Տեղեկատվական անվտանգության միջազգային ստանդարտի գործնական կիրառում. Տեղեկատվական անվտանգության ստանդարտներ. IS միջազգային ստանդարտների ստեղծման նախադրյալները

Այս բաժինը տրամադրում է ընդհանուր տեղեկությունև տեղեկատվական անվտանգության ոլորտում Ռուսաստանի Դաշնության ազգային ստանդարտների տեքստեր ԳՕՍՏ Ռ.

Վերջին տարիներին մշակված և մշակման համար նախատեսված ժամանակակից ԳՕՍՏ-ների արդի ցուցակ: Տեղեկատվական անվտանգության գործիքների հավաստագրման համակարգ՝ ըստ տեղեկատվական անվտանգության պահանջների No ROSS RU.0001.01BI00 (FSTEC of Russia): ՌՈՒՍԱՍՏԱՆԻ ԴԱՇՆՈՒԹՅԱՆ ՊԵՏԱԿԱՆ ՍՏԱՆԴԱՐՏ. Տվյալների պաշտպանություն. ՊԱՇՏՊԱՆՎԱԾ ԿԱՏԱՐՈՂՈՎ ԱՎՏՈՄԱՏԱՑՎԱԾ ՀԱՄԱԿԱՐԳԵՐԻ ՍՏԵՂԾՄԱՆ ԿԱՐԳԸ. Ընդհանուր դրույթներ. Մոսկվա ՌՈՒՍԱՍՏԱՆԻ ԴԱՇՆՈՒԹՅԱՆ ՊԵՏԱԿԱՆ ՍՏԱՆԴԱՐՏ. Համակարգչային հարմարություններ. Պաշտպանություն տեղեկատվության չարտոնված մուտքից: Գեներալ տեխնիկական պահանջներ. Ներածման ամսաթիվ 1996-01-01 Ռուսաստանի Դաշնության ազգային ստանդարտ. Տվյալների պաշտպանություն. Հիմնական տերմիններ և սահմանումներ. տեղեկատվության պաշտպանություն։ Հիմնական տերմիններ և սահմանումներ. Ներածման ամսաթիվ 2008-02-01 ՌՈՒՍԱՍՏԱՆԻ ԴԱՇՆՈՒԹՅԱՆ ՊԵՏԱԿԱՆ ՍՏԱՆԴԱՐՏ. ՏՎՅԱԼՆԵՐԻ ՊԱՇՏՊԱՆՈՒԹՅՈՒՆ. ՍՏԱՆԴԱՐՏՆԵՐԻ ՀԱՄԱԿԱՐԳ. ՀԻՄՆԱԿԱՆ ԴՐՈՒՅԹՆԵՐ (ՏԵՂԵԿԱՏՎՈՒԹՅԱՆ ԱՆՎՏԱՆԳՈՒԹՅՈՒՆ. ՍՏԱՆԴԱՐՏՆԵՐԻ ՀԱՄԱԿԱՐԳ. ՀԻՄՆԱԿԱՆ ՍԿԶԲՈՒՆՔՆԵՐ) ՌՈՒՍԱՍՏԱՆԻ ԴԱՇՆՈՒԹՅԱՆ ՊԵՏԱԿԱՆ ՍՏԱՆԴԱՐՏ. Տվյալների պաշտպանություն. ՀԱՄԱԿԱՐԳՉԱԿԱՆ ՎԻՐՈՒՍՆԵՐԻ ՀԱՄԱՐ ԾՐԱԳՐԵՐԻ ՓՈՐՁԱՐԿՈՒՄ. Նմուշի ձեռնարկ (Տեղեկատվական անվտանգություն. Համակարգչային վիրուսների առկայության ծրագրային ապահովման փորձարկում. Ձեռնարկի նմուշը): Ինֆորմացիոն տեխնոլոգիա. Տեղեկատվական տեխնոլոգիաների պաշտպանություն և ավտոմատացված համակարգերսպառնալիքներից տեղեկատվական անվտանգությունիրականացվում է գաղտնի ալիքների միջոցով: Մաս 1. Ընդհանուր դրույթներ Ինֆորմացիոն տեխնոլոգիա. Տեղեկատվական տեխնոլոգիաների և ավտոմատացված համակարգերի պաշտպանություն տեղեկատվական անվտանգության սպառնալիքներից, որոնք իրականացվում են գաղտնի ուղիներով: Մաս 2. Տեղեկատվական, տեղեկատվական տեխնոլոգիաների և ավտոմատացված համակարգերի պաշտպանությունը գաղտնի ուղիներով հարձակումներից կազմակերպելու վերաբերյալ առաջարկություններ. Ինֆորմացիոն տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Պաշտպանական պրոֆիլների և անվտանգության թիրախների մշակման ուղեցույց Ավտոմատ նույնականացում. Կենսաչափական նույնականացում. Կենսաչափության մեջ կատարողականության թեստեր և փորձարկման հաշվետվություններ: Մաս 3. Կենսաչափական տարբեր եղանակների փորձարկման առանձնահատկությունները Ինֆորմացիոն տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման մեթոդիկա ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 15408-1-2008 Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման չափանիշներ. Մաս 1. Ներածություն և ընդհանուր մոդել(Տեղեկատվական տեխնոլոգիա. Անվտանգության տեխնիկա. ՏՏ անվտանգության գնահատման չափանիշներ. Մաս 1. Ներածություն և ընդհանուր մոդել) ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 15408-2-2008. Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման չափանիշներ. Մաս 2. Անվտանգության ֆունկցիոնալ պահանջներ (Տեղեկատվական տեխնոլոգիաներ. Անվտանգության տեխնիկա. ՏՏ անվտանգության գնահատման չափանիշներ. Մաս 2. Անվտանգության ֆունկցիոնալ պահանջներ) ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 15408-3-2008 Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման չափանիշներ. Մաս 3. Անվտանգության ապահովման պահանջներ (Տեղեկատվական տեխնոլոգիաներ. Անվտանգության տեխնիկա. ՏՏ անվտանգության գնահատման չափանիշներ. Մաս 3. Անվտանգության ապահովման պահանջներ) ԳՕՍՏ Ռ 53109-2008 Հանրային կապի ցանցի տեղեկատվական անվտանգության համակարգ. Տեղեկատվական անվտանգության կապի կազմակերպության անձնագիր. Հանրային կապի ցանցի ապահովման համակարգի տեղեկատվական անվտանգություն. Տեղեկատվական անվտանգության հաղորդակցության կազմակերպության անձնագիր. Ուժի մեջ մտնելու ամսաթիվ 30.09.2009թ. ԳՕՍՏ Ռ 53114-2008 Տեղեկատվական անվտանգություն. Կազմակերպությունում տեղեկատվական անվտանգության ապահովում. Հիմնական տերմիններ և սահմանումներ. տեղեկատվության պաշտպանություն։ Տեղեկատվական անվտանգության ապահովում կազմակերպություններում. Հիմնական տերմիններ և սահմանումներ. Ուժի մեջ մտնելու ամսաթիվ 30.09.2009թ. ԳՕՍՏ Ռ 53112-2008 Տեղեկատվական անվտանգություն. Կեղծ էլեկտրամագնիսական ճառագայթման և պիկապների պարամետրերի չափման համալիրներ: Տեխնիկական պահանջներ և փորձարկման մեթոդներ: տեղեկատվության պաշտպանություն. Կողային էլեկտրամագնիսական ճառագայթման և պիկապ պարամետրերի չափման հարմարություններ: տեխնիկական պահանջներ և փորձարկման մեթոդներ: Ուժի մեջ մտնելու ամսաթիվ 30.09.2009թ. ԳՕՍՏ Ռ 53115-2008 Տեղեկատվական անվտանգություն. Տեղեկատվության մշակման տեխնիկական միջոցների փորձարկում՝ չարտոնված մուտքից անվտանգության պահանջներին համապատասխանելու համար: Մեթոդներ և միջոցներ. տեղեկատվության պաշտպանություն. Տեխնիկական տեղեկատվության մշակման օբյեկտների համապատասխանության փորձարկում չարտոնված մուտքի պաշտպանության պահանջներին: Մեթոդներ և տեխնիկա. Ուժի մեջ մտնելու ամսաթիվ 30.09.2009թ. ԳՕՍՏ Ռ 53113.2-2009 Տեղեկատվական տեխնոլոգիա. Տեղեկատվական տեխնոլոգիաների և ավտոմատացված համակարգերի պաշտպանություն տեղեկատվական անվտանգության սպառնալիքներից, որոնք իրականացվում են գաղտնի ուղիներով: Մաս 2. Տեղեկատվական, տեղեկատվական տեխնոլոգիաների և ավտոմատացված համակարգերի պաշտպանությունը գաղտնի կապուղիներով հարձակումներից կազմակերպելու վերաբերյալ առաջարկություններ. ինֆորմացիոն տեխնոլոգիա. Տեղեկատվական տեխնոլոգիաների և ավտոմատացված համակարգերի պաշտպանություն անվտանգության սպառնալիքներից, որոնք բխում են գաղտնի կապուղիների օգտագործումից: Մաս 2. Տեղեկատվության, տեղեկատվական տեխնոլոգիաների և ավտոմատացված համակարգերի պաշտպանության վերաբերյալ առաջարկություններ գաղտնի կապուղու հարձակումներից: Ուժի մեջ է 01.12.2009թ. ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 19791-2008 Տեղեկատվական տեխնոլոգիաներ. Անվտանգության ապահովման մեթոդներ և միջոցներ. Ավտոմատացված համակարգերի անվտանգության գնահատում: ինֆորմացիոն տեխնոլոգիա. անվտանգության տեխնիկա. Գործառնական համակարգերի անվտանգության գնահատում: Ուժի մեջ մտնելու ամսաթիվ 30.09.2009թ. ԳՕՍՏ Ռ 53131-2008 Տեղեկատվական անվտանգություն. Տեղեկատվական և հեռահաղորդակցության տեխնոլոգիաների անվտանգության գործառույթների և մեխանիզմների աղետների վերականգնման ծառայությունների վերաբերյալ առաջարկություններ: Ընդհանուր դրույթներ. տեղեկատվության պաշտպանություն. Տեղեկատվական և հաղորդակցական տեխնոլոգիաների անվտանգության գործառույթների և մեխանիզմների վերականգնման ծառայությունների ուղեցույցներ: գեներալ. Ուժի մեջ մտնելու ամսաթիվ 30.09.2009թ. ԳՕՍՏ Ռ 54581-2011 Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. ՏՏ անվտանգության նկատմամբ վստահության հիմունքները. Մաս 1. Տեսություն և հիմունքներ. ինֆորմացիոն տեխնոլոգիա. անվտանգության տեխնիկա. ՏՏ անվտանգության ապահովման շրջանակ: Մաս 1. Տեսություն և շրջանակ: Ուժի մեջ մտնելու ամսաթիվ 01.07.2012թ. ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27033-1-2011 Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Ցանցի անվտանգություն. Մաս 1. Ընդհանուր ակնարկ և հասկացություններ. ինֆորմացիոն տեխնոլոգիա. անվտանգության տեխնիկա. ցանցային անվտանգություն։ Մաս 1. Ընդհանուր ակնարկ և հասկացություններ. Ուժի մեջ մտնելու ամսաթիվ 01.01.2012թ. ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27006-2008 Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական անվտանգության կառավարման համակարգերի աուդիտ և հավաստագրում իրականացնող մարմիններին ներկայացվող պահանջները. ինֆորմացիոն տեխնոլոգիա. անվտանգության տեխնիկա. Տեղեկատվական անվտանգության կառավարման համակարգերի աուդիտ և հավաստագրում իրականացնող մարմիններին ներկայացվող պահանջները. Ուժի մեջ մտնելու ամսաթիվ 30.09.2009թ. ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27004-2011 Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական անվտանգության կառավարում. Չափումներ. ինֆորմացիոն տեխնոլոգիա. անվտանգության տեխնիկա. տեղեկատվական անվտանգության կառավարում: չափումներ։ Ուժի մեջ մտնելու ամսաթիվ 01.01.2012թ. ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27005-2010 Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական անվտանգության ռիսկերի կառավարում. ինֆորմացիոն տեխնոլոգիա. անվտանգության տեխնիկա. տեղեկատվական անվտանգության ռիսկերի կառավարում: Ուժի մեջ մտնելու ամսաթիվ 01.12.2011թ. ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 31010-2011 Ռիսկերի կառավարում. Ռիսկերի գնահատման մեթոդներ (Risk management. Risk գնահատման մեթոդներ). Ուժի մեջ մտնելու ամսաթիվ՝ 01.12.2012թ ԳՕՍՏ Ռ ԻՍՕ 31000-2010 Ռիսկերի կառավարում. Սկզբունքներ և ուղեցույցներ (Risk management. Principles and guidelines). Ուժի մեջ մտնելու ամսաթիվ` 31.08.2011թ ԳՕՍՏ 28147-89 Տեղեկատվության մշակման համակարգեր. Կրիպտոգրաֆիկ պաշտպանություն. Կրիպտոգրաֆիկ փոխակերպման ալգորիթմ. Ուժի մեջ մտնելու ամսաթիվ՝ 30.06.1990թ. ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27013-2014 «Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Ուղեցույց կիսվելով ISO/IEC 27001 և ISO/IEC 20000-1» – ուժի մեջ է մտնում 2015 թվականի սեպտեմբերի 1-ից ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27033-3-2014 «Ցանցի անվտանգություն. Մաս 3. Տեղեկատվական ցանցի սցենարներ. սպառնալիքներ, նախագծման մեթոդներ և կառավարման հիմնախնդիրներ» – ուժի մեջ է մտնում 2015 թվականի նոյեմբերի 1-ից։ ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27037-2014 «Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Թվային ձևով ապացույցների նույնականացման, հավաքագրման, ստացման և պահպանման ուղեցույցներ» - ուժի մեջ է մտնում 2015 թվականի նոյեմբերի 1-ից: ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27002-2012 Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական անվտանգության կառավարման նորմերի և կանոնների օրենսգիրք. ինֆորմացիոն տեխնոլոգիա. անվտանգության տեխնիկա. Տեղեկատվական անվտանգության կառավարման պրակտիկայի կանոնագիրք. Ուժի մեջ մտնելու ամսաթիվ 01.01.2014թ. OKS կոդ 35.040. ԳՕՍՏ Ռ 56939-2016 Տեղեկատվական անվտանգություն. Անվտանգ ծրագրային ապահովման մշակում: Ընդհանուր պահանջներ (Տեղեկատվության պաշտպանություն. Անվտանգ ծրագրային ապահովման մշակում. Ընդհանուր պահանջներ): Ուժի մեջ մտնելու ամսաթիվ 01.06.2017թ. ԳՕՍՏ Ռ 51583-2014 Տեղեկատվական անվտանգություն. Պաշտպանված կատարման մեջ ավտոմատացված համակարգերի ստեղծման կարգը. Ընդհանուր դրույթներ. տեղեկատվության պաշտպանություն. Պաշտպանված գործառնական համակարգի ձևավորման հաջորդականությունը. գեներալ. 09/01/2014 ԳՕՍՏ Ռ 7.0.97-2016 Տեղեկատվության, գրադարանավարության և հրատարակչության ստանդարտների համակարգ. Կազմակերպչական և վարչական փաստաթղթեր. Փաստաթղթային պահանջներ (Տեղեկատվության, գրադարանավարության և հրատարակչության ստանդարտների համակարգ. Կազմակերպչական և վարչական փաստաթղթեր. Փաստաթղթերի ներկայացման պահանջներ): Ուժի մեջ մտնելու ամսաթիվ 01.07.2017թ. OKS կոդ 01.140.20։ ԳՕՍՏ Ռ 57580.1-2017 Ֆինանսական (բանկային) գործարքների անվտանգություն. Ֆինանսական կազմակերպությունների տեղեկատվության պաշտպանություն. Կազմակերպչական և տեխնիկական միջոցառումների հիմնական կազմը - Ֆինանսական (բանկային) գործառնությունների անվտանգություն: Ֆինանսական կազմակերպությունների տեղեկատվության պաշտպանություն. Կազմակերպչական և տեխնիկական միջոցառումների հիմնական փաթեթը: ԳՕՍՏ Ռ ԻՍՕ 22301-2014 Բիզնեսի շարունակականության կառավարման համակարգեր. Ընդհանուր պահանջներ - Բիզնեսի շարունակականության կառավարման համակարգեր: պահանջները։ ԳՕՍՏ Ռ ԻՍՕ 22313-2015 Բիզնեսի շարունակականության կառավարում. Իրականացման ուղեցույց - Բիզնեսի շարունակականության կառավարման համակարգեր: Իրականացման ուղեցույց: ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27031-2012 Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական և հաղորդակցական տեխնոլոգիաների պատրաստակամության վերաբերյալ ուղեցույց բիզնեսի շարունակականության համար - Տեղեկատվական տեխնոլոգիաներ: անվտանգության տեխնիկա. Տեղեկատվական և հաղորդակցական տեխնոլոգիաների պատրաստակամության ուղեցույցներ բիզնեսի շարունակականության համար: ԳՕՍՏ Ռ ԻԷԿ 61508-1-2012 Անվտանգության հետ կապված էլեկտրական, էլեկտրոնային, ծրագրավորվող էլեկտրոնային համակարգերի ֆունկցիոնալ անվտանգություն. Մաս 1. Ընդհանուր պահանջներ. Էլեկտրական, էլեկտրոնային, ծրագրավորվող էլեկտրոնային անվտանգության հետ կապված համակարգերի ֆունկցիոնալ անվտանգություն: Մաս 1. Ընդհանուր պահանջներ. Ներածման ամսաթիվ 2013-08-01. ԳՕՍՏ Ռ ԻԷԿ 61508-2-2012 Անվտանգության հետ կապված էլեկտրական, էլեկտրոնային, ծրագրավորվող էլեկտրոնային համակարգերի ֆունկցիոնալ անվտանգություն. Մաս 2. Համակարգերին ներկայացվող պահանջներ. Էլեկտրական, էլեկտրոնային, ծրագրավորվող էլեկտրոնային անվտանգության հետ կապված համակարգերի ֆունկցիոնալ անվտանգություն: Մաս 2. Համակարգերին ներկայացվող պահանջներ. Ներածման ամսաթիվ 2013-08-01. ԳՕՍՏ Ռ ԻԷԿ 61508-3-2012 ԱՆՎՏԱՆԳՈՒԹՅԱՆ ՀԵՏ ԿԱՊՎԱԾ ԷԼԵԿՏՐԱԿԱՆ, ԷԼԵԿՏՐՈՆԻԿ, ԾՐԱԳՐԱՎՈՐՎԱԾ ԷԼԵԿՏՐՈՆԱԿԱՆ ՀԱՄԱԿԱՐԳԵՐԻ ՖՈՒՆԿՑԻԱԼ ԱՆՎՏԱՆԳՈՒԹՅՈՒՆ: Պահանջները դեպի ծրագրային ապահովում. IEC 61508-3:2010 Էլեկտրական/էլեկտրոնային/ծրագրավորվող էլեկտրոնային անվտանգության հետ կապված համակարգերի ֆունկցիոնալ անվտանգություն - Մաս 3. Ծրագրային պահանջներ (IDT): ԳՕՍՏ Ռ ԻԷԿ 61508-4-2012 ԱՆՎՏԱՆԳՈՒԹՅԱՆ ԿԱՊՎԱԾ ԷԼԵԿՏՐԱԿԱՆ, ԷԼԵԿՏՐՈՆԱԿԱՆ, ԾՐԱԳՐԱՎՈՐՎԱԾ ԷԼԵԿՏՐՈՆԱԿԱՆ ՀԱՄԱԿԱՐԳԵՐԻ ՖՈՒՆԿՑԻԱԼ ԱՆՎՏԱՆԳՈՒԹՅՈՒՆ Մաս 4 Տերմիններ և սահմանումներ. Էլեկտրական, էլեկտրոնային, ծրագրավորվող էլեկտրոնային անվտանգության հետ կապված համակարգերի ֆունկցիոնալ անվտանգություն: Մաս 4. Տերմիններ և սահմանումներ. Ներածման ամսաթիվ 2013-08-01. . ԳՕՍՏ Ռ ԻԷԿ 61508-6-2012 Անվտանգության հետ կապված էլեկտրական, էլեկտրոնային, ծրագրավորվող էլեկտրոնային համակարգերի ֆունկցիոնալ անվտանգություն. Մաս 6. ԳՕՍՏ Ռ ԻԷԿ 61508-2 և ԳՕՍՏ Ռ ԻԷԿ 61508-3 կիրառման ուղեցույցներ: IEC 61508-6:2010. Էլեկտրական/էլեկտրոնային/ծրագրավորվող էլեկտրոնային անվտանգության հետ կապված համակարգերի ֆունկցիոնալ անվտանգություն - Մաս 6. IEC 61508-2 և IEC 61508-3 (IDT) կիրառման ուղեցույցներ: ԳՕՍՏ Ռ ԻԷԿ 61508-7-2012 Էլեկտրական համակարգերի ֆունկցիոնալ անվտանգություն, Անվտանգության հետ կապված էլեկտրական, էլեկտրոնային, ծրագրավորվող էլեկտրոնային համակարգերի ֆունկցիոնալ անվտանգություն: Մաս 7. Մեթոդներ և միջոցներ. Էլեկտրական էլեկտրոնային ծրագրավորվող էլեկտրոնային անվտանգության հետ կապված համակարգերի ֆունկցիոնալ անվտանգություն: Մաս 7. Տեխնիկա և միջոցառումներ. Ներածման ամսաթիվ 2013-08-01. ԳՕՍՏ Ռ 53647.6-2012. Բիզնեսի շարունակականության կառավարում. Անձնական տեղեկատվության կառավարման համակարգի պահանջները տվյալների պաշտպանությունն ապահովելու համար

