Normes juridiques internationales dans le domaine de la protection des données personnelles. Normes internationales de sécurité de l'information Normes internationales et nationales de sécurité de l'information

La sécurité de l'information désigne un ensemble de mesures visant à assurer la sécurité des informations soumises aux processus de collecte, de traitement, de transmission et de stockage. L'application des mêmes mesures est à la base de la protection de l'information, qui est protégée des effets destructeurs de l'environnement extérieur en utilisant les propriétés de confidentialité, de secret du signal et d'intégrité.

Au niveau de l'État, la protection de l'information est comprise comme tous les types de méthodes organisationnelles, juridiques et techniques pour la prévention et l'élimination des menaces sécurité de l'information... Les tâches prioritaires de ces activités sont l'identification et l'élimination des sources, des facteurs et des situations malveillants qui affectent négativement des informations précieuses. Dans le même ordre d'idées, il est considéré système d'état assurer la protection des données d'information liées au problème du développement sûr du monde entier.

Au niveau de l'activité des établissements départementaux, la sécurité de l'information s'effectue à travers les mesures suivantes :

• prévention des menaces - mesures préventives prises pour empêcher les fuites d'informations ou leur effondrement ;
• identification des menaces - analyse et contrôle systématiques des dangers réels et potentiels ;
• détection des menaces - s'efforcer d'identifier les menaces existantes et les actions illégales en cours ;
• localisation des contre-mesures - élimination des menaces et des actions illégales spécifiques ;
• l'élimination des conséquences des menaces et des délits informatiques.

Toutes les mesures prises pour assurer la sécurité des informations visent la confidentialité, la protection des droits d'auteur et la protection des informations contre les attaques non autorisées, la divulgation et la violation de l'intégrité.

Normes internationales de sécurité de l'information

La norme de sécurité de l'information la plus connue et la plus efficace au niveau international est ISO / IEC 17799 : 2000, qui est une norme de sécurité de l'information de nouvelle génération. Le concept de sécurité de l'information est défini par la norme ISO/IEC 17799 : 2000 comme garantissant la confidentialité, la sécurité et la disponibilité des réseaux d'informations. Cette norme est axée sur la résolution du problème de la sécurité de l'information des institutions et contient les domaines d'activité suivants :

• fourniture continue de protection de l'information;
• développement et amélioration de l'appareil catégorique du système de sécurité de l'information;
• organisation de la politique de sécurité de l'information de l'établissement ;
• travailler sur la gestion des ressources d'information de l'entreprise;
• gestion des projets d'affaires de l'organisation à travers le prisme de la sécurité de l'information ;
• sécurité physique des informations ;
• exploitation et maintenance des exigences de sécurité de l'information pour les ressources d'information de l'entreprise.

La norme internationale « Critères européens pour la sécurité des technologies de l'information » est devenue largement connue, ce qui a eu un impact énorme sur la législation de l'information et le processus de certification dans de nombreux pays. Une énorme contribution au système international de sécurité de l'information a été apportée par des collègues allemands qui ont publié le Livre vert et considéré le problème de l'accessibilité, de l'intégrité et de la confidentialité des données d'information d'une manière complexe. La traduction de ces normes a servi de base à de nombreux aspects de la législation sur l'information en Russie.

Normalisation de la sécurité de l'information en Russie

De toute la variété des normes nationales de sécurité de l'information, il convient de distinguer les documents réglementant les relations dans le domaine de la sécurité des systèmes ouverts. Ceux-ci inclus:

• GOST R ISO 7498-2-99 ;
• GOST R ISO/CEI 9594-8-98 ;
• GOST R ISO / CEI 9594-9-9.

Ces GOST formulent des dispositions sur l'architecture de la sécurité de l'information, les bases de l'authentification et de la duplication.

Un certain nombre des normes suivantes visent à protéger les secrets d'État :

• GOST R 50739-95 ;
• GOST 28147-89;
• GOST R 34.10-94;
• GOST R 34.11-94.

La liste des dernières normes réglemente les cas d'accès non autorisé à l'information, l'organisation de la protection cryptographique, les procédures de vérification des signatures électroniques et le hachage.

Toutes les normes russes réglementant la protection des informations ont une structure à plusieurs niveaux et ne peuvent donc être utilisées que pour un certain niveau d'objectif. Ainsi, par exemple, pour une évaluation complète du système de cryptage et de la qualité d'une signature électronique, GOST est utilisé aux fins correspondantes. Dans le cadre de la protection des canaux d'information, il est d'usage d'utiliser le protocole TLS, et dans les cas de protection des opérations transactionnelles, le protocole SET est utilisé, qui inclut les normes des niveaux inférieurs.

Le système de normes industrielles de sécurité des informations nationales comprend des normes bancaires qui assurent la protection des données bancaires.

L'importance de la sécurité de l'information ne peut guère être surestimée, car la nécessité de stocker et de transférer des données fait partie intégrante de toute entreprise.

Diverses méthodes de protection de l'information dépendent de la forme sous laquelle elle est stockée, cependant, afin de systématiser et de rationaliser ce domaine, il est nécessaire d'établir des normes de sécurité de l'information, car la normalisation est un déterminant important de la qualité dans l'évaluation des services fournis.

Toute assurance de sécurité de l'information nécessite un contrôle et une vérification, qui ne peuvent être effectués uniquement par la méthode d'évaluation individuelle, sans tenir compte des normes internationales et étatiques.

Les normes de sécurité de l'information sont formées après une définition claire de ses fonctions et de ses limites. La sécurité de l'information consiste à garantir la confidentialité, l'intégrité et la disponibilité des données.

Pour déterminer l'état de la sécurité de l'information, une évaluation qualitative est la plus applicable, car il est possible d'exprimer le degré de sécurité ou de vulnérabilité en pourcentage, mais cela ne donne pas une image complète et objective.

Pour l'évaluation et l'audit de sécurité systèmes d'information vous pouvez appliquer un certain nombre d'instructions et de recommandations, qui impliquent un soutien réglementaire.

Normes nationales et internationales de sécurité de l'information

Le contrôle et l'évaluation de l'état de la sécurité s'effectuent en vérifiant leur conformité aux normes étatiques (GOST, ISO) et internationales (Iso, Critères communs pour la sécurité informatique).

L'ensemble international de normes développé par l'Organisation internationale de normalisation (ISO) est un ensemble de pratiques et de recommandations pour la mise en œuvre de systèmes et d'équipements de sécurité de l'information.

ISO 27000 est l'une des normes d'évaluation les plus applicables et les plus utilisées, avec plus de 15 dispositions et numérotées de manière séquentielle.

