پرداختن به استانداردهای شکل‌گرفته، باید مشخص کرد که امنیت چیست.

با توجه به اهمیت مفهوم، سعی می کنیم تعریف مبسوطی آن را ارائه دهیم که آخرین تحولات بین المللی و داخلی در این زمینه را مد نظر قرار دهد. بنابراین، امنیت اطلاعات حالتی از مقاومت داده ها در برابر تأثیرات تصادفی یا عمدی است، به استثنای خطرات غیرقابل قبول تخریب، تحریف و افشای آنها که منجر به آسیب مادی به مالک یا کاربر می شود. چنین تعریفی به طور کامل هدف اصلی یک سیستم کامپیوتری اطلاعات تجاری را در نظر می گیرد - به حداقل رساندن ضررهای مالی، حداکثر کردن سود تحت شرایط خطرات واقعی.

این ماده به ویژه برای سیستم‌های به اصطلاح باز عمومی که فرآیند را انجام می‌دهند مرتبط است اطلاعات طبقه بندی شدهدسترسی محدود، بدون اسرار دولتی. امروزه سیستم هایی از این نوع هم در جهان و هم در کشور ما به سرعت در حال توسعه هستند.

استاندارد بین المللی امنیت اطلاعات

به خوبی شناخته شده است که استانداردسازی اساس روش های مختلف برای تعیین کیفیت محصولات و خدمات است. یکی از نتایج اصلی این گونه فعالیت ها در زمینه نظام مندسازی الزامات و ویژگی های سیستم های اطلاعاتی امن، سیستم استانداردهای بین المللی و ملی امنیت اطلاعات بود که شامل بیش از صد سند مختلف می باشد. یک مثال استاندارد ISO 15408 است که به عنوان "معیارهای مشترک" شناخته می شود.

استاندارد امنیت اطلاعات پایه ISO 15408 که در سال 1998 تصویب شد، مطمئنا برای توسعه دهندگان روسی بسیار مهم است. علاوه بر این، در سال 2001، Gosstandart قصد دارد یک نسخه هماهنگ از این سند را آماده کند. سازمان بین المللی استاندارد (ISO) در سال 1990 شروع به توسعه استاندارد بین المللی معیارهای ارزیابی امنیت فناوری اطلاعات برای استفاده عمومی، "معیارهای مشترک" کرد. موسسه ملی استانداردها و فناوری و آژانس امنیت ملی (ایالات متحده آمریکا)، سازمان امنیت ارتباطات (کانادا)، آژانس امنیت اطلاعات (آلمان)، آژانس امنیت ارتباطات ملی (هلند)، برنامه امنیت فناوری اطلاعات و صدور گواهینامه (انگلیس) در ایجاد آن، مرکز امنیت سیستم ها (فرانسه) شرکت کرد. پس از تایید نهایی استاندارد، شماره ISO 15408 به آن اختصاص یافت.

معیارهای مشترک (CC) برای شناسایی متقابل نتایج ارزیابی امنیت فناوری اطلاعات در مقیاس جهانی ایجاد شده و اساس آن را نشان می دهد. آنها به شما امکان می دهند نتایج ارزیابی های مستقل امنیت اطلاعات و خطرات قابل قبول را بر اساس مجموعه ای از آنها مقایسه کنید الزامات کلیبه عملکردهای امنیتی امکانات و سیستم‌های فناوری اطلاعات و همچنین حفاظت‌هایی که در طول آزمایش برای آنها اعمال می‌شود.

مزایای اصلی OK کامل بودن الزامات امنیت اطلاعات، انعطاف پذیری در کاربرد و باز بودن برای توسعه بیشتر با در نظر گرفتن آخرین دستاوردهای علم و فناوری است. معیارها به گونه ای طراحی شده اند که نیازهای هر سه گروه کاربری (مصرف کنندگان، توسعه دهندگان و ارزیاب ها) را هنگام بررسی ویژگی های امنیتی یک ابزار یا سیستم فناوری اطلاعات (موضوع ارزیابی) برآورده کنند. این استاندارد به عنوان یک راهنما هنگام توسعه ویژگی های امنیتی فناوری اطلاعات و همچنین هنگام خرید محصولات تجاری با ویژگی های مشابه مفید است. جهت اصلی ارزیابی، تهدیداتی است که در نتیجه اقدامات مخرب انسان ظاهر می شود، اما OK می تواند در ارزیابی تهدیدات ناشی از عوامل دیگر نیز استفاده شود. در آینده، انتظار می رود الزامات تخصصی برای بخش وام تجاری و مالی ایجاد شود. به یاد بیاورید که اسناد داخلی و خارجی سابق از این نوع با شرایط پردازش دولتی یا نظامی گره خورده بود اطلاعات طبقه بندی شدهکه ممکن است حاوی اسرار دولتی باشد.