Վ.Վ. ՏիխոնենկոՈրակի մասնագետ-փորձագետների միության ղեկավար (Կիև, Ուկրաինա), բ.գ.թ. գործադիր տնօրեն EKTC «WATT»

Հոդվածում ներկայացված են միջազգային և ազգային անվտանգության հիմնական ստանդարտների նկարագրությունը: Դիտարկվում են «անվտանգություն», «վտանգ», «ռիսկ» տերմինների սահմանումները։ Ենթադրություններ են արվում վտանգները նկարագրելու համար Հայզենբերգի անորոշության և Բորի փոխլրացման սկզբունքների օգտագործման հնարավորության մասին։

Ի՞նչ է «անվտանգությունը»:

Անվտանգության ապահովումը ամենակարևոր պահանջներից է, որը պետք է կատարի բոլորը, ամենուր և միշտ, քանի որ ցանկացած գործունեություն պոտենցիալ վտանգավոր է։ Անվտանգությունը կապված է ռիսկի հետ (դրանք փոխկապակցված են): Դիտարկենք այս հասկացությունների սահմանումները, որոնք տրված են ստանդարտներում:

Անվտանգություն- ոչ մի անընդունելի ռիսկ:

Վտանգվնասի հավանական աղբյուր է:

Ռիսկ- նպատակների անորոշության ազդեցությունը.

Այսպիսով, անվտանգությունը բնութագրվում է ոչ թե ռիսկի բացակայությամբ, այլ միայն անընդունելի ռիսկի բացակայությամբ։ Ստանդարտները սահմանում են տանելի ռիսկը որպես «անվտանգության օպտիմալ հավասարակշռություն և այն պահանջների միջև, որոնք պետք է բավարարի արտադրանքը, գործընթացը կամ ծառայությունը, ինչպես նաև այնպիսի գործոններ, ինչպիսիք են օգտագործողի օգուտը, ծախսարդյունավետությունը, սովորույթը և այլն»: Ստանդարտը, որը հաճախ օգտագործվում է ձեռնարկությունների կողմից, սահմանում է տանելի (ընդունելի) ռիսկը որպես «ռիսկ իջեցված այն մակարդակի, որը կազմակերպությունը կարող է հանդուրժել՝ հաշվի առնելով իր իրավական պարտավորությունները և սեփական քաղաքականությունը աշխատանքային առողջության և անվտանգության ոլորտում»:

Ստանդարտները կարգավորում են ռիսկի նվազեցման ուղիները (առաջնահերթության կարգով).

• անվտանգ նախագծի մշակում;
• պաշտպանիչ սարքեր և անհատական ​​պաշտպանիչ սարքավորումներ (դրանք կոլեկտիվ և անհատական ​​պաշտպանիչ սարքավորումներ են - խմբ.);
• տեղադրման և կիրառման մասին տեղեկատվություն;
• կրթություն.

Անվտանգության ստանդարտների տեսակները

Համաձայն անվտանգության ստանդարտների հետևյալ տեսակների կարող են լինել.

