• Главная
  •  > 
  • Настройка программ
  •  > 
  • Российские стандарты информационной безопасности. Защита информации и информационная безопасность международные и российские стандарты

Российские стандарты информационной безопасности. Защита информации и информационная безопасность международные и российские стандарты

Рассмотрим наиболее известные международные стандарты в области информационной безопасности.

Стандарт ISO 17799 «Практические правила управления информационной безопасностью» рассматривает следующие аспекты ИБ:

Основные понятия и определения;

Политика информационной безопасности;

Организационные вопросы безопасности;

Классификация и управление активами;

Вопросы безопасности, связанные с персоналом;

Физическая защита и защита от воздействий окружающей среды;

Управление передачей данных и операционной деятельностью;

Контроль доступа;

Разработка и обслуживание систем;

Управление непрерывностью бизнеса;

Внутренний аудит ИБ компании;

Соответствие требованиям законодательства.

Важное место в системе стандартов занимает стандарт ISO 15408 «Общие критерии безопасности информационных технологий», известный как «Common Criteria». В «Общих критериях» проведена классификация широкого набора требований безопасности информационных технологий, определены структуры их группирования и принципы использования.

Важной составляющей системы стандартов является инфраструктура открытых ключей PKI (Public Key Infrastructure). Эта инфраструктура подразумевает развертывание сети центров сертификации ключей и использование цифровых сертификатов, удовлетворяющих рекомендации X.509

Российские стандарты по информационной безопасности

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России

ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России

ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России

ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования

ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения

ГОСТ Р 53131-2008 (ИСО/МЭК ТО 24762-2008). Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения

ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России

ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России

ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средста обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 4. Выбор защитных мер

ГОСТ Р ИСО/МЭК ТО 13335-5-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети

ГОСТ Р ИСО/МЭК 15408 -1-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий . Часть 1. Введение и общая модель. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-2-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-3-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК ТО 15443-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы

ГОСТ Р ИСО/МЭК ТО 15443-2-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 2. Методы доверия

ГОСТ Р ИСО/МЭК ТО 15443-3-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 3. Анализ методов доверия

ГОСТ Р ИСО/МЭК17799- 2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью

ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности

ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем

ГОСТ Р ИСО/МЭК27001- 2006. Методы и средства обеспечения безопасности.Системы менеджмента информационной безопасности . Требования

ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

ГОСТ Р ИСО/МЭК 27005-2009. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

ГОСТ 28147 -89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования .

ГОСТ Р 34.10 -2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи .

ГОСТ Р 34.11 -94 Информационная технология. Криптографическая защита информации. Функции хэширования .

Весьма важным является семейство международных стандартов по управлению информационной безопасностью серии ISO 27000 (которые с некоторой задержкой принимаются и в качестве российских государственных стандартов). Отдельно отметим ГОСТ/ISO 27001 (Системы управления информационной безопасностью), ГОСТ/ISO 27002 (17799) (Практические правила управления информационной безопасностью)

Технологии межсетевых экранов

Межсетевой экран (МЭ) - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. МЭ также называют брандма́уэр (нем. Brandmauer ) или файрво́л (англ. firewall ). МЭ позволяет разделить общую сеть на 2 части и реализовать набор правил, определяющий условия прохождения пакетов с данными через экран из одной части сети в другую. Обычно МЭ устанавливается между корпоративной (локальной) сетью и сетью Интернет, защищая внутреннюю сеть предприятия от атак из глобальной сети, но может защищать и локальную сеть от угроз из корпоративной сети.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.


Специалистам в области информационной безопасности сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин. Формальная состоит в том, что необходимость следования некоторым стандартам, таким как «криптографические» стандарты или «руководящие документы» закреплена законодательно. Однако наиболее убедительны содержательные причины.

Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях информационной безопасности. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

В-третьих перед стандартами информационной безопасности стоит непростая задача примирить три разные точки зрения, «производителя средств защиты», «потребителя» и различных «специалистов по сертификации», а так же создать эффективный механизм взаимодействия всех сторон.

Потребители заинтересованы в методах, позволяющих выбрать продукт, соответствующий их запросам и решающий их проблемы, это может быть в том числе и VPS под управлением ОС Wшndows Server, для чего им необходима шкала оценки безопасности. А так же потребителю необходим инструмент, с помощью которого он сможет сформулировать свои требования перед произво¬дителем. К большому сожалению, многие потребители зачастую не пони¬мают, что требования безопасности обязательно противоречат не только удобству работы но быстродействию, а чаще накладывают определенные ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных, удобных в использовании, но менее защищенных средств.

Специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности и предоставить потребителям возможность сделать для себя наиболее эффективный выбор.

Одним из первых и наиболее известных документов стала так называемая «Оранжевая книга» разработанная в 90-х как «Критерии безопасности компьютерных систем» Министерства обороны США. В ней определены 4 уровня безопасности, A, B, C, D, где А наиболее высокий уровень безопасности, в котором, соответственно, предъявляются самые жесткие требования.

Хоть «Оранжевая книга» и стала одной из первых наиболее известных документов, однако понятно, что каждое государство, которое хочет обеспечить свою информационную безопасность, разрабатывало свою документацию - «национальные стандарты», в сфере информационной безопасности. К ним можно отнести «Европейские критерии безопасности информационных технологий», «Канадские критерии безопасности компьютерных систем», а так же «Британские практические правила управления информационной безопасностью» на основе которого, кстати, создан международный стандарты ISO/IEC 17799:2000 (BS 7799-1:2000). В данный момент последняя версия стандарта ISO/IEC 27001:2013, а так же «Руководящие документы Гостехкомиссии СССР» (а позднее России).

Следует отметить, что американцы высоко оценили деятельность «Гостехкомиссии СССР». В американских изданиях писали, что советский орган по защите информации и противодействию технической разведке тщательнейшим образом изучает все, что известно на Западе о Советском Союзе, и разрабатывает «огромное количество материалов в целях искажения действительной картины». Комиссия, как сообщали они, контролирует все военные парады и учения, на которых присутствуют иностранцы, строительство ракетных баз и казарм, при этом в некоторых областях достижения умышленно скрываются, в других таких как противоракетная оборона, значительно преувеличиваются. Деятельность Гостехкомиссии на данном направлении действительно очень скоро принесла свои первые плоды. Как писала американская газета «Нью-Йорк Таймс», уже в 1977 г. вследствие мер, принятых на судостроительных заводах и верфях СССР, у американцев возникли проблемы с контролем за ходом строительства советских подводных лодок.

Результатами работы «Гостехкомиссии СССР» в советский период стало не только повышение защищенности информации на предприятиях ВПК, испытаний новых видов вооружения на полигонах. Была проведена серьезная работа по обеспечению безопасности информации, обрабатываемой в АСУ и ЭВМ, в частности, созданы защищенные системы управления ЭВМ и средства обработки конфиденциальных документов, исключающие утечку секретной информации, внедрены каналы связи на уровне правительственных органов и высшего командования Советской Армии и многое другое.

Так же нельзя не отметить что ранее указанная роль стандартов зафиксирована и в Федеральном законе "О техническом регулировании " от 27.12.2002 N 184-ФЗ

Необходимо отметить, что в число принципов стандартизации, провозглашенных в упомянутом законе, в Статье 7 «Содержание и применение технических регламентов» входит принцип применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям, техническим или технологическим особенностям или по иным основаниям, или если Российская Федерация, выступала против принятия международного стандарта или отдельного его положения.

Статья 7. Пункт 8:

Международные стандарты должны использоваться полностью или частично в качестве основы для разработки проектов технических регламентов, за исключением случаев, если международные стандарты или их разделы были бы неэффективными или не подходящими для достижения установленных статьей 6 настоящего Федерального закона целей, в том числе вследствие климатических и географических особенностей Российской Федерации, технических и (или) технологических особенностей. (в ред. Федерального закона от 18.07.2009 N 189-ФЗ)
Национальные стандарты Российской Федерации могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов.

Так как с практической точки зрения, количество стандартов и спецификаций, включая международные, национальные и отраслевые в области информационной безопасности бесконечно, приведем только некоторые из них, полный список национальных стандартов предоставлен на сайте ФСТЭК России в соответствующем разделе «Национальные стандарты».
Обозначение Наименование на русском языке
ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
ГОСТ Р 51188-98 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
ГОСТ Р 53111-2008 Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
ГОСТ Р 53113.1-2008 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения
ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов
ГОСТ Р 54581-2011 / I SO/IEC TR 15443-1:2005 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы
ГОСТ Р 54582-2011 / ISO/IEC TR 15443-2:2005 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия
ГОСТ Р 54583-2011 / ISO/IEC TR 15443-3:2007 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия
ГОСТ Р ИСО 7498-1-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель
ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети
ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

Для примера рассмотрим ГОСТ Р 53113.2-2009 «Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов».