Selon les critères d'évaluation de la normalisation ISO 27000, la sécurité de l'information n'est pas seulement son intégrité, sa confidentialité et sa disponibilité, mais aussi son authenticité, sa fiabilité, sa résilience et son identifiabilité. Classiquement, cette série de normes peut être divisée en 4 sections :

• vue d'ensemble et introduction à la terminologie, description des termes utilisés dans le domaine de la sécurité;
• exigences obligatoires pour le système de gestion de la sécurité de l'information, une description détaillée des méthodes et moyens de gestion du système. est la norme principale de ce groupe ;
• recommandations d'audit, conseils sur les mesures de sécurité ;
• normes recommandant des pratiques pour la mise en œuvre, le développement et l'amélioration du système de gestion de la sécurité de l'information.

Les normes d'État pour la sécurité de l'information comprennent un certain nombre de règlements et de documents, composés de plus de 30 dispositions (GOST).

Diverses normes visent non seulement à établir des critères d'évaluation généraux, tels que GOST R ISO / IEC 15408, qui contient des directives méthodologiques pour l'évaluation de la sécurité, une liste d'exigences pour un système de gestion. Ils peuvent être spécifiques ou contenir des conseils pratiques.

L'organisation correcte de l'entrepôt et son suivi régulier des travaux contribueront à exclure le vol de marchandises et de valeurs matérielles, qui affecte négativement le bien-être financier de toute entreprise, quelle que soit sa forme de propriété.

Au moment du lancement, le système d'automatisation de l'entrepôt passe par deux étapes supplémentaires : les tests internes et le remplissage des données. Après cette préparation, le système démarre complètement. En savoir plus sur l'automatisation ici.

La relation et l'ensemble des techniques conduisent au développement de dispositions générales et à la fusion de la normalisation internationale et nationale. Ainsi, les GOST de la Fédération de Russie contiennent des ajouts et des références aux normes internationales ISO.

Cette interaction permet de développer système unifié le contrôle et l'évaluation, qui, à leur tour, augmentent considérablement l'efficacité de l'application de ces dispositions dans la pratique, évaluent objectivement les résultats des travaux et s'améliorent généralement.

Comparaison et analyse des systèmes de normalisation nationaux et internationaux

Le nombre de normes européennes pour l'assurance et le contrôle de la sécurité de l'information dépasse largement les normes juridiques établies par la Fédération de Russie.

Dans les normes nationales des États, les dispositions en vigueur concernent la protection des informations contre d'éventuels piratages, fuites et menaces de perte. Les systèmes de sécurité étrangers se spécialisent dans l'élaboration de normes pour l'accès et l'authentification des données.

Des différences sont également constatées dans les dispositions relatives au contrôle et à l'audit des systèmes. En outre, la pratique consistant à appliquer et à mettre en œuvre le système de gestion de la sécurité de l'information de la normalisation européenne se manifeste dans presque tous les domaines de la vie, et les normes de la Fédération de Russie visent principalement à préserver le bien-être matériel.

Néanmoins, les normes nationales constamment mises à jour contiennent l'ensemble minimum d'exigences nécessaires pour créer un système de gestion de la sécurité de l'information compétent.

Normes de sécurité de l'information pour la transmission de données

Faire des affaires implique à la fois le stockage, l'échange et la transmission de données via Internet. V monde moderne les opérations de change, les activités commerciales et les transferts de fonds ont souvent lieu sur le réseau, et il n'est possible d'assurer la sécurité de l'information de cette activité qu'en appliquant une approche compétente et professionnelle.

Il existe de nombreuses normes sur Internet qui garantissent un stockage et une transmission sécurisés des données, des programmes de protection antivirus bien connus, des protocoles spéciaux pour les transactions financières et bien d'autres.

La vitesse de développement des technologies et des systèmes d'information est si élevée qu'elle dépasse considérablement la création de protocoles et de normes uniformes pour leur utilisation.

L'un des protocoles populaires pour la transmission sécurisée de données est SSL (Secure Socket Layer), développé par des spécialistes américains. Il vous permet de sécuriser vos données grâce à la cryptographie.

L'avantage de ce protocole est la possibilité de vérifier et d'authentifier, par exemple, immédiatement avant l'échange de données. Cependant, l'utilisation de tels systèmes dans la transmission de données est plutôt consultative, puisque l'application de ces normes n'est pas obligatoire pour les entrepreneurs.

Pour ouvrir une SARL, une charte d'entreprise est nécessaire. Une procédure en cours d'élaboration conformément à la législation de la Fédération de Russie. Vous pouvez l'écrire vous-même, prendre un échantillon standard comme guide, ou vous pouvez contacter les spécialistes qui l'écriront.

Un homme d'affaires novice qui envisage de développer sa propre entreprise sous le statut d'entrepreneur individuel doit, lors du remplissage d'une demande, indiquer le code d'activité économique conformément à l'OKVED. Détails ici.

Pour la mise en œuvre de transactions et d'opérations sécurisées, le protocole de transmission SET (Security Electronic Transaction) a été développé, qui permet de minimiser les risques dans la conduite des opérations commerciales et de négociation. Ce protocole est un standard pour les systèmes de paiement Visa et Master Card, permettant l'utilisation du mécanisme de sécurité du système de paiement.

Les comités qui normalisent les ressources Internet sont volontaires, de sorte que leurs activités ne sont ni légales ni contraignantes.

Cependant, la fraude sur Internet dans le monde moderne est reconnue comme l'un des problèmes mondiaux. Par conséquent, il est tout simplement impossible d'assurer la sécurité de l'information sans l'utilisation de technologies spéciales et leur normalisation.

V.V. Tikhonenko Chef de l'Union des Experts-Experts Qualité (Kiev, Ukraine), Ph.D., Directeur Général de l'ECTC "WATT"

L'article fournit une description des principales normes de sécurité internationales et nationales. Les définitions des termes "sécurité", "danger", "risque" sont prises en compte. Des hypothèses sont émises sur la possibilité d'appliquer les principes d'incertitude de Heisenberg et les principes de complémentarité de Bohr pour décrire les dangers.

Qu'est-ce que la « sécurité » ?

Assurer la sécurité est l'une des exigences les plus importantes qui doit être remplie par tous, partout et toujours, car toute activité est potentiellement dangereuse. La sécurité est une question de risque (ils sont interdépendants). Considérez les définitions de ces concepts données dans les normes.

Sécurité- absence de risque inacceptable.

Danger- une source potentielle de dommages.

Risque- l'effet d'ambiguïté des buts.