• հիմնարար, ներառյալ հիմնարար հասկացությունները, սկզբունքները և պահանջները, որոնք վերաբերում են անվտանգության հիմնական ասպեկտներին: Այս ստանդարտները կիրառվում են ապրանքների, գործընթացների և ծառայությունների լայն շրջանակի համար.
• խումբ, որը պարունակում է անվտանգության ասպեկտներ, որոնք կիրառելի են մի քանի տեսակների կամ հարակից տեսակի ապրանքների, գործընթացների կամ ծառայությունների ընտանիքի համար: Այս փաստաթղթերը հղում են կատարում անվտանգության հիմնարար չափանիշներին.
• արտադրանքի անվտանգության ստանդարտներ, որոնք ներառում են որոշակի տեսակի կամ ընտանիքի ապրանքների, գործընթացների կամ ծառայությունների անվտանգության ասպեկտները: Այս փաստաթղթերը հղում են կատարում հիմնարար և խմբային ստանդարտներին.
• արտադրանքի ստանդարտներ, որոնք պարունակում են, բայց չեն սահմանափակվում դրանցով անվտանգության ասպեկտներ: Նրանք պետք է հղում կատարեն հիմնական և խմբային անվտանգության չափանիշներին: Աղյուսակում ներկայացված են թվարկված տեսակների հետ կապված միջազգային ստանդարտների օրինակներ: Դուք կարող եք խորհուրդ տալ կարդալ աղյուսակը: Ստանդարտի 1-ը, որը սահմանում է միջազգային, եվրոպական և ռուսական կարգավորող փաստաթղթեր, որոնք պարունակում են անվտանգության գործառույթի բնութագրերի պահանջներ:

Կանոնակարգերում/ստանդարտներում անվտանգության պահանջների սահմանումը պետք է հիմնված լինի մարդկանց, գույքին կամ շրջակա միջավայրին հասցվող վնասի ռիսկի կամ դրանց համակցության վերլուծության վրա, ինչպես ասում են ստանդարտները: Նկարը սխեմատիկորեն ցույց է տալիս ձեռնարկության հիմնական ռիսկերը՝ նշելով ռիսկերի կառավարման ստանդարտները:

Հնարավոր է, որ Dirac-ի դելտա ֆունկցիաները և Heaviside-ի ֆունկցիաները կարող են օգտագործվել վտանգներն ու ռիսկերը նկարագրելու և վերլուծելու համար, քանի որ ընդունելիից անընդունելի ռիսկի անցումը կտրուկ է:

Անվտանգության սկզբունքներն ու միջոցները

Տեսականորեն կարելի է առանձնացնել անվտանգության հետևյալ սկզբունքները.

• կառավարչական (համարժեքություն, վերահսկողություն, հետադարձ կապ, պատասխանատվություն, պլանավորում, խթանում, կառավարում, արդյունավետություն);
• կազմակերպչական (ժամանակի պաշտպանություն, տեղեկատվություն, ավելորդություն, անհամատեղելիություն, ռացիոնալացում, հավաքագրում, հետևողականություն, էրգոնոմիկա);
• տեխնիկական (արգելափակում, վակուում, կնքում, հեռավորության պաշտպանություն, սեղմում, ամրություն, թույլ կապ, ֆլեգմատացում, պաշտպանություն);
• կողմնորոշում (օպերատորի գործունեություն, օպերատորի փոխարինում, դասակարգում, վտանգի վերացում, հետևողականություն, ռիսկի նվազեցում):

Ավելի մանրամասն անդրադառնանք դասակարգման (դասակարգման) սկզբունքին։ Այն բաղկացած է օբյեկտները դասերի և կատեգորիաների բաժանելուց՝ ըստ վտանգների հետ կապված նշանների: Օրինակներ՝ սանիտարական պաշտպանության գոտիներ (5 դաս), արտադրության (տարածքների) կատեգորիաներ պայթյունի վտանգի համար (A, B, C, D, E), կատեգորիաներ / դասեր՝ ըստ ATEX դիրեկտիվների (սարքավորումների 3 կատեգորիա, 6 գոտի), թափոնների վտանգ։ դասեր (5 դաս՝ Ռուսաստանում, 4 դաս՝ Ուկրաինայում), նյութերի վտանգի դասեր (4 դաս), վտանգավոր բեռների փոխադրման համար վտանգի դասեր (9 դաս) և այլն։

Տեղեկություն

Ըստ Հայնրիխի հաշվարկների՝ մեկ մահացու վթարի դեպքում կա մոտ 30 վիրավոր՝ ավելի քիչ լուրջ հետևանքներով և մոտ 300 այլ միջադեպեր, որոնք կարող են գրեթե աննկատ մնալ։ Ընդ որում, հետեւանքների վերացման անուղղակի տնտեսական ծախսերը չորս անգամ գերազանցում են ուղղակիին։

Հղում

Բոլոր անբարենպաստ իրադարձությունների մոտ 20% -ը կապված է սարքավորումների խափանումների հետ, իսկ 80% -ը` մարդկային սխալների հետ, որոնցից սխալների 70% -ը պայմանավորված է թաքնված կազմակերպչական թուլություններով (սխալները թաքցվել են, դրանց արձագանք չկա), իսկ մոտ 30% -ը: կապված էին անհատ աշխատողի հետ:

Բրինձ. Ընկերության ռիսկերը (օրինակ) և կիրառելի ստանդարտները

Նշումներ:

ECO - Եվրոպական գնահատման ստանդարտներ (European Group of Appraisers TEGoVA);

IVS - Միջազգային գնահատման ստանդարտներ (գույք);

ՖՀՄՍ - Ֆինանսական հաշվետվությունների միջազգային ստանդարտներ (IFRS);

ԲԱԶԵԼ II - Բանկային վերահսկողության Բազելի կոմիտեի «Կապիտալ չափման և կապիտալի ստանդարտների միջազգային կոնվերգենցիա. նոր մոտեցումներ» համաձայնագիր;

BRC - The British Retail Consortium Համաշխարհային ստանդարտներ (Բրիտանական առևտրի կոնսորցիումի ստանդարտներ);

COBIT - Control Objectives for Information and Related Technology («Տեղեկատվական և հարակից տեխնոլոգիաների հիմնախնդիրներ» - փաթեթ. բաց փաստաթղթեր, մոտ 40 միջազգային և ազգային ստանդարտներ և ուղեցույցներ ՏՏ կառավարման, աուդիտի և ՏՏ անվտանգության ոլորտում); COSO - Treadway հանձնաժողովի հովանավոր կազմակերպությունների կոմիտե (Treadway հանձնաժողովի հովանավոր կազմակերպությունների կոմիտեի ստանդարտ);

FERMA - Եվրոպական ռիսկերի կառավարման ասոցիացիաների ֆեդերացիա (Ռիսկերի կառավարման եվրոպական ասոցիացիաների ֆեդերացիայի ստանդարտ); GARP - Ռիսկի մասնագետների գլոբալ ասոցիացիա (Ռիսկի մասնագետների ասոցիացիայի ստանդարտ);

IFS - International Featured Standards (Սննդամթերքի արտադրության և վաճառքի միջազգային ստանդարտներ);

ISO / PAS 28000 - Մատակարարման շղթայի անվտանգության կառավարման համակարգերի հստակեցում (մատակարարման շղթայի անվտանգության կառավարման համակարգեր. Տեխնիկական պայմաններ);

NIST SP 800-30 - Ռիսկերի կառավարման ուղեցույց տեղեկատվական տեխնոլոգիաների համակարգերի համար:

Աղյուսակ. Անվտանգության ստանդարտներ (օրինակներ)

Անվտանգության սարքավորումները բաժանված են կոլեկտիվ պաշտպանության սարքավորումների (SKZ) և անհատական ​​պաշտպանության սարքավորումների (PPE): Իր հերթին, SKZ-ը և PPE-ն բաժանվում են խմբերի՝ կախված վտանգների բնույթից, դիզայնից, շրջանակից և այլն:

Հիմնական անվտանգության ստանդարտներ

Եվրոպական Միությունում մասնագիտական ​​ռիսկի գնահատման պահանջները պարունակվում են.

• 89/391/ԵՏՀ հրահանգ (ԵՄ անդամ երկրներում մասնագիտական ​​ռիսկի գնահատման ներդրման պահանջներ);
• Աշխատանքի ժամանակ անվտանգության վերաբերյալ ԵՄ անհատական ​​հրահանգները (89/654/ԵՏՀ, 89/655/ԵՏՀ, 89/656/ԵՏՀ, 90/269/ԵՏՀ, 90/270/ԵՏՀ, 1999/92/ԵՀ և այլն) և աշխատողների պաշտպանությունը քիմիական, ֆիզիկական և կենսաբանական ռիսկերից, քաղցկեղածիններից և մուտագեններից (98/24/EC, 2000/54/EC, 2002/44/EC, 2003/10/EC, 2004/40/EC, 2004/37/EC և այլն) ATEX ԵՄ դիրեկտիվները նույնպես հատուկ տեղ են գրավում անվտանգության ոլորտում՝ մեկը արտադրողների, մյուսը՝ սարքավորումներ օգտագործողների համար.
• «ATEX 95 սարքավորում» (94/9/EC հրահանգ) - սարքավորումներ և պաշտպանիչ համակարգեր, որոնք նախատեսված են պոտենցիալ պայթյունավտանգ մթնոլորտում օգտագործելու համար.
• ATEX 137 աշխատավայր» (1999/92/ԵՀ հրահանգ) նվազագույն պահանջներն են՝ պայթուցիկ մթնոլորտից պոտենցիալ վտանգի տակ գտնվող աշխատողների անվտանգության, առողջության և անվտանգության բարելավման համար:

Հաշվի առնելով աշխատավայրում աշխատանքի անվտանգության համար աշխատանքային ռիսկի գնահատման կարևորությունը՝ Աշխատողների առողջության և անվտանգության եվրոպական գործակալությունը 1996 թվականին հրապարակել է աշխատավայրում ռիսկի գնահատման ուղեցույցը և շարունակաբար ավելացնում է բազմաթիվ օգտակար օրինակներբացահայտել վտանգները մասնագիտական ​​ռիսկերի գնահատման ժամանակ:

Ընդհանուր առմամբ, եվրոպական REACH հրահանգի պահանջները նույնպես ուղղված են անվտանգության ապահովմանը։ Այս համակարգը հիմնված է քիմիական միացություններում և, որոշ դեպքերում, արտադրանքներում պարունակվող նյութերի հետ կապված ռիսկերի կառավարման վրա:

Կարևոր տեղ են զբաղեցնում անվտանգ աշխատանքի համակարգի ստանդարտները (ԳՕՍՏ ՍՍԲՏ): Սրանք լավ կառուցված համակարգի փաստաթղթեր են, որոնք գոյություն ունեն աշխարհի մի քանի երկրներում։ Այսպիսով, տեխնոլոգիական սարքավորումների անվտանգությունը պետք է համապատասխանի ԳՕՍՏ 12.2.003, անվտանգության տեխնոլոգիական գործընթացներ- ԳՕՍՏ 12.3.002. Իսկ եթե արտադրվում, պահվում և օգտագործվում են վտանգավոր նյութեր, ապա անվտանգության պահանջները որոշվում են ԳՕՍՏ 12.1.007-ի համաձայն: Անվտանգության համակարգերը (սարքեր, տարրեր) պետք է համապատասխանեն ԳՕՍՏ 12.4.011, իսկ հրդեհի և պայթյունի դեպքում՝ նաև ԳՕՍՏ 12.1.004:

Շենքերի/շինությունների անվտանգության պահանջները որոշվում են շինարարական կանոններով և կանոնակարգերով:

Բժշկական ստանդարտներն ու կանոնակարգերը նույնպես մեծ նշանակություն ունեն (GMP - Good Manufacturing Practice, GLP - Good Laboratory Practice, GDP - Good Distribution Practice, GPP - Good Pharmacy Practice և այլն):

Սննդի անվտանգության չափանիշները սահմանվում են Codex Alimentarius հանձնաժողովի կողմից: Կան նաև անվտանգության կանոններ անասնաբուժության, բուսաբուծության ոլորտում։

Տիեզերագնացության և միջուկային էներգիայի զարգացումը, ավիացիոն տեխնոլոգիայի բարդացումը հանգեցրեց նրան, որ համակարգի անվտանգության ուսումնասիրությունը առանձնացվեց որպես գործունեության անկախ առանձին ոլորտ (օրինակ, ՄԱԳԱՏԷ-ն հրապարակեց անվտանգության նոր կառուցվածք. ստանդարտներ. GS-R-1 «Միջուկային և ճառագայթային անվտանգության, ռադիոակտիվ թափոնների անվտանգության և փոխադրման օրենսդրական և կառավարական ենթակառուցվածքներ»): Դեռ 1969 թվականին ԱՄՆ պաշտպանության նախարարությունը ընդունել է MILSTD-882 «Համակարգեր, ենթահամակարգեր և սարքավորումների հուսալիության ծրագիր» ստանդարտը։ Այն սահմանում է բոլոր արդյունաբերական կապալառուների համար ռազմական ծրագրերի պահանջները:

Կարևոր փաստաթղթերն են նյութերի անվտանգության տվյալների թերթիկները (MSDS cards – Material Security data sheets): MSDS-ները սովորաբար պարունակում են հետևյալ բաժինները. , ազդեցություն վերարտադրության վրա, մուտագենություն, քաղցկեղածինություն), առաջին օգնության կարգը (մաշկի, աչքերի, ստամոքսի հետ շփման դեպքում, ինհալացիա), հրդեհի և պայթյունի վտանգ (դյուրավառություն / դյուրավառություն - ինչ պայմաններում, հրդեհաշիջման մեթոդներ, այրման վտանգավոր արտադրանք) , ռեակտիվության տվյալներ (քիմիական կայունություն, ռեակտիվ պայմաններ, տարրալուծման վտանգավոր արտադրանք), արտահոսքի արձագանք (ներառյալ թափոնների հեռացումը, քայքայումը/թունավորությունը ջրային կյանքի, հողի, օդի համար), նյութերի և անհատական ​​պաշտպանության միջոցների ազդեցության դեմ պայքար (տեխնիկական) պաշտպանիչ սարքավորումներ, ձեռնոցներ, շնչառական և աչքերի պաշտպանություն, անվտանգության կոշիկներ, պաշտպանիչ հագուստ), նյութի պահպանման և բեռնաթափման պահանջներ (պահեստավորում, բեռնաթափում, փոխադրում), նյութի ֆիզիկական բնութագրեր, բնապահպանական, կարգավորող, լրացուցիչ տեղեկություններ: Նման MSDS-քարտերը պատրաստվում են արտադրողի կողմից և հանձնվում օգտագործողին/սպառողին: MSDS-քարտերի տվյալները պետք է ներառվեն արտադրության և աշխատանքի պաշտպանության հրահանգներում:

Տվյալներ

Արտադրանքի հետկանչման օրինակներ՝ կապված դրանց վտանգի հետ

• Apple-ը հետ է կանչել iPod nano 1G նվագարկիչները 2009 թվականին մարտկոցների պայթյունի վտանգի պատճառով (http://proit.com.ua/print/?id=20223):
• McDonald's-ը 2010 թվականին ԱՄՆ-ում հետ է կանչել Շրեկի մուլտֆիլմի խորհրդանիշներով 12 միլիոն հավաքածու՝ կապված այն բանի հետ, որ ներկի մեջ կադմիում է հայտնաբերվել (www.gazeta.ru/news/lenta/.../ n_1503285.shtml):
• 2008 թվականին Չինաստանում հազարավոր երեխաներ հայտնվել են հիվանդանոցներում՝ թունավորվելով արհեստական ​​կաթով, որը մելամին է պարունակում: Sanlu-ն պաշտոնական ներողություն է խնդրել իր սպառողներից՝ նշելով, որ կաթ մատակարարներն իրենց արտադրանքին թունավոր նյութեր են ավելացրել (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/ միջազգային/newsid_7620000/7620305.stm):
• Բժշկական արտադրանքի անվտանգության ֆրանսիական գրասենյակը 2010 թվականի ապրիլի 1-ից պահանջել է հետ կանչել պրոթեզների տեսակներից մեկը (սիլիկոնային իմպլանտներ), քանի որ այն չի անցել անհրաժեշտ թեստը (http://www.newsru.co.il/): առողջություն/01apr2010/pip301.html):
• Վերջերս Thule-ը հայտնաբերեց, որ իր տանիքի դարակաշարը բավականաչափ ամուր չէ (2008թ. հունվարի 1-ից մինչև 2009թ. փետրվարի 28-ը արտադրված ապրանքների համար)՝ ներառված պտուտակի փխրունության պատճառով: Ընկերության կողմից ներքին փորձարկումներից հետո պարզվել է, որ բազայի պտուտակը չի համապատասխանում ընկերության անվտանգության չափանիշներին: Սպառողների համար վտանգի բարձր մակարդակի պատճառով (բեռի տակ պտուտակի հնարավոր խափանումը կարող է հանգեցնել շարժման ընթացքում դարակի և քաշի անջատմանը), Thule-ը որոշել է անմիջապես հանել արտադրանքը շրջանառությունից (http://www2.thulegroup. com/en/Product-Recall /Introduction2/):

Եզրակացություն

Անվտանգության չափանիշներ մշակող մասնագետները պետք է ավելի մեծ ուշադրություն դարձնեն կիրառվող կանոնակարգերի ներդաշնակեցմանը տարբեր ոլորտներ. Օրինակ՝ օգտագործեք Հայզենբերգի անորոշության սկզբունքներում և Բորի փոխլրացման սկզբունքներում նշված մոտեցումները: Բացի այդ, մի մոռացեք մարդկային սխալների և կազմակերպչական թուլությունների վերացման մասին։ Ձեռնարկություններում ռիսկերի կառավարման ներդրումը կօգնի բարձրացնել անվտանգության մակարդակը։ Վերջին տարիներին ակտիվորեն մշակվել են ռիսկերի կառավարման ստանդարտներ, օրինակ. Այս փաստաթղթերի ուսումնասիրությունն ու կիրառումը նույնպես նպաստում են անվտանգության մշակույթի բարելավմանը։

Անվտանգության ոլորտում, իհարկե, ստանդարտներ, կանոնակարգեր, նորմեր, կանոններ, հրահանգներ են անհրաժեշտ, բայց դրանց իրականացումը պակաս կարևոր չէ։

Անվտանգությունն ապահովելու համար դուք պետք է իմանաք հարցերի պատասխանները.

1. Որքա՞ն է միջադեպի հավանականությունը:

2. Որո՞նք են լինելու բացասական հետևանքները:

3. Ինչպե՞ս նվազագույնի հասցնել դրանք:

4. Ինչպե՞ս շարունակել գործունեությունը միջադեպի ժամանակ և դրանից հետո:

5. Որո՞նք են վերականգնման առաջնահերթությունները և ժամկետները:

6. Ի՞նչ, ինչպես, երբ և ո՞ւմ համար է պետք անել:

7. Ի՞նչ կանխարգելիչ միջոցներ պետք է ձեռնարկվեն բացասական հետևանքները կանխելու/նվազագույնի հասցնելու համար:

Հղումներ

1. ԳՕՍՏ 12.1.007-76 (1999 թ.): SSBT. Վնասակար նյութեր. Դասակարգում և անվտանգության ընդհանուր պահանջներ:

2. ԳՕՍՏ 12.1.004-91. SSBT. Հրդեհային անվտանգություն. Ընդհանուր պահանջներ.

3. ԳՕՍՏ 12.2.003-91. SSBT. Արտադրության սարքավորումներ. Ընդհանուր անվտանգության պահանջներ.

4. ԳՕՍՏ 12.3.002-75 (2000 թ.): SSBT. Արտադրական գործընթացներ. Ընդհանուր անվտանգության պահանջներ.

5. ԳՕՍՏ 12.4.011-89. SSBT. Աշխատողների պաշտպանության միջոցներ. Ընդհանուր պահանջներ և դասակարգում:

6. ԳՕՍՏ Ռ 51898-2002. Անվտանգության ասպեկտներ. Ստանդարտներում ներառելու կանոններ.

7. ԳՕՍՏ Ռ 12.1.052-97. SSBT. Տեղեկատվություն նյութերի և նյութերի անվտանգության մասին (Անվտանգության տվյալների թերթիկ): Հիմնական դրույթներ.

8. ԳՕՍՏ Ռ ԻՍՕ 13849-1-2003. Սարքավորումների անվտանգություն. Անվտանգության հետ կապված կառավարման համակարգերի տարրեր. Մաս 1. Դիզայնի ընդհանուր սկզբունքներ.

9. ԲՍ 31100:2008թ. Ռիսկերի կառավարում - Գործունեության կանոնագիրք.

10. BS OHSAS 18001:2007 թ. Աշխատանքի առողջության և անվտանգության կառավարման համակարգեր: պահանջները։

11. CWA 15793:2008 թ. Լաբորատոր բիորիսկի կառավարման ստանդարտ.

12. ISO/IEC 51:1999. Անվտանգության ասպեկտներ - Ստանդարտներում դրանց ընդգրկման ուղեցույցներ:

13. ISO/IEC ուղեցույց 73:2009. Ռիսկերի կառավարում - Բառապաշար - Ստանդարտներում օգտագործման ուղեցույցներ:

14. ISO 31000:2009 թ. Ռիսկերի կառավարում - Սկզբունքներ և ուղեցույցներ.

15. IEC/ISO 31010:2009 թ. Ռիսկերի կառավարում - ռիսկերի գնահատման տեխնիկա:

16.ISO 15190:2003. Բժշկական լաբորատորիաներ - Անվտանգության պահանջներ.

17. Պատճառ J. Մարդկային սխալ. - New York: Cambridge University Press, 1990. - 316 p.

18. Եվրոպական պառլամենտի և Խորհրդի 2006 թվականի դեկտեմբերի 18-ի Կանոնակարգ (ԵՀ) թիվ 1907/2006 Քիմիական նյութերի գրանցման, գնահատման, թույլտվության և սահմանափակման վերաբերյալ (REACH)՝ ստեղծելով Եվրոպական քիմիական գործակալություն, փոփոխելով 1999/45/EC հրահանգը և չեղյալ համարելով Խորհրդի թիվ 793/93 կանոնակարգը (ԵՏՀ) և Հանձնաժողովի (ԵՀ) թիվ 1488/94 կանոնակարգը, ինչպես նաև Խորհրդի 76/769/ԵՏՀ հրահանգը և Հանձնաժողովի 91/155/ԵՏՀ, 93/67/ԵՏՀ, 93/105 հրահանգները։ /ԵՀ եւ 2000/21/ԵՀ.

1.1. Տեղեկատվության փոխանակման միջազգային ստանդարտներ

Տեղեկատվական անվտանգության (ՏԱ) ապահովումը պետք է իրականացվի՝ հաշվի առնելով համապատասխան չափորոշիչները և բնութագրերը։

Գաղտնագրության ոլորտում ստանդարտները և Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայության (Ռուսաստանի FSTEC, նախկինում Ռուսաստանի Դաշնության Նախագահին առընթեր պետական ​​տեխնիկական հանձնաժողով) ուղեցույցները ամրագրված են օրենքով:

Ստանդարտների դերը ամրագրված է 2002 թվականի դեկտեմբերի 27-ի «Տեխնիկական կարգավորման մասին» Ռուսաստանի Դաշնության օրենքի հիմնական հասկացություններում 184-FZ համարով (ընդունվել է Պետդումայի կողմից 2002 թվականի դեկտեմբերի 15-ին).

ստանդարտ - փաստաթուղթ, որում կամավոր վերօգտագործման նպատակով սահմանվում են արտադրանքի բնութագրերը, իրականացման կանոնները և արտադրական գործընթացների, շահագործման, պահպանման, փոխադրման, վաճառքի և հեռացման, աշխատանքի կատարումը կամ ծառայությունների մատուցումը. Ստանդարտը կարող է նաև պարունակել տերմինաբանության, նշանների, փաթեթավորման, մակնշման կամ պիտակների պահանջներ և դրանց կիրառման կանոններ.

ստանդարտացում - գործողություններ՝ սահմանելու կանոններ և բնութագրեր՝ դրանց կամավոր բազմակի օգտագործման նպատակով՝ ուղղված ապրանքների արտադրության և շրջանառության ոլորտներում կարգուկանոնի ձեռքբերմանը և ապրանքների, աշխատանքների կամ ծառայությունների մրցունակության բարձրացմանը:

Տեղեկատվական անվտանգության ոլորտում գոյություն ունեն ստանդարտների և բնութագրերի երկու խումբ.

գնահատման չափանիշները նախագծված է գնահատելու և դասակարգելու տեղեկատվական համակարգերը և պաշտպանության միջոցները՝ անվտանգության պահանջներին համապատասխան.

բնութագրերը կանոնակարգելով պաշտպանության միջոցների և մեթոդների իրականացման և օգտագործման տարբեր ասպեկտները.

Գնահատման ստանդարտները նկարագրում են տեղեկատվական համակարգերի (ՏՀ) ամենակարևոր հասկացությունները և ասպեկտները, որոնք խաղում են կազմակերպչական և ճարտարապետական ​​բնութագրերի դերը:

Այլ բնութագրերը հստակորեն սահմանում են, թե ինչպես կարելի է կառուցել սահմանված ճարտարապետության IS և կատարել կազմակերպչական պահանջները:

Դեպի գնահատվածստանդարտները ներառում են.

