Choix des lecteurs
Articles populaires
La sécurité de l'information désigne un ensemble de mesures visant à assurer la sécurité des informations soumises aux processus de collecte, de traitement, de transmission et de stockage. L'application des mêmes mesures est à la base de la protection de l'information, qui est protégée des effets destructeurs de l'environnement extérieur en utilisant les propriétés de confidentialité, de secret du signal et d'intégrité.
Au niveau de l'État, la protection de l'information est comprise comme tous les types de méthodes organisationnelles, juridiques et techniques pour la prévention et l'élimination des menaces sécurité de l'information... Les tâches prioritaires de ces activités sont l'identification et l'élimination des sources, des facteurs et des situations malveillants qui affectent négativement des informations précieuses. Dans le même ordre d'idées, il est considéré système d'état assurer la protection des données d'information liées au problème du développement sûr du monde entier.
Au niveau de l'activité des établissements départementaux, la sécurité de l'information s'effectue à travers les mesures suivantes :
Toutes les mesures prises pour assurer la sécurité des informations visent la confidentialité, la protection des droits d'auteur et la protection des informations contre les attaques non autorisées, la divulgation et la violation de l'intégrité.
La norme de sécurité de l'information la plus connue et la plus efficace au niveau international est ISO / IEC 17799 : 2000, qui est une norme de sécurité de l'information de nouvelle génération. Le concept de sécurité de l'information est défini par la norme ISO/IEC 17799 : 2000 comme garantissant la confidentialité, la sécurité et la disponibilité des réseaux d'informations. Cette norme est axée sur la résolution du problème de la sécurité de l'information des institutions et contient les domaines d'activité suivants :
La norme internationale « Critères européens pour la sécurité des technologies de l'information » est devenue largement connue, ce qui a eu un impact énorme sur la législation de l'information et le processus de certification dans de nombreux pays. Une énorme contribution au système international de sécurité de l'information a été apportée par des collègues allemands qui ont publié le Livre vert et considéré le problème de l'accessibilité, de l'intégrité et de la confidentialité des données d'information d'une manière complexe. La traduction de ces normes a servi de base à de nombreux aspects de la législation sur l'information en Russie.
De toute la variété des normes nationales de sécurité de l'information, il convient de distinguer les documents réglementant les relations dans le domaine de la sécurité des systèmes ouverts. Ceux-ci inclus:
Ces GOST formulent des dispositions sur l'architecture de la sécurité de l'information, les bases de l'authentification et de la duplication.
Un certain nombre des normes suivantes visent à protéger les secrets d'État :
La liste des dernières normes réglemente les cas d'accès non autorisé à l'information, l'organisation de la protection cryptographique, les procédures de vérification des signatures électroniques et le hachage.
Toutes les normes russes réglementant la protection des informations ont une structure à plusieurs niveaux et ne peuvent donc être utilisées que pour un certain niveau d'objectif. Ainsi, par exemple, pour une évaluation complète du système de cryptage et de la qualité d'une signature électronique, GOST est utilisé aux fins correspondantes. Dans le cadre de la protection des canaux d'information, il est d'usage d'utiliser le protocole TLS, et dans les cas de protection des opérations transactionnelles, le protocole SET est utilisé, qui inclut les normes des niveaux inférieurs.
Le système de normes industrielles de sécurité des informations nationales comprend des normes bancaires qui assurent la protection des données bancaires.
L'importance de la sécurité de l'information ne peut guère être surestimée, car la nécessité de stocker et de transférer des données fait partie intégrante de toute entreprise.
Diverses méthodes de protection de l'information dépendent de la forme sous laquelle elle est stockée, cependant, afin de systématiser et de rationaliser ce domaine, il est nécessaire d'établir des normes de sécurité de l'information, car la normalisation est un déterminant important de la qualité dans l'évaluation des services fournis.
Toute assurance de sécurité de l'information nécessite un contrôle et une vérification, qui ne peuvent être effectués uniquement par la méthode d'évaluation individuelle, sans tenir compte des normes internationales et étatiques.
Les normes de sécurité de l'information sont formées après une définition claire de ses fonctions et de ses limites. La sécurité de l'information consiste à garantir la confidentialité, l'intégrité et la disponibilité des données.
Pour déterminer l'état de la sécurité de l'information, une évaluation qualitative est la plus applicable, car il est possible d'exprimer le degré de sécurité ou de vulnérabilité en pourcentage, mais cela ne donne pas une image complète et objective.
Pour l'évaluation et l'audit de sécurité systèmes d'information vous pouvez appliquer un certain nombre d'instructions et de recommandations, qui impliquent un soutien réglementaire.
Le contrôle et l'évaluation de l'état de la sécurité s'effectuent en vérifiant leur conformité aux normes étatiques (GOST, ISO) et internationales (Iso, Critères communs pour la sécurité informatique).
L'ensemble international de normes développé par l'Organisation internationale de normalisation (ISO) est un ensemble de pratiques et de recommandations pour la mise en œuvre de systèmes et d'équipements de sécurité de l'information.
ISO 27000 est l'une des normes d'évaluation les plus applicables et les plus utilisées, avec plus de 15 dispositions et numérotées de manière séquentielle.
Selon les critères d'évaluation de la normalisation ISO 27000, la sécurité de l'information n'est pas seulement son intégrité, sa confidentialité et sa disponibilité, mais aussi son authenticité, sa fiabilité, sa résilience et son identifiabilité. Classiquement, cette série de normes peut être divisée en 4 sections :
Les normes d'État pour la sécurité de l'information comprennent un certain nombre de règlements et de documents, composés de plus de 30 dispositions (GOST).
Diverses normes visent non seulement à établir des critères d'évaluation généraux, tels que GOST R ISO / IEC 15408, qui contient des directives méthodologiques pour l'évaluation de la sécurité, une liste d'exigences pour un système de gestion. Ils peuvent être spécifiques ou contenir des conseils pratiques.
L'organisation correcte de l'entrepôt et son suivi régulier des travaux contribueront à exclure le vol de marchandises et de valeurs matérielles, qui affecte négativement le bien-être financier de toute entreprise, quelle que soit sa forme de propriété.
Au moment du lancement, le système d'automatisation de l'entrepôt passe par deux étapes supplémentaires : les tests internes et le remplissage des données. Après cette préparation, le système démarre complètement. En savoir plus sur l'automatisation ici.
