Международные правовые нормы в сфере защиты персональных данных. Защита информации и информационная безопасность международные и российские стандарты Международные стандарты по информационной безопасности

Одной из важнейших проблем и потребностей современного общества является защита прав человека в условиях вовлечения его в процессы информационного взаимодействия в том числе, право на защиту личной (персональной) информации в процессах автоматизированной обработки информации.

И. Н. Маланыч, студент 6 курса ВГУ

Институт защиты персональных данных сегодня уже не является той категорией, которую можно регулировать только национальным правом. Важнейшей особенностью современных автоматизированных информационных систем является «наднациональность» многих из них, «выход» их за пределы границ государств, развитие общедоступных мировых информационных сетей, таких, как Интернет, формирование единого информационного пространства в рамках таких международных структур.

Сегодня в Российской Федерации существует проблема не только введения в правовое поле института защиты персональных данных в рамках автоматизированных информационных процессов, но и соотнесения ее с существующими международно-правовыми стандартами в этой области.

Можно выделить три основные тенденции международно-правового регулирования института защиты персональных данных, относимого к процессам автоматизированной обработки информации.

1) Декларирование права на защиту персональных данных, как неотъемлемой части фундаментальных прав человека, в актах общегуманитарного характера, принимаемых в рамках международных организаций.

2) Закрепление и регулирование права за защиту персональной информации в актах регулятивного характера Европейского Союза, Совета Европы, отчасти Содружества Независимых Государств и некоторых региональных международных организаций. Этот класс норм – наиболее универсальный и непосредственно касается прав на защиту персональных данных в процессах автоматизированной обработки информации.

3) Включение норм об охране конфиденциальной информации (в том числе, и персональной) в международные договоры.

Первый способ – исторически появился раньше остальных. В современном мире информационные права и свободы являются неотъемлемой частью фундаментальных прав человека.

Всеобщая декларация прав человека 1948 г. провозглашает: «Никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, произвольным посягательствам на … тайну его корреспонденции» и далее: «Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Международный пакт о гражданских и политических правах 1966 г. в этой части повторяет декларацию. Европейская Конвенция 1950 г. детализирует это право: «Каждый человек имеет право на свободу выражения своего мнения. Это право включает свободу придерживаться своего мнения, получать и распространять информацию и идеи без вмешательства со стороны государственных органов и независимо от государственных границ».

Указанные международные документы закрепляют информационные права человека.

В настоящее время на международном уровне сформировалась устойчивая система взглядов на информационные права человека. В обобщенном плане это - право на получение информации, право на частную жизнь с точки зрения охраны информации о ней, право на защиту информации как с точки зрения безопасности государства, так и с точки зрения безопасности бизнеса, включая финансовую деятельность.

Второй способ - более детального регулирования права на защиту персональной информации связан со все возрастающей в последние годы интенсивностью обработки персональной информации с помощью автоматизированных компьютерных информационных систем. В последние десятилетия в рамках ряда международных организаций был принят ряд международных документов, развивающих основные информационные права в связи с интенсификацией трансграничного обмена информацией и использованием современных информационных технологий. Среди таких документов можно назвать следующие:

Совет Европы в 1980 г. разработал Европейскую конвенцию о защите физических лиц в вопросах, касающихся автоматической обработки личных данных, вступившую в силу в 1985 г. В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, принципы хранения и доступа к этим данным, способы физической защиты данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Россия присоединилась к Европейской Конвенции в ноябре 2001 года.

В Европейском Союзе вопросы защиты персональных данных регулируются целым комплексом документов. В 1979 г. была принята Резолюция Европарламента «О защите прав личности в связи с прогрессом информатизации». Резолюция предложила Совету и Комиссии Европейских сообществ разработать и принять правовые акты по защите данных о личности в связи с техническим прогрессом в области информатики. В 1980 году приняты Рекомендации Организации по сотрудничеству стран-членов Европейского Союза «О руководящих направлениях по защите частной жизни при межгосударственном обмене данными персонального характера». В настоящее время вопросы защиты персональных данных детально регламентируются директивами Европарламента и Совета Европейского Союза. Это Директивы № 95/46/EC и № 2002/58/EC Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», Директива № 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций и другие документы.