انتشار و اجرای این استاندارد در خارج از کشور با توسعه یک معماری جدید و استاندارد همراه است که برای تضمین امنیت اطلاعات سیستم های محاسباتی طراحی شده است. به عبارت دیگر، سخت افزار و نرم افزار کامپیوتر ایجاد می شود که معیارهای عمومی را برآورده می کند. به عنوان مثال، سازمان بین المللی "گروه باز" که حدود 200 تولید کننده پیشرو تجهیزات کامپیوتری و مخابراتی از سراسر جهان را متحد می کند، با در نظر گرفتن معیارهای مشخص شده، معماری جدید امنیت اطلاعات را برای سیستم های خودکار تجاری منتشر کرده است. علاوه بر این، "گروه باز" برنامه های آموزشی ایجاد می کند که به اجرای سریع و با کیفیت اسناد استانداردسازی کمک می کند.

ویژگی های فرآیند استانداردسازی اینترنت

AT شبکه جهانیمدت‌هاست که تعدادی کمیته وجود دارد که با استانداردسازی تمام فناوری‌های اینترنتی سروکار دارند. این سازمان‌ها، که بخش عمده‌ای از گروه ویژه مهندسی اینترنت (IETF) را تشکیل می‌دهند، قبلاً چندین پروتکل مهم را استاندارد کرده‌اند و در نتیجه پذیرش آنها در شبکه را تسریع کرده‌اند. خانواده پروتکل های TCP/IP برای انتقال داده، SMTP و POP برای ایمیل و SNMP (پروتکل مدیریت شبکه ساده) برای مدیریت شبکه، کار IETF است.

برای تعدادی سالهای اخیربازار شبکه شاهد چیزی بوده است که تحت عنوان تأثیر پراکنده در شکل گیری استانداردها شناخته می شود. با گسترش اینترنت به بازار مصرف کننده و تجاری، برخی از شرکت ها شروع به جستجوی راه هایی برای تأثیرگذاری بر استانداردسازی با ایجاد ظاهری از رقابت کردند. حتی نهادهای غیررسمی مانند IETF نیز این فشار را احساس کرده اند. با توسعه بازارهای مرتبط با اینترنت، کارآفرینان شروع به تشکیل گروه‌ها یا کنسرسیوم‌هایی برای ارتقای استانداردهای خود کرده‌اند. به عنوان مثال می توان به OMG (گروه مدیریت شی)، انجمن VRML (زبان نشانه گذاری واقعیت مجازی) و اتصال توسعه جاوا اشاره کرد. گاهی اوقات مصرف کنندگان جدی خدمات اینترنتی با خرید یا سفارش خود استانداردهایی را به طور واقعی تعیین می کنند.

یکی از دلایل پیدایش گروه های مختلف استاندارد، تنش بین سرعت روزافزون توسعه فناوری و چرخه طولانی ایجاد استانداردها است.

استانداردهای امنیت اینترنت

پروتکل های امن انتقال داده مانند SSL (TLS)، SET، IP v. 6. آنها نسبتاً اخیراً ظاهر شدند و بلافاصله به استانداردهای واقعی تبدیل شدند.

SSL (TLS)

امروزه محبوب ترین پروتکل رمزگذاری داده های شبکه برای انتقال ایمن از طریق شبکه، مجموعه ای از الگوریتم ها، روش ها و قوانین رمزنگاری برای کاربرد آنها است. به شما امکان می دهد یک اتصال امن برقرار کنید، کنترل یکپارچگی داده ها را انجام دهید و کارهای مرتبط مختلف را حل کنید.

