Какой стандарт информационной безопасности появился первым. Основные международные стандарты в области информационной безопасности

27.06.2020

Специалистам в области информационной безопасности сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин. Формальная состоит в том, что необходимость следования некоторым стандартам, таким как «криптографические» стандарты или «руководящие документы» закреплена законодательно. Однако наиболее убедительны содержательные причины.

Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях информационной безопасности. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых, и те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

В-третьих перед стандартами информационной безопасности стоит непростая задача примирить три разные точки зрения, «производителя средств защиты», «потребителя» и различных «специалистов по сертификации», а так же создать эффективный механизм взаимодействия всех сторон.

Потребители заинтересованы в методах, позволяющих выбрать продукт, соответствующий их запросам и решающий их проблемы, это может быть в том числе и VPS под управлением ОС Wшndows Server, для чего им необходима шкала оценки безопасности. А так же потребителю необходим инструмент, с помощью которого он сможет сформулировать свои требования перед произво¬дителем. К большому сожалению, многие потребители зачастую не пони¬мают, что требования безопасности обязательно противоречат не только удобству работы но быстродействию, а чаще накладывают определенные ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных, удобных в использовании, но менее защищенных средств.

Специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности и предоставить потребителям возможность сделать для себя наиболее эффективный выбор.

Одним из первых и наиболее известных документов стала так называемая «Оранжевая книга» разработанная в 90-х как «Критерии безопасности компьютерных систем» Министерства обороны США. В ней определены 4 уровня безопасности, A, B, C, D, где А наиболее высокий уровень безопасности, в котором, соответственно, предъявляются самые жесткие требования.

Хоть «Оранжевая книга» и стала одной из первых наиболее известных документов, однако понятно, что каждое государство, которое хочет обеспечить свою информационную безопасность, разрабатывало свою документацию - «национальные стандарты», в сфере информационной безопасности. К ним можно отнести «Европейские критерии безопасности информационных технологий», «Канадские критерии безопасности компьютерных систем», а так же «Британские практические правила управления информационной безопасностью» на основе которого, кстати, создан международный стандарты ISO/IEC 17799:2000 (BS 7799-1:2000). В данный момент последняя версия стандарта ISO/IEC 27001:2013, а так же «Руководящие документы Гостехкомиссии СССР» (а позднее России).

Следует отметить, что американцы высоко оценили деятельность «Гостехкомиссии СССР». В американских изданиях писали, что советский орган по защите информации и противодействию технической разведке тщательнейшим образом изучает все, что известно на Западе о Советском Союзе, и разрабатывает «огромное количество материалов в целях искажения действительной картины». Комиссия, как сообщали они, контролирует все военные парады и учения, на которых присутствуют иностранцы, строительство ракетных баз и казарм, при этом в некоторых областях достижения умышленно скрываются, в других таких как противоракетная оборона, значительно преувеличиваются. Деятельность Гостехкомиссии на данном направлении действительно очень скоро принесла свои первые плоды. Как писала американская газета «Нью-Йорк Таймс», уже в 1977 г. вследствие мер, принятых на судостроительных заводах и верфях СССР, у американцев возникли проблемы с контролем за ходом строительства советских подводных лодок.

Результатами работы «Гостехкомиссии СССР» в советский период стало не только повышение защищенности информации на предприятиях ВПК, испытаний новых видов вооружения на полигонах. Была проведена серьезная работа по обеспечению безопасности информации, обрабатываемой в АСУ и ЭВМ, в частности, созданы защищенные системы управления ЭВМ и средства обработки конфиденциальных документов, исключающие утечку секретной информации, внедрены каналы связи на уровне правительственных органов и высшего командования Советской Армии и многое другое.

Так же нельзя не отметить что ранее указанная роль стандартов зафиксирована и в Федеральном законе "О техническом регулировании " от 27.12.2002 N 184-ФЗ

Необходимо отметить, что в число принципов стандартизации, провозглашенных в упомянутом законе, в Статье 7 «Содержание и применение технических регламентов» входит принцип применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям, техническим или технологическим особенностям или по иным основаниям, или если Российская Федерация, выступала против принятия международного стандарта или отдельного его положения.

Статья 7. Пункт 8:

Международные стандарты должны использоваться полностью или частично в качестве основы для разработки проектов технических регламентов, за исключением случаев, если международные стандарты или их разделы были бы неэффективными или не подходящими для достижения установленных статьей 6 настоящего Федерального закона целей, в том числе вследствие климатических и географических особенностей Российской Федерации, технических и (или) технологических особенностей. (в ред. Федерального закона от 18.07.2009 N 189-ФЗ)
Национальные стандарты Российской Федерации могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов.

Так как с практической точки зрения, количество стандартов и спецификаций, включая международные, национальные и отраслевые в области информационной безопасности бесконечно, приведем только некоторые из них, полный список национальных стандартов предоставлен на сайте ФСТЭК России в соответствующем разделе «Национальные стандарты».

Обозначение	Наименование на русском языке
ГОСТ Р 50739-95	Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
ГОСТ Р 50922-2006	Защита информации. Основные термины и определения
ГОСТ Р 51188-98	Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство
ГОСТ Р 51583-2014	Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
ГОСТ Р 53110-2008	Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
ГОСТ Р 53111-2008	Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
ГОСТ Р 53113.1-2008	Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения
ГОСТ Р 53113.2-2009	Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов
ГОСТ Р 54581-2011 / I SO/IEC TR 15443-1:2005	Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы
ГОСТ Р 54582-2011 / ISO/IEC TR 15443-2:2005	Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия
ГОСТ Р 54583-2011 / ISO/IEC TR 15443-3:2007	Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия
ГОСТ Р ИСО 7498-1-99	Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель
ГОСТ Р ИСО 7498-2-99	Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
ГОСТ Р ИСО/МЭК ТО 13335-5-2006	Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети
ГОСТ Р ИСО/МЭК 15408-1-2012	Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

Для примера рассмотрим ГОСТ Р 53113.2-2009 «Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов».

В данном стандарте представлены не только общая схема функционирования скрытых каналов в автоматизированной системе, правила формирования модели угроз, но и различные рекомендации по защите информации и применяемые при построении системы информационной безопасности методики, учитывающие наличие подобных скрытых каналов.

Ниже на рисунке 1, представлена общая схема функционирования скрытых каналов в автоматизированной системе.

Рисунок 1 - Общая схема механизма функционирования скрытых каналов в автоматизированной системе

1 - нарушитель безопасности (злоумышленник), целью которого является несанкционированный доступ к информации ограниченного доступа либо несанкционированное влияние на автоматизированную систему;
2 - информация ограниченного доступа либо критически важная функция;
3 - субъект, имеющий санкционированный доступ к 2 и 5;
3" - агент нарушителя безопасности, находящийся в замкнутом контуре с 2 и взаимодействующий с 2 от имени субъекта 3;
4 - инспектор (программное, программно-аппаратное, аппаратное средство или лицо), контролирующий(ее) информационное взаимодействие 3, пересекающее замкнутый контур, отделяющий объект информатизации от внешней среды;
5 - субъект, находящийся вне замкнутого контура, с которым 3 осуществляет санкционированное информационное взаимодействие

Угрозы безопасности, которые могут быть реализованы с помощью скрытых каналов, включают в себя:

1. Внедрение вредоносных программ и данных;
2. Подачу злоумышленником команд агенту для выполнения;
3. Утечку криптографических ключей или паролей;
4. Утечку отдельных информационных объектов.

Защита информации, информационных технологий и автоматизированных систем от атак, реализуемых с использованием скрытых каналов, является циклическим процессом, включающим в себя следующие этапы, повторяющиеся на каждой из итераций процесса:

1. Анализ рисков для активов организации, включающий в себя выявление ценных активов и оценку возможных последствий реализации атак с использованием скрытых каналов
2. Выявление скрытых каналов и оценка их опасности для активов организации
3. Реализация защитных мер по противодействию скрытых каналов
4. Организация контроля за противодействием скрытых каналов.

Цикличность процесса защиты от угроз информационной безопасности, реализуемых с использованием скрытых каналов, определяется появлением новых способов построения скрытых каналов, неизвестных на момент предыдущих итераций.

На основании оценки опасности скрытых каналов с учетом результатов проведенного анализа рисков делается вывод о целесообразности или нецелесообразности противодействия таким каналам.

По результатам выявления скрытых каналов формируется план мероприятий по противодействию угрозам, реализуемым с их использованием. Данные мероприятия могут включать в себя реализацию одного из уже известных (либо усовершенствование уже существующих) методов противодействия угрозам информационной безопасности, реализуемым с использованием скрытых каналов.

В качестве защитных мероприятий целесообразно использовать:

1. Снижение пропускной способности канала передачи информации;
2. Архитектурные решения построения автоматизированных систем;
3. Мониторинг эффективности защиты автоматизированных систем.

Выбор методов противодействия угрозам информационной безопасности арендуемого вами VDS сервера, реализуемым с использованием скрытых каналов и формирование плана по их реализации определяется экспертами, исходя из индивидуальных особенностей защищаемой автоматизированной системы.

Как видите, даже краткий перечень стандартов, далеко не краткий, не говоря уже о нормативных актах и рекомендациях, однако необходимо обладать хотя бы базовыми знаниями в данной области, чтобы можно было не только ориентироваться но и применять на практике необходимые стандарты.

Отрадно, что рынок понимает важность и необходимость ИБ, и его внимание к вопросам ИБ неустанно растет.

Чтобы объяснить эту тенденции далеко ходить не надо: на слуху громкие компрометации информационных систем, которые приносят существенные финансовые и репутационные потери. В ряде случаев они стали и вовсе необратимыми для конкретного бизнеса. Таким образом безопасность собственной информации для организации становится не только залогом ее бесперебойной работы, но и критерием надежности для ее партнеров и клиентов.

Рынок играет по единым правилам, а критерии для измерения уровня текущей защищенности и эффективности процессов управления ИБ едины для всех его игроков. В их роли выступают стандарты, которые призваны помочь компании создать требуемый уровень защиты информации. К самым популярным в банковской сфере России можно отнести стандарт ISO/IEC 27000, стандарт Банка России по обеспечению информационной безопасности организаций банковской системы и стандарт безопасности данных инфраструктуры платежных карт PCI DSS.

Международная Организация по Стандартизации (ISO) и Международная Электротехническая Комиссия (IEC) разработали и опубликовали стандарты серии ISO/IEC 27000. Они содержат рекомендации к построению системы управления информационной безопасности. Аккредитованные компании-аудиторы имеют право совершать сертификацию по стандартам, руководствуясь заложенными в них требованиями.

Отсутствие строгого требования по выполнению Стандарта для участников российского рынка выливается в то, что его распространенность достаточно низкая. Например, в одной только Японии число компаний, удачно прошедших аудит по выполнению требования международного стандарта, больше аналогичного показателя для России и стран СНГ почти в 200 раз.

При этом нельзя не отметить, что в этот расчет не попадают компании, которые по факту выполняют требования Стандарта, но не прошли формальную сертификацию. Иными словами, на территории России и стран СНГ есть множество компаний, решивших выстроить процессы управления и поддержания уровня ИБ не ради «галочки» в виде сертификата соответствия, а для реальной пользы. Все дело в том, что часто стандарты серии 27000 являются первым шагом в развитии систем ИБ. А их использование в качестве ориентира - тот базис, которые предполагает дальнейшее строительство и развитие эффективной системы менеджмента ИБ.

ИББС СТО БР - достаточно близкий ISO/IEC 27001 стандарт, созданный Банком России для организаций банковской сферы, призванный обеспечить приемлемый уровень текущего уровня информационной безопасности и процессов управления безопасностью банков. Основными целями при создании были заявлены - повышение уровня доверия к банковской сфере, обеспечение защиты от угроз безопасности и снижение уровня ущерба от инцидентов ИБ. Стандарт является рекомендательным и до версии 2010 года особой популярностью не пользовался.

Активное внедрение ИББС СТО БР началось с выхода версии стандарта, включающей в себя требования по обеспечению безопасности персональных данных, и последующего за этим информационного письма, определяющего принятие к выполнению требований стандарта альтернативным путем выполнения законодательства в области обеспечения безопасности персональных данных. На настоящий момент по неофициальной статистике порядка 70% банков приняли стандарт Банка России в качестве обязательного к выполнению.

Стандарт ИББС БР является достаточно динамично развивающимся комплектом документов, с адекватными современным угрозам требованиями к обеспечению и управлению информационной безопасности. Использование его в Банках уже становится де-факто необходимым, несмотря на официальный рекомендательный статус, для организаций нефинансовой сферы документы комплекса ИББС могут послужить набором хороших практик в обеспечении безопасности информации.

Наконец, еще один крайне важный для финансовых организаций стандарт - Payment Card Industry Data Security Standard (PCI DSS, Стандарт безопасности данных индустрии платежных карт). Он был создан по инициативе пяти крупнейших мировых платежных систем - Visa, MasterCard, JCB, American Express и Discover, организовавших Совет по безопасности индустрии платежных карт (PCI SSC). Обслуживание платежных карт должно осуществляться по единым правилам и соответствовать определенному уровню ИБ. Очевидно, что безопасность - ключевой фактор при использовании технологий, связанных с денежными средствами. Поэтому защита данных платежных карт - это приоритетная задача любой платежной системы.

Ключевое отличие стандарта PCI DSS от перечисленных выше - его обязательное применение для всех организаций, обрабатывающих платежные карты. При этом требования к оценке соответствия достаточно гибкие - они зависят от числа обрабатываемых транзакций: от самостоятельной оценки до прохождения сертификационного аудита. Последний проводится компанией, имеющей статус PCI QSA.

Ключевой особенностью появления стандарта PCI DSS было обозначение крайних сроков по приведению к соответствию. Это привело к тому, что большинство крупных игроков индустрии платежных карт проделали работу по выполнению требований. В результате это отразилось на общем уровне защищенности как отдельных участников, так и всей индустрии безналичной оплаты.

Хотя появление стандарта и было инициативой крупнейших игроков индустрии платежных систем, он может найти свое применение и стать ориентиром для организаций, с этой индустрией не связанных. Главное преимущество его использования - постоянные обновления и, как следствие, актуальные меры и рекомендации по снижению угроз ИБ.

Применение стандартов и соответствие их требованиям, несомненно, является хорошей практикой и большим шагом вперед при выстраивании системы информационной безопасности. Но, к сожалению, есть примеры того, как сам факт соответствия не гарантирует высокий уровень защищенности. Действие сертификата распространяется на определенный период, когда процедуры, сделанные исключительно для формального соответствия, перестают работать. Таким образом может получиться, что состояние системы ИБ в организации на момент проведения аудита не соответствует оценке, сделанной через полгода.

К тому же при анализе возможных рисков нельзя исключать человеческий фактор, который может означать ошибку самих аудиторов в определении области проверки, состава проверяемых компонентов и общих выводах.

В заключение хотелось бы отметить, что соответствие стандартам не отменяет постоянный процесс обеспечения безопасности критичной информации. Идеальной безопасности не бывает, но использование разных инструментов позволяет добиться максимального уровня ИБ. Стандарты ИБ являются как раз таким инструментом.

Оценить:

0 4

Обеспечить безопасность информационных систем в настоящее время невозможно без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации.

Одним из главных результатов подобной деятельности стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов.

Это особенно актуально для так называемых открытых систем коммерческого применения , обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране.

Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.

Термин "открытые " подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.

Специалистам в области информационной безопасности (ИБ ) сегодня почти невозможно обойтись без знаний соответствующих стандартов.

Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых , и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в internet :-сообществе это средство действительно работает, и весьма эффективно.

В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO 15408, IS О 17799 (В S 7799), В SI ; стандарты аудита информационных систем и нформаци-

онной безопасности СОВ I Т, S А C , СО S О и некоторые другие, аналогичные им.

Особое значение имеют международные стандарты ISO 15408, ISO 17799 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита.

ISO 15408 - определяет детальные требования, предъявляемые к программно-техническим средствам защиты информации.

ISO 17799 - сосредоточен на вопросах организации и управления безопасностью.

Использование международных и национальных стандартов обеспечения информационной безопасности способствует решению следующих пяти задач:

- во-первых , определение целей обеспечения информационной безопасности компьютерных систем;

- во-вторых , создание эффективной системы управления информационной безопасностью;

- в третьих , расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;

- в четвертых , применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;

- в пятых , использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем,позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.

Основное внимание уделяется международному стандарту ISO / 15408 и его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных технологий» а также спецификациям « Internet -сообществ».

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартахИБ .

Начиная с начала 80-х годов , были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга.

В лекции рассматриваются наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе:

Критерий оценки надежности компьютерных систем «Оранжевая книга » (США);

Гармонизированные критерии европейских стран ;

Германский стандарт BSI ;

Британский стандарт BS 7799 ;

Стандарт «Общие критерии» ISO 15408;

Стандарт ISO 17799;

Стандарт COBIT

Эти стандарты можно разделить на два разных вида:

Оценочные стандарты , направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

Технические спецификации , регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены, напротив,существует логическая взаимосвязь .

Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС,играя роль архитектурных спецификаций .

Технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.

2. Критерии оценки доверенных компьютерных систем

(«Оранжевая книга»)

В.В. Тихоненко Руководитель Союза специалистов-экспертов по качеству (г. Киев, Украина), к.тех.н., Генеральный директор ЭКТЦ "ВАТТ"

В статье приведено описание основных международных и национальных стандартов безопасности. Рассмотрены определения терминов «безопасность», «опасность», «риск». Сделаны предположения о возможности применения для описания опасностей принципов неопределенности Гейзенберга и дополнительности Бора.

Что такое «безопасность»?

Обеспечение безопасности — одно из важнейших требований, которое должны выполнять все, везде и всегда, так как любая деятельность потенциально опасна. Безопасность связана с риском (они взаимозависимы). Рассмотрим определения этих понятий, приведенные в стандартах .

Безопасность — отсутствие недопустимого риска .

Опасность — потенциальный источник возникновения ущерба .

Риск — эффект от неопределенности целей .

Таким образом, безопасность характеризуется не отсутствием риска вообще, а только отсутствием недопустимого риска. Стандарты определяют допустимый риск как «оптимальный баланс между безопасностью и требованиями, которым должны удовлетворять продукция, процесс или услуга, а также такими факторами, как выгодность для пользователя, эффективность затрат, обычаи и др.». Стандарт , часто используемый предприятиями, трактует допустимый (приемлемый) риск как «риск, уменьшенный до уровня, который организация может допустить, учитывая свои законодательные обязательства и собственную политику в области гигиены и безопасности труда».

В стандартах регламентированы способы уменьшения риска (в порядке приоритетов):

разработка безопасного проекта;
защитные устройства и персональное защитное оборудование (это коллективные и индивидуальные средства защиты — прим. авт.);
информация по установке и применению;
обучение.

Типы стандартов безопасности

Согласно могут быть следующие типы стандартов безопасности:

основополагающие, включающие в себя фундаментальные концепции, принципы и требования, относящиеся к основным аспектам безопасности. Эти стандарты применяют для широкого диапазона видов продукции, процессов и услуг;
групповые, содержащие аспекты безопасности, применимые к нескольким видам или к семейству близких видов продукции, процессов или услуг. В этих документах делают ссылки на основополагающие стандарты безопасности;
стандарты безопасности продукции, включающие в себя аспекты безопасности определенного вида или семейства продукции, процессов или услуг. В этих документах делают ссылки на основополагающие и групповые стандарты;
стандарты на продукцию, содержащие аспекты безопасности, но касающиеся не только этих вопросов. В них должны быть сделаны ссылки на основополагающие и групповые стандарты безопасности. В таблице приведены примеры международных стандартов, относящихся к перечисленным типам. Можно рекомендовать ознакомиться с табл. 1 стандарта , в которой указаны международные, европейские и российские нормативные документы, содержащие требования к характеристикам функции безопасности.

Задание требований безопасности в регламентах/стандартах должно основываться на анализе риска причинения вреда людям, имуществу или окружающей среде или их сочетанию - так говорится в стандартах . На рисунке схематически приведены основные риски предприятия с указанием стандартов управления рисками.

Возможно, для описания и анализа опасностей и рисков можно было бы применять дельта-функции Дирака и функции Хевисайда, так как переход от допустимого к недопустимому риску — скачкообразный.

Принципы и средства обеспечения безопасности

Теоретически можно выделить следующие принципы обеспечения безопасности:

управленческие (адекватности, контроля, обратной связи, ответственности, плановости, стимулирования, управления, эффективности);
организационные (защиты временем, информации, резервирования, несовместимости, нормирования, подбора кадров, последовательности, эргономичности);
технические (блокировки, вакуумирования, герметизации, защиты расстоянием, компрессии, прочности, слабого звена, флегматизации, экранирования);
ориентирующие (активности оператора, замены оператора, классификации, ликвидации опасности, системности, снижения опасности).

Остановимся подробнее на принципе классификации (категорирования). Он состоит в делении объектов на классы и категории по признакам, связанным с опасностями. Примеры: санитарнозащитные зоны (5 классов), категории производств (помещений) по взрывопожарной опасности (А, Б, В, Г, Д), категории/классы по директивам АТЕХ (3 категории оборудования, 6 зон), классы опасности отходов (5 классов — в России, 4 класса — в Украине), классы опасности веществ (4 класса), классы опасности при перевозках опасных грузов (9 классов) и др.

Информация
По расчетам Гейнриха на один несчастный случай со смертельным исходом приходится около 30 травм с менее тяжелыми последствиями и около 300 других инцидентов, которые могут пройти практически незамеченными. При этом косвенные экономические затраты на ликвидацию последствий в четыре раза превышают прямые.

Справка

около 20% всех неблагоприятных событий связаны с отказами оборудования, а 80% - с человеческой ошибкой, из которых 70% ошибок произошли из-за скрытых организационных слабостей (ошибки скрывались, не было реакции на них), а около 30% связаны с индивидуальным работником.

Рис. Риски компании (пример) и применимые к ним стандарты

Примечания:

ЕСО — Европейские стандарты оценки (Европейская группа оценщиков TEGoVA);

МСО — Международные стандарты оценки (имущества);

МСФО — Международные стандарты финансовой отчетности (IFRS);

BASEL II — соглашение «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» Базельского комитета по банковскому надзору;

BRC — The British Retail Consortium Global standards (Стандарты Консорциума Британской торговли);

COBIT — Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий» — пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности); COSO — Committee of Sponsoring Organizations of the Treadway Commission (стандарт комитета спонсорских организаций комиссии Тредвея);

FERMA — Federation of European Risk Management Associations (стандарт Федерации европейских ассоциаций риск-менеджеров); GARP — Global Association of Risk Professionals (стандарт Ассоциации риск-профессионалов);

IFS — International Featured Standards (Международные стандарты по производству и реализации продуктов питания);

ISO/PAS 28000 — Specification for security management systems for the supply chain (Системы менеджмента безопасности цепи поставок. Технические условия);

NIST SP 800-30 — Risk Management Guide for Information Technology Systems (Руководство по управлению рисками в системах информационных технологий).

Таблица. Стандарты безопасности (примеры)

	Тип стандартов	примеры стандартов
	Основополагающие стандарты	ISO 31000 Risk management — Principles and guidelines (Менеджмент риска. Принципы и руководства); IEC/ ISO 31010 Risk management — Risk assessment techniques (Менеджмент риска. Методы оценки риска); BS 31100 Risk management.Code of practice (Менеджмент риска. Практический кодекс); BS 25999 Business continuity management (part 1, part 2) (Управление непрерывностью бизнеса, ч. 1, 2); IEC 61160 Risk management. Formal design review (Менеджмент риска. Формальный анализ проекта); BS OHSAS 18001 Occupational health and safety management systems. Requirements. (Системы менеджмента безопасности труда и здоровья. Требования); GS-R-1 Legal and Governmental Infrastructure for Nuclear, Radiation, Radioactive Waste and Transport Safety. Requirements (Законодательная и правительственная инфраструктура для ядерной и радиационной безопасности, безопасности радиоактивных отходов и транспортировки); ISO 22000:2005 Food safety management systems — Requirements for any organization in the food chain (Системы управления безопасностью пищевой продукции. Требования для любой организации в пищевой цепочке)
	Групповые стандарты	ISO 14121 Safety of machinery — Risk assessment (Безопасность машин. Оценка риска); ISO 12100 Safety of machinery — Basic concepts, general principles for design (Безопасность машин. Базовые концепции, основные принципы для проектирования); ISO 13849 Safety of machinery — Safety-related parts of control systems (Безопасность машин. Безопасность частей систем контроля); ATEX 95 directive 94/9/EC, Equipment and protective systems intended for use in potentially explosive atmospheres (Директива 94/9/EC. Оборудование и защитные системы, предназначенные для применения в потенциально взрывоопасных атмосферах); ATEX 137 directive 99/92/EC, Minimum requirements for improving the safety and health protection of workers potentially at risk from explosive atmospheres (Директива 1999/92EC. Минимальные требования для улучшения безопасности, охраны труда и здоровья работников, а также потенциального риска от взрывоопасной атмосферы); IEC 62198 Project Risk Management — Application Guidelines (Управление риском проекта. Руководство по применению); ISO 15190 Medical laboratories — Requirements for safety (Медицинские лаборатории. Требования к безопасности); ISO 14971 Medical devices — Application of risk management to medical devices (Медицинские приборы. Применение менеджмента риска к медицинским приборам); ISO 14798 Lifts (elevators), escalators and moving walks — Risk assessment and reduction methodology (Лифты, эскалаторы и конвейеры. Методология оценки и снижения риска); ISO 15408 Information technology — Security techniques — Evaluation criteria for IT security (Информационная технология. Критерии оценки для безопасности информационной технологии)
	Стандарты на безопасность продукции	ISO 10218 Robots for industrial environments — Safety requirements (Промышленные роботы. Требования безопасности); IEC 61010-1:2001 Safety requirements for electrical equipment for measurement, control, and laboratory use-Part 1: General requirements (Требования безопасности к оборудованию для измерений, контроля и лабораторного применения. Часть 1: Основные требования); IEC 60086-4:2000-Primary batteries-Part 4: Safety of lithium batteries. (Батареи первичные. Часть Часть 4: Безопасность литиевых батарей); EC 61199 Single-capped fluorescent lamps. Safety specifications (Лампы люминесцентные одноцокольные. Требования безопасности); IEC 60335 Household and similar electrical appliances — Safety (Приборы электрические бытового и аналогичного назначения. Безопасность); IEC 60065 Audio, video and similar electronic apparatus — Safety requirements (Аудио, видео и подобная электронная аппаратура. Требования безопасности); EN 692 Mechanical presses — Safety (Механические прессы. Безопасность); EN 50088 Safety of electric toys (Безопасность электрических игрушек)
	Стандарты на продукцию	Standards of Codex Alimentarius Commission. (Стандарты Комиссии Кодекс Алиментариус на продукцию CODEX STAN 12-1981, CODEX STAN 13-1981 и др.); ISO 3500:2005 Gas cylinders — Seamless steel CO2 cylinders for fixed fire-fighting installations on ships (Баллоны газовые. Стальные бесшовные баллоны с углекислым газом для судовых стационарных пожарных установок); ISO 4706:2008 Gas cylinders — Refillable welded steel cylinders — Test pressure 60 bar and below (Баллоны газовые. Баллоны стальные сварные заправляемые. Испытательное давление 60 бар и ниже); EN 13109:2002 LPG tanks. Disposa (Баллоны для сжиженного газа. Использование); EN 13807:2003 Transportable gas cylinders. Battery vehicles. Design, manufacture, identification and testing (Баллоны газовые переносные. Аккумуляторные автомобили. Проектирование, изготовление, идентификация и испытания); ГОСТ 10003-90. Стирол. Технические условия; ГОСТ 10007-80. Фторопласт-4. Технические условия; ГОСТ 10121-76. Масло трансформаторное селективной очистки. Технические условия; ГОСТ 10037-83. Автоклавы для строительной индустрии. Технические условия

Средства обеспечения безопасности делятся на средства коллективной (СКЗ) и индивидуальной защиты (СИЗ). В свою очередь, СКЗ и СИЗ делятся на группы в зависимости от характера опасностей, конструктивного исполнения, области применения и т.д.

Основные стандарты безопасности

В Европейском Союзе требования по оценке профессиональных рисков содержатся в:

Директиве 89/391/ЕЕС (требования по введению оценки профессиональных рисков в государствахчленах ЕС);
индивидуальных директивах Евросоюза о безопасности труда на рабочих местах (89/654/ЕЕС, 89/655/ЕЕС, 89/656/ЕЕС, 90/269/ЕЕС, 90/270/ ЕЕС, 1999/92/ЕС и др.) и о защите работников от химических, физических и биологических рисков, канцерогенов и мутагенов (98/24/ЕС, 2000/54/ЕС, 2002/44/ЕС, 2003/10/ ЕС, 2004/40/ЕС, 2004/37/ЕС и др.) Свое особое место в сфере безопасности занимают и АТЕХ директивы ЕС — одна для изготовителей, а другая для пользователей оборудования:
«ATEX 95 оборудование» (Директива 94/9/EC) — оборудование и защитные системы, предназначенные для применения в потенциально взрывоопасных атмосферах;
«ATEX 137 рабочее место» (Директива 1999/92/EC) — минимальные требования для улучшения безопасности, охраны труда и здоровья работников, подвергаемых потенциальному риску от воздействия взрывоопасной атмосферы.

Учитывая важность оценки профессиональных рисков для безопасности труда на рабочих местах, Европейское агентство по обеспечению здоровья и безопасности работников в 1996 г. опубликовало Руководство о порядке проведения оценки рисков (Guidance on risk assessment at work) и постоянно добавляет много полезных примеров для определения опасностей при оценке профессиональных рисков.

В целом также и требования европейской Директивы REACH направлены на обеспечение безопасности. Эта система основана на управлении рисками, связанными с веществами, которые содержатся в химических соединениях, а в отдельных случаях и в изделиях.

Важное место занимают стандарты системы безопасного труда (ГОСТ ССБТ). Это документы хорошо выстроенной системы, которая существует в немногих странах мира. Так безопасность технологического оборудования должна соответствовать ГОСТ 12.2.003 , безопасность технологических процессов — ГОСТ 12.3.002 . А если производятся, сохраняются и применяются опасные вещества, то требования к безопасности определяются по ГОСТ 12.1.007 . Системы (устройства, элементы) безопасности должны соответствовать ГОСТ 12.4.011 , а при пожаре и взрыве — еще и ГОСТ 12.1.004 .

Требования к безопасности строений/сооружений определяются по строительным нормам и правилам.

Большое значение имеют также медицинские стандарты и регламенты (GMP — надлежащая производственная практика, GLP — надлежащая лабораторная практика, GDP — надлежащая дистрибьюторская практика, GPP — надлежащая аптечная практика и др.).

Стандарты безопасности в продовольственной сфере определяются Комиссией Codex Alimentarius. Есть также регламенты безопасности в ветеринарии, растениеводстве.

Развитие космонавтики и ядерной энергетики, усложнение авиационной техники привело к тому, что изучение безопасности систем было выделено в независимую отдельную область деятельности (например, МАГАТЭ была опубликована новая структура стандартов по безопасности: GS-R-1 «Законодательная и правительственная инфраструктура для ядерной и радиационной безопасности, безопасности радиоактивных отходов и транспортировки»). Еще в 1969 г. Министерство обороны США приняло стандарт MILSTD-882 «Программа по обеспечению надежности систем, подсистем и оборудования». В нем изложены требования для всех промышленных подрядчиков по военным программам.

Важными документами являются карты безопасности материала (MSDSкарты — Material safety data sheet) . MSDS-карты, как правило, содержат следующие разделы: сведения о продукте, опасные составляющие, потенциальное воздействие на здоровье (контакт с кожей, воздействие при приеме пищи, предельные дозы, раздражающее действие, возбуждающее действие, взаимно усиливающее действие в контакте с другими химическими веществами, кратковременное воздействие, долговременное воздействие, влияние на репродуктивность, мутагенность, канцерогенность), порядок оказания первой медицинской помощи (при попадании на кожу, в глаза, желудок, при вдыхании), пожаро- и взрывоопасность (огнеопасность/горючесть — при каких условиях, способы тушения, особые инструкции по тушению огня, опасные продукты сгорания), данные по химической активности (химическая стабильность, условия химической активности, опасные продукты распада), действия в случае розлива/утечки (включая утилизацию отходов, распад/токсичность для водной флоры/фауны, грунта, воздуха), борьба с воздействием вещества и средства индивидуальной защиты (технические средства, перчатки, средства защиты органов дыхания и зрения, защитная обувь, защитная одежда), требования к хранению и работе с веществом (хранение, работа, порядок транспортировки), физические характеристики вещества, экологическая, нормативная, дополнительная информация. Такие MSDS-карты готовит производитель и передает пользователю/потребителю. Данные из MSDS-карт необходимо включить в инструкции производственные и по охране труда.

Факты

Примеры отзывов продукции по причине ее опасности

Компания Apple отзывала в 2009 г. плееры iPod nano 1G из-за опасности взрывов аккумуляторной батареи (http://proit.com.ua/print/?id=20223).

McDonald"s в 2010 г. отзывал в США 12 миллионов коллекционных стаканов с символикой мультфильма «Шрек» из-за того, что в краске, которой они окрашены, был обнаружен кадмий (www.gazeta.ru/news/lenta/.../n_1503285.shtml).

В 2008 г. тысячи младенцев в Китае попали в больницы после отравления молочной смесью, в которой был обнаружен меламин. Компания Sanlu официально извинилась перед своими потребителями, заявив, что токсичные вещества добавляли в свою продукцию поставщики молока (http://newsvote.bbc.co.uk/mpapps/pagetools/print/news.bbc.co.uk/hi/russian/international/newsid_7620000/7620305.stm).

Французское Управление по безопасности медицинской продукции требовало отозвать один из видов протезов (силиконовые импланты) с 1 апреля 2010 г., так как он не прошел необходимую проверку (http://www.newsru.co.il/health/01apr2010/pip301.html).

Компания Thule недавно обнаружила, что предлагаемый ею набор для крепления багажника к крыше автомобиля является недостаточно надежным (для изделий выпущенных с 1 января 2008 г. по 28 февраля 2009 г.) по причине хрупкости входящего в комплект болта. После проведения фирмой внутренних испытаний было установлено, что болт в основании не соответствует стандартам компании по технике безопасности. Из-за высокой степени риска для потребителей (возможное разрушение болта при нагрузке может привести к отсоединению рейки и груза во время движения) компания Thule приняла решение немедленно отозвать продукцию из обращения (http://www2.thulegroup.com/en/Product-Recall/Introduction2/).

Заключение

Специалистам, разрабатывающим стандарты безопасности, нужно больше внимания уделять гармонизации нормативов, применяемых в различных областях. Например, использовать подходы, изложенные в принципах неопределенности Гейзенберга и дополнительности Бора. Кроме того, не забывать о человеческих ошибках и устранении организационных слабостей. Введение риск-менеджмента на предприятиях поможет повысить уровень безопасности. В последние годы активно развиваются стандарты риск-менеджмента, например . Изучение и применение этих документов также способствует улучшению культуры безопасности.

Безусловно, в сфере безопасности стандарты, регламенты, нормы, правила, инструкции необходимы, но не менее важно их выполнение.

Для обеспечения безопасности необходимо знать ответы на вопросы:

1. Какова вероятность возникновения инцидента?
2. Каковы будут негативные последствия?
3. Как их минимизировать?
4. Как продолжать деятельность во время и после инцидента?
5. Каковы приоритеты и временные рамки восстановления?
6. Что, как, когда и кому необходимо сделать?
7. Какие предупреждающие меры надо предпринимать, чтобы упредить/ минимизировать негативные последствия?

Использованная литература

1. ГОСТ 12.1.007-76 (1999). ССБТ. Вредные вещества. Классификация и общие требования безопасности.

2. ГОСТ 12.1.004-91. ССБТ. Пожарная безопасность. Общие требования.

3. ГОСТ 12.2.003-91. ССБТ. Оборудование производственное. Общие требования безопасности.

4. ГОСТ 12.3.002-75 (2000). ССБТ. Процессы производственные. Общие требования безопасности.

5. ГОСТ 12.4.011-89. ССБТ. Средства защиты работающих. Общие требования и классификация.

6. ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты.

7. ГОСТ Р 12.1.052-97. ССБТ. Информация о безопасности веществ и материалов (Паспорт безопасности). Основные положения.

8. ГОСТ Р ИСО 13849-1-2003. Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования.

9. BS 31100:2008. Risk management — Code of practice.

10. BS OHSAS 18001:2007. Occupational health and safety management systems. Requirements.

11. CWA 15793:2008. Laboratory biorisk management standard.

12. ISO/IEC 51:1999. Safety aspects - Guidelines for their inclusion in standards.

13. ISO/IEC Guide 73:2009. Risk management — Vocabulary — Guidelines for use in standards.

14. ISO 31000:2009. Risk management - Principles and guidelines.

15. IEC/ISO 31010:2009. Risk management — Risk assessment techniques.

16. ISO 15190:2003. Medical laboratories - Requirements for safety.

17. Reason J. Human error. — New York: Cambridge University Press, 1990. — 316 p.

18. Regulation (EC) № 1907/2006 of the European Parliament and the Council of 18 December 2006 concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH), establishing a European Chemicals Agency, amending Directive 1999/45/EC and repealing Council Regulation (EEC) № 793/93 and Commission Regulation (EC) № 1488/94 as well as Council Directive 76/769/EEC and Commission Directives 91/155/EEC, 93/67/ EEC, 93/105/EC and 2000/21/EC.

Рассмотрим наиболее известные международные стандарты в области информационной безопасности.

Стандарт ISO 17799 «Практические правила управления информационной безопасностью» рассматривает следующие аспекты ИБ:

Основные понятия и определения;

Политика информационной безопасности;

Организационные вопросы безопасности;

Классификация и управление активами;

Вопросы безопасности, связанные с персоналом;

Физическая защита и защита от воздействий окружающей среды;

Управление передачей данных и операционной деятельностью;

Контроль доступа;

Разработка и обслуживание систем;

Управление непрерывностью бизнеса;

Внутренний аудит ИБ компании;

Соответствие требованиям законодательства.

Важное место в системе стандартов занимает стандарт ISO 15408 «Общие критерии безопасности информационных технологий», известный как «Common Criteria». В «Общих критериях» проведена классификация широкого набора требований безопасности информационных технологий, определены структуры их группирования и принципы использования.

Важной составляющей системы стандартов является инфраструктура открытых ключей PKI (Public Key Infrastructure). Эта инфраструктура подразумевает развертывание сети центров сертификации ключей и использование цифровых сертификатов, удовлетворяющих рекомендации X.509

Российские стандарты по информационной безопасности

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России