Ainsi, la sécurité ne se caractérise pas du tout par l'absence de risque, mais seulement par l'absence de risque inacceptable. Les normes définissent le risque acceptable comme « l'équilibre optimal entre la sécurité et les exigences auxquelles un produit, un processus ou un service doit satisfaire, ainsi que des facteurs tels que les avantages pour l'utilisateur, la rentabilité, la coutume et autres ». La norme, souvent utilisée par les entreprises, traite le risque acceptable (acceptable) comme « un risque réduit à un niveau que l'organisation peut tolérer compte tenu de ses obligations légales et de sa propre politique de santé et de sécurité ».

Les normes réglementent les moyens de réduire les risques (par ordre de priorité) :

• développement d'un projet sécuritaire;
• dispositifs de protection et équipements de protection individuelle (ce sont les équipements de protection collective et individuelle - NDLR) ;
• informations sur l'installation et l'application ;
• éducation.

Types de normes de sécurité

Selon les types suivants de normes de sécurité peuvent être:

• fondamentaux, y compris les concepts, principes et exigences fondamentaux liés aux principaux aspects de la sécurité. Ces normes s'appliquent à un large éventail de produits, de processus et de services ;
• groupe, contenant des aspects de sécurité applicables à plusieurs types ou à une famille de types connexes de produits, de procédés ou de services. Ces documents font référence aux normes fondamentales de sécurité ;
• les normes de sécurité des produits, qui incluent les aspects de sécurité d'un type particulier ou d'une famille de produits, de processus ou de services. Ces documents font référence à des normes fondamentales et de groupe ;
• normes de produits qui contiennent des aspects de sécurité, mais pas seulement ces questions. Des références doivent être faites aux normes de sécurité fondamentales et de groupe. Le tableau fournit des exemples de Normes internationales relatives aux types répertoriés. Vous pouvez recommander de vous familiariser avec le tableau. 1 de la norme, qui spécifie les documents réglementaires internationaux, européens et russes contenant des exigences pour les caractéristiques de la fonction de sécurité.

L'établissement d'exigences de sécurité dans les réglementations/normes doit être basé sur une analyse du risque de dommages aux personnes, aux biens ou à l'environnement, ou une combinaison de ceux-ci, comme indiqué dans les normes. La figure montre schématiquement les principaux risques de l'entreprise, en indiquant les normes de gestion des risques.

Il est possible que les fonctions delta de Dirac et les fonctions Heaviside puissent être utilisées pour décrire et analyser les aléas et les risques, car le passage d'un risque acceptable à un risque inacceptable est brutal.

Principes et moyens de sécurité

Théoriquement, on peut distinguer les principes de sécurité suivants :

• managérial (adéquation, contrôle, retour d'information, responsabilité, planification, incitations, gestion, efficacité) ;
• organisationnelles (protection par le temps, information, réservation, incompatibilité, rationnement, recrutement, cohérence, ergonomie) ;
• technique (blocage, évacuation, étanchéité, protection à distance, compression, résistance, maillon faible, flegmatisation, blindage) ;
• l'orientation (activité de l'opérateur, remplacement de l'opérateur, classification, élimination des dangers, cohérence, réduction des dangers).

Arrêtons-nous plus en détail sur le principe de classification (catégorisation). Elle consiste à diviser les objets en classes et catégories selon les caractéristiques associées aux aléas. Exemples : zones de protection sanitaire (5 classes), catégories d'industries (locaux) à risque d'explosion et d'incendie (A, B, C, D, E), catégories/classes selon directives ATEX (3 catégories d'équipements, 6 zones), classes de danger des déchets (5 classes - en Russie, 4 classes - en Ukraine), classes de danger des substances (4 classes), classes de danger pour le transport de marchandises dangereuses (9 classes), etc.

Informations

Selon les calculs de Heinrich, pour un accident mortel, il y a environ 30 blessés avec des conséquences moins graves et environ 300 autres incidents qui peuvent passer presque inaperçus. Dans le même temps, les coûts économiques indirects de l'élimination des conséquences sont quatre fois plus élevés que les coûts directs.

référence

environ 20% de tous les événements indésirables sont associés à des pannes d'équipement, et 80% - à des erreurs humaines, dont 70% des erreurs se sont produites en raison de faiblesses organisationnelles latentes (les erreurs étaient cachées, il n'y a eu aucune réaction), et environ 30% étaient associés à un travailleur individuel...

Riz. Risques d'entreprise (exemple) et normes applicables

Remarques:

ECO - European Valuation Standards (Groupe Européen d'Évaluateurs TEGoVA);

IES - Normes internationales d'évaluation (propriété) ;

IFRS - Normes internationales d'information financière (IFRS);

BÂLE II - Accord « Convergence internationale de la mesure des fonds propres et des normes de fonds propres : nouvelles approches » du Comité de Bâle sur le contrôle bancaire ;

BRC - Les normes mondiales du British Retail Consortium ;

COBIT - Objectifs de contrôle des technologies de l'information et des technologies connexes ("Objectifs de l'information et des technologies connexes" - un ensemble de documents ouverts, environ 40 normes et directives internationales et nationales dans le domaine de la gestion informatique, de l'audit et de la sécurité informatique); COSO - Comité des organisations de parrainage de la Commission Treadway

FERMA - Fédération des Associations Européennes de Gestion des Risques (norme de la Fédération des Associations Européennes de Gestion des Risques) ; GARP - Global Association of Risk Professionals (norme de l'Association of Risk Professionals);

IFS - International Featured Standards (normes internationales pour la production et la vente de produits alimentaires);

ISO / PAS 28000 - Spécification des systèmes de gestion de la sécurité pour la chaîne d'approvisionnement

NIST SP 800-30 - Guide de gestion des risques pour les systèmes de technologie de l'information.

Table. Normes de sécurité (exemples)

Les équipements de sécurité sont divisés en équipements de protection collectifs (RPC) et individuels (EPI). À leur tour, les VMS et les EPI sont divisés en groupes en fonction de la nature des dangers, de la conception, de la portée, etc.