В данном стандарте представлены не только общая схема функционирования скрытых каналов в автоматизированной системе, правила формирования модели угроз, но и различные рекомендации по защите информации и применяемые при построении системы информационной безопасности методики, учитывающие наличие подобных скрытых каналов.

Ниже на рисунке 1, представлена общая схема функционирования скрытых каналов в автоматизированной системе.

Рисунок 1 - Общая схема механизма функционирования скрытых каналов в автоматизированной системе

1 - нарушитель безопасности (злоумышленник), целью которого является несанкционированный доступ к информации ограниченного доступа либо несанкционированное влияние на автоматизированную систему;
2 - информация ограниченного доступа либо критически важная функция;
3 - субъект, имеющий санкционированный доступ к 2 и 5;
3" - агент нарушителя безопасности, находящийся в замкнутом контуре с 2 и взаимодействующий с 2 от имени субъекта 3;
4 - инспектор (программное, программно-аппаратное, аппаратное средство или лицо), контролирующий(ее) информационное взаимодействие 3, пересекающее замкнутый контур, отделяющий объект информатизации от внешней среды;
5 - субъект, находящийся вне замкнутого контура, с которым 3 осуществляет санкционированное информационное взаимодействие

Угрозы безопасности, которые могут быть реализованы с помощью скрытых каналов, включают в себя:

1. Внедрение вредоносных программ и данных;
2. Подачу злоумышленником команд агенту для выполнения;
3. Утечку криптографических ключей или паролей;
4. Утечку отдельных информационных объектов.

Защита информации, информационных технологий и автоматизированных систем от атак, реализуемых с использованием скрытых каналов, является циклическим процессом, включающим в себя следующие этапы, повторяющиеся на каждой из итераций процесса:

1. Анализ рисков для активов организации, включающий в себя выявление ценных активов и оценку возможных последствий реализации атак с использованием скрытых каналов
2. Выявление скрытых каналов и оценка их опасности для активов организации
3. Реализация защитных мер по противодействию скрытых каналов
4. Организация контроля за противодействием скрытых каналов.

Цикличность процесса защиты от угроз информационной безопасности, реализуемых с использованием скрытых каналов, определяется появлением новых способов построения скрытых каналов, неизвестных на момент предыдущих итераций.

На основании оценки опасности скрытых каналов с учетом результатов проведенного анализа рисков делается вывод о целесообразности или нецелесообразности противодействия таким каналам.

По результатам выявления скрытых каналов формируется план мероприятий по противодействию угрозам, реализуемым с их использованием. Данные мероприятия могут включать в себя реализацию одного из уже известных (либо усовершенствование уже существующих) методов противодействия угрозам информационной безопасности, реализуемым с использованием скрытых каналов.

В качестве защитных мероприятий целесообразно использовать:

1. Снижение пропускной способности канала передачи информации;
2. Архитектурные решения построения автоматизированных систем;
3. Мониторинг эффективности защиты автоматизированных систем.

Выбор методов противодействия угрозам информационной безопасности арендуемого вами VDS сервера, реализуемым с использованием скрытых каналов и формирование плана по их реализации определяется экспертами, исходя из индивидуальных особенностей защищаемой автоматизированной системы.

Как видите, даже краткий перечень стандартов, далеко не краткий, не говоря уже о нормативных актах и рекомендациях, однако необходимо обладать хотя бы базовыми знаниями в данной области, чтобы можно было не только ориентироваться но и применять на практике необходимые стандарты.

В данном разделе приводятся общие сведения и тексты национальных стандартов Российской Федерации в области защиты информации ГОСТ Р.