تنظیم

SET (تراکنش الکترونیکی امنیتی) یک پروتکل امیدوارکننده است که تراکنش های الکترونیکی امن را در اینترنت فراهم می کند. این مبتنی بر استفاده از گواهینامه های دیجیتال مطابق با استاندارد X.509 است و برای سازماندهی تجارت الکترونیک از طریق شبکه طراحی شده است.

این پروتکل استانداردی است که توسط "MasterCard" و "Visa" با مشارکت "IBM"، "GlobeSet" و سایر شرکا توسعه یافته است. این امکان را به مشتریان می دهد تا با استفاده از امن ترین مکانیسم پرداخت موجود امروز، کالاها را به صورت آنلاین خریداری کنند. SET یک پروتکل چند جانبه استاندارد باز برای پرداخت های آنلاین با استفاده از کارت های پلاستیکی است. این امکان احراز هویت متقابل حساب دارنده کارت، تاجر و بانک تاجر را برای بررسی آمادگی پرداخت، و همچنین صحت و محرمانه بودن پیام، رمزگذاری داده‌های ارزشمند و حساس فراهم می‌کند. SET را می توان یک فناوری یا سیستم پروتکل استاندارد برای انجام پرداخت های ایمن مبتنی بر کارت از طریق اینترنت در نظر گرفت.

IPSec

مشخصات IPSec بخشی از IP v است. 6 و مکمل آن است نسخه فعلیپروتکل های TCP/IP این توسط کارگروه امنیت IP IETF در حال توسعه است. IPSec در حال حاضر شامل سه ویژگی اصلی مستقل از الگوریتم است که استانداردهای RFC مربوطه را نشان می دهد.

پروتکل IPSec یک روش استاندارد برای رمزگذاری ترافیک در لایه IP شبکه (سومین) ارائه می دهد و از اطلاعات مبتنی بر رمزگذاری سرتاسر محافظت می کند: صرف نظر از برنامه در حال اجرا، هر بسته داده ای که از کانال عبور می کند رمزگذاری می شود. این به سازمان ها اجازه می دهد تا شبکه های خصوصی مجازی در اینترنت ایجاد کنند. IPSec بر روی پروتکل های ارتباطی معمولی اجرا می شود و از DES، MD5 و تعدادی دیگر از الگوریتم های رمزنگاری پشتیبانی می کند.

تضمین امنیت اطلاعات در سطح شبکه با استفاده از IPSec شامل موارد زیر است:

  • پشتیبانی از سیستم های نهایی اصلاح نشده؛
  • پشتیبانی از پروتکل های حمل و نقل غیر از TCP.
  • پشتیبانی شبکه های مجازیدر شبکه های ناامن؛
  • محافظت از هدر لایه حمل و نقل از رهگیری (محافظت در برابر تجزیه و تحلیل ترافیک غیرمجاز).
  • محافظت در برابر حملات انکار سرویس

علاوه بر این، IPSec دو مزیت مهم دارد:

  1. کاربرد آن نیازی به تغییر در دستگاه های شبکه میانی ندارد.
  2. ایستگاه های کاری و سرورها برای پشتیبانی از IPSec لازم نیستند.

ویژگی های بازار روسیه

از لحاظ تاریخی، در روسیه، مشکلات امنیتی فناوری اطلاعات تنها در زمینه حفاظت از اسرار دولتی به موقع مورد مطالعه و حل قرار گرفت. وظایف بخش تجاری اقتصاد نیز مشابه، اما با داشتن ویژگی های خاص خود، برای مدت طولانی راه حل های مناسبی پیدا نکرد. این واقعیت هنوز به طور قابل توجهی ظهور و توسعه ابزارهای فناوری اطلاعات امن در بازار داخلی را که با سیستم جهانی یکپارچه شده است، کند می کند. علاوه بر این، حفاظت از اطلاعات در یک سیستم خودکار تجاری ویژگی های خاص خود را دارد که به سادگی باید مورد توجه قرار گیرد، زیرا آنها تأثیر جدی بر فناوری امنیت اطلاعات دارند. ما موارد اصلی را لیست می کنیم:

  1. اولویت عوامل اقتصادی برای یک سیستم خودکار تجاری، کاهش یا حذف زیان‌های مالی و اطمینان از اینکه صاحب و کاربران این جعبه ابزار در مواجهه با ریسک‌های واقعی سود می‌برند، بسیار مهم است. یک شرط مهم برای این، به ویژه، به حداقل رساندن خطرات معمولاً بانکی است (به عنوان مثال، زیان ناشی از جهت های اشتباه پرداخت، جعل اسناد پرداخت و غیره).
  2. باز بودن طراحی، که ایجاد یک زیرسیستم حفاظت از اطلاعات را از ابزارهایی که به طور گسترده در بازار موجود هستند و در سیستم های باز کار می کنند، فراهم می کند.
  3. اهمیت حقوقی اطلاعات تجاری، که می تواند به عنوان ویژگی اطلاعات ایمن تعریف شود که اطمینان از نیروی قانونی اسناد الکترونیکی یا فرآیندهای اطلاعاتی مطابق با رژیم حقوقی منابع اطلاعاتی تعیین شده توسط قانون فدراسیون روسیه را امکان پذیر می کند. این شرایط اخیراً همراه با ایجاد چارچوب قانونی و نظارتی برای امنیت فناوری اطلاعات (به ویژه هنگام تعامل با سیستم های خودکار اشخاص حقوقی مختلف) در کشور ما اهمیت فزاینده ای پیدا کرده است.

بدیهی است که ایجاد پردازش امن IT اطلاعات محرمانهکه حاوی اسرار دولتی نیست، برای زندگی اقتصادی و مالی روسیه مدرن بسیار مهم است. استفاده از استاندارد هماهنگ ISO 15408 ("معیارهای مشترک") در روسیه که منعکس کننده آخرین دستاوردهای جهانی در ارزیابی امنیت اطلاعات است، اجازه می دهد:

  • پیوستن فناوری اطلاعات روسیه به الزامات امنیت اطلاعات بین المللی مدرن، که به عنوان مثال، استفاده از محصولات خارجی و صادرات خود را ساده می کند.
  • تسهیل توسعه مواد نظارتی و روش‌شناختی تخصصی مرتبط روسیه برای آزمایش، ارزیابی (کنترل) و صدور گواهینامه ابزارها و سیستم‌های بانکداری امن و سایر فناوری اطلاعات؛
  • ایجاد مبنایی برای ارزیابی کمی و کیفی ریسک های اطلاعاتی لازم برای بیمه سیستم های خودکار؛
  • کاهش هزینه های کلی حفظ رژیم امنیت اطلاعات در بانک ها و شرکت ها از طریق نوع بندی و یکسان سازی روش ها، اقدامات و ابزارهای حفاظت از اطلاعات.

استانداردهای دولتی

از میان استانداردهای مختلف امنیت فناوری اطلاعات که در کشور ما وجود دارد، باید تعدادی از اسناد را که حفاظت از اتصال سیستم های باز را تنظیم می کنند، مشخص کرد (جدول 1، خطوط 1-3). آنها را می توان با اسناد نظارتی در مورد ابزارها، سیستم ها و معیارهای ارزیابی امنیت تجهیزات رایانه ای و سیستم های خودکار تکمیل کرد (جدول 1، خطوط 4-8 را ببینید). آخرین گروه از اسناد، و همچنین بسیاری از استانداردهای خارجی که قبلا ایجاد شده بودند، در درجه اول بر حفاظت از اسرار دولتی متمرکز هستند.

میز 1.اسناد هنجاری تنظیم کننده ارزیابی امنیت فناوری اطلاعات

p/n 		شماره سند شرح
1 GOST R ISO 7498-2-99 فناوری اطلاعات. رابطه سیستم های باز مدل مرجع پایه بخش 2. معماری امنیت اطلاعات
2 GOST R ISO/IEC 9594-8-98 فناوری اطلاعات. رابطه سیستم های باز فهرست راهنما. بخش 8: مبانی احراز هویت
3 GOST R ISO/IEC 9594-9-95 فناوری اطلاعات. رابطه سیستم های باز فهرست راهنما. قسمت 9. تکرار
4 - سند راهنما کمیسیون فنی دولتی "RD. SVT. فایروال ها. حفاظت از دسترسی غیرمجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات" (کمیسیون فنی دولتی روسیه، 1997)
5 GOST R 50739-95 "امکانات کامپیوتری. حفاظت در برابر دسترسی غیرمجاز به اطلاعات. الزامات فنی عمومی"
6 GOST 28147-89 سیستم های پردازش اطلاعات حفاظت رمزنگاری الگوریتم تبدیل رمزنگاری
7 GOST R 34.10-94 فناوری اطلاعات. حفاظت رمزنگاری از اطلاعات مراحل توسعه و تأیید امضای الکترونیکبر اساس الگوریتم رمزنگاری نامتقارن
8 GOST R 34.11-94 فناوری اطلاعات. حفاظت رمزنگاری از اطلاعات تابع هش