La relation et l'ensemble des techniques conduisent au développement de dispositions générales et à la fusion de la normalisation internationale et nationale. Ainsi, les GOST de la Fédération de Russie contiennent des ajouts et des références aux normes internationales ISO.
Cette interaction permet de développer système unifié le contrôle et l'évaluation, qui, à leur tour, augmentent considérablement l'efficacité de l'application de ces dispositions dans la pratique, évaluent objectivement les résultats des travaux et s'améliorent généralement.
Le nombre de normes européennes pour l'assurance et le contrôle de la sécurité de l'information dépasse largement les normes juridiques établies par la Fédération de Russie.
Dans les normes nationales des États, les dispositions en vigueur concernent la protection des informations contre d'éventuels piratages, fuites et menaces de perte. Les systèmes de sécurité étrangers se spécialisent dans l'élaboration de normes pour l'accès et l'authentification des données.
Des différences sont également constatées dans les dispositions relatives au contrôle et à l'audit des systèmes. En outre, la pratique consistant à appliquer et à mettre en œuvre le système de gestion de la sécurité de l'information de la normalisation européenne se manifeste dans presque tous les domaines de la vie, et les normes de la Fédération de Russie visent principalement à préserver le bien-être matériel.
Néanmoins, les normes nationales constamment mises à jour contiennent l'ensemble minimum d'exigences nécessaires pour créer un système de gestion de la sécurité de l'information compétent.
Faire des affaires implique à la fois le stockage, l'échange et la transmission de données via Internet. V monde moderne les opérations de change, les activités commerciales et les transferts de fonds ont souvent lieu sur le réseau, et il n'est possible d'assurer la sécurité de l'information de cette activité qu'en appliquant une approche compétente et professionnelle.
Il existe de nombreuses normes sur Internet qui garantissent un stockage et une transmission sécurisés des données, des programmes de protection antivirus bien connus, des protocoles spéciaux pour les transactions financières et bien d'autres.
La vitesse de développement des technologies et des systèmes d'information est si élevée qu'elle dépasse considérablement la création de protocoles et de normes uniformes pour leur utilisation.
L'un des protocoles populaires pour la transmission sécurisée de données est SSL (Secure Socket Layer), développé par des spécialistes américains. Il vous permet de sécuriser vos données grâce à la cryptographie.
L'avantage de ce protocole est la possibilité de vérifier et d'authentifier, par exemple, immédiatement avant l'échange de données. Cependant, l'utilisation de tels systèmes dans la transmission de données est plutôt consultative, puisque l'application de ces normes n'est pas obligatoire pour les entrepreneurs.
Pour ouvrir une SARL, une charte d'entreprise est nécessaire. Une procédure en cours d'élaboration conformément à la législation de la Fédération de Russie. Vous pouvez l'écrire vous-même, prendre un échantillon standard comme guide, ou vous pouvez contacter les spécialistes qui l'écriront.
Un homme d'affaires novice qui envisage de développer sa propre entreprise sous le statut d'entrepreneur individuel doit, lors du remplissage d'une demande, indiquer le code d'activité économique conformément à l'OKVED. Détails ici.
Pour la mise en œuvre de transactions et d'opérations sécurisées, le protocole de transmission SET (Security Electronic Transaction) a été développé, qui permet de minimiser les risques dans la conduite des opérations commerciales et de négociation. Ce protocole est un standard pour les systèmes de paiement Visa et Master Card, permettant l'utilisation du mécanisme de sécurité du système de paiement.
Les comités qui normalisent les ressources Internet sont volontaires, de sorte que leurs activités ne sont ni légales ni contraignantes.
Cependant, la fraude sur Internet dans le monde moderne est reconnue comme l'un des problèmes mondiaux. Par conséquent, il est tout simplement impossible d'assurer la sécurité de l'information sans l'utilisation de technologies spéciales et leur normalisation.
V.V. Tikhonenko Chef de l'Union des Experts-Experts Qualité (Kiev, Ukraine), Ph.D., Directeur Général de l'ECTC "WATT"
L'article fournit une description des principales normes de sécurité internationales et nationales. Les définitions des termes "sécurité", "danger", "risque" sont prises en compte. Des hypothèses sont émises sur la possibilité d'appliquer les principes d'incertitude de Heisenberg et les principes de complémentarité de Bohr pour décrire les dangers.
Assurer la sécurité est l'une des exigences les plus importantes qui doit être remplie par tous, partout et toujours, car toute activité est potentiellement dangereuse. La sécurité est une question de risque (ils sont interdépendants). Considérez les définitions de ces concepts données dans les normes.
Sécurité- absence de risque inacceptable.
Danger- une source potentielle de dommages.
Risque- l'effet d'ambiguïté des buts.
Ainsi, la sécurité ne se caractérise pas du tout par l'absence de risque, mais seulement par l'absence de risque inacceptable. Les normes définissent le risque acceptable comme « l'équilibre optimal entre la sécurité et les exigences auxquelles un produit, un processus ou un service doit satisfaire, ainsi que des facteurs tels que les avantages pour l'utilisateur, la rentabilité, la coutume et autres ». La norme, souvent utilisée par les entreprises, traite le risque acceptable (acceptable) comme « un risque réduit à un niveau que l'organisation peut tolérer compte tenu de ses obligations légales et de sa propre politique de santé et de sécurité ».
Les normes réglementent les moyens de réduire les risques (par ordre de priorité) :
Selon les types suivants de normes de sécurité peuvent être:
L'établissement d'exigences de sécurité dans les réglementations/normes doit être basé sur une analyse du risque de dommages aux personnes, aux biens ou à l'environnement, ou une combinaison de ceux-ci, comme indiqué dans les normes. La figure montre schématiquement les principaux risques de l'entreprise, en indiquant les normes de gestion des risques.
Il est possible que les fonctions delta de Dirac et les fonctions Heaviside puissent être utilisées pour décrire et analyser les aléas et les risques, car le passage d'un risque acceptable à un risque inacceptable est brutal.
Théoriquement, on peut distinguer les principes de sécurité suivants :
Arrêtons-nous plus en détail sur le principe de classification (catégorisation). Elle consiste à diviser les objets en classes et catégories selon les caractéristiques associées aux aléas. Exemples : zones de protection sanitaire (5 classes), catégories d'industries (locaux) à risque d'explosion et d'incendie (A, B, C, D, E), catégories/classes selon directives ATEX (3 catégories d'équipements, 6 zones), classes de danger des déchets (5 classes - en Russie, 4 classes - en Ukraine), classes de danger des substances (4 classes), classes de danger pour le transport de marchandises dangereuses (9 classes), etc.