Актуальный перечень современных ГОСТов, разработанных в последние годы и планируемых к разработке. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России). ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. Общие положения. Москва ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Дата введения 1996-01-01 Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions. Дата введения 2008-02-01 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ЗАЩИТА ИНФОРМАЦИИ. СИСТЕМА СТАНДАРТОВ. ОСНОВНЫЕ ПОЛОЖЕНИЯ (SAFETY OF INFORMATION. SYSTEM OF STANDARDS. BASIC PRINCIPLES) ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ. Типовое руководство (Information security. Software testing for the existence of computer viruses. The sample manual). Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model) ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 2. Security functional requirements) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements) ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Information security of the public communications network providing system. Passport of the organization communications of information security. Дата введения в действие 30.09.2009. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Protection of information. Information security provision in organizations. Basic terms and definitions. Дата введения в действие 30.09.2009. ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Information protection. Facilities for measuring side electromagnetic radiation and pickup parameters. Technical requirements and test methods. Дата введения в действие 30.09.2009. ГОСТ Р 53115-2008 Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства. Information protection. Conformance testing of technical information processing facilities to unauthorized access protection requirements. Methods and techniques. Дата введения в действие 30.09.2009. ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technology and automated systems against covert channel attacks. Дата введения в действие 01.12.2009. ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems. Дата введения в действие 30.09.2009. ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения. Information protection. Guidelines for recovery services of information and communications technology security functions and mechanisms. General. Дата введения в действие 30.09.2009. ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы. Information technology. Security techniques. A framework for IT security assurance. Part 1. Overview and framework. Дата введения в действие 01.07.2012. ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции. Information technology. Security techniques. Network security. Part 1. Overview and concepts. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems. Дата введения в действие 30.09.2009. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Information technology. Security techniques. Information security management. Measurement. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Information technology. Security techniques. Information security risk management. Дата введения в действие 01.12.2011. ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска (Risk management. Risk assessment methods). Дата введения в действие: 01.12.2012 ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство (Risk management. Principles and guidelines). Дата введения в действие: 31.08.2011 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. Дата введения в действие: 30.06.1990. ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» – вступает в силу 1 сентября 2015 г. ГОСТ Р ИСО/МЭК 27033-3-2014 «Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» – вступает в силу 1 ноября 2015 г ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» – вступает в силу 1 ноября 2015 г. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. Information technology. Security techniques. Code of practice for information security management. Дата введения в действие 01.01.2014. Код ОКС 35.040. ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования (Information protection. Secure Software Development. General requirements). Дата введения в действие 01.06.2017. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Information protection. Sequence of protected operational system formation. General. 01.09.2014 ГОСТ Р 7.0.97-2016 Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов (System of standards on information, librarianship and publishing. Organizational and administrative documentation. Requirements for presentation of documents). Дата введения в действие 01.07.2017. Код ОКС 01.140.20. ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер - Security of Financial (banking) Operations. Information Protection of Financial Organizations. Basic Set of Organizational and Technical Measures. ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования - Business continuity management systems. Requirements. ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению - Business continuity management systems. Guidance for implementation. ГОСТ Р ИСО/МЭК 27031-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса - Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity. ГОСТ Р МЭК 61508-1-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 1. General requirements. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-2-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 2. Requirements for systems. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-3-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ. Требования к программному обеспечению. IEC 61508-3:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements (IDT). ГОСТ Р МЭК 61508-4-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ Часть 4 Термины и определения. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 4. Terms and definitions. Дата введения 2013-08-01. . ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3. IEC 61508-6:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (IDT). ГОСТ Р МЭК 61508-7-2012 Функциональная безопасность систем электрических, Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства. Functional safety of electrical electronic programmable electronic safety-related systems. Part 7. Techniques and measures. Дата введения 2013-08-01. ГОСТ Р 53647.6-2012. Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных

ISO/IEC 27001 - международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

Назначение стандарта. В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия. Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность - обеспечение точности и полноты информации, а также методов её обработки.

Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Стандарт ISO 27001 обеспечивает:

· определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;

· определение подходов к оценке и управлению рисками в организации;

· управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;

· использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;

· определение процессов системы менеджмента информационной безопасности;

· определение статуса мероприятий по обеспечению информационной безопасности;

· использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;



· предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.


Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации по содержанию ФЗ РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.


Стратегия национальной безопасности Российской Федерации до 2020г.». Структура, задачи, методы и пути реализации государством своих функций по обеспечению информационной безопасности в «Доктрине информационной безопасности Российской Федерации».



Стратегия национальной безопасности Российской Федерации до 2020 года - официально признанная система стратегических приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу.

Доктрина информационной безопасности Российской Федерации - совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Составляющие национальных интересов Российской Федерации в информационной сфере в доктрине:

1) Обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею.