استانداردهای مختلف چگونه و کجا کار می کنند

تمام استانداردهای موجود در حال حاضر چند سطحی هستند. این بدان معنی است که استفاده از آنها به سطح معینی از انتزاع در سیستم های اطلاعاتی محدود می شود (برای مثال، "معیارهای مشترک" را نمی توان برای توصیف جزئیات مکانیسم تولید یک کلید جلسه در پروتکل TLS استفاده کرد). بدیهی است برای به کارگیری موثر استانداردها باید از سطح و هدف آنها به خوبی آگاهی داشت.

بنابراین، هنگام توسعه یک خط مشی امنیتی و سیستم ارزیابی عملکرد، و همچنین هنگام انجام تست های امنیتی پیچیده، بهتر است از مفاد ISO 15408 ("معیارهای مشترک") استفاده شود. پیاده سازی و ارزیابی برتری فنی سیستم های رمزگذاری و امضای دیجیتالی GOST های مربوطه در نظر گرفته شده است. اگر نیاز به محافظت از کانال برای تبادل اطلاعات دلخواه دارید، توصیه می شود از پروتکل TLS استفاده کنید. چه زمانی ما داریم صحبت می کنیمنه فقط در مورد حفاظت خطوط ارتباطی، اما در مورد امنیت تراکنش های مالی، SET وارد عمل می شود، از جمله پروتکل های حفاظت از کانال به عنوان یکی از استانداردهای سطح پایین تر.

از تئوری تا عمل

برای نشان دادن اهمیت عملی مفاد فوق، در اینجا فهرستی از استانداردهای امنیتی مورد استفاده در اجرای خدمات بانکداری الکترونیک بین بانکی آورده شده است.

پروتکل SSL (TLS) می تواند به عنوان یک کانال حفاظتی برای تبادل اطلاعات در سیستم های RS-Portal و "Internet-Client" استفاده شود. استانداردهای GOST 28147-89، GOST R 34.10-94 و GOST R 34.11-94، که رمزگذاری داده ها و مکانیسم امضای دیجیتال را تنظیم می کنند، در همه سیستم های محافظت از رمزگذاری برای زیرسیستم های نوع "مشتری-بانک" ("مشتری DOS"، اجرا می شوند. " کلاینت ویندوز"، "مشتری اینترنتی").

با استفاده از پروتکل IPSec، می توانید با استفاده از پروتکل شبکه IP از هر کانال تبادل اطلاعات بین مشتری و بانک به صورت شفاف محافظت کنید. این هم در مورد سیستم های اینترنتی (RS-Portal و "Internet-Client") و هم برای سیستم پست الکترونیکی RS-Mail که از عملیات از طریق IP پشتیبانی می کند، صدق می کند.

امیدواریم اطلاعات ارائه شده در مقاله به شما کمک کند تا قابلیت اطمینان سیستم های خود را ارزیابی کنید و تلاش و زمان توسعه دهندگان به سمت ایجاد ابزارهای واقعاً بهتری معطوف شود که به گام جدیدی در توسعه فناوری امنیت اطلاعات تبدیل می شود.