Акты Европейского Союза характеризуются детальной проработкой принципов и критериев автоматизированной обработки данных, прав и обязанностей субъектов и держателей персональных данных, вопросов их трансграничной передачи, а также ответственности и санкций за нанесение ущерба. В соответствии с Директивой № 95/46/EC в Европейском Союзе создана Рабочая группа по защите индивидуумов в отношении обработки их персональных данных. Она имеет статус консультативного органа и действует в качестве независимой структуры. Рабочая группа состоит из представителя органа, созданного каждым государством-участником для целей надзора за соблюдением на своей территории положений Директивы, представителя органа или органов, учрежденных для институтов и структур Сообщества, и представителя Еврокомиссии.

В рамках Организации по экономическому сотрудничеству и развитию (ОЭСР) действуют «Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными» , которая была принята 23 сентября 1980 года. В преамбуле этой Директивы говорится: «…Страны - члены ОЭСР сочли необходимым разработать Основные положения, которые могли бы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблюдение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными…». Настоящие положения применяются как в государственном, так и в частном секторе к персональным данным, которые либо в связи с процедурой их обработки, либо в связи с их характером или контекстом их использования несут в себе угрозу нарушения неприкосновенности частной жизни и индивидуальных свобод. В ней определена необходимость обеспечения персональных данных должными механизмами защиты от рисков, связанных с их потерей, уничтожением, изменением или разглашением, несанкционированным доступом. Россия, к сожалению, в этой организации не участвует.

Межпарламентской ассамблеей государств – участников СНГ 16 октября 1999г. принят Модельный Закон «О персональных данных».

По закону «Персональные данные» - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие. В законе также перечислены принципы правового регулирования персональных данных, формы государственного регулирования операций с персональными данными, права и обязанности субъектов и держателей персональных данных.

Представляется, что рассмотренный второй способ нормативного регулирования защиты персональных данных в международных правовых актов является наиболее интересным для анализа. Нормы этого класса не только непосредственно регулируют общественные отношения в этой области, но и способствуют приведению законодательства стран-членов к международным стандартам, тем самым обеспечивая действенность этих норм на их территории. Тем самым, обеспечивается и гарантированность закрепленных во Всеобщей декларации прав человека информационных прав в смысле декларированного в статье 12 последней «права на защиту закона от …вмешательства или …посягательств».

Третий способ закрепления норм о защите персональных данных - закрепление их правовой охраны в международных договорах.

Статьи об обмене информацией включаются в международные договоры о правовой помощи, об избежании двойного налогообложения, о сотрудничестве в определенной общественной, культурной сфере.

По ст. 25 Договора между Российской Федерацией и США об избежании двойного налогообложения и предотвращении уклонения от налогообложения в отношении налогов на доходы и капитал, государства обязаны предоставлять информацию, составляющую профессиональную тайну. Договор между Российской Федерацией и Республикой Индией о взаимной правовой помощи по уголовным делам содержит статью 15 «Конфиденциальность»: запрашиваемая сторона может потребовать сохранения конфиденциальности переданной информации. Практика заключения международных договоров показывает стремление договаривающихся государств соблюдать международные стандарты защиты персональных данных.

Представляется, что наиболее эффективным механизмом регулирования этого института на международно-правовом уровне является издание специальных регулятивных документов в рамках международных организаций. Этот механизм не только способствует соответствующему внутреннему регулированию затронутых в начале статьи актуальных проблем защиты персональной информации внутри этих организаций, но и благотворно влияет на национальное законодательство стран-участниц.

Важность обеспечения информационной безопасности сложно переоценить, так как необходимость хранить и передавать данные является неотъемлемой частью ведения любого бизнеса.

Различные способы информационной защиты зависят от того, в какой форме осуществляется ее хранение, однако для того, чтобы систематизировать и упорядочить данную область, необходимо установление стандартов обеспечения информационной безопасности, поскольку стандартизация является важным определителем качества в оценке предоставляемых услуг.

Любое обеспечение информационной безопасности нуждается в контроле и проверке, которая не может быть произведена только лишь методом индивидуальной оценки, без учета международных и государственных стандартов.

Формирование стандартов информационной безопасности происходит после четкого определения ее функций и границ. Информационная безопасность – это обеспечение конфиденциальности, целостности и доступности данных.

Для определения состояния информационной безопасности наиболее применима качественная оценка, так как выразить степень защищенности или уязвимости в процентном соотношении возможно, но это не дает полной и объективной картины.

Для оценки и аудита безопасности информационных систем можно применить ряд инструкции и рекомендаций, которые и подразумевают под собой нормативное обеспечение.

Государственные и международные стандарты информационной безопасности

Контроль и оценка состояния безопасности осуществляется путем проверки их соответствия стандартам государственным (ГОСТ, ИСО) и международным (Iso, Common criteris for IT security).

Международный комплекс стандартов, разработанных Международной Организацией по Стандартизации (ISO), представляет собой совокупность практик и рекомендаций по внедрению систем и оборудования информационной защиты.

ISO 27000 – один из самых применимых и распространенных стандартов оценки, включающий в себя более 15 положений, и имеющих последовательную нумерацию.

Согласно критериям оценки стандартизации ISO 27000, безопасность информации – это не только ее целостность, конфиденциальность и доступность, а также аутентичность, надежность, отказоустойчивость и идентифицируемость. Условно эту серию стандартов можно разделить на 4 раздела:

  • обзор и введение в терминологию, описание терминов, применяемых в сфере обеспечения безопасности;
  • обязательные требования к системе управления информационной безопасностью, подробное описание методов и средств управления системой. Является основным стандартом этой группы;
  • рекомендации для аудита, руководство по мерам обеспечения безопасности;
  • стандарты, рекомендующие практики внедрения, развития и усовершенствования системы управления информационной безопасностью.

К государственным стандартам обеспечения информационной безопасности относится ряд нормативных актов и документов, состоящих из более чем 30 положений (ГОСТ).

Различные стандарты направлены не только на установление общих критериев оценки, как например ГОСТ Р ИСО/МЭК 15408, содержащий методологические указания по оценке безопасности, перечень требований к системе управления. Они могут быть и специфическими, а также содержать в себе практическое руководство.

Правильная организация склада и его регулярный контроль работы поможет исключить хищение товарных и материальных ценностей, что негативно сказывается на финансовом благополучии любого предприятия, независимо от формы его собственности.

К моменту запуска система автоматизации склада проходит ещё два этапа: внутреннее тестирование и наполнение данными. После такой подготовки система запускается в полном объёме. Более подробно об автоматизации читайте тут.

Взаимосвязь и совокупность методик приводят к разработке общих положений и к слиянию международной и государственной стандартизаций. Так, ГОСТы РФ содержат дополнения и ссылки на международные стандарты ISO.

Такое взаимодействие помогает выработать единую систему контроля и оценки, что, в свою очередь, значительно повышает эффективность применения данных положений на практике, объективно оценивать результаты работы и в целом улучшать .

Сравнение и анализ национальных и международных систем стандартизации

Количество европейских норм стандартизации по обеспечению и контролю информационной безопасности значительно превышает те правовые нормы, которые устанавливает РФ.

В национальных государственных стандартах преобладающими являются положения о защите информации от возможного взлома, утечки и угроз ее потери. Иностранные системы защиты специализируются на разработке стандартов доступа к данным и осуществления аутентификации.

Различия имеются так же и в положениях, относящихся к осуществлению контроля и аудита систем . Кроме того, практика применения и внедрения системы управления информационной безопасностью европейской стандартизации проявляется практически во всех сферах жизни, а стандарты РФ в основном направлены на сохранение материального благосостояния.

Тем не менее, постоянно обновляющиеся государственные стандарты содержат необходимый минимальный набор требований, позволяющий создать грамотную систему управления информационной безопасностью.

Стандарты информационной безопасности передачи данных

Ведение бизнеса предполагает как хранение, так и обмен, и передачу данных посредством сети Интернет. В современном мире совершение валютных операций, осуществление коммерческой деятельности и перевод средств зачастую происходит в сети, и обеспечить информационную безопасность данной деятельности возможно, только лишь применяя, грамотный и профессиональный подход.

В сети интернет существует множество стандартов, обеспечивающих безопасное хранение и передачу данных, широко известные антивирусные программы защиты, специальные протоколы финансовых операций и множество других.

Скорость развития информационных технологий и систем настолько велика, что значительно опережает создание протоколов и единых стандартов для их использования.

Одним из популярных протоколов безопасной передачи данных является SSL (Secure Socket Layer), разработанный американскими специалистами. Он позволяет обеспечивать защиту данных с помощью криптографии.

Преимуществом данного протокола является возможность проверки и аутентификации, например , непосредственно перед обменом данными. Однако использование подобных систем при передаче данных является скорее рекомендательным, так как применение этих стандартов не являются обязательными для предпринимателей.

Для открытия ООО необходим устав предприятия. Процедура, которая разрабатывается в соответствии с законодательством РФ. Написать его можно самому, в качестве пособия взять типовой образец, а можно обратиться к специалистам, которые его напишут.

Начинающему бизнесмену, планирующему развивать собственный бизнес в статусе индивидуального предпринимателя, необходимо при заполнении заявления указать код экономической деятельности в соответствии с ОКВЭД. Подробности тут.

Для осуществления безопасных трансакций и операций был разработан протокол передачи SET (Security Electronic Transaction), позволяющий минимизировать риски при проведении коммерческих и торговых операций. Данный протокол является стандартом для платежных систем Visa и Master Card, позволяя использовать защитный механизм платежной системы.

Комитеты, проводящие стандартизацию интернет ресурсов, являются добровольными, поэтому осуществляемая ими деятельность не является правовой и обязательной к применению.

Однако мошенничество в сети интернет в современном мире признано одной из глобальных проблем, следовательно, обеспечить информационную безопасность без применения специальных технологий и их стандартизации просто невозможно.

Под информационной безопасностью подразумевается комплекс мер, нацеленных на обеспечение безопасности информации, подвергаемой процессам сбора, обработки, передачи и хранения. На применении этих же мер основывается защита информации, ограждаемая от деструктивных воздействий внешней среды при помощи свойств конфиденциальности, сигнальной скрытности и целостности.

На государственном уровне под защитой информации понимают все виды организационных, правовых и технических приемов по профилактике и устранению угроз информационной безопасности. Приоритетными задачами таких мероприятий являются определение и устранение вредоносных источников, факторов и ситуаций, негативно влияющих на ценную информацию. В этом же русле рассматривается государственная система обеспечения защиты информационных данных, связанная с проблемой безопасного развития всего мира.

На уровне деятельности ведомственных учреждений информационная безопасность осуществляется за счет следующих мер:

  • предупреждение угроз – профилактические мероприятия, проводимые для предотвращения утечки информации, или ее краха;
  • определение угроз – систематический анализ и контроль за реальными и потенциальными опасностями;
  • обнаружение угроз – работа по выявлению имеющихся угроз и совершаемых противозаконных действий;
  • локализация противомерных действий – устранение угроз и конкретных нелегальных действий;
  • ликвидация последствий угроз и информационных преступлений.

Все мероприятия, проводимые в целях обеспечения информационной защищенности, нацелены на конфиденциальность, обеспечение авторского права и защиту информации от несанкционированных посягательств, разглашения и нарушения целостности.

Международные стандарты информационной безопасности

Самым известным и действенным стандартом информационной безопасности на международном уровне является ISO/IEC 17799:2000, представляющий собой стандарт нового поколения защиты информационных данных. Понятие информационной безопасности определяется ISO/IEC 17799:2000 как обеспечение конфиденциальности, сохранности и доступности информационных массивов. Данный стандарт ориентирован на решение проблемы информационной безопасности учреждений и содержит в себе следующие направления деятельности:

  • непрерывное обеспечение информационной защиты;
  • разработка и совершенствование категориального аппарата системы информационной безопасности;
  • организация политики информационной безопасности учреждения;
  • работа по управлению корпоративными информационными ресурсами;
  • управление бизнес-проектами организации через призму информационной безопасности;
  • физическая безопасность информации;
  • эксплуатация и сопровождение требований информационной безопасности корпоративных информационных ресурсов.

Широкую известность приобрел международный стандарт «Европейские критерии безопасности информационных технологий», оказавший огромное влияние на информационное законодательство и процесс сертификации многих стран. Огромный вклад в международную систему информационной безопасности внесли немецкие коллеги, опубликовавшие «Зеленую книгу» и в комплексе рассмотревшие проблему доступности, целостности и конфиденциальности информационных данных. Перевод данных стандартов послужил основой для многих аспектов информационного законодательства России.

Стандартизация информационной безопасности в России

Из всего многообразия отечественных стандартов информационной безопасности следует выделить документы, регламентирующие отношения в области безопасности открытых систем. К их числу относятся:

  • ГОСТ Р ИСО 7498-2-99;
  • ГОСТ Р ИСО/МЭК 9594-8-98;
  • ГОСТ Р ИСО/МЭК 9594-9-9.

Данные ГОСТы формулируют положения об архитектуре защиты информации, основах аутентификации и дублирования.

Ряд следующих стандартов нацелен на защиту государственной тайны:

  • ГОСТ Р 50739-95;
  • ГОСТ 28147-89;
  • ГОСТ Р 34.10-94;
  • ГОСТ Р 34.11-94.

Перечень последних стандартов регламентирует случаи несанкционированного доступа к информации, организацию криптографической защиты, процедуры по проверке электронной подписи и хэширование.

Все российские стандарты, регламентирующие информационную защиту, по своей структуре являются разноуровневыми, а потому могут быть использованы только по определенному уровню назначения. Так, например, для комплексной оценки системы шифрования и качества электронной подписи используют ГОСТ соответствующего назначения. В ходе защиты информационных каналов принято пользоваться протоколом TLS, а в случаях защиты транзакционных операций применяют SET протокол, в составе которого находятся стандарты нижних уровней.

К системе отраслевых стандартов отечественной информационной безопасности относят банковские стандарты, обеспечивающие защиту банковских данных.

Проблема информационной компьютерной безопасности не нова - специалисты занимаются ею с того самого момента, как компьютер начал обрабатывать данные, ценность которых высока для пользователя. Однако за последние годы в связи с развитием сетей, ростом спроса на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.

Для чего нужно знать теорию

Любой специалист по информационной безопасности проходит в своем профессиональном развитии три этапа. Первый из них - "работа руками". Новичок усиленно, с привлечением специализированных средств, ищет и ликвидирует вполне конкретные бреши в системном и прикладном ПО. Сканер, патч, порт, соединение - вот сущности, с которыми он работает на данном этапе.

Вторая ступень - "работа головой". Устав затыкать все новые и новые бреши, специалист приступает к разработке планов и методик, цель которых - упорядочить действия по повышению безопасности систем и ликвидации последствий информационных угроз. Именно на данной стадии возникает понятие "политики безопасности".

Наконец, приходит пора осмысления - на этом этапе умудренный опытом специалист понимает, что он, скорее всего, изобретает велосипед, поскольку стратегии обеспечения безопасности наверняка уже были разработаны до него. И в этом он, безусловно, прав.

Многочисленные организации по всему миру уже давно занимаются проблемой информационной безопасности, итогом их деятельности стали увесистые фолианты стандартов, положений, рекомендаций, правил и т.д. Изучать весь объем вряд ли целесообразно, однако знать основополагающие документы, конечно же, стоит. Поэтому в данной статье мы упомянем лишь наиболее важные российские и международные положения, устанавливающие стандарты в области информационной безопасности.

Понятие безопасности информации

Развитие информационных и телекоммуникационных систем различного назначения (в первую очередь сети Интернет), а также электронный обмен ценной информацией, нуждающейся в защите, потребовали от специалистов, работающих в этой сфере, систематизировать и упорядочить основные требования и характеристики компьютерных систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению сформированных стандартов, нужно определить, что же такое безопасность.

Учитывая важность понятия, попробуем сформулировать его расширенное определение, в котором будут учтены последние международные и отечественные наработки в этой области. Итак, безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.

Это положение особенно актуально для так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.

Международный стандарт информационной безопасности

Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. Тем более что в текущем, 2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Общие критерии (ОК) созданы для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.

Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей (потребителей, разработчиков и оценщиков) при исследовании свойств безопасности средства или системы ИТ (объекта оценки). Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.

Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем. Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около 200 ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев. Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации.

Особенности процесса стандартизации в Интернете

В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий. Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF.

За несколько последних лет сетевой рынок стал свидетелем так называемого фрагментированного влияния на формирование стандартов. По мере того, как Интернет ширился и обретал черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы, такие как IETF. По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов. В качестве примеров можно упомянуть OMG (Object Management Group), VRML (Virtual Reality Markup Language) Forum и Java Development Connection. Порой стандарты де-факто задают своими покупками или заказами серьезные потребители интернет-услуг.

Одна из причин появления различных групп по стандартизации состоит в противоречии между постоянно возрастающими темпами развития технологий и длительным циклом создания стандартов.

Стандарты безопасности в Интернете

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.

SSL (TLS)

Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

SET

SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.

IPSec

Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:

  • поддержку немодифицированных конечных систем;
  • поддержку транспортных протоколов, отличных от ТСР;
  • поддержку виртуальных сетей в незащищенных сетях;
  • защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);
  • защиту от атак типа "отказ в обслуживании".

Кроме того, IPSec имеет два важных преимущества:

  1. его применение не требует изменений в промежуточных устройствах сети;
  2. рабочие места и серверы не обязательно должны поддерживать IPSec.

Особенности российского рынка

Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались только в сфере охраны государственной тайны. Аналогичные, но имеющие собственную специфику задачи коммерческого сектора экономики долгое время не находили соответствующих решений. Данный факт до сих пор существенно замедляет появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной системе есть свои особенности, которые просто необходимо учитывать, ведь они оказывают серьезное влияние на технологию информационной безопасности. Перечислим основные из них:

  1. Приоритет экономических факторов. Для коммерческой автоматизированной системы очень важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Важным условием при этом, в частности, является минимизация типично банковских рисков (например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т.п.);
  2. Открытость проектирования, предусматривающая создание подсистемы защиты информации из средств, широко доступных на рынке и работающих в открытых системах;
  3. Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации. Это условие в последнее время приобретает все большую значимость в нашей стране наряду с созданием нормативно-правовой базы безопасности ИТ (особенно при взаимодействии автоматизированных систем разных юридических лиц).

Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию, не содержащую государственной тайны, исключительно важно для экономико-финансовой жизни современной России. Применение в России гармонизированного стандарта ISO 15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной безопасности, позволит:

  • приобщить российские ИТ к современным международным требованиям по информационной безопасности, что упростит, например, применение зарубежной продукции и экспорт собственной;
  • облегчить разработку соответствующих российских специализированных нормативно-методических материалов для испытаний, оценки (контроля) и сертификации средств и систем безопасных банковских и других ИТ;
  • создать основу для качественной и количественной оценки информационных рисков, необходимую при страховании автоматизированных систем;
  • снизить общие расходы на поддержание режима информационной безопасности в банках и корпорациях за счет типизации и унификации методов, мер и средств защиты информации.

Государственные стандарты

Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем (Таблица 1, строки 1-3). К ним можно добавить нормативные документы по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем (cм. Таблицу 1, строки 4-8). Последняя группа документов, также как и многие ранее созданные зарубежные стандарты, ориентирована преимущественно на защиту государственной тайны.

Таблица 1. Нормативные документы, регламентирующие оценку защищенности ИТ

п/п 		Номер документа Описание
1 ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
2 ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации
3 ГОСТ Р ИСО/МЭК 9594-9-95 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование
4 - Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997)
5 ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования"
6 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
7 ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма
8 ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования

Как и где работают различные стандарты

Все имеющиеся на сегодняшний день стандарты являются разноуровневыми. Это значит, что их применение ограничено определенным уровнем абстракции в информационных системах (например, нельзя применять "Common Criteria" для детального описания механизма выработки сеансового ключа в протоколе TLS). Очевидно, что для эффективного применения стандартов необходимо хорошо знать об их уровне и назначении.

Так, при формировании политики безопасности и системы оценок эффективности, а также при проведении комплексных испытаний защищенности лучше всего использовать положения ISO 15408 ("Common Criteria"). Для реализации и оценки технического совершенства систем шифрования и электронно-цифровой подписи предназначены соответствующие ГОСТы. Если нужно защитить канал обмена произвольной информацией, то целесообразно использовать протокол TLS. Когда же речь идет не просто о защите линии связи, а о безопасности финансовых транзакций, в дело вступает SET, включающий в себя протоколы защиты каналов в качестве одного из стандартов более низкого уровня.

От теории к практике

Чтобы продемонстрировать практическую важность перечисленных положений, приведем перечень стандартов безопасности, применяющихся в комплексе реализации электронных банковских услуг InterBank

Протокол SSL (TLS) может использоваться в качестве защиты канала обмена информацией в системах RS-Portal и "Интернет-Клиент" . Стандарты ГОСТ 28147-89, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94, регламентирующие шифрование данных и механизм электронно-цифровой подписи, реализованы во всех системах криптозащиты подсистем типа "клиент-банк" ("Клиент DOS", "Клиент Windows", "Интернет-Клиент").

С помощью протокола IPSec можно прозрачно защитить любой канал обмена информацией между клиентом и банком, использующий сетевой протокол IP. Это относится как к интернет-системам (RS-Portal и "Интернет-Клиент"), так и к системе электронной почты RS-Mail, поддерживающей работу по IP.

Надеемся, что приведенная в статье информация поможет вам оценить надежность ваших систем, а силы и время разработчиков будут направлены на создание действительно лучших средств, которые станут новой ступенью на пути развития технологии информационной безопасности.


Статьи на эту тему
•

Рассмотрим наиболее известные международные стандарты в области информационной безопасности.

Стандарт ISO 17799 «Практические правила управления информационной безопасностью» рассматривает следующие аспекты ИБ:

Основные понятия и определения;

Политика информационной безопасности;

Организационные вопросы безопасности;

Классификация и управление активами;

Вопросы безопасности, связанные с персоналом;

Физическая защита и защита от воздействий окружающей среды;

Управление передачей данных и операционной деятельностью;

Контроль доступа;

Разработка и обслуживание систем;

Управление непрерывностью бизнеса;

Внутренний аудит ИБ компании;

Соответствие требованиям законодательства.

Важное место в системе стандартов занимает стандарт ISO 15408 «Общие критерии безопасности информационных технологий», известный как «Common Criteria». В «Общих критериях» проведена классификация широкого набора требований безопасности информационных технологий, определены структуры их группирования и принципы использования.

Важной составляющей системы стандартов является инфраструктура открытых ключей PKI (Public Key Infrastructure). Эта инфраструктура подразумевает развертывание сети центров сертификации ключей и использование цифровых сертификатов, удовлетворяющих рекомендации X.509

Российские стандарты по информационной безопасности

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России

ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России

ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России

ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования

ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения

ГОСТ Р 53131-2008 (ИСО/МЭК ТО 24762-2008). Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения

ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России

ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России

ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средста обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 4. Выбор защитных мер

ГОСТ Р ИСО/МЭК ТО 13335-5-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети

ГОСТ Р ИСО/МЭК 15408 -1-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий . Часть 1. Введение и общая модель. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-2-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-3-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК ТО 15443-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы

ГОСТ Р ИСО/МЭК ТО 15443-2-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 2. Методы доверия

ГОСТ Р ИСО/МЭК ТО 15443-3-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 3. Анализ методов доверия

ГОСТ Р ИСО/МЭК17799- 2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью

ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности

ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем

ГОСТ Р ИСО/МЭК27001- 2006. Методы и средства обеспечения безопасности.Системы менеджмента информационной безопасности . Требования

ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

ГОСТ Р ИСО/МЭК 27005-2009. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

ГОСТ 28147 -89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования .

ГОСТ Р 34.10 -2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи .

ГОСТ Р 34.11 -94 Информационная технология. Криптографическая защита информации. Функции хэширования .

Весьма важным является семейство международных стандартов по управлению информационной безопасностью серии ISO 27000 (которые с некоторой задержкой принимаются и в качестве российских государственных стандартов). Отдельно отметим ГОСТ/ISO 27001 (Системы управления информационной безопасностью), ГОСТ/ISO 27002 (17799) (Практические правила управления информационной безопасностью)

Технологии межсетевых экранов

Межсетевой экран (МЭ) - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. МЭ также называют брандма́уэр (нем. Brandmauer ) или файрво́л (англ. firewall ). МЭ позволяет разделить общую сеть на 2 части и реализовать набор правил, определяющий условия прохождения пакетов с данными через экран из одной части сети в другую. Обычно МЭ устанавливается между корпоративной (локальной) сетью и сетью Интернет, защищая внутреннюю сеть предприятия от атак из глобальной сети, но может защищать и локальную сеть от угроз из корпоративной сети.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.