Normes de sécurité de base

Dans l'Union européenne, les exigences d'évaluation des risques professionnels sont contenues dans :

• Directive 89/391 / CEE (exigences pour l'introduction de l'évaluation des risques professionnels dans les États membres de l'UE) ;
• directives particulières de l'Union européenne sur la sécurité au travail au travail (89/654 / CEE, 89/655 / CEE, 89/656 / CEE, 90/269 / CEE, 90/270 / CEE, 1999/92 / CE, etc. ) et sur la protection des travailleurs contre les risques chimiques, physiques et biologiques, cancérogènes et mutagènes (98/24 / CE, 2000/54/ CE, 2002/44 / CE, 2003/10 / CE, 2004/40 / CE, 2004 /37 / Les directives ATEX CE de l'UE occupent également une place particulière dans le domaine de la sécurité - l'une pour les fabricants, et l'autre pour les utilisateurs d'équipements :
• « Matériel ATEX 95 » (Directive 94/9/CE) - les équipements et systèmes de protection destinés à être utilisés dans des atmosphères potentiellement explosives ;
• Lieu de travail ATEX 137 (Directive 1999/92 / CE) - exigences minimales pour améliorer la sécurité, la santé et la sécurité des travailleurs exposés à des risques potentiels d'exposition à une atmosphère explosive.

Compte tenu de l'importance de l'évaluation des risques pour la sécurité au travail sur le lieu de travail, l'Agence européenne pour la santé et la sécurité des travailleurs a publié des orientations sur l'évaluation des risques au travail en 1996 et ajoute continuellement de nombreux exemples utiles pour identifier les dangers dans l'évaluation des risques professionnels.

De manière générale, les exigences de la directive européenne REACH visent également à assurer la sécurité. Ce système repose sur la gestion des risques liés aux substances contenues dans les composés chimiques et, dans certains cas, dans les produits.

Une place importante est occupée par les normes du système de sécurité (GOST SSBT). Ce sont des documents d'un système bien structuré qui existe dans peu de pays du monde. Ainsi, la sécurité des équipements technologiques doit être conforme à GOST 12.2.003, sécurité des processus technologiques - GOST 12.3.002. Et si des substances dangereuses sont produites, stockées et utilisées, les exigences de sécurité sont déterminées conformément à GOST 12.1.007. Les systèmes de sécurité (dispositifs, éléments) doivent être conformes à GOST 12.4.011, et en cas d'incendie et d'explosion - également à GOST 12.1.004.

Les exigences relatives à la sécurité des bâtiments / structures sont déterminées par les codes et règlements du bâtiment.

Les normes et réglementations médicales sont également d'une grande importance (GMP - Good Manufacturing Practice, GLP - Good Laboratory Practice, GDP - Good Distribution Practice, GPP - Good Pharmacy Practice, etc.).

Les normes de sécurité sanitaire des aliments sont définies par la Commission du Codex Alimentarius. Il existe également des règles de sécurité en médecine vétérinaire et en production végétale.

Le développement de l'astronautique et de l'énergie nucléaire, la complication de la technologie aéronautique a conduit au fait que l'étude de la sécurité des systèmes a été attribuée à un domaine d'activité distinct et indépendant (par exemple, l'AIEA a publié une nouvelle structure de normes de sécurité : GS-R-1 « Infrastructure législative et gouvernementale pour la sûreté nucléaire et radiologique, la sûreté des déchets radioactifs et le transport »). En 1969, le département américain de la Défense a adopté le programme MILSTD-882 pour assurer la fiabilité des systèmes, sous-systèmes et équipements. Il définit les exigences pour tous les entrepreneurs industriels pour les programmes militaires.

Les fiches de données de sécurité (FDS) sont des documents importants. Les fiches de données de sécurité contiennent généralement les sections suivantes : informations sur le produit, ingrédients dangereux, effets potentiels sur la santé (contact cutané, exposition à la prise alimentaire, limites de dose, irritation, action excitatrice, action renforçante au contact d'autres produits chimiques, exposition à court terme, exposition, effet sur la reproduction, mutagénicité, cancérogénicité), la procédure de premiers secours (en cas de contact avec la peau, les yeux, l'estomac, l'inhalation), les risques d'incendie et d'explosion (inflammabilité / combustibilité - dans quelles conditions, méthodes d'extinction, instructions d'extinction d'incendie, produits de combustion dangereux), données sur l'activité chimique (stabilité chimique, conditions d'activité chimique, produits de décomposition dangereux), actions en cas de déversement / déversement (y compris élimination des déchets, décomposition / toxicité pour la vie aquatique, le sol, l'air ), la lutte contre l'exposition à la substance et les équipements de protection individuelle ( moyens techniques, gants, protection respiratoire et oculaire, chaussures de sécurité, vêtements de protection), exigences de stockage et de manipulation de la substance (stockage, travail, procédure de transport), caractéristiques physiques de la substance, informations environnementales, réglementaires, supplémentaires. Ces fiches MSDS sont préparées par le fabricant et remises à l'utilisateur/consommateur. Les données des fiches MSDS doivent être incluses dans les instructions de production et de protection du travail.

Les faits

Exemples de rappels de produits en raison de la dangerosité

• Apple a rappelé les lecteurs iPod nano 1G en 2009 en raison du risque d'explosion de la batterie (http://proit.com.ua/print/?id=20223).
• McDonald's a rappelé 12 millions de verres de collection Shrek aux États-Unis en 2010 parce que du cadmium avait été trouvé dans la peinture avec laquelle ils étaient peints (www.gazeta.ru/news/lenta / ... /n_1503285.shtml).
• En 2008, des milliers de bébés en Chine ont été hospitalisés après avoir été empoisonnés avec du lait maternisé contenant de la mélamine. Sanlu s'est officiellement excusé auprès de ses consommateurs, affirmant que les substances toxiques avaient été ajoutées à leurs produits par les fournisseurs de lait (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/ russe/international/newsid_7620000/7620305.stm).
• L'Autorité française de sécurité des produits médicaux a exigé le rappel d'un des types de prothèses (implants en silicone) à partir du 1er avril 2010, car il n'a pas passé l'inspection requise (http://www.newsru.co.il/health/01apr2010 /pip301.html ).
• Thule a récemment découvert que son kit de montage de galerie de toit n'était pas assez fiable (pour les produits fabriqués entre le 1er janvier 2008 et le 28 février 2009) en raison de la fragilité du boulon inclus. Après des tests internes effectués par l'entreprise, il a été déterminé que le boulon de la base ne répondait pas aux normes de sécurité de l'entreprise. En raison du risque élevé pour les consommateurs (une rupture potentielle du boulon sous charge peut entraîner le détachement du rail et de la charge pendant la conduite), Thule a décidé de retirer immédiatement le produit de la circulation (http://www2.thulegroup.com/en/Product- Rappel / Introduction2 /).

Conclusion

Les spécialistes qui élaborent des normes de sécurité doivent accorder plus d'attention à l'harmonisation des réglementations appliquées dans différents domaines. Par exemple, utilisez les approches décrites dans les principes d'incertitude de Heisenberg et de complémentarité de Bohr. N'oubliez pas non plus l'erreur humaine et l'élimination des faiblesses organisationnelles. L'introduction de la gestion des risques dans les entreprises contribuera à augmenter le niveau de sécurité. Ces dernières années, les normes de gestion des risques se sont par exemple activement développées. L'étude et l'application de ces documents contribuent également à l'amélioration de la culture sécurité.