Informations
Selon les calculs de Heinrich, pour un accident mortel, il y a environ 30 blessés avec des conséquences moins graves et environ 300 autres incidents qui peuvent passer presque inaperçus. Dans le même temps, les coûts économiques indirects de l'élimination des conséquences sont quatre fois plus élevés que les coûts directs.
référence
environ 20% de tous les événements indésirables sont associés à des pannes d'équipement, et 80% - à des erreurs humaines, dont 70% des erreurs se sont produites en raison de faiblesses organisationnelles latentes (les erreurs étaient cachées, il n'y a eu aucune réaction), et environ 30% étaient associés à un travailleur individuel...
Riz. Risques d'entreprise (exemple) et normes applicables
Remarques:
ECO - European Valuation Standards (Groupe Européen d'Évaluateurs TEGoVA);
IES - Normes internationales d'évaluation (propriété) ;
IFRS - Normes internationales d'information financière (IFRS);
BÂLE II - Accord « Convergence internationale de la mesure des fonds propres et des normes de fonds propres : nouvelles approches » du Comité de Bâle sur le contrôle bancaire ;
BRC - Les normes mondiales du British Retail Consortium ;
COBIT - Objectifs de contrôle des technologies de l'information et des technologies connexes ("Objectifs de l'information et des technologies connexes" - un ensemble de documents ouverts, environ 40 normes et directives internationales et nationales dans le domaine de la gestion informatique, de l'audit et de la sécurité informatique); COSO - Comité des organisations de parrainage de la Commission Treadway
FERMA - Fédération des Associations Européennes de Gestion des Risques (norme de la Fédération des Associations Européennes de Gestion des Risques) ; GARP - Global Association of Risk Professionals (norme de l'Association of Risk Professionals);
IFS - International Featured Standards (normes internationales pour la production et la vente de produits alimentaires);
ISO / PAS 28000 - Spécification des systèmes de gestion de la sécurité pour la chaîne d'approvisionnement
NIST SP 800-30 - Guide de gestion des risques pour les systèmes de technologie de l'information.
Table. Normes de sécurité (exemples)
Type de normes |
exemples de normes |
|
Normes fondamentales |
ISO 31000 Gestion des risques - Principes et lignes directrices ; CEI / ISO 31010 Gestion des risques - Techniques d'évaluation des risques ; BS 31100 Gestion des risques Code de pratique BS 25999 Gestion de la continuité des activités (partie 1, partie 2); CEI 61160 Gestion des risques. Revue de conception formelle (Gestion des risques. Analyse formelle du projet) ; BS OHSAS 18001 Systèmes de gestion de la santé et de la sécurité au travail. Conditions. (Systèmes de gestion de la santé et de la sécurité au travail. Exigences); GS-R-1 Infrastructure juridique et gouvernementale pour la sûreté nucléaire, radiologique, des déchets radioactifs et des transports. Exigences (Infrastructure législative et gouvernementale pour la sûreté nucléaire et radiologique, la sûreté des déchets radioactifs et le transport); ISO 22000 : 2005, Systèmes de management de la sécurité des aliments - Exigences pour toute organisation de la chaîne alimentaire |
|
Normes du groupe |
ISO 14121 Sécurité des machines - Évaluation des risques ; ISO 12100 Sécurité des machines - Concepts de base, principes généraux de conception Concepts de base, principes de base pour la conception); ISO 13849 Sécurité des machines - Parties des systèmes de commande relatives à la sécurité ; Directive ATEX 95 94/9/CE, Équipements et systèmes de protection destinés à être utilisés dans des atmosphères potentiellement explosives ; Directive ATEX 137 99/92/CE, Exigences minimales pour améliorer la sécurité et la protection de la santé des travailleurs potentiellement exposés aux atmosphères explosives) ; CEI 62198 Gestion des risques du projet - Directives d'application ; ISO 15190 Laboratoires médicaux - Exigences de sécurité ISO 14971 Dispositifs médicaux - Application de la gestion des risques aux dispositifs médicaux ; ISO 14798 Ascenseurs (ascenseurs), escaliers mécaniques et trottoirs roulants - Méthodologie d'évaluation et de réduction des risques ISO 15408 Technologies de l'information - Techniques de sécurité - Critères d'évaluation de la sécurité informatique ( Informatique... Critères d'évaluation pour la sécurité des technologies de l'information) |
|
Normes de sécurité des produits |
ISO 10218 Robots pour environnements industriels - Exigences de sécurité CEI 61010-1 : 2001 Exigences de sécurité pour les équipements électriques de mesure, de contrôle et d'utilisation en laboratoire-Partie 1 : Exigences générales CEI 60086-4 : 2000-Batteries primaires-Partie 4 : Sécurité des batteries au lithium. (Batteries, primaires. Partie Partie 4 : Sécurité des batteries au lithium) ; EC 61199 Lampes fluorescentes à culot unique. Spécifications de sécurité (lampes fluorescentes à culot unique. Exigences de sécurité) ; CEI 60335 Appareils électrodomestiques et analogues - Sécurité CEI 60065 Appareils audio, vidéo et électroniques similaires - Exigences de sécurité EN 692 Presses mécaniques - Sécurité ; EN 50088 Sécurité des jouets électriques |
|
Normes de produits |
Normes de la Commission du Codex Alimentarius. (Normes de la Commission du Codex Alimentarius pour les produits CODEX STAN 12-1981, CODEX STAN 13-1981, etc.) ; ISO 3500 : 2005 Bouteilles à gaz - Bouteilles de CO2 en acier sans soudure pour installations fixes de lutte contre l'incendie sur les navires ISO 4706 : 2008 Bouteilles à gaz - Bouteilles en acier soudées rechargeables - Pression d'essai de 60 bars et moins EN 13109 : 2002 Réservoirs GPL. Disposa (Cylindres pour gaz liquéfié. Utilisation); EN 13807 : 2003 Bouteilles de gaz transportables. Véhicules à batterie. Conception, fabrication, identification et test (Bouteilles de gaz portables. Véhicules à batterie. Conception, fabrication, identification et test); GOST 10003-90. Styrène. Conditions techniques ; GOST 10007-80. Fluoroplaste-4. Conditions techniques ; GOST 10121-76. Huile de transformateur raffinée sélectivement. Conditions techniques ; GOST 10037-83. Autoclaves pour l'industrie de la construction. Conditions techniques |
Les équipements de sécurité sont divisés en équipements de protection collectifs (RPC) et individuels (EPI). À leur tour, les VMS et les EPI sont divisés en groupes en fonction de la nature des dangers, de la conception, de la portée, etc.