1. ԱՄՆ պաշտպանության նախարարության վստահելի համակարգչային համակարգերի գնահատման չափանիշների (TCSEC) ստանդարտը («Orange Book») և դրա ցանցի կոնֆիգուրացիան «Եվրոպական ներդաշնակեցված չափանիշներ»:

2. «Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման չափանիշներ» միջազգային ստանդարտ.

3. Ռուսաստանի FSTEC-ի ուղեցույց փաստաթղթեր.

4. ԱՄՆ դաշնային ստանդարտ «Անվտանգության պահանջներ կրիպտոգրաֆիկ մոդուլների համար»:

5. Միջազգային ստանդարտ ISO IES 15408:1999 «Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման չափանիշներ» («Ընդհանուր չափանիշներ»):

Տեխնիկական բնութագրեր, կիրառելի ժամանակակից բաշխված IC-ների համար, ստեղծվում են, Ինտերնետ տեխնոլոգիաների թեմատիկ խումբ» (Internet Engineering Task Force, IETF) և նրա ստորաբաժանումը՝ Անվտանգության աշխատանքային խումբը։ Այս տեխնիկական բնութագրի առանցքը IP անվտանգության (IPsec) փաստաթղթերն են: Բացի այդ, պաշտպանությունը վերլուծվում է տրանսպորտային մակարդակում (Transport Layer Security, TLS), ինչպես նաև կիրառական մակարդակում (GSS-API բնութագրեր, Kerberos): Նշենք, որ համացանցային հանրությունը պատշաճ ուշադրություն է դարձնում անվտանգության վարչական և ընթացակարգային մակարդակներին («Ձեռնարկությունների տեղեկատվական անվտանգության ուղեցույց», «Ինչպես ընտրել ինտերնետ ծառայություններ մատուցողին», «Ինչպես արձագանքել տեղեկատվական անվտանգության խախտումներին»):

Ցանցի անվտանգությունսահմանված X.800 բնութագրերով» Անվտանգության ճարտարապետություն բաց համակարգերի փոխգործունակության համար", X.500 " Գրացուցակի ծառայություն. Հայեցակարգերի, մոդելների և ծառայությունների ակնարկ«և X.509» Տեղեկատուի ծառայություն՝ Հանրային բանալի և հատկանիշի վկայականի շրջանակներ».

Բրիտանական ստանդարտ BS 7799» Տեղեկատվական անվտանգության կառավարում. Հիմնական կանոններ» նախատեսված է կազմակերպությունների ղեկավարների և տեղեկատվական անվտանգության համար պատասխանատու անձանց համար՝ առանց ISO/IEC 17799 միջազգային ստանդարտում վերարտադրված որևէ էական փոփոխության։

Տեղեկատվական անվտանգության ոլորտում ստանդարտների և տեխնիկական բնութագրերի մասին ընդհանուր տեղեկատվությունը ներկայացված է ստորև:

«Նարնջագույն գիրք»

Orange գիրքը պարունակում է տեղեկատվական անվտանգության հայեցակարգային հիմքը.

- անվտանգ և վստահելի համակարգեր,

- Անվտանգության քաղաքականություն,

- վստահության մակարդակ,

- պատասխանատվություն

- վստահելի հաշվողական բազա,

- հարցում մոնիտոր

- անվտանգության միջուկը և պարագիծը: Ստանդարտն առանձնացնում է անվտանգության քաղաքականությունը որպես կամավոր (հայեցողական) և հարկադիր (պարտադիր) մուտքի հսկողություն, օբյեկտների վերօգտագործման անվտանգություն:

Կոնցեպտուալ տեսանկյունից դրանում ամենանշանակալի փաստաթուղթը «Orange Book Interpretation for Network Configurations» (Trusted Network Interpretation) է: Այն բաղկացած է երկու մասից. Առաջինը պարունակում է մեկնաբանություն, երկրորդը նկարագրում է անվտանգության ծառայությունները, որոնք հատուկ են կամ հատկապես կարևոր են ցանցի կոնֆիգուրացիաների համար:

Առաջին մասում ներկայացված ամենակարևոր հայեցակարգը ցանցի վստահելի հաշվողական բազան է: Մեկ այլ հիմնարար ասպեկտ է հաշվի առնել ցանցի կոնֆիգուրացիաների դինամիզմը: Պաշտպանական մեխանիզմների շարքում կարևորվում է ծածկագրությունը, որը կօգնի պահպանել ինչպես գաղտնիությունը, այնպես էլ ամբողջականությունը:

Ստանդարտը նկարագրում է նաև տեղեկատու մոնիտորի մասնատման ճիշտության բավարար պայման, որը տեսական հիմքբաշխված IS-ի տարրալուծումը օբյեկտի վրա հիմնված ոճով` հաղորդակցությունների գաղտնագրային պաշտպանության հետ համատեղ:

Եվրոպական երկրների ներդաշնակեցված չափանիշներ

Այս չափանիշներում չկան պահանջներ այն պայմանների համար, որոնցում պետք է գործի տեղեկատվական համակարգը: Ենթադրվում է, որ սկզբում ձևակերպվում է գնահատման նպատակը, այնուհետև սերտիֆիկացման մարմինը որոշում է, թե որքանով է դրան հասել, այսինքն՝ որքանով են որոշակի իրավիճակում անվտանգության մեխանիզմների ճարտարապետությունն ու ներդրումը ճիշտ և արդյունավետ: Գնահատման նպատակի ձևակերպումը հեշտացնելու համար ստանդարտը պարունակում է ֆունկցիոնալության տասը օրինակելի դասերի նկարագրություն, որոնք բնորոշ են պետական ​​և առևտրային համակարգերին:

Ներդաշնակեցված չափանիշները ընդգծում են տեղեկատվական տեխնոլոգիաների համակարգերի և արտադրանքի տարբերությունը, սակայն պահանջները միավորելու համար ներդրվում է մեկ հայեցակարգ՝ գնահատման օբյեկտ:

Կարևոր է նաև նշել անվտանգության գործառույթների (ծառայությունների) և դրանք իրականացնող մեխանիզմների տարբերությունը, ինչպես նաև ընդգծել երաշխիքի երկու ասպեկտ՝ անվտանգության գործիքների արդյունավետությունն ու ճիշտությունը:

«Ներդաշնակեցված չափանիշները» պատրաստել են ISO/IEC 15408 միջազգային ստանդարտի տեսքը: 1999թ. «ՏՏ անվտանգության գնահատման չափանիշները», ռուս գրականության մեջ նշվում է որպես «Ընդհանուր չափանիշներ»:

Վրա այս պահինժամանակ «Ընդհանուր չափանիշներ»՝ գնահատման առավել ամբողջական և արդիական ստանդարտ: Սա ստանդարտ է, որը սահմանում է IP-ի անվտանգության գնահատման գործիքները և դրանց օգտագործման կարգը. այն չի պարունակում անվտանգության նախապես սահմանված դասեր: Նման դասերը կարող են կառուցվել՝ ելնելով տվյալ պահանջներից։

«Ընդհանուր չափանիշները» պարունակում են երկու հիմնական տեսակի անվտանգության պահանջներ.

Գործառական, պաշտպանության ակտիվ ասպեկտին համապատասխան, կիրառվում է անվտանգության գործառույթների (ծառայությունների) և դրանք իրականացնող մեխանիզմների նկատմամբ.

Պասիվ ասպեկտին համապատասխան վստահության պահանջներ. դրանք կիրառվում են տեխնոլոգիայի և զարգացման և շահագործման գործընթացում: Անվտանգության պահանջները ձևակերպվում են, և դրանց կատարումը ստուգվում է գնահատման կոնկրետ օբյեկտի համար՝ ապարատային և ծրագրային արտադրանք կամ տեղեկատվական համակարգ:

Անվտանգությունը «Ընդհանուր չափանիշներում» դիտարկվում է ոչ թե ստատիկորեն, այլ համաձայն կյանքի ցիկլգնահատման օբյեկտ։

«Ընդհանուր չափանիշները» նպաստում են գործնականում օգտագործվող երկու հիմնական տեսակի նորմատիվ փաստաթղթերի ձևավորմանը՝ սա պաշտպանության պրոֆիլն է և անվտանգության առաջադրանքը:

Անվտանգության պրոֆիլը պահանջների ընդհանուր շարք է, որոնք պետք է բավարարեն որոշակի դասի արտադրանքները և/կամ համակարգերը:

Անվտանգության առաջադրանքը պարունակում է որոշակի մշակման պահանջների մի շարք, դրանց իրականացումը թույլ կտա լուծել հանձնարարված անվտանգության խնդիրները:

Ռուսաստանի FSTEC-ի ուղեցույց փաստաթղթեր (RD).սկսեց ի հայտ գալ որոշ ավելի ուշ՝ ներդաշնակեցված չափանիշների հրապարակումից հետո, և վերջինիս անալոգիայով հաստատել ավտոմատացված համակարգերի (AS) և ապրանքների (համակարգչային սարքավորումներ, CBT) տարբերությունը:

1997 թվականին ընդունվել է RD առանձին անվտանգության ծառայության համար՝ firewalls (FW): Նրա հիմնական գաղափարն է դասակարգել ME-ն՝ հիմնվելով հղման յոթ մակարդակի մոդելի մակարդակների վրա, որոնք զտում են տվյալների հոսքերը. այն ստացել է միջազգային ճանաչում և շարունակում է համապատասխան լինել:

2002 թվականին Ռուսաստանի Պետական ​​Տեխնիկական Հանձնաժողովը ընդունեց միջազգային ստանդարտ ISO/IEC 15408:1999 Չափանիշների ռուսերեն թարգմանությունը տեղեկատվական տեխնոլոգիաների անվտանգությունը որպես RD գնահատելու համար:

X.800 «Անվտանգության ճարտարապետություն բաց համակարգերի փոխգործունակության համար»

Տեխնիկական բնութագրերի շարքում հիմնական փաստաթուղթն է

X.800 անվտանգության ճարտարապետություն բաց համակարգերի փոխգործունակության համար: Այստեղ կարևորվում են ցանցի անվտանգության ամենակարևոր ծառայությունները՝ նույնականացում, մուտքի վերահսկում, գաղտնիություն և/կամ տվյալների ամբողջականություն և չհերքում: Ծառայությունների իրականացման համար տրամադրվում են ցանցի անվտանգության հետևյալ մեխանիզմները և դրանց համակցությունները՝ գաղտնագրում, էլեկտրոնային թվային ստորագրություն (EDS), մուտքի վերահսկում, տվյալների ամբողջականության վերահսկում, իսկորոշում, երթևեկության ավելացում, երթուղային հսկողություն, նոտարական վավերացում: Ընտրված են հղման յոթ մակարդակի մոդելի մակարդակները, որոնց վրա կարող են ներդրվել ծառայություններ և անվտանգության մեխանիզմներ։ Մանրամասնորեն դիտարկվում են բաշխված կոնֆիգուրացիաների համար անվտանգության գործիքների կառավարման խնդիրները:

Ինտերնետ Համայնքի Տեխնիկական RFC 1510 «Kerberos Network Authentication Service (V5)»

Այն վերաբերում է նույնականացման խնդրին տարասեռ բաշխված միջավայրում՝ հայեցակարգի աջակցությամբ մեկ գրանցումդեպի ցանց։ Kerberos Նույնականացման սերվերը վստահելի երրորդ կողմ է, որը տիրապետում է սպասարկվող կազմակերպությունների գաղտնի բանալիներին և օգնում է նրանց զույգական նույնականացման հարցում: Kerberos հաճախորդի բաղադրիչներն առկա են ժամանակակից օպերացիոն համակարգերի մեծ մասում:

ԱՄՆ Դաշնային ստանդարտ FIPS 140-2 Անվտանգության պահանջներ գաղտնագրման մոդուլների համար

Այն կատարում է կազմակերպչական ֆունկցիա՝ նկարագրելով դիմային մասգաղտնագրման մոդուլ, ընդհանուր պահանջներ նման մոդուլների և դրանց միջավայրի համար: Նման ստանդարտ ունենալը հեշտացնում է նրանց համար անվտանգության ծառայությունների և պաշտպանության պրոֆիլների մշակումը։

«Ընդհանրացված անվտանգության կիրառական ծրագրավորման միջերես»

Կրիպտոգրաֆիան որպես անվտանգության ծառայությունների ներդրման միջոց ունի երկու կողմ՝ ալգորիթմական և ինտերֆեյսի։ Ինտերֆեյսի ասպեկտը, FIPS 140-2 ստանդարտի հետ մեկտեղ, առաջարկվել է ինտերնետ համայնքի կողմից Ընդհանուր անվտանգության ծառայության կիրառական ծրագրի միջերեսի (GSS-API) տեխնիկական բնութագրի տեսքով:

GSS-API անվտանգության ինտերֆեյսը նախատեսված է պաշտպանելու հաճախորդի/սերվերի ճարտարապետության մեջ կառուցված ծրագրային համակարգերի բաղադրիչների միջև հաղորդակցությունը: Այն պայմաններ է ստեղծում հաղորդակցվող գործընկերների փոխադարձ վավերացման համար, վերահսկում է ուղարկված հաղորդագրությունների ամբողջականությունը և ծառայում է որպես դրանց գաղտնիության երաշխիք: GSS-API անվտանգության ինտերֆեյսի օգտագործողները հաղորդակցման արձանագրություններն են (սովորաբար կիրառական շերտը) կամ այլ ծրագրային համակարգեր, որոնք ինքնուրույն կատարում են տվյալների փոխանցում:

IPsec տեխնիկական բնութագրերը

Նրանք նկարագրում են ամբողջական հավաքածուցանցի մակարդակում գաղտնիության և ամբողջականության ապահովման միջոցներ: Ներկայիս գերիշխող արձանագրության համար՝ IP տարբերակ 4, դրանք կամընտիր են. IPv6-ում դրանց իրականացումը պարտադիր է: IPsec-ի հիման վրա արձանագրությունների պաշտպանության մեխանիզմները կառուցված են ավելի քան բարձր մակարդակ, մինչև կիրառական, ինչպես նաև անվտանգության ամբողջական գործիքներ, ներառյալ վիրտուալ մասնավոր ցանցերը: IPsec-ը մեծապես հենվում է կրիպտոգրաֆիկ մեխանիզմների և հիմնական ենթակառուցվածքի վրա:

TLS, տրանսպորտային շերտի անվտանգություն (TLS)

TLS ճշգրտումը մշակում և կատարելագործում է հանրահայտ Secure Socket Layer (SSL) արձանագրությունը, որը լայնորեն օգտագործվում է ծրագրային արտադրանքամենատարբեր նպատակների համար:

X.500 «Տեղեկատուի ծառայություն. հայեցակարգերի, մոդելների և ծառայությունների ակնարկ»

Ենթակառուցվածքի տեսանկյունից շատ կարևոր են X.500-ի առաջարկությունները The Directory: Overview of concepts, models and services and X.509 The Directory Service. Public Key and Attribute Certificate Frameworks: X.509 առաջարկությունները նկարագրում են հանրային բանալիների վկայագրերի և ատրիբուտների ձևաչափը, հանրային բանալիների ենթակառուցվածքների հիմնական տարրերը և արտոնությունների կառավարումը:

Տեղեկատվական անվտանգության ապահովումը բարդ խնդիր է, որը պահանջում է համաձայնեցված գործողություններ օրենսդրական, վարչական, ընթացակարգային, ծրագրային և ապարատային մակարդակներում: Վարչական մակարդակի հիմնական փաստաթուղթը (կազմակերպության անվտանգության քաղաքականությունը) մշակելիս և իրականացնելիս կարող է օգտագործվել ինտերնետ համայնքի «Ուղեցույց ձեռնարկության տեղեկատվական անվտանգության վերաբերյալ» (Կայքի անվտանգության ձեռնարկ): Այն ընդգծում է գործնական ասպեկտներանվտանգության քաղաքականության և ընթացակարգերի ձևավորում, բացատրում է վարչական և ընթացակարգային մակարդակների հիմնական հասկացությունները, տրամադրում է առաջարկվող գործողությունների մոտիվացիա, շոշափում է ռիսկերի վերլուծության թեմաները, տեղեկատվական անվտանգության խախտումներին արձագանքելը և խախտումը վերացնելուց հետո գործողությունները: Այս վերջին հարցերի ավելի մանրամասն քննարկման համար տե՛ս Համակարգչային անվտանգության միջադեպերի արձագանքման ակնկալիքները: Այս փաստաթուղթը պարունակում է հղումներ դեպի տեղեկատվական ռեսուրսներ և գործնական խորհուրդներընթացակարգային մակարդակ:

Կորպորատիվ տեղեկատվական համակարգերի մշակման և վերակազմակերպման ժամանակ օգտակար կլինի «Ինչպես ընտրել ինտերնետ ծառայությունների մատակարար» (Site Security Handbook Addendum for ISPs) առաջարկությունը: Առաջին հերթին դրա դրույթները պետք է պահպանվեն կազմակերպչական և ճարտարապետական ​​անվտանգության ձևավորման ընթացքում, որոնց վրա հիմնված են ընթացակարգային և ծրագրային և ապարատային մակարդակների այլ միջոցառումներ:

Բրիտանական ստանդարտ BS 7799 «Տեղեկատվական անվտանգության կառավարում. Գործնական կանոններ»

Համար գործնական ստեղծագործությունև պահպանելով տեղեկատվական անվտանգության ռեժիմը վարչական և ընթացակարգային մակարդակների կարգավորիչների օգնությամբ՝ անհրաժեշտ է օգտագործել բրիտանական BS 7799 «Տեղեկատվական անվտանգության կառավարում. Գործնական կանոններ «(Տեղեկատվական անվտանգության կառավարման պրակտիկայի օրենսգիրք) և դրա երկրորդ մասը BS 7799-2: 2002» Տեղեկատվական անվտանգության կառավարման համակարգեր. Այն բացատրում է այնպիսի հասկացություններ և ընթացակարգեր, ինչպիսիք են անվտանգության քաղաքականությունը, անվտանգության կազմակերպման ընդհանուր սկզբունքները, ռեսուրսների դասակարգումը և կառավարումը, անձնակազմի անվտանգությունը, ֆիզիկական անվտանգությունը, համակարգի և ցանցի կառավարման սկզբունքները, մուտքի վերահսկումը, տեղեկատվական համակարգերի մշակումը և սպասարկումը, բիզնեսի շարունակականության պլանավորումը:

Տեղեկատվական համակարգչային անվտանգության խնդիրը նոր չէ. մասնագետները դրանով զբաղվում են հենց այն պահից, երբ համակարգիչը սկսեց մշակել տվյալներ, որոնց արժեքը մեծ է օգտատիրոջ համար։ Այնուամենայնիվ, վերջին տարիներին ցանցերի զարգացման և էլեկտրոնային ծառայությունների պահանջարկի աճի պատճառով տեղեկատվական անվտանգության ոլորտում իրավիճակը լրջորեն վատթարացել է, և դրա լուծման ստանդարտ մոտեցումների հարցը հատկապես արդիական է դարձել ինչպես մշակողների, այնպես էլ մշակողների համար: ՏՏ գործիքների օգտագործողներ.

Ինչու՞ պետք է իմանալ տեսությունը

Տեղեկատվական անվտանգության ցանկացած մասնագետ իր մասնագիտական ​​զարգացման ընթացքում անցնում է երեք փուլ. Առաջինը «ձեռքերով աշխատելն» է։ Նորեկը ինտենսիվորեն, մասնագիտացված գործիքների ներգրավմամբ, որոնում և վերացնում է համակարգային և կիրառական ծրագրերի բավականին կոնկրետ բացեր։ Սկաներ, կարկատել, պորտ, կապ. սրանք այն սուբյեկտներն են, որոնց հետ այն աշխատում է այս փուլում:

Երկրորդ քայլը «գլխի աշխատանքն է»։ Հոգնած լինելով ավելի ու ավելի շատ բացեր փակելուց՝ մասնագետը սկսում է մշակել պլաններ և մեթոդներ, որոնց նպատակը համակարգերի անվտանգության բարելավման և տեղեկատվական սպառնալիքների հետևանքների վերացմանն ուղղված գործողություններն է: Հենց այս փուլում է առաջանում «անվտանգության քաղաքականություն» հասկացությունը։

Վերջապես, ժամանակն է մտածելու. այս փուլում փորձառու մասնագետը հասկանում է, որ նա, ամենայն հավանականությամբ, նորից է հորինում անիվը, քանի որ անվտանգության ռազմավարություններ հավանաբար արդեն մշակվել են իրենից առաջ: Եվ այս հարցում նա անշուշտ իրավացի է։

Աշխարհի բազմաթիվ կազմակերպություններ երկար ժամանակ զբաղվում են տեղեկատվական անվտանգության խնդրով, և նրանց գործունեությունը հանգեցրել է ստանդարտների, կանոնակարգերի, առաջարկությունների, կանոնների և այլնի ծանրակշիռ փաթեթների: Դժվար թե նպատակահարմար լինի ուսումնասիրել ամբողջ հատորը, բայց, իհարկե, արժե իմանալ հիմնարար փաստաթղթերը։ Ուստի այս հոդվածում մենք միայն կնշենք տեղեկատվական անվտանգության ոլորտում ստանդարտներ սահմանող ռուսական և միջազգային կարևորագույն կանոնակարգերը։

Տեղեկատվական անվտանգության հայեցակարգը

Տարբեր նպատակներով տեղեկատվական և հեռահաղորդակցական համակարգերի (առաջին հերթին ինտերնետի) մշակումը, ինչպես նաև պաշտպանության կարիք ունեցող արժեքավոր տեղեկատվության էլեկտրոնային փոխանակումը պահանջում էր այս ոլորտում աշխատող մասնագետներից համակարգել և պարզեցնել համակարգչային համակարգերի հիմնական պահանջներն ու բնութագրերը. անվտանգություն։ Այնուամենայնիվ, մինչ ձևավորված ստանդարտների քննարկմանը անցնելը, անհրաժեշտ է սահմանել, թե ինչ է անվտանգությունը:

Հաշվի առնելով հայեցակարգի կարևորությունը՝ մենք կփորձենք ձևակերպել դրա ընդլայնված սահմանումը, որը հաշվի կառնի այս ոլորտում միջազգային և ներքին վերջին զարգացումները։ Այսպիսով, տեղեկատվական անվտանգությունը պատահական կամ դիտավորյալ ազդեցություններին տվյալների դիմադրության վիճակ է՝ բացառելով դրանց ոչնչացման, խեղաթյուրման և բացահայտման անընդունելի ռիսկերը, որոնք հանգեցնում են նյութական վնասի սեփականատիրոջը կամ օգտագործողին: Նման սահմանումը առավելագույնս հաշվի է առնում առևտրային տեղեկատվական համակարգչային համակարգի հիմնական նպատակը` նվազագույնի հասցնել ֆինանսական կորուստները, առավելագույնի հասցնել շահույթը իրական ռիսկերի պայմաններում:

Այս դրույթը հատկապես կարևոր է, այսպես կոչված, հանրային բաց համակարգերի համար, որոնք այդ գործընթացում են գաղտնի տեղեկատվությունսահմանափակ մուտք, որը չի պարունակում պետական ​​գաղտնիք: Այսօր այս տիպի համակարգերը արագորեն զարգանում են ինչպես աշխարհում, այնպես էլ մեր երկրում։

Տեղեկատվական անվտանգության միջազգային ստանդարտ

Հայտնի է, որ ստանդարտացումը ապրանքների և ծառայությունների որակի որոշման տարբեր մեթոդների հիմքն է: Անվտանգ տեղեկատվական համակարգերի պահանջների և բնութագրերի համակարգման ոլորտում նման գործունեության հիմնական արդյունքներից էր Տեղեկատվական անվտանգության միջազգային և ազգային ստանդարտների համակարգը, որը ներառում է հարյուրից ավելի տարբեր փաստաթղթեր: Օրինակ է ISO 15408 ստանդարտը, որը հայտնի է որպես «Ընդհանուր չափանիշներ»:

Տեղեկատվական անվտանգության հիմնական ստանդարտ ISO 15408-ը, որն ընդունվել է 1998 թվականին, անշուշտ շատ կարևոր է ռուս մշակողների համար: Ավելին, ընթացիկ 2001 թվականին Gosstandart-ը նախատեսում է պատրաստել այս փաստաթղթի ներդաշնակեցված տարբերակը: Ստանդարտացման միջազգային կազմակերպությունը (ISO) սկսեց մշակել Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման չափորոշիչների ընդհանուր օգտագործման միջազգային ստանդարտը, «Ընդհանուր չափանիշները» 1990 թ. Ստանդարտների և տեխնոլոգիաների ազգային ինստիտուտը և Ազգային անվտանգության գործակալությունը (ԱՄՆ), Կապի անվտանգության մարմինը (Կանադա), Տեղեկատվական անվտանգության գործակալությունը (Գերմանիա), Հաղորդակցության ազգային անվտանգության գործակալությունը (Նիդեռլանդներ), ՏՏ անվտանգության և հավաստագրման ծրագիրը (Անգլիա) մասնակցել է Համակարգերի անվտանգության կենտրոնի ստեղծմանը (Ֆրանսիա): Ստանդարտի վերջնական հաստատումից հետո նրան շնորհվեց ISO 15408 համարը:

Ընդհանուր չափանիշները (CC) ստեղծվել են ՏՏ անվտանգության գնահատման արդյունքների գլոբալ մասշտաբով փոխադարձ ճանաչման համար և ներկայացնում են դրա հիմքը: Նրանք թույլ են տալիս համեմատել տեղեկատվական անվտանգության և ընդունելի ռիսկերի անկախ գնահատման արդյունքները՝ հիմնված մի շարքի վրա ընդհանուր պահանջներՏՏ օբյեկտների և համակարգերի անվտանգության գործառույթներին, ինչպես նաև փորձարկման ընթացքում դրանց նկատմամբ կիրառվող երաշխիքներին:

OK-ի հիմնական առավելություններն են տեղեկատվական անվտանգության պահանջների ամբողջականությունը, կիրառման ճկունությունը և հետագա զարգացման համար բաց լինելը՝ հաշվի առնելով գիտության և տեխնիկայի վերջին ձեռքբերումները: Չափորոշիչները նախատեսված են բոլոր երեք օգտատերերի խմբերի (սպառողների, մշակողների և գնահատողների) կարիքները բավարարելու համար ՏՏ գործիքի կամ համակարգի (գնահատման առարկա) անվտանգության հատկությունները ուսումնասիրելիս: Այս ստանդարտը օգտակար է որպես ուղեցույց ՏՏ անվտանգության առանձնահատկություններ մշակելիս, ինչպես նաև նմանատիպ հատկանիշներով առևտրային ապրանքներ գնելիս: Գնահատման հիմնական ուղղությունը սպառնալիքներն են, որոնք ի հայտ են գալիս մարդու չարամիտ գործողությունների արդյունքում, սակայն OK-ը կարող է օգտագործվել նաև այլ գործոններով առաջացած սպառնալիքները գնահատելիս: Ապագայում ակնկալվում է մասնագիտացված պահանջներ ստեղծել առևտրային վարկավորման և ֆինանսական հատվածի համար։ Հիշեցնենք, որ այս տեսակի նախկին ներքին և արտաքին փաստաթղթերը կապված էին կառավարական կամ ռազմական համակարգի մշակման պայմանների հետ գաղտնի տեղեկատվությունորոնք կարող են պարունակել պետական ​​գաղտնիքներ։

Արտերկրում այս ստանդարտի թողարկումն ու ներդրումն ուղեկցվում է նոր, ստանդարտացված ճարտարապետության մշակմամբ, որը կոչված է ապահովելու հաշվողական համակարգերի տեղեկատվական անվտանգությունը։ Այլ կերպ ասած, ստեղծվում են համակարգչային տեխնիկա և ծրագրային ապահովում, որոնք համապատասխանում են Ընդհանուր չափանիշներին: Օրինակ՝ «Open Group» միջազգային կազմակերպությունը, որը միավորում է համակարգչային սարքավորումների և հեռահաղորդակցության շուրջ 200 առաջատար արտադրողների ամբողջ աշխարհից, թողարկել է տեղեկատվական անվտանգության նոր ճարտարապետություն առևտրային ավտոմատացված համակարգերի համար՝ հաշվի առնելով նշված չափանիշները։ Բացի այդ, «Open Group»-ը ստեղծում է վերապատրաստման ծրագրեր, որոնք նպաստում են ստանդարտացման փաստաթղթերի արագ և որակյալ իրականացմանը:

Ինտերնետի ստանդարտացման գործընթացի առանձնահատկությունները

AT գլոբալ ցանցՎաղուց կան մի շարք հանձնաժողովներ, որոնք զբաղվում են ինտերնետի բոլոր տեխնոլոգիաների ստանդարտացմամբ: Այս կազմակերպությունները, որոնք կազմում են Internet Engineering Task Force-ի (IETF) հիմնական մասը, արդեն ստանդարտացրել են մի քանի կարևոր արձանագրություններ՝ դրանով իսկ արագացնելով դրանց ընդունումը ցանցում: Տվյալների փոխանցման համար TCP/IP պրոտոկոլների ընտանիքը, էլփոստի համար՝ SMTP և POP, և ցանցի կառավարման համար՝ SNMP (Simple Network Management Protocol) IETF-ի աշխատանքն է:

Մի քանիսի համար վերջին տարիներինՑանցային շուկան ականատես է եղել այն, ինչ հայտնի է որպես մասնատված ազդեցություն ստանդարտների ձևավորման վրա: Երբ ինտերնետն ընդլայնվեց սպառողական և առևտրային շուկայի մեջ, որոշ ընկերություններ սկսեցին ուղիներ փնտրել ստանդարտացման վրա ազդելու համար՝ ստեղծելով մրցակցության տեսք: Նույնիսկ ոչ պաշտոնական մարմինները, ինչպիսին է IETF-ն, զգացել են ճնշումը: Ինտերնետին առնչվող շուկաների զարգացմանը զուգընթաց, ձեռնարկատերերը սկսել են ստեղծել ժամանակավոր խմբեր կամ կոնսորցիումներ՝ իրենց սեփական չափանիշները խթանելու համար: Օրինակները ներառում են OMG (Օբյեկտների կառավարման խումբ), VRML (Վիրտուալ իրականության նշագրման լեզու) ֆորում և Java զարգացման միացում: Երբեմն ինտերնետ ծառայությունների լուրջ սպառողները իրենց գնումներով կամ պատվերներով դե ֆակտո ստանդարտներ են սահմանում։

Տարբեր ստանդարտ խմբերի առաջացման պատճառներից մեկը տեխնոլոգիայի զարգացման անընդհատ աճող տեմպերի և ստանդարտների ստեղծման երկար ցիկլի միջև լարվածությունն է:

Ինտերնետային անվտանգության ստանդարտներ

Անվտանգ տվյալների փոխանցման արձանագրություններ, ինչպիսիք են SSL (TLS), SET, IP v. 6. Դրանք ի հայտ եկան համեմատաբար վերջերս, և անմիջապես դարձան դե ֆակտո ստանդարտներ։

SSL (TLS)

Ցանցի միջոցով անվտանգ փոխանցման համար այժմ ամենատարածված ցանցային տվյալների գաղտնագրման արձանագրությունը ծածկագրային ալգորիթմների, մեթոդների և դրանց կիրառման կանոնների մի շարք է: Թույլ է տալիս ստեղծել անվտանգ կապ, կատարել տվյալների ամբողջականության վերահսկում և լուծել առնչվող տարբեր խնդիրներ:

SET

SET-ը (Security Electronics Transaction) խոստումնալից արձանագրություն է, որն ապահովում է անվտանգ էլեկտրոնային գործարքներ ինտերնետում: Այն հիմնված է թվային վկայագրերի օգտագործման վրա՝ համաձայն X.509 ստանդարտի և նախատեսված է ցանցի միջոցով էլեկտրոնային առևտուր կազմակերպելու համար:

Այս արձանագրությունը ստանդարտ է, որը մշակվել է «MasterCard»-ի և «Visa»-ի կողմից «IBM»-ի, «GlobeSet»-ի և այլ գործընկերների մասնակցությամբ: Այն թույլ է տալիս հաճախորդներին ապրանքներ գնել առցանց՝ օգտագործելով այսօր առկա ամենաապահով վճարման մեխանիզմը: SET-ը պլաստիկ քարտերի միջոցով առցանց վճարումների բաց ստանդարտ բազմակողմ արձանագրություն է: Այն ապահովում է քարտատիրոջ հաշվի, վաճառողի և վաճառողի բանկի խաչաձև վավերացում՝ վճարման պատրաստակամությունը ստուգելու համար, ինչպես նաև հաղորդագրության ամբողջականությունն ու գաղտնիությունը, արժեքավոր և զգայուն տվյալների կոդավորումը: SET-ը կարելի է համարել ստանդարտ տեխնոլոգիայի կամ պրոտոկոլային համակարգ ինտերնետի միջոցով քարտի վրա հիմնված անվտանգ վճարումներ կատարելու համար:

IPSec

IPSec ճշգրտումը IP v-ի մի մասն է: 6 և լրացնում է ընթացիկ տարբերակը TCP/IP արձանագրություններ. Այն մշակվում է IETF IP Security Working Group-ի կողմից: IPSec-ը ներկայումս ներառում է երեք ալգորիթմից անկախ հիմնական բնութագրեր, որոնք ներկայացնում են համապատասխան RFC ստանդարտները:

IPSec արձանագրությունն ապահովում է ցանցի (երրորդ) IP շերտում տրաֆիկի գաղտնագրման ստանդարտ եղանակ և պաշտպանում է ծայրից ծայր ծածկագրման վրա հիմնված տեղեկատվությունը. անկախ գործող հավելվածից, ալիքով անցնող տվյալների յուրաքանչյուր փաթեթ կոդավորված է: Սա թույլ է տալիս կազմակերպություններին ստեղծել վիրտուալ մասնավոր ցանցեր ինտերնետում: IPSec-ն աշխատում է սովորական կապի արձանագրությունների վրա՝ աջակցելով DES-ին, MD5-ին և մի շարք այլ ծածկագրային ալգորիթմների:

IPSec-ի միջոցով ցանցի մակարդակում տեղեկատվական անվտանգության ապահովումը ներառում է.

• աջակցություն չփոփոխված վերջնական համակարգերին;
• TCP-ից բացի այլ տրանսպորտային արձանագրությունների աջակցություն;
• աջակցություն վիրտուալ ցանցերանապահով ցանցերում;
• տրանսպորտային շերտի վերնագրի պաշտպանությունը գաղտնալսումից (պաշտպանություն չթույլատրված երթևեկության վերլուծությունից);
• պաշտպանություն ծառայության մերժման հարձակումներից:

Բացի այդ, IPSec-ն ունի երկու կարևոր առավելություն.

1. դրա կիրառումը չի պահանջում փոփոխություններ միջանկյալ ցանցային սարքերում.
2. աշխատանքային կայանները և սերվերները չեն պահանջվում IPSec-ին աջակցելու համար:

Ռուսական շուկայի առանձնահատկությունները

Պատմականորեն Ռուսաստանում ՏՏ անվտանգության խնդիրներն ուսումնասիրվել և ժամանակին լուծվել են միայն պետական ​​գաղտնիքի պաշտպանության ոլորտում։ Նմանատիպ, բայց ունենալով իրենց առանձնահատկությունները, տնտեսության կոմերցիոն հատվածի խնդիրները երկար ժամանակ համապատասխան լուծումներ չէին գտնում։ Այս փաստը դեռևս զգալիորեն դանդաղեցնում է համաշխարհային համակարգին ինտեգրված ներքին շուկայում անվտանգ ՏՏ գործիքների ի հայտ գալն ու զարգացումը։ Ավելին, առևտրային ավտոմատացված համակարգում տեղեկատվության պաշտպանությունն ունի իր առանձնահատկությունները, որոնք պարզապես պետք է հաշվի առնել, քանի որ դրանք լուրջ ազդեցություն ունեն տեղեկատվական անվտանգության տեխնոլոգիաների վրա։ Մենք թվարկում ենք հիմնականները.

1. Տնտեսական գործոնների առաջնահերթություն. Առևտրային ավտոմատացված համակարգի համար շատ կարևոր է նվազեցնել կամ վերացնել ֆինանսական կորուստները և ապահովել, որ այս գործիքակազմի սեփականատերը և օգտագործողները շահույթ ստանան իրական ռիսկերի դեպքում: Դրա համար կարևոր պայման է, մասնավորապես, սովորաբար բանկային ռիսկերի նվազագույնի հասցնելը (օրինակ՝ վճարումների սխալ ուղղությունների պատճառով կորուստներ, վճարային փաստաթղթերի կեղծում և այլն);
2. Դիզայնի բացություն, որը նախատեսում է տեղեկատվության պաշտպանության ենթահամակարգի ստեղծում այն ​​գործիքներից, որոնք լայնորեն հասանելի են շուկայում և աշխատում են բաց համակարգերում.
3. Առևտրային տեղեկատվության իրավական նշանակությունը, որը կարող է սահմանվել որպես անվտանգ տեղեկատվության սեփականություն, որը հնարավորություն է տալիս ապահովել էլեկտրոնային փաստաթղթերի կամ տեղեկատվական գործընթացների իրավական ուժը Ռուսաստանի Դաշնության օրենսդրությամբ սահմանված տեղեկատվական ռեսուրսների իրավական ռեժիմին համապատասխան: Այս պայմանը վերջին շրջանում մեր երկրում ավելի ու ավելի է կարևորվում ՏՏ անվտանգության իրավական և կարգավորող դաշտի ստեղծման հետ մեկտեղ (հատկապես տարբեր իրավաբանական անձանց ավտոմատացված համակարգերի հետ շփվելիս):

Ակնհայտ է, որ անվտանգ ՏՏ մշակման ստեղծումը գաղտնի տեղեկատվություն, որը չի պարունակում պետական ​​գաղտնիքներ, չափազանց կարևոր է ժամանակակից Ռուսաստանի տնտեսական և ֆինանսական կյանքի համար։ Ռուսաստանում ներդաշնակեցված ISO 15408 ստանդարտի («Ընդհանուր չափանիշներ») օգտագործումը, որն արտացոլում է տեղեկատվական անվտանգության գնահատման համաշխարհային վերջին ձեռքբերումները, թույլ կտա.