Bien sûr, dans le domaine de la sécurité, des standards, des règlements, des normes, des règles, des instructions sont nécessaires, mais leur mise en œuvre n'est pas moins importante.

Pour assurer la sécurité, vous devez connaître les réponses aux questions :

1. Quelle est la probabilité qu'un incident se produise ?

2. Quelles seront les conséquences négatives ?

3. Comment les minimiser ?

4. Comment continuer les activités pendant et après l'incident ?

5. Quels sont les priorités et les délais de rétablissement ?

6. Quoi, comment, quand et qui doit être fait ?

7. Quelles mesures préventives doivent être prises pour prévenir / minimiser les conséquences négatives ?

Les références

1.GOST 12.1.007-76 (1999). SSBT. Produits dangereux. Classification et exigences générales de sécurité.

2.GOST 12.1.004-91. SSBT. La sécurité incendie. Exigences générales.

3. GOST 12.2.003-91. SSBT. Matériel de fabrication. Exigences générales de sécurité.

4.GOST 12.3.002-75 (2000). SSBT. Processus de manufacture. Exigences générales de sécurité.

5.GOST 12.4.011-89. SSBT. Équipement de protection pour les travailleurs. Exigences générales et classification.

6.GOST R 51898-2002. Aspects de sécurité. Règles d'inclusion dans les normes.

7.GOST R 12.1.052-97. SSBT. Informations sur la sécurité des substances et des matériaux (Fiche de données de sécurité). Dispositions de base.

8.GOST R ISO 13849-1-2003. Sécurité de l'équipement. Éléments des systèmes de contrôle liés à la sécurité. Partie 1. Principes généraux de conception.

9.BS 31100 : 2008. Gestion des risques - Code de pratique.

10. BS OHSAS 18001 : 2007. Systèmes de gestion de la santé et de la sécurité au travail. Conditions.

11.CWA 15793 : 2008. Norme de gestion des risques biologiques en laboratoire.

12. ISO/CEI 51 : 1999. Aspects de sécurité - Lignes directrices pour leur inclusion dans les normes.

13. Guide ISO/CEI 73 : 2009. Gestion des risques - Vocabulaire - Lignes directrices pour l'utilisation dans les normes.

14. ISO 31000 : 2009. Gestion des risques - Principes et lignes directrices.

15. CEI/ISO 31010 : 2009. Gestion des risques - Techniques d'évaluation des risques.

16.ISO 15190 : 2003. Laboratoires médicaux - Exigences de sécurité.

17. Raison J. Erreur humaine. - New York : Cambridge University Press, 1990 .-- 316 p.

18. Règlement (CE) n° 1907/2006 du Parlement européen et du Conseil du 18 décembre 2006 concernant l'enregistrement, l'évaluation, l'autorisation et les restrictions des produits chimiques (REACH), instituant une Agence européenne des produits chimiques, modifiant la directive 1999/45/CE et abrogeant le Règlement du Conseil (CEE) n° 793/93 et ​​le Règlement de la Commission (CE) n° 1488/94 ainsi que la Directive du Conseil 76/769 / CEE et les Directives de la Commission 91/155 / CEE, 93/67 / CEE, 93/ 105/CE et 2000/21/CE.

Le problème de la sécurité informatique de l'information n'est pas nouveau - les experts s'en occupent depuis le moment même où l'ordinateur a commencé à traiter des données dont la valeur est élevée pour l'utilisateur. Cependant, ces dernières années, en raison du développement des réseaux, de la croissance de la demande de services électroniques, la situation dans le domaine de la sécurité de l'information s'est gravement aggravée et la question de la normalisation des approches de sa solution est devenue particulièrement pertinente tant pour les développeurs que pour les utilisateurs d'outils informatiques.

Pourquoi vous devez connaître la théorie

Tout spécialiste de la sécurité de l'information passe par trois étapes dans son évolution professionnelle. Le premier d'entre eux est le "travail manuel". Le débutant recherche avec acharnement, à l'aide d'outils spécialisés, la recherche et l'élimination de lacunes très spécifiques dans le système et le logiciel d'application. Scanner, patch, port, connexion - ce sont les entités avec lesquelles il travaille à ce stade.

La deuxième étape est le "travail de tête". Las de combler de plus en plus de lacunes, le spécialiste commence à développer des plans et des méthodes dont le but est de rationaliser les actions pour améliorer la sécurité des systèmes et éliminer les conséquences des menaces informatiques. C'est à ce stade qu'émerge la notion de « politique de sécurité ».

Enfin, place à la réflexion : à ce stade, le spécialiste expérimenté se rend compte qu'il est très probablement en train de réinventer la roue, puisque des stratégies de sécurité ont probablement déjà été élaborées avant lui. Et en cela, il a certainement raison.

De nombreuses organisations à travers le monde traitent depuis longtemps le problème de la sécurité de l'information, le résultat de leurs activités est devenu de lourds volumes de normes, réglementations, recommandations, règles, etc. Il n'est guère conseillé d'étudier l'ensemble du volume, mais il vaut certainement la peine de connaître les documents fondamentaux. Par conséquent, dans cet article, nous ne mentionnerons que les dispositions russes et internationales les plus importantes qui établissent des normes dans le domaine de la sécurité de l'information.

Concept de sécurité de l'information

Le développement de systèmes d'information et de télécommunication à des fins diverses (principalement Internet), ainsi que l'échange électronique d'informations précieuses qui doivent être protégées, ont nécessité des spécialistes travaillant dans ce domaine pour systématiser et rationaliser les exigences et les caractéristiques de base des systèmes informatiques en termes de assurer la sécurité. Cependant, avant de procéder à l'examen des normes formées, il est nécessaire de déterminer ce qu'est la sécurité.

Compte tenu de l'importance du concept, nous essaierons de formuler sa définition élargie, qui tiendra compte des derniers développements internationaux et nationaux dans ce domaine. Ainsi, la sécurité de l'information est un état de stabilité des données contre les influences accidentelles ou délibérées, excluant les risques inacceptables de leur destruction, déformation et divulgation, qui entraînent des dommages matériels pour le propriétaire ou l'utilisateur. Cette définition prend le plus pleinement en compte l'objectif principal d'un système informatique d'information commerciale - minimiser les pertes financières, maximiser les profits face aux risques réels.