Dans l'Union européenne, les exigences d'évaluation des risques professionnels sont contenues dans :
Compte tenu de l'importance de l'évaluation des risques pour la sécurité au travail sur le lieu de travail, l'Agence européenne pour la santé et la sécurité des travailleurs a publié des orientations sur l'évaluation des risques au travail en 1996 et ajoute continuellement de nombreux exemples utiles pour identifier les dangers dans l'évaluation des risques professionnels.
De manière générale, les exigences de la directive européenne REACH visent également à assurer la sécurité. Ce système repose sur la gestion des risques liés aux substances contenues dans les composés chimiques et, dans certains cas, dans les produits.
Une place importante est occupée par les normes du système de sécurité (GOST SSBT). Ce sont des documents d'un système bien structuré qui existe dans peu de pays du monde. Ainsi, la sécurité des équipements technologiques doit être conforme à GOST 12.2.003, sécurité des processus technologiques - GOST 12.3.002. Et si des substances dangereuses sont produites, stockées et utilisées, les exigences de sécurité sont déterminées conformément à GOST 12.1.007. Les systèmes de sécurité (dispositifs, éléments) doivent être conformes à GOST 12.4.011, et en cas d'incendie et d'explosion - également à GOST 12.1.004.
Les exigences relatives à la sécurité des bâtiments / structures sont déterminées par les codes et règlements du bâtiment.
Les normes et réglementations médicales sont également d'une grande importance (GMP - Good Manufacturing Practice, GLP - Good Laboratory Practice, GDP - Good Distribution Practice, GPP - Good Pharmacy Practice, etc.).
Les normes de sécurité sanitaire des aliments sont définies par la Commission du Codex Alimentarius. Il existe également des règles de sécurité en médecine vétérinaire et en production végétale.
Le développement de l'astronautique et de l'énergie nucléaire, la complication de la technologie aéronautique a conduit au fait que l'étude de la sécurité des systèmes a été attribuée à un domaine d'activité distinct et indépendant (par exemple, l'AIEA a publié une nouvelle structure de normes de sécurité : GS-R-1 « Infrastructure législative et gouvernementale pour la sûreté nucléaire et radiologique, la sûreté des déchets radioactifs et le transport »). En 1969, le département américain de la Défense a adopté le programme MILSTD-882 pour assurer la fiabilité des systèmes, sous-systèmes et équipements. Il définit les exigences pour tous les entrepreneurs industriels pour les programmes militaires.
Les fiches de données de sécurité (FDS) sont des documents importants. Les fiches de données de sécurité contiennent généralement les sections suivantes : informations sur le produit, ingrédients dangereux, effets potentiels sur la santé (contact cutané, exposition à la prise alimentaire, limites de dose, irritation, action excitatrice, action renforçante au contact d'autres produits chimiques, exposition à court terme, exposition, effet sur la reproduction, mutagénicité, cancérogénicité), la procédure de premiers secours (en cas de contact avec la peau, les yeux, l'estomac, l'inhalation), les risques d'incendie et d'explosion (inflammabilité / combustibilité - dans quelles conditions, méthodes d'extinction, instructions d'extinction d'incendie, produits de combustion dangereux), données sur l'activité chimique (stabilité chimique, conditions d'activité chimique, produits de décomposition dangereux), actions en cas de déversement / déversement (y compris élimination des déchets, décomposition / toxicité pour la vie aquatique, le sol, l'air ), la lutte contre l'exposition à la substance et les équipements de protection individuelle ( moyens techniques, gants, protection respiratoire et oculaire, chaussures de sécurité, vêtements de protection), exigences de stockage et de manipulation de la substance (stockage, travail, procédure de transport), caractéristiques physiques de la substance, informations environnementales, réglementaires, supplémentaires. Ces fiches MSDS sont préparées par le fabricant et remises à l'utilisateur/consommateur. Les données des fiches MSDS doivent être incluses dans les instructions de production et de protection du travail.
Les faits
Exemples de rappels de produits en raison de la dangerosité
- Apple a rappelé les lecteurs iPod nano 1G en 2009 en raison du risque d'explosion de la batterie (http://proit.com.ua/print/?id=20223).
- McDonald's a rappelé 12 millions de verres de collection Shrek aux États-Unis en 2010 parce que du cadmium avait été trouvé dans la peinture avec laquelle ils étaient peints (www.gazeta.ru/news/lenta / ... /n_1503285.shtml).
- En 2008, des milliers de bébés en Chine ont été hospitalisés après avoir été empoisonnés avec du lait maternisé contenant de la mélamine. Sanlu s'est officiellement excusé auprès de ses consommateurs, affirmant que les substances toxiques avaient été ajoutées à leurs produits par les fournisseurs de lait (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/ russe/international/newsid_7620000/7620305.stm).
- L'Autorité française de sécurité des produits médicaux a exigé le rappel d'un des types de prothèses (implants en silicone) à partir du 1er avril 2010, car il n'a pas passé l'inspection requise (http://www.newsru.co.il/health/01apr2010 /pip301.html ).
- Thule a récemment découvert que son kit de montage de galerie de toit n'était pas assez fiable (pour les produits fabriqués entre le 1er janvier 2008 et le 28 février 2009) en raison de la fragilité du boulon inclus. Après des tests internes effectués par l'entreprise, il a été déterminé que le boulon de la base ne répondait pas aux normes de sécurité de l'entreprise. En raison du risque élevé pour les consommateurs (une rupture potentielle du boulon sous charge peut entraîner le détachement du rail et de la charge pendant la conduite), Thule a décidé de retirer immédiatement le produit de la circulation (http://www2.thulegroup.com/en/Product- Rappel / Introduction2 /).
Les spécialistes qui élaborent des normes de sécurité doivent accorder plus d'attention à l'harmonisation des réglementations appliquées dans différents domaines. Par exemple, utilisez les approches décrites dans les principes d'incertitude de Heisenberg et de complémentarité de Bohr. N'oubliez pas non plus l'erreur humaine et l'élimination des faiblesses organisationnelles. L'introduction de la gestion des risques dans les entreprises contribuera à augmenter le niveau de sécurité. Ces dernières années, les normes de gestion des risques se sont par exemple activement développées. L'étude et l'application de ces documents contribuent également à l'amélioration de la culture sécurité.