2) Информационное обеспечение государственной политики РФ (доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в России и в мире) с доступом граждан к открытым государственным ресурсам.

3) Развитие современных ИТ отечественной индустрии (средств информатизации, телекоммуникации и связи). Обеспечение ИТ внутреннего рынка России и выход на мировые рынки.

4) Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Виды угроз информационной безопасности РФ в доктрине:

1. Угрозы, направленные на конституционные права и свободы человека в области информационной деятельности.

2. Угрозы информационному обеспечению государственной политики РФ.

3. Угроза развитию современных ИТ отечественной индустрии, а также выходу на внутренний и мировой рынок.

4. Угрозы безопасности информационных и телекоммуникационных средств и систем.

Методы обеспечения информационной безопасности РФ в доктрине:

Правовые методы

Разработка нормативных правовых актов, регламентирующих отношения в сфере IT

Организационно-технические методы

Создание системы информационной безопасности РФ и её совершенствование

Привлечение лиц к ответственности, совершивших преступления в этой сфере

Создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации

Экономические методы

Разработка программ обеспечения информационной безопасности и их финансирование

Финансирование работ, связанных с обеспечением информационной безопасности РФ

Одной из важнейших проблем и потребностей современного общества является защита прав человека в условиях вовлечения его в процессы информационного взаимодействия в том числе, право на защиту личной (персональной) информации в процессах автоматизированной обработки информации.

И. Н. Маланыч, студент 6 курса ВГУ

Институт защиты персональных данных сегодня уже не является той категорией, которую можно регулировать только национальным правом. Важнейшей особенностью современных автоматизированных информационных систем является «наднациональность» многих из них, «выход» их за пределы границ государств, развитие общедоступных мировых информационных сетей, таких, как Интернет, формирование единого информационного пространства в рамках таких международных структур.

Сегодня в Российской Федерации существует проблема не только введения в правовое поле института защиты персональных данных в рамках автоматизированных информационных процессов, но и соотнесения ее с существующими международно-правовыми стандартами в этой области.

Можно выделить три основные тенденции международно-правового регулирования института защиты персональных данных, относимого к процессам автоматизированной обработки информации.

1) Декларирование права на защиту персональных данных, как неотъемлемой части фундаментальных прав человека, в актах общегуманитарного характера, принимаемых в рамках международных организаций.

2) Закрепление и регулирование права за защиту персональной информации в актах регулятивного характера Европейского Союза, Совета Европы, отчасти Содружества Независимых Государств и некоторых региональных международных организаций. Этот класс норм – наиболее универсальный и непосредственно касается прав на защиту персональных данных в процессах автоматизированной обработки информации.

3) Включение норм об охране конфиденциальной информации (в том числе, и персональной) в международные договоры.

Первый способ – исторически появился раньше остальных. В современном мире информационные права и свободы являются неотъемлемой частью фундаментальных прав человека.

Всеобщая декларация прав человека 1948 г. провозглашает: «Никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, произвольным посягательствам на … тайну его корреспонденции» и далее: «Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Международный пакт о гражданских и политических правах 1966 г. в этой части повторяет декларацию. Европейская Конвенция 1950 г. детализирует это право: «Каждый человек имеет право на свободу выражения своего мнения. Это право включает свободу придерживаться своего мнения, получать и распространять информацию и идеи без вмешательства со стороны государственных органов и независимо от государственных границ».

Указанные международные документы закрепляют информационные права человека.

В настоящее время на международном уровне сформировалась устойчивая система взглядов на информационные права человека. В обобщенном плане это - право на получение информации, право на частную жизнь с точки зрения охраны информации о ней, право на защиту информации как с точки зрения безопасности государства, так и с точки зрения безопасности бизнеса, включая финансовую деятельность.

Второй способ - более детального регулирования права на защиту персональной информации связан со все возрастающей в последние годы интенсивностью обработки персональной информации с помощью автоматизированных компьютерных информационных систем. В последние десятилетия в рамках ряда международных организаций был принят ряд международных документов, развивающих основные информационные права в связи с интенсификацией трансграничного обмена информацией и использованием современных информационных технологий. Среди таких документов можно назвать следующие:

Совет Европы в 1980 г. разработал Европейскую конвенцию о защите физических лиц в вопросах, касающихся автоматической обработки личных данных, вступившую в силу в 1985 г. В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, принципы хранения и доступа к этим данным, способы физической защиты данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Россия присоединилась к Европейской Конвенции в ноябре 2001 года.