مقالات مرتبط
•

استانداردهای بین المللی

  • BS 7799-1:2005 - استاندارد بریتانیا BS 7799 قسمت اول. BS 7799 قسمت 1 - آئین نامه عمل برای مدیریت امنیت اطلاعات 127 کنترل مورد نیاز برای ساخت را شرح می دهد. سیستم های مدیریت امنیت اطلاعات(ISMS) سازمان های شناسایی شده بر اساس بهترین نمونه هاتجربه جهانی (بهترین شیوه ها) در این زمینه. این سند به عنوان یک راهنمای عملی برای راه اندازی یک ISMS عمل می کند
  • BS 7799-2:2005 - استاندارد بریتانیا BS 7799 بخش دوم استاندارد. BS 7799 قسمت 2 - مدیریت امنیت اطلاعات - مشخصات سیستم های مدیریت امنیت اطلاعات، مشخصات یک ISMS را تعریف می کند. بخش دوم استاندارد به عنوان معیار در رویه صدور گواهینامه رسمی برای ISMS یک سازمان استفاده می شود.
  • BS 7799-3:2006 - استاندارد بریتانیا BS 7799 بخش سوم استاندارد. استاندارد جدید در مدیریت ریسک امنیت اطلاعات
  • ISO/IEC 17799:2005 - فناوری اطلاعات - فناوری های امنیتی - شیوه های مدیریت امنیت اطلاعات. استاندارد بین المللی بر اساس BS 7799-1:2005.
  • ISO/IEC 27000 - واژگان و تعاریف.
  • ISO/IEC 27001 - "فناوری اطلاعات - شیوه های امنیتی - سیستم های مدیریت امنیت اطلاعات - الزامات". استاندارد بین المللی بر اساس BS 7799-2:2005.
  • ISO/IEC 27002 - اکنون: ISO/IEC 17799:2005. "فناوری اطلاعات - فناوری امنیت - شیوه های مدیریت امنیت اطلاعات". تاریخ انتشار - 2007.
  • ISO/IEC 27005 - اکنون: BS 7799-3:2006 - راهنمای مدیریت ریسک امنیت اطلاعات.
  • آژانس امنیت اطلاعات آلمان کتابچه راهنمای حفاظت از خط پایه فناوری اطلاعات - حفاظت های امنیتی استاندارد.

استانداردهای ایالتی (ملی) فدراسیون روسیه

  • GOST R 50922-2006: امنیت اطلاعات. اصطلاحات و تعاریف اولیه
  • R 50.1.053-2005: فناوری اطلاعات. اصطلاحات و تعاریف اساسی در این زمینه حفاظت فنیاطلاعات
  • GOST R 51188-98: امنیت اطلاعات. تست نرم افزار برای در دسترس بودن ویروس های کامپیوتری. راهنمای مدل.
  • GOST R 51275-2006: امنیت اطلاعات. شیء اطلاع رسانی عوامل موثر بر اطلاعات مقررات عمومی
  • GOST R ISO/IEC 15408-1-2012: فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. معیارهای ارزیابی امنیت فناوری اطلاعات. قسمت 1. مقدمه و مدل کلی.
  • GOST R ISO/IEC 15408-2-2013: فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. معیارهای ارزیابی امنیت فناوری اطلاعات. بخش 2: الزامات عملکردی امنیتی.
  • GOST R ISO/IEC 15408-3-2013: فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. معیارهای ارزیابی امنیت فناوری اطلاعات. بخش 3: الزامات تضمین امنیت.
  • GOST R ISO / IEC 15408 - "معیارهای عمومی برای ارزیابی امنیت فناوری اطلاعات" - استانداردی که ابزارها و روش‌شناسی را برای ارزیابی امنیت محصولات و سیستم‌های اطلاعاتی تعریف می‌کند. این شامل فهرستی از الزامات است که می توان نتایج ارزیابی های ایمنی مستقل را با آن مقایسه کرد - به لطف آن مصرف کننده در مورد ایمنی محصولات تصمیم می گیرد. دامنه کاربرد «معیارهای عمومی» حفاظت از اطلاعات در برابر دسترسی، اصلاح یا نشت غیرمجاز و سایر روش های حفاظتی اجرا شده توسط سخت افزار و نرم افزار است.
  • GOST R ISO / IEC 17799 - "فناوری اطلاعات. قوانین عملی مدیریت امنیت اطلاعات کاربرد مستقیم استاندارد بین المللی با اضافه شدن ISO/IEC 17799:2005.
  • GOST R ISO / IEC 27001 - "فناوری اطلاعات. روش های امنیتی سیستم مدیریت امنیت اطلاعات الزامات". کاربرد مستقیم استاندارد بین المللی - ISO/IEC 27001:2005.
  • GOST R 51898-2002: جنبه های ایمنی. قوانین گنجاندن در استانداردها