Bien sûr, dans le domaine de la sécurité, des standards, des règlements, des normes, des règles, des instructions sont nécessaires, mais leur mise en œuvre n'est pas moins importante.
Pour assurer la sécurité, vous devez connaître les réponses aux questions :
1. Quelle est la probabilité qu'un incident se produise ?
2. Quelles seront les conséquences négatives ?
3. Comment les minimiser ?
4. Comment continuer les activités pendant et après l'incident ?
5. Quels sont les priorités et les délais de rétablissement ?
6. Quoi, comment, quand et qui doit être fait ?
7. Quelles mesures préventives doivent être prises pour prévenir / minimiser les conséquences négatives ?
1.GOST 12.1.007-76 (1999). SSBT. Produits dangereux. Classification et exigences générales de sécurité.
2.GOST 12.1.004-91. SSBT. La sécurité incendie. Exigences générales.
3. GOST 12.2.003-91. SSBT. Matériel de fabrication. Exigences générales de sécurité.
4.GOST 12.3.002-75 (2000). SSBT. Processus de manufacture. Exigences générales de sécurité.
5.GOST 12.4.011-89. SSBT. Équipement de protection pour les travailleurs. Exigences générales et classification.
6.GOST R 51898-2002. Aspects de sécurité. Règles d'inclusion dans les normes.
7.GOST R 12.1.052-97. SSBT. Informations sur la sécurité des substances et des matériaux (Fiche de données de sécurité). Dispositions de base.
8.GOST R ISO 13849-1-2003. Sécurité de l'équipement. Éléments des systèmes de contrôle liés à la sécurité. Partie 1. Principes généraux de conception.
9.BS 31100 : 2008. Gestion des risques - Code de pratique.
10. BS OHSAS 18001 : 2007. Systèmes de gestion de la santé et de la sécurité au travail. Conditions.
11.CWA 15793 : 2008. Norme de gestion des risques biologiques en laboratoire.
12. ISO/CEI 51 : 1999. Aspects de sécurité - Lignes directrices pour leur inclusion dans les normes.
13. Guide ISO/CEI 73 : 2009. Gestion des risques - Vocabulaire - Lignes directrices pour l'utilisation dans les normes.
14. ISO 31000 : 2009. Gestion des risques - Principes et lignes directrices.
15. CEI/ISO 31010 : 2009. Gestion des risques - Techniques d'évaluation des risques.
16.ISO 15190 : 2003. Laboratoires médicaux - Exigences de sécurité.
17. Raison J. Erreur humaine. - New York : Cambridge University Press, 1990 .-- 316 p.
18. Règlement (CE) n° 1907/2006 du Parlement européen et du Conseil du 18 décembre 2006 concernant l'enregistrement, l'évaluation, l'autorisation et les restrictions des produits chimiques (REACH), instituant une Agence européenne des produits chimiques, modifiant la directive 1999/45/CE et abrogeant le Règlement du Conseil (CEE) n° 793/93 et le Règlement de la Commission (CE) n° 1488/94 ainsi que la Directive du Conseil 76/769 / CEE et les Directives de la Commission 91/155 / CEE, 93/67 / CEE, 93/ 105/CE et 2000/21/CE.
Le problème de la sécurité informatique de l'information n'est pas nouveau - les experts s'en occupent depuis le moment même où l'ordinateur a commencé à traiter des données dont la valeur est élevée pour l'utilisateur. Cependant, ces dernières années, en raison du développement des réseaux, de la croissance de la demande de services électroniques, la situation dans le domaine de la sécurité de l'information s'est gravement aggravée et la question de la normalisation des approches de sa solution est devenue particulièrement pertinente tant pour les développeurs que pour les utilisateurs d'outils informatiques.
Tout spécialiste de la sécurité de l'information passe par trois étapes dans son évolution professionnelle. Le premier d'entre eux est le "travail manuel". Le débutant recherche avec acharnement, à l'aide d'outils spécialisés, la recherche et l'élimination de lacunes très spécifiques dans le système et le logiciel d'application. Scanner, patch, port, connexion - ce sont les entités avec lesquelles il travaille à ce stade.
La deuxième étape est le "travail de tête". Las de combler de plus en plus de lacunes, le spécialiste commence à développer des plans et des méthodes dont le but est de rationaliser les actions pour améliorer la sécurité des systèmes et éliminer les conséquences des menaces informatiques. C'est à ce stade qu'émerge la notion de « politique de sécurité ».
Enfin, place à la réflexion : à ce stade, le spécialiste expérimenté se rend compte qu'il est très probablement en train de réinventer la roue, puisque des stratégies de sécurité ont probablement déjà été élaborées avant lui. Et en cela, il a certainement raison.
De nombreuses organisations à travers le monde traitent depuis longtemps le problème de la sécurité de l'information, le résultat de leurs activités est devenu de lourds volumes de normes, réglementations, recommandations, règles, etc. Il n'est guère conseillé d'étudier l'ensemble du volume, mais il vaut certainement la peine de connaître les documents fondamentaux. Par conséquent, dans cet article, nous ne mentionnerons que les dispositions russes et internationales les plus importantes qui établissent des normes dans le domaine de la sécurité de l'information.
Le développement de systèmes d'information et de télécommunication à des fins diverses (principalement Internet), ainsi que l'échange électronique d'informations précieuses qui doivent être protégées, ont nécessité des spécialistes travaillant dans ce domaine pour systématiser et rationaliser les exigences et les caractéristiques de base des systèmes informatiques en termes de assurer la sécurité. Cependant, avant de procéder à l'examen des normes formées, il est nécessaire de déterminer ce qu'est la sécurité.
Compte tenu de l'importance du concept, nous essaierons de formuler sa définition élargie, qui tiendra compte des derniers développements internationaux et nationaux dans ce domaine. Ainsi, la sécurité de l'information est un état de stabilité des données contre les influences accidentelles ou délibérées, excluant les risques inacceptables de leur destruction, déformation et divulgation, qui entraînent des dommages matériels pour le propriétaire ou l'utilisateur. Cette définition prend le plus pleinement en compte l'objectif principal d'un système informatique d'information commerciale - minimiser les pertes financières, maximiser les profits face aux risques réels.