В Европейском Союзе вопросы защиты персональных данных регулируются целым комплексом документов. В 1979 г. была принята Резолюция Европарламента «О защите прав личности в связи с прогрессом информатизации». Резолюция предложила Совету и Комиссии Европейских сообществ разработать и принять правовые акты по защите данных о личности в связи с техническим прогрессом в области информатики. В 1980 году приняты Рекомендации Организации по сотрудничеству стран-членов Европейского Союза «О руководящих направлениях по защите частной жизни при межгосударственном обмене данными персонального характера». В настоящее время вопросы защиты персональных данных детально регламентируются директивами Европарламента и Совета Европейского Союза. Это Директивы № 95/46/EC и № 2002/58/EC Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», Директива № 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций и другие документы.

Акты Европейского Союза характеризуются детальной проработкой принципов и критериев автоматизированной обработки данных, прав и обязанностей субъектов и держателей персональных данных, вопросов их трансграничной передачи, а также ответственности и санкций за нанесение ущерба. В соответствии с Директивой № 95/46/EC в Европейском Союзе создана Рабочая группа по защите индивидуумов в отношении обработки их персональных данных. Она имеет статус консультативного органа и действует в качестве независимой структуры. Рабочая группа состоит из представителя органа, созданного каждым государством-участником для целей надзора за соблюдением на своей территории положений Директивы, представителя органа или органов, учрежденных для институтов и структур Сообщества, и представителя Еврокомиссии.

В рамках Организации по экономическому сотрудничеству и развитию (ОЭСР) действуют «Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными» , которая была принята 23 сентября 1980 года. В преамбуле этой Директивы говорится: «…Страны - члены ОЭСР сочли необходимым разработать Основные положения, которые могли бы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблюдение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными…». Настоящие положения применяются как в государственном, так и в частном секторе к персональным данным, которые либо в связи с процедурой их обработки, либо в связи с их характером или контекстом их использования несут в себе угрозу нарушения неприкосновенности частной жизни и индивидуальных свобод. В ней определена необходимость обеспечения персональных данных должными механизмами защиты от рисков, связанных с их потерей, уничтожением, изменением или разглашением, несанкционированным доступом. Россия, к сожалению, в этой организации не участвует.

Межпарламентской ассамблеей государств – участников СНГ 16 октября 1999г. принят Модельный Закон «О персональных данных».

По закону «Персональные данные» - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие. В законе также перечислены принципы правового регулирования персональных данных, формы государственного регулирования операций с персональными данными, права и обязанности субъектов и держателей персональных данных.

Представляется, что рассмотренный второй способ нормативного регулирования защиты персональных данных в международных правовых актов является наиболее интересным для анализа. Нормы этого класса не только непосредственно регулируют общественные отношения в этой области, но и способствуют приведению законодательства стран-членов к международным стандартам, тем самым обеспечивая действенность этих норм на их территории. Тем самым, обеспечивается и гарантированность закрепленных во Всеобщей декларации прав человека информационных прав в смысле декларированного в статье 12 последней «права на защиту закона от …вмешательства или …посягательств».

Третий способ закрепления норм о защите персональных данных - закрепление их правовой охраны в международных договорах.

Статьи об обмене информацией включаются в международные договоры о правовой помощи, об избежании двойного налогообложения, о сотрудничестве в определенной общественной, культурной сфере.

По ст. 25 Договора между Российской Федерацией и США об избежании двойного налогообложения и предотвращении уклонения от налогообложения в отношении налогов на доходы и капитал, государства обязаны предоставлять информацию, составляющую профессиональную тайну. Договор между Российской Федерацией и Республикой Индией о взаимной правовой помощи по уголовным делам содержит статью 15 «Конфиденциальность»: запрашиваемая сторона может потребовать сохранения конфиденциальности переданной информации. Практика заключения международных договоров показывает стремление договаривающихся государств соблюдать международные стандарты защиты персональных данных.

Представляется, что наиболее эффективным механизмом регулирования этого института на международно-правовом уровне является издание специальных регулятивных документов в рамках международных организаций. Этот механизм не только способствует соответствующему внутреннему регулированию затронутых в начале статьи актуальных проблем защиты персональной информации внутри этих организаций, но и благотворно влияет на национальное законодательство стран-участниц.