Cette disposition est particulièrement pertinente pour les systèmes dits ouverts à usage public, qui traitent des informations classifiées d'accès limité qui ne contiennent pas de secrets d'État. Aujourd'hui, des systèmes de ce type se développent rapidement à la fois dans le monde et dans notre pays.

Norme internationale de sécurité de l'information

Il est bien connu que la normalisation est à la base de toutes sortes de méthodes pour déterminer la qualité des produits et des services. L'un des principaux résultats de ces activités dans le domaine de la systématisation des exigences et des caractéristiques des systèmes d'information sécurisés est devenu le Système de normes internationales et nationales de sécurité de l'information, qui comprend plus d'une centaine de documents différents. Un exemple est la norme ISO 15408 connue sous le nom de « Critères communs ».

La norme de base de sécurité de l'information ISO 15408, adoptée en 1998, est sans aucun doute très importante pour les développeurs russes. De plus, au cours de l'année 2001, Gosstandart prévoit de préparer une version harmonisée de ce document. L'Organisation internationale de normalisation (ISO) a commencé à élaborer une norme internationale pour les critères d'évaluation de la sécurité des technologies de l'information à usage général « Critères communs » en 1990. Sa création a réuni : le National Institute of Standards and Technology et la National Security Agency (USA), la Communications Security Institution (Canada), l'Information Security Agency (Allemagne), la National Communications Security Agency (Hollande), les organismes de mise en œuvre l'IT Security and Certification Program (Angleterre) , Center for Systems Security (France). Après l'approbation finale de la norme, le numéro ISO 15408 lui a été attribué.

Les Critères Communs (CC) sont créés pour la reconnaissance mutuelle des résultats des évaluations de sécurité informatique à l'échelle mondiale et en constituent le fondement. Ils vous permettent de comparer les résultats d'évaluations indépendantes de la sécurité de l'information et des risques acceptables sur la base d'un ensemble Exigences générales aux fonctions de sécurité des outils et systèmes informatiques, ainsi qu'aux garanties qui leur sont appliquées lors du processus de test.

Les principaux avantages de l'assurance qualité sont l'exhaustivité des exigences en matière de sécurité de l'information, la flexibilité d'application et l'ouverture pour un développement ultérieur, en tenant compte des dernières avancées scientifiques et technologiques. Les critères sont conçus pour répondre aux besoins des trois groupes d'utilisateurs (consommateurs, développeurs et évaluateurs) lors de l'étude des propriétés de sécurité d'un outil ou système informatique (sous réserve d'évaluation). Cette norme est utile comme guide dans le développement de fonctions de sécurité informatique, ainsi que dans l'achat de produits commerciaux ayant des propriétés similaires. L'orientation principale de l'évaluation concerne les menaces résultant d'actions malveillantes d'une personne, mais l'AQ peut également être utilisée pour évaluer les menaces causées par d'autres facteurs. À l'avenir, la création d'exigences spécialisées pour les prêts commerciaux et le secteur financier est attendue. Rappelons que les précédents documents nationaux et étrangers de ce type étaient liés aux conditions d'un système gouvernemental ou militaire qui traite des informations classifiées, qui peuvent contenir des secrets d'État.

La diffusion et la mise en œuvre de cette norme à l'étranger s'accompagnent du développement d'une nouvelle architecture normalisée, conçue pour assurer la sécurité de l'information des systèmes informatiques. En d'autres termes, du matériel informatique et des logiciels sont créés qui répondent aux critères généraux. Par exemple, l'organisation internationale « Open Group », réunissant environ 200 principaux fabricants de technologies informatiques et de télécommunications du monde entier, a publié une nouvelle architecture de sécurité de l'information pour les systèmes automatisés en tenant compte des critères spécifiés. De plus, l'Open Group crée des programmes de formation pour faciliter la mise en œuvre rapide et de qualité des documents de normalisation.

Caractéristiques du processus de normalisation Internet

Pendant longtemps, il y a eu un certain nombre de comités sur le World Wide Web qui se consacrent à la normalisation de toutes les technologies Internet. Ces organisations, qui constituent l'essentiel de l'Internet Engineering Task Force (IETF), ont déjà standardisé plusieurs protocoles importants, accélérant ainsi leur adoption sur le Web. La famille de protocoles pour la transmission de données TCP/IP, SMTP et POP pour la messagerie électronique, et SNMP (Simple Network Management Protocol) pour la gestion de réseau sont les produits de l'IETF.

Au cours des dernières années, le marché des réseaux a connu une influence dite fragmentée sur la formation des normes. Au fur et à mesure qu'Internet s'est développé et est devenu un marché de consommation et commercial, certaines entreprises ont cherché des moyens d'influencer la normalisation en créant un semblant de concurrence. Même des organismes informels tels que l'IETF ont ressenti la pression. Au fur et à mesure que les marchés liés à Internet se développaient, les entrepreneurs ont commencé à former des groupes spéciaux ou des consortiums pour promouvoir leurs propres normes. Les exemples incluent le forum OMG (Object Management Group), VRML (Virtual Reality Markup Language) et Java Development Connection. Parfois, les consommateurs sérieux de services Internet fixent des normes de facto avec leurs achats ou leurs commandes.

L'une des raisons de l'émergence de différents groupes de normalisation est la tension entre le rythme toujours croissant du développement technologique et le long cycle de création de normes.

Normes de sécurité Internet

Pour assurer la sécurité sur Internet, les protocoles de transmission de données sécurisés sont populaires, à savoir SSL (TLS), SET, IP v. 6. Ils sont apparus relativement récemment et sont immédiatement devenus des normes de facto.

SSL (TLS)

Le protocole réseau le plus populaire pour le cryptage des données pour une transmission sécurisée sur un réseau est un ensemble d'algorithmes, de méthodes et de règles cryptographiques pour leur application. Vous permet d'établir une connexion sécurisée, de surveiller l'intégrité des données et de résoudre diverses tâches connexes.

ENSEMBLE

SET (Security Electronics Transaction) est un protocole prometteur qui permet de sécuriser les transactions électroniques sur Internet. Il repose sur l'utilisation de certificats numériques selon la norme X.509 et est destiné à organiser le commerce électronique sur un réseau.

Ce protocole est une norme développée par MasterCard et Visa avec la participation d'IBM, GlobeSet et d'autres partenaires. Il permet aux clients d'acheter des biens sur Internet en utilisant le mécanisme de paiement le plus sécurisé disponible aujourd'hui. SET est un protocole multilatéral standard ouvert permettant d'effectuer des paiements sur Internet à l'aide de cartes plastiques. Il fournit une authentification croisée du compte du titulaire de la carte, du commerçant et de la banque du commerçant pour vérifier la disponibilité du paiement, ainsi que l'intégrité et le secret du message, le cryptage des données précieuses et sensibles. SET peut être considéré comme une technologie standard ou un système de protocoles pour effectuer des paiements sécurisés basés sur des cartes plastiques sur Internet.