Cette disposition est particulièrement pertinente pour les systèmes dits ouverts à usage public, qui traitent des informations classifiées d'accès limité qui ne contiennent pas de secrets d'État. Aujourd'hui, des systèmes de ce type se développent rapidement à la fois dans le monde et dans notre pays.
Il est bien connu que la normalisation est à la base de toutes sortes de méthodes pour déterminer la qualité des produits et des services. L'un des principaux résultats de ces activités dans le domaine de la systématisation des exigences et des caractéristiques des systèmes d'information sécurisés est devenu le Système de normes internationales et nationales de sécurité de l'information, qui comprend plus d'une centaine de documents différents. Un exemple est la norme ISO 15408 connue sous le nom de « Critères communs ».
La norme de base de sécurité de l'information ISO 15408, adoptée en 1998, est sans aucun doute très importante pour les développeurs russes. De plus, au cours de l'année 2001, Gosstandart prévoit de préparer une version harmonisée de ce document. L'Organisation internationale de normalisation (ISO) a commencé à élaborer une norme internationale pour les critères d'évaluation de la sécurité des technologies de l'information à usage général « Critères communs » en 1990. Sa création a réuni : le National Institute of Standards and Technology et la National Security Agency (USA), la Communications Security Institution (Canada), l'Information Security Agency (Allemagne), la National Communications Security Agency (Hollande), les organismes de mise en œuvre l'IT Security and Certification Program (Angleterre) , Center for Systems Security (France). Après l'approbation finale de la norme, le numéro ISO 15408 lui a été attribué.
Les Critères Communs (CC) sont créés pour la reconnaissance mutuelle des résultats des évaluations de sécurité informatique à l'échelle mondiale et en constituent le fondement. Ils vous permettent de comparer les résultats d'évaluations indépendantes de la sécurité de l'information et des risques acceptables sur la base d'un ensemble Exigences générales aux fonctions de sécurité des outils et systèmes informatiques, ainsi qu'aux garanties qui leur sont appliquées lors du processus de test.
Les principaux avantages de l'assurance qualité sont l'exhaustivité des exigences en matière de sécurité de l'information, la flexibilité d'application et l'ouverture pour un développement ultérieur, en tenant compte des dernières avancées scientifiques et technologiques. Les critères sont conçus pour répondre aux besoins des trois groupes d'utilisateurs (consommateurs, développeurs et évaluateurs) lors de l'étude des propriétés de sécurité d'un outil ou système informatique (sous réserve d'évaluation). Cette norme est utile comme guide dans le développement de fonctions de sécurité informatique, ainsi que dans l'achat de produits commerciaux ayant des propriétés similaires. L'orientation principale de l'évaluation concerne les menaces résultant d'actions malveillantes d'une personne, mais l'AQ peut également être utilisée pour évaluer les menaces causées par d'autres facteurs. À l'avenir, la création d'exigences spécialisées pour les prêts commerciaux et le secteur financier est attendue. Rappelons que les précédents documents nationaux et étrangers de ce type étaient liés aux conditions d'un système gouvernemental ou militaire qui traite des informations classifiées, qui peuvent contenir des secrets d'État.
La diffusion et la mise en œuvre de cette norme à l'étranger s'accompagnent du développement d'une nouvelle architecture normalisée, conçue pour assurer la sécurité de l'information des systèmes informatiques. En d'autres termes, du matériel informatique et des logiciels sont créés qui répondent aux critères généraux. Par exemple, l'organisation internationale « Open Group », réunissant environ 200 principaux fabricants de technologies informatiques et de télécommunications du monde entier, a publié une nouvelle architecture de sécurité de l'information pour les systèmes automatisés en tenant compte des critères spécifiés. De plus, l'Open Group crée des programmes de formation pour faciliter la mise en œuvre rapide et de qualité des documents de normalisation.
Pendant longtemps, il y a eu un certain nombre de comités sur le World Wide Web qui se consacrent à la normalisation de toutes les technologies Internet. Ces organisations, qui constituent l'essentiel de l'Internet Engineering Task Force (IETF), ont déjà standardisé plusieurs protocoles importants, accélérant ainsi leur adoption sur le Web. La famille de protocoles pour la transmission de données TCP/IP, SMTP et POP pour la messagerie électronique, et SNMP (Simple Network Management Protocol) pour la gestion de réseau sont les produits de l'IETF.
Au cours des dernières années, le marché des réseaux a connu une influence dite fragmentée sur la formation des normes. Au fur et à mesure qu'Internet s'est développé et est devenu un marché de consommation et commercial, certaines entreprises ont cherché des moyens d'influencer la normalisation en créant un semblant de concurrence. Même des organismes informels tels que l'IETF ont ressenti la pression. Au fur et à mesure que les marchés liés à Internet se développaient, les entrepreneurs ont commencé à former des groupes spéciaux ou des consortiums pour promouvoir leurs propres normes. Les exemples incluent le forum OMG (Object Management Group), VRML (Virtual Reality Markup Language) et Java Development Connection. Parfois, les consommateurs sérieux de services Internet fixent des normes de facto avec leurs achats ou leurs commandes.
L'une des raisons de l'émergence de différents groupes de normalisation est la tension entre le rythme toujours croissant du développement technologique et le long cycle de création de normes.
Pour assurer la sécurité sur Internet, les protocoles de transmission de données sécurisés sont populaires, à savoir SSL (TLS), SET, IP v. 6. Ils sont apparus relativement récemment et sont immédiatement devenus des normes de facto.
Le protocole réseau le plus populaire pour le cryptage des données pour une transmission sécurisée sur un réseau est un ensemble d'algorithmes, de méthodes et de règles cryptographiques pour leur application. Vous permet d'établir une connexion sécurisée, de surveiller l'intégrité des données et de résoudre diverses tâches connexes.
SET (Security Electronics Transaction) est un protocole prometteur qui permet de sécuriser les transactions électroniques sur Internet. Il repose sur l'utilisation de certificats numériques selon la norme X.509 et est destiné à organiser le commerce électronique sur un réseau.
Ce protocole est une norme développée par MasterCard et Visa avec la participation d'IBM, GlobeSet et d'autres partenaires. Il permet aux clients d'acheter des biens sur Internet en utilisant le mécanisme de paiement le plus sécurisé disponible aujourd'hui. SET est un protocole multilatéral standard ouvert permettant d'effectuer des paiements sur Internet à l'aide de cartes plastiques. Il fournit une authentification croisée du compte du titulaire de la carte, du commerçant et de la banque du commerçant pour vérifier la disponibilité du paiement, ainsi que l'intégrité et le secret du message, le cryptage des données précieuses et sensibles. SET peut être considéré comme une technologie standard ou un système de protocoles pour effectuer des paiements sécurisés basés sur des cartes plastiques sur Internet.
La spécification IPSec fait partie de la norme IP v. 6 et s'ajoute à la version actuelle des protocoles TCP/IP. Il est développé par le groupe de travail sur la sécurité IP de l'IETF. IPSec comprend actuellement trois spécifications de base indépendantes de l'algorithme qui représentent les normes RFC correspondantes.
IPSec fournit manière standard crypte le trafic sur la (troisième) couche IP du réseau et protège les informations sur la base d'un cryptage de bout en bout : quelle que soit l'application en cours d'exécution, chaque paquet de données passant par le canal est crypté. Cela permet aux organisations de créer des réseaux privés virtuels sur Internet. IPSec s'exécute sur les protocoles de communication courants, prenant en charge DES, MD5 et un certain nombre d'autres algorithmes cryptographiques.
La sécurité des informations au niveau du réseau à l'aide d'IPSec comprend :
De plus, IPSec présente deux avantages importants :
Historiquement, en Russie, les problèmes de sécurité informatique n'étaient étudiés et résolus en temps voulu que dans le domaine de la protection des secrets d'État. Pendant longtemps, des tâches similaires mais spécifiques du secteur commercial de l'économie n'ont pas trouvé de solutions appropriées. Ce fait freine encore considérablement l'émergence et le développement d'outils informatiques sécurisés sur marché intérieur qui s'intègre au système mondial. De plus, la protection de l'information dans un système automatisé commercial a ses propres caractéristiques qui doivent simplement être prises en compte, car elles ont un impact sérieux sur la technologie de sécurité de l'information. Citons les principaux :
Il est évident que la création d'un système informatique sécurisé traitant des informations confidentielles qui ne contiennent pas de secrets d'État est extrêmement importante pour la vie économique et financière de la Russie moderne. L'application en Russie de la norme harmonisée ISO 15408 ("Common Criteria"), reflétant les dernières réalisations mondiales en matière d'évaluation de la sécurité de l'information, permettra :
Parmi les différentes normes de sécurité des technologies de l'information qui existent dans notre pays, il convient de souligner un certain nombre de documents qui réglementent la protection de l'interconnexion des systèmes ouverts (tableau 1, lignes 1-3). Ils peuvent être complétés par des documents réglementaires sur les outils, systèmes et critères d'évaluation de la sécurité des technologies informatiques et des systèmes automatisés (voir tableau 1, lignes 4-8). Le dernier groupe de documents, ainsi que de nombreuses normes étrangères créées précédemment, se concentre principalement sur la protection des secrets d'État.
Tableau 1. Documents réglementaires réglementant l'évaluation de la sécurité informatique
№ p / p |
numéro de document | La description |
1 | GOST R ISO 7498-2-99 | Informatique. Interconnexion de systèmes ouverts. Modèle de référence de base. Partie 2. Architecture de sécurité de l'information |
2 | GOST R ISO / CEI 9594-8-98 | Informatique. Interconnexion de systèmes ouverts. Annuaire. Partie 8. Principes de base de l'authentification |
3 | GOST R ISO / CEI 9594-9-95 | Informatique. Interconnexion de systèmes ouverts. Annuaire. Partie 9. Duplication |
4 | - | Document d'orientation de la Commission technique d'État "RD. SVT. Pare-feu. Protection de la NSD à l'information. Indicateurs de sécurité de la NSD à l'information" (Commission technique d'État de Russie, 1997) |
5 | GOST R 50739-95 | "Installations informatiques. Protection contre l'accès non autorisé à l'information. Exigences techniques générales" |
6 | GOST 28147-89 | Systèmes de traitement de l'information. Protection cryptographique. Algorithme de transformation cryptographique |
7 | GOST R 34.10-94 | Informatique. Protection cryptographique informations. Procédures de génération et de vérification d'une signature électronique basée sur un algorithme cryptographique asymétrique |
8 | GOST R 34.11-94 | Informatique. Protection des informations cryptographiques. Fonction de hachage |
Toutes les normes actuellement disponibles sont à plusieurs niveaux. Cela signifie que leur utilisation est limitée à un certain niveau d'abstraction dans les systèmes d'information (par exemple, vous ne pouvez pas utiliser des « Critères Communs » pour décrire en détail le mécanisme de génération d'une clé de session dans le protocole TLS). De toute évidence, pour une application efficace des normes, il est nécessaire d'être bien conscient de leur niveau et de leur objectif.
Ainsi, il est préférable d'utiliser les dispositions de la norme ISO 15408 (« Critères communs ») lors de l'élaboration de la politique de sécurité et des systèmes d'évaluation des performances, ainsi que lors de la réalisation de tests de sécurité complexes. Pour la mise en œuvre et l'évaluation de la perfection technique des systèmes de cryptage et de signature numérique, les GOST correspondants sont destinés. Si vous devez protéger le canal pour l'échange d'informations arbitraires, il est conseillé d'utiliser le protocole TLS. Lorsqu'il s'agit non seulement de protéger la ligne de communication, mais aussi de sécuriser les transactions financières, SET entre en jeu, qui inclut les protocoles de protection des canaux comme l'une des normes de niveau inférieur.
Afin de démontrer l'importance pratique des dispositions énumérées, nous présentons une liste de normes de sécurité utilisées dans la mise en œuvre des services bancaires électroniques d'InterBank.
Le protocole SSL (TLS) peut être utilisé comme protection du canal d'échange d'informations dans les systèmes RS-Portal et Internet-Client. Les normes GOST 28147-89, GOST R 34.10-94 et GOST R 34.11-94, qui réglementent le cryptage des données et le mécanisme de signature électronique numérique, sont mises en œuvre dans tous les systèmes de crypto protection des sous-systèmes de type « client-banque » (« DOS Client", "Client Windows", "Client Internet").
En utilisant le protocole IPSec, vous pouvez protéger de manière transparente tout canal de communication entre le client et la banque à l'aide du protocole réseau IP. Cela s'applique à la fois aux systèmes Internet (RS-Portal et "Internet-Client"), ainsi qu'au système de messagerie RS-Mail, qui prend en charge le travail sur IP.
Nous espérons que les informations fournies dans l'article vous aideront à évaluer la fiabilité de vos systèmes, et que les efforts et le temps des développeurs seront consacrés à la création d'outils vraiment meilleurs qui deviendront une nouvelle étape dans le développement des technologies de sécurité de l'information.
Assurer la sécurité des systèmes d'information en maintenant, c'est impossible sans une création compétente et de haute qualité de systèmes de sécurité de l'information. Cela a déterminé le travail de la communauté mondiale pour systématiser et rationaliser les exigences et les caractéristiques de base de ces systèmes en termes de sécurité de l'information.
L'un des principaux résultats de ces activités a été systèmenormes internationales et nationalessécurité des informations, qui contient plus d'une centaine de documents différents.
Cela est particulièrement vrai pour les soi-disant systèmes ouverts à usage commercial traitement d'informations d'accès limité, ne contenant pas de secrets d'État, et en plein développement dans notre pays.
Sous systèmes ouverts comprendre un ensemble d'équipements informatiques et de télécommunications de toute sorte de fabrication différente, dont le fonctionnement en commun est assuré par le respect des exigences des normes, principalement internationales.
Le terme " ouvert "implique également que si un système informatique est conforme aux normes, alors il sera ouvert à l'interconnexion avec tout autre système conforme aux mêmes normes. Ceci s'applique notamment aux mécanismes de protection cryptographique des informations ou de protection contre les accès non autorisés ( NSD) aux informations.
Spécialistes de la sécurité de l'information ( IB) aujourd'hui, il est presque impossible de se passer de la connaissance des normes pertinentes.
En premier, les normes et les spécifications sont l'une des formes d'accumulation de connaissances, principalement sur les niveaux procéduraux et techniques logiciels de la sécurité de l'information. Ils contiennent des solutions et des méthodologies éprouvées et de haute qualité, développées par les spécialistes les plus qualifiés.
Deuxièmement , les deux sont le principal moyen d'assurer la compatibilité mutuelle des systèmes matériels et logiciels et de leurs composants, et en l'Internet: -la communauté cet outil fonctionne vraiment, et est assez efficace.
Récemment, dans différents pays, une nouvelle génération de normes de sécurité de l'information est apparue, dédiée aux problèmes pratiques de gestion de la sécurité de l'information d'une entreprise. Il s'agit avant tout de normes internationales et nationales de gestion de la sécurité de l'information. ISO 15408, ESTVers 17799 (BS7799), BSI; normes d'audit des systèmes d'information et de l'information
ennuyer la sécurité PSBjeT,SUNEC, COSO et quelques autres qui leur ressemblent.
Les normes internationales revêtent une importance particulière ISO 15408, ISO 17799 servir de base à tout travail de terrain sécurité de l'information, y compris l'audit.
ISO 15408 - définit détaillé exigences en matière de logiciels et de matériel pour la protection des informations.
ISO 17799 - concentré sur les questions organisation et gestion de la sécurité.
Utilisation de l'international et du national normes assurer la sécurité de l'information contribue à la résolution des cinq tâches suivantes :
- En premier , définir les objectifs d'assurer la sécurité de l'information des systèmes informatiques ;
- Deuxièmement , la création d'un système efficace de gestion de la sécurité de l'information ;
- troisième , calcul d'un ensemble d'indicateurs détaillés non seulement qualitatifs, mais aussi quantitatifs pour évaluer la conformité de la sécurité de l'information avec les objectifs affichés ;
- quatrièmement , l'utilisation d'outils pour assurer la sécurité de l'information et évaluer son état actuel ;
- cinquième , l'utilisation de techniques de gestion de la sécurité avec un système de métriques et de mesures d'accompagnement bien fondé pour les développeurs de systèmes d'information, qui permettent d'évaluer objectivement la sécurité des actifs informationnels et de gérer la sécurité de l'information d'une entreprise.
L'accent est mis sur la norme internationale ISO/ 15408 et son russe analogue de GOST R ISO / MEK15408-2002 "Critères d'évaluation de la sécurité des technologies de l'information" et Caractéristiques "l'Internet-communautés".
Audit la sécurité de l'information repose sur l'utilisation de nombreuses recommandations, qui sont énoncées principalement dans les normes internationales IB.
À partir du début années 80, des dizaines de normes internationales et nationales dans le domaine de la sécurité de l'information ont été créées, qui se complètent dans une certaine mesure.
Le cours aborde les normes les plus importantes dont la connaissance est nécessaire aux développeurs et évaluateurs d'outils de sécurité, aux administrateurs système, aux responsables de services de sécurité de l'information, aux utilisateurs selon la chronologie de leur création, notamment :
Critère d'évaluation de la fiabilité systèmes informatiques « Livre orange"(ETATS-UNIS);
Critères harmonisés des pays européens;
Norme allemande BSI;
Norme britannique BS 7799 ;
Standard " Critères généraux "ISO 15408;
Standard ISO 17799;
Standard COBIT
Ces normes peuvent être divisées en deux types différents :
Normes d'évaluation , visant à la classification des systèmes d'information et des moyens de protection en fonction des exigences de sécurité ;
Spécifications techniques réglementant divers aspects de la mise en œuvre des équipements de protection.
Il est important de noter que entre ces types de réglementations il n'y a pas de mur blanc, au contraire, il y a une relation logique.
Normes d'évaluation mettre en évidence les aspects les plus importants, du point de vue de la sécurité de l'information, de la propriété intellectuelle, jouer le rôle de cahier des charges architectural.
Spécifications techniques déterminer comment construire un SI d'une architecture prescrite. Voici les caractéristiques de ces normes.
2. Critères d'évaluation des systèmes informatiques de confiance
(« Livre Orange")
Articles Liés: | |
Comment passer de l'ancienne Apple Watch à la nouvelle Apple Watch ne se synchronisera pas avec l'iPhone
À l'automne 2014, Apple a présenté au monde la "montre intelligente" Apple ... Comment personnaliser un bureau iPhone convivial : conseils utiles pour organiser correctement votre écran d'accueil
De nombreux propriétaires d'iPhone et d'iPad ont probablement rencontré un problème lorsque ... Quelle est la différence entre la bibliothèque musicale iCloud et le flux de photos Qu'est-ce que cela signifie d'enregistrer dans le flux de photos
Les appareils IOS ont des fonctionnalités telles que Camera Roll et Photo Stream .... |