• ռուսական ՏՏ-ն կցել տեղեկատվական անվտանգության ժամանակակից միջազգային պահանջներին, որոնք կպարզեցնեն, օրինակ, արտասահմանյան արտադրանքի օգտագործումը և մեր արտադրանքի արտահանումը.
• դյուրացնել ռուսական համապատասխան մասնագիտացված կարգավորող և մեթոդական նյութերի մշակումը անվտանգ բանկային և այլ ՏՏ միջոցների և համակարգերի փորձարկման, գնահատման (վերահսկման) և հավաստագրման համար.
• ստեղծել հիմք ավտոմատացված համակարգերի ապահովագրման համար անհրաժեշտ տեղեկատվական ռիսկերի որակական և քանակական գնահատման համար.
• նվազեցնել բանկերում և կորպորացիաներում տեղեկատվական անվտանգության ռեժիմի պահպանման ընդհանուր ծախսերը տեղեկատվության պաշտպանության մեթոդների, միջոցների և միջոցների տիպավորման և միավորման միջոցով:

Պետական ​​ստանդարտներ

Մեզ մոտ գոյություն ունեցող տեղեկատվական տեխնոլոգիաների անվտանգության տարբեր ստանդարտներից պետք է առանձնացնել բաց համակարգերի փոխկապակցման պաշտպանությունը կանոնակարգող մի շարք փաստաթղթեր (Աղյուսակ 1, տող 1-3): Դրանք կարող են համալրվել համակարգչային սարքավորումների և ավտոմատացված համակարգերի անվտանգության գնահատման միջոցների, համակարգերի և չափանիշների վերաբերյալ կարգավորող փաստաթղթերով (տես Աղյուսակ 1, տողեր 4-8): Փաստաթղթերի վերջին խումբը, ինչպես նաև նախկինում ստեղծված բազմաթիվ օտարերկրյա ստանդարտներ, կենտրոնացած են հիմնականում պետական ​​գաղտնիքի պաշտպանության վրա:

Ինչպես և որտեղ են աշխատում տարբեր ստանդարտներ

Ներկայումս առկա բոլոր ստանդարտները բազմամակարդակ են: Սա նշանակում է, որ դրանց օգտագործումը սահմանափակվում է տեղեկատվական համակարգերում վերացականության որոշակի մակարդակով (օրինակ, «Ընդհանուր չափանիշները» չեն կարող օգտագործվել TLS արձանագրության մեջ նստաշրջանի բանալի ստեղծման մեխանիզմը մանրամասն նկարագրելու համար): Ակնհայտ է, որ չափորոշիչների արդյունավետ կիրառման համար անհրաժեշտ է քաջատեղյակ լինել դրանց մակարդակին և նպատակին։

Այսպիսով, անվտանգության քաղաքականություն և կատարողականի գնահատման համակարգ մշակելիս, ինչպես նաև անվտանգության բարդ թեստեր անցկացնելիս լավագույնս օգտագործել ISO 15408 («Ընդհանուր չափանիշներ») դրույթները: Իրականացնել և գնահատել գաղտնագրման համակարգերի տեխնիկական գերազանցությունը և թվային ստորագրություննախատեսված են համապատասխան ԳՕՍՏ-ներ: Եթե ​​Ձեզ անհրաժեշտ է պաշտպանել ալիքը կամայական տեղեկատվության փոխանակման համար, ապա խորհուրդ է տրվում օգտագործել TLS արձանագրությունը: Երբ մենք խոսում ենքոչ միայն պաշտպանության մասին կապի գծեր, բայց ֆինանսական գործարքների անվտանգության մասին SET-ը ի հայտ է գալիս, ներառյալ ալիքների պաշտպանության արձանագրությունները՝ որպես ցածր մակարդակի ստանդարտներից մեկը:

Տեսությունից մինչև պրակտիկա

Վերոնշյալ դրույթների գործնական նշանակությունը ցույց տալու համար ներկայացնում ենք միջբանկային էլեկտրոնային բանկային ծառայությունների իրականացման ընթացքում օգտագործվող անվտանգության ստանդարտների ցանկը.

SSL արձանագրությունը (TLS) կարող է օգտագործվել որպես RS-Portal և «Internet-Client» համակարգերում տեղեկատվության փոխանակման պաշտպանության ալիք: ԳՕՍՏ 28147-89, ԳՕՍՏ Ռ 34.10-94 և ԳՕՍՏ Ռ 34.11-94 ստանդարտները, որոնք կարգավորում են տվյալների կոդավորումը և թվային ստորագրության մեխանիզմը, ներդրված են «հաճախորդ-բանկ» տիպի ենթահամակարգերի կրիպտոպաշտպանության համակարգերում («DOS Հաճախորդ», « Windows հաճախորդ», «Ինտերնետ հաճախորդ»):

Օգտագործելով IPSec արձանագրությունը, դուք կարող եք թափանցիկորեն պաշտպանել հաճախորդի և բանկի միջև տեղեկատվության փոխանակման ցանկացած ալիք՝ օգտագործելով IP ցանցի արձանագրությունը: Սա վերաբերում է ինչպես ինտերնետ համակարգերին (RS-Portal և «Internet-Client»), այնպես էլ RS-Mail էլփոստի համակարգին, որն աջակցում է IP-ի միջոցով գործարկումը:

Հուսով ենք, որ հոդվածում ներկայացված տեղեկատվությունը կօգնի ձեզ գնահատել ձեր համակարգերի հուսալիությունը, և մշակողների ջանքերն ու ժամանակը կուղղվեն իսկապես ավելի լավ գործիքներ ստեղծելուն, որոնք նոր քայլ կդառնան տեղեկատվական անվտանգության տեխնոլոգիաների զարգացման գործում:

Միջազգային ստանդարտներ

• BS 7799-1:2005 - Բրիտանական ստանդարտ BS 7799 մաս առաջին: BS 7799 Մաս 1 - Տեղեկատվական անվտանգության կառավարման պրակտիկայի կանոնագիրքը նկարագրում է 127 հսկողություն, որոնք անհրաժեշտ են կառուցելու համար տեղեկատվական անվտանգության կառավարման համակարգեր(ISMS) կազմակերպությունները, որոնք բացահայտվել են հիման վրա լավագույն օրինակներըհամաշխարհային փորձը (լավագույն փորձը) այս ոլորտում: Այս փաստաթուղթը ծառայում է որպես ISMS-ի ստեղծման գործնական ուղեցույց
• BS 7799-2:2005 - Բրիտանական ստանդարտ BS 7799 ստանդարտի երկրորդ մասը: BS 7799 Մաս 2. Տեղեկատվական անվտանգության կառավարում. Տեղեկատվական անվտանգության կառավարման համակարգերի հստակեցումը սահմանում է ISMS-ի բնութագրերը: Ստանդարտի երկրորդ մասը օգտագործվում է որպես չափանիշներ կազմակերպության ISMS-ի պաշտոնական հավաստագրման ընթացակարգում:
• BS 7799-3:2006 - Բրիտանական ստանդարտ BS 7799 ստանդարտի երրորդ մասը: Տեղեկատվական անվտանգության ռիսկերի կառավարման նոր ստանդարտ
• ISO/IEC 17799:2005 - Տեղեկատվական տեխնոլոգիաներ - Անվտանգության տեխնոլոգիաներ - Տեղեկատվական անվտանգության կառավարման պրակտիկա: Միջազգային ստանդարտ՝ հիմնված BS 7799-1:2005թ.
• ISO/IEC 27000 - Բառապաշար և սահմանումներ:
• ISO/IEC 27001 - «Տեղեկատվական տեխնոլոգիաներ - Անվտանգության պրակտիկա - Տեղեկատվական անվտանգության կառավարման համակարգեր - Պահանջներ»: Միջազգային ստանդարտ՝ հիմնված BS 7799-2:2005թ.
• ISO/IEC 27002 - Այժմ՝ ISO/IEC 17799:2005: «Տեղեկատվական տեխնոլոգիաներ - անվտանգության տեխնոլոգիաներ - տեղեկատվական անվտանգության կառավարման պրակտիկա»: Թողարկման ամսաթիվ - 2007 թ.
• ISO/IEC 27005 - Այժմ՝ BS 7799-3:2006 - Տեղեկատվական անվտանգության ռիսկերի կառավարման ուղեցույց:
• Գերմանիայի տեղեկատվական անվտանգության գործակալություն. IT Baseline Protection Manual - Ստանդարտ անվտանգության երաշխիքներ:

Ռուսաստանի Դաշնության պետական ​​(ազգային) ստանդարտներ

• ԳՕՍՏ Ռ 50922-2006 Տեղեկատվական անվտանգություն. Հիմնական տերմիններ և սահմանումներ.
• Ռ 50.1.053-2005. Տեղեկատվական տեխնոլոգիաներ. Հիմնական տերմիններ և սահմանումներ ոլորտում տեխնիկական պաշտպանությունտեղեկատվություն։
• ԳՕՍՏ Ռ 51188-98 Տեղեկատվական անվտանգություն. Հասանելիության համար ծրագրակազմի փորձարկում համակարգչային վիրուսներ. Մոդել ուղեցույց.
• ԳՕՍՏ Ռ 51275-2006 Տեղեկատվական անվտանգություն. Տեղեկատվական օբյեկտ. Տեղեկատվության վրա ազդող գործոններ. Ընդհանուր դրույթներ.
• ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 15408-1-2012. Տեղեկատվական տեխնոլոգիա. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման չափանիշներ. Մաս 1. Ներածություն և ընդհանուր մոդել.
• ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 15408-2-2013. Տեղեկատվական տեխնոլոգիաներ. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման չափանիշներ. Մաս 2. Անվտանգության ֆունկցիոնալ պահանջներ:
• ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 15408-3-2013. Տեղեկատվական տեխնոլոգիաներ. Անվտանգության ապահովման մեթոդներ և միջոցներ. Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման չափանիշներ. Մաս 3. Անվտանգության ապահովման պահանջներ.
• ԳՕՍՏ Ռ ԻՍՕ / ԻԷԿ 15408 - «Տեղեկատվական տեխնոլոգիաների անվտանգության գնահատման ընդհանուր չափանիշներ» - ստանդարտ, որը սահմանում է տեղեկատվական արտադրանքների և համակարգերի անվտանգության գնահատման գործիքներն ու մեթոդաբանությունը. այն պարունակում է պահանջների ցանկ, որոնց հետ կարելի է համեմատել անվտանգության անկախ գնահատումների արդյունքները, որոնց շնորհիվ սպառողը որոշում է կայացնում արտադրանքի անվտանգության մասին: «Ընդհանուր չափանիշների» կիրառման շրջանակը տեղեկատվության պաշտպանությունն է չարտոնված մուտքից, ձևափոխումից կամ արտահոսքից և ապարատային և ծրագրային ապահովման միջոցով իրականացվող պաշտպանության այլ մեթոդներից:
• ԳՕՍՏ Ռ ԻՍՕ / ԻԷԿ 17799 - «Տեղեկատվական տեխնոլոգիաներ. Տեղեկատվական անվտանգության կառավարման պրակտիկ կանոններ»։ Միջազգային ստանդարտի ուղղակի կիրառում ISO/IEC 17799:2005 հավելումով:
• ԳՕՍՏ Ռ ԻՍՕ / ԻԷԿ 27001 - «Տեղեկատվական տեխնոլոգիաներ. Անվտանգության մեթոդներ. Տեղեկատվական անվտանգության կառավարման համակարգ. Պահանջներ». Միջազգային ստանդարտի ուղղակի կիրառում - ISO/IEC 27001:2005.
• ԳՕՍՏ Ռ 51898-2002 Անվտանգության ասպեկտներ. Ստանդարտներում ներառելու կանոններ.