IPSec

La spécification IPSec fait partie de la norme IP v. 6 et s'ajoute à la version actuelle des protocoles TCP/IP. Il est développé par le groupe de travail sur la sécurité IP de l'IETF. IPSec comprend actuellement trois spécifications de base indépendantes de l'algorithme qui représentent les normes RFC correspondantes.

IPSec fournit manière standard crypte le trafic sur la (troisième) couche IP du réseau et protège les informations sur la base d'un cryptage de bout en bout : quelle que soit l'application en cours d'exécution, chaque paquet de données passant par le canal est crypté. Cela permet aux organisations de créer des réseaux privés virtuels sur Internet. IPSec s'exécute sur les protocoles de communication courants, prenant en charge DES, MD5 et un certain nombre d'autres algorithmes cryptographiques.

La sécurité des informations au niveau du réseau à l'aide d'IPSec comprend :

• prise en charge des systèmes d'extrémité non modifiés ;
• prise en charge de protocoles de transport autres que TCP ;
• Support réseaux virtuels dans les réseaux non sécurisés ;
• protection de l'en-tête de la couche transport contre l'interception (protection contre l'analyse du trafic non autorisé);
• protection contre les attaques par déni de service.

De plus, IPSec présente deux avantages importants :

1. son application ne nécessite pas de modifications des dispositifs intermédiaires du réseau ;
2. les postes de travail et les serveurs n'ont pas besoin de prendre en charge IPSec.

Caractéristiques du marché russe

Historiquement, en Russie, les problèmes de sécurité informatique n'étaient étudiés et résolus en temps voulu que dans le domaine de la protection des secrets d'État. Pendant longtemps, des tâches similaires mais spécifiques du secteur commercial de l'économie n'ont pas trouvé de solutions appropriées. Ce fait freine encore considérablement l'émergence et le développement d'outils informatiques sécurisés sur marché intérieur qui s'intègre au système mondial. De plus, la protection de l'information dans un système automatisé commercial a ses propres caractéristiques qui doivent simplement être prises en compte, car elles ont un impact sérieux sur la technologie de sécurité de l'information. Citons les principaux :

1. Priorité des facteurs économiques. Pour un système automatisé commercial, il est très important de réduire ou d'éliminer les pertes financières et de s'assurer que le propriétaire et les utilisateurs de cette boîte à outils réalisent un profit face aux risques réels. Une condition importante dans ce cas, en particulier, est la minimisation des risques typiquement bancaires (par exemple, pertes dues à des directions de paiement erronées, falsification de documents de paiement, etc.) ;
2. Ouverture de conception, prévoyant la création d'un sous-système de protection des informations à partir de moyens largement disponibles sur le marché et fonctionnant dans des systèmes ouverts ;
3. La signification juridique des informations commerciales, qui peuvent être définies comme une propriété d'informations sécurisées, ce qui permet de donner une force juridique aux documents électroniques ou aux processus d'information conformément au régime juridique des ressources d'information établi par la législation de la Fédération de Russie. Cette condition est récemment devenue de plus en plus importante dans notre pays, avec la création d'un cadre réglementaire pour la sécurité informatique (en particulier lorsque les systèmes automatisés des différentes entités juridiques interagissent).

Il est évident que la création d'un système informatique sécurisé traitant des informations confidentielles qui ne contiennent pas de secrets d'État est extrêmement importante pour la vie économique et financière de la Russie moderne. L'application en Russie de la norme harmonisée ISO 15408 ("Common Criteria"), reflétant les dernières réalisations mondiales en matière d'évaluation de la sécurité de l'information, permettra :

• introduire l'informatique russe aux exigences internationales modernes en matière de sécurité de l'information, ce qui simplifiera, par exemple, l'utilisation de produits étrangers et l'exportation des nôtres ;
• faciliter l'élaboration de documents réglementaires et méthodologiques spécialisés russes pertinents pour les tests, l'évaluation (contrôle) et la certification d'outils et de systèmes pour la sécurité bancaire et d'autres technologies de l'information ;
• créer une base pour une évaluation qualitative et quantitative des risques liés à l'information, ce qui est nécessaire pour l'assurance des systèmes automatisés ;
• réduire les coûts globaux du maintien du régime de sécurité de l'information dans les banques et les entreprises par la typification et l'unification des méthodes, mesures et moyens de protection de l'information.

Normes de l'État

Parmi les différentes normes de sécurité des technologies de l'information qui existent dans notre pays, il convient de souligner un certain nombre de documents qui réglementent la protection de l'interconnexion des systèmes ouverts (tableau 1, lignes 1-3). Ils peuvent être complétés par des documents réglementaires sur les outils, systèmes et critères d'évaluation de la sécurité des technologies informatiques et des systèmes automatisés (voir tableau 1, lignes 4-8). Le dernier groupe de documents, ainsi que de nombreuses normes étrangères créées précédemment, se concentre principalement sur la protection des secrets d'État.

Comment et où fonctionnent les différentes normes

Toutes les normes actuellement disponibles sont à plusieurs niveaux. Cela signifie que leur utilisation est limitée à un certain niveau d'abstraction dans les systèmes d'information (par exemple, vous ne pouvez pas utiliser des « Critères Communs » pour décrire en détail le mécanisme de génération d'une clé de session dans le protocole TLS). De toute évidence, pour une application efficace des normes, il est nécessaire d'être bien conscient de leur niveau et de leur objectif.

Ainsi, il est préférable d'utiliser les dispositions de la norme ISO 15408 (« Critères communs ») lors de l'élaboration de la politique de sécurité et des systèmes d'évaluation des performances, ainsi que lors de la réalisation de tests de sécurité complexes. Pour la mise en œuvre et l'évaluation de la perfection technique des systèmes de cryptage et de signature numérique, les GOST correspondants sont destinés. Si vous devez protéger le canal pour l'échange d'informations arbitraires, il est conseillé d'utiliser le protocole TLS. Lorsqu'il s'agit non seulement de protéger la ligne de communication, mais aussi de sécuriser les transactions financières, SET entre en jeu, qui inclut les protocoles de protection des canaux comme l'une des normes de niveau inférieur.

De la théorie à la pratique

Afin de démontrer l'importance pratique des dispositions énumérées, nous présentons une liste de normes de sécurité utilisées dans la mise en œuvre des services bancaires électroniques d'InterBank.

Le protocole SSL (TLS) peut être utilisé comme protection du canal d'échange d'informations dans les systèmes RS-Portal et Internet-Client. Les normes GOST 28147-89, GOST R 34.10-94 et GOST R 34.11-94, qui réglementent le cryptage des données et le mécanisme de signature électronique numérique, sont mises en œuvre dans tous les systèmes de crypto protection des sous-systèmes de type « client-banque » (« DOS Client", "Client Windows", "Client Internet").

En utilisant le protocole IPSec, vous pouvez protéger de manière transparente tout canal de communication entre le client et la banque à l'aide du protocole réseau IP. Cela s'applique à la fois aux systèmes Internet (RS-Portal et "Internet-Client"), ainsi qu'au système de messagerie RS-Mail, qui prend en charge le travail sur IP.

Nous espérons que les informations fournies dans l'article vous aideront à évaluer la fiabilité de vos systèmes, et que les efforts et le temps des développeurs seront consacrés à la création d'outils vraiment meilleurs qui deviendront une nouvelle étape dans le développement des technologies de sécurité de l'information.

Assurer la sécurité des systèmes d'information en maintenant, c'est impossible sans une création compétente et de haute qualité de systèmes de sécurité de l'information. Cela a déterminé le travail de la communauté mondiale pour systématiser et rationaliser les exigences et les caractéristiques de base de ces systèmes en termes de sécurité de l'information.

L'un des principaux résultats de ces activités a été systèmenormes internationales et nationalessécurité des informations, qui contient plus d'une centaine de documents différents.

Cela est particulièrement vrai pour les soi-disant systèmes ouverts à usage commercial traitement d'informations d'accès limité, ne contenant pas de secrets d'État, et en plein développement dans notre pays.

Sous systèmes ouverts comprendre un ensemble d'équipements informatiques et de télécommunications de toute sorte de fabrication différente, dont le fonctionnement en commun est assuré par le respect des exigences des normes, principalement internationales.

Le terme " ouvert "implique également que si un système informatique est conforme aux normes, alors il sera ouvert à l'interconnexion avec tout autre système conforme aux mêmes normes. Ceci s'applique notamment aux mécanismes de protection cryptographique des informations ou de protection contre les accès non autorisés ( NSD) aux informations.

Spécialistes de la sécurité de l'information ( IB) aujourd'hui, il est presque impossible de se passer de la connaissance des normes pertinentes.

En premier, les normes et les spécifications sont l'une des formes d'accumulation de connaissances, principalement sur les niveaux procéduraux et techniques logiciels de la sécurité de l'information. Ils contiennent des solutions et des méthodologies éprouvées et de haute qualité, développées par les spécialistes les plus qualifiés.

Deuxièmement , les deux sont le principal moyen d'assurer la compatibilité mutuelle des systèmes matériels et logiciels et de leurs composants, et en l'Internet: -la communauté cet outil fonctionne vraiment, et est assez efficace.

Récemment, dans différents pays, une nouvelle génération de normes de sécurité de l'information est apparue, dédiée aux problèmes pratiques de gestion de la sécurité de l'information d'une entreprise. Il s'agit avant tout de normes internationales et nationales de gestion de la sécurité de l'information. ISO 15408, ESTVers 17799 (BS7799), BSI; normes d'audit des systèmes d'information et de l'information

ennuyer la sécurité PSBjeT,SUNEC, COSO et quelques autres qui leur ressemblent.

Les normes internationales revêtent une importance particulière ISO 15408, ISO 17799 servir de base à tout travail de terrain sécurité de l'information, y compris l'audit.

ISO 15408 - définit détaillé exigences en matière de logiciels et de matériel pour la protection des informations.

ISO 17799 - concentré sur les questions organisation et gestion de la sécurité.

Utilisation de l'international et du national normes assurer la sécurité de l'information contribue à la résolution des cinq tâches suivantes :

- En premier , définir les objectifs d'assurer la sécurité de l'information des systèmes informatiques ;

- Deuxièmement , la création d'un système efficace de gestion de la sécurité de l'information ;

- troisième , calcul d'un ensemble d'indicateurs détaillés non seulement qualitatifs, mais aussi quantitatifs pour évaluer la conformité de la sécurité de l'information avec les objectifs affichés ;

- quatrièmement , l'utilisation d'outils pour assurer la sécurité de l'information et évaluer son état actuel ;

- cinquième , l'utilisation de techniques de gestion de la sécurité avec un système de métriques et de mesures d'accompagnement bien fondé pour les développeurs de systèmes d'information, qui permettent d'évaluer objectivement la sécurité des actifs informationnels et de gérer la sécurité de l'information d'une entreprise.

L'accent est mis sur la norme internationale ISO/ 15408 et son russe analogue de GOST R ISO / MEK15408-2002 "Critères d'évaluation de la sécurité des technologies de l'information" et Caractéristiques "l'Internet-communautés".

Audit la sécurité de l'information repose sur l'utilisation de nombreuses recommandations, qui sont énoncées principalement dans les normes internationales IB.

À partir du début années 80, des dizaines de normes internationales et nationales dans le domaine de la sécurité de l'information ont été créées, qui se complètent dans une certaine mesure.

Le cours aborde les normes les plus importantes dont la connaissance est nécessaire aux développeurs et évaluateurs d'outils de sécurité, aux administrateurs système, aux responsables de services de sécurité de l'information, aux utilisateurs selon la chronologie de leur création, notamment :

Critère d'évaluation de la fiabilité systèmes informatiques « Livre orange"(ETATS-UNIS);

Critères harmonisés des pays européens;

Norme allemande BSI;

Norme britannique BS 7799 ;

Standard " Critères généraux "ISO 15408;

Standard ISO 17799;

Standard COBIT

Ces normes peuvent être divisées en deux types différents :

Normes d'évaluation , visant à la classification des systèmes d'information et des moyens de protection en fonction des exigences de sécurité ;

Spécifications techniques réglementant divers aspects de la mise en œuvre des équipements de protection.

Il est important de noter que entre ces types de réglementations il n'y a pas de mur blanc, au contraire, il y a une relation logique.

Normes d'évaluation mettre en évidence les aspects les plus importants, du point de vue de la sécurité de l'information, de la propriété intellectuelle, jouer le rôle de cahier des charges architectural.

Spécifications techniques déterminer comment construire un SI d'une architecture prescrite. Voici les caractéristiques de ces normes.

2. Critères d'évaluation des systèmes informatiques de confiance

(« Livre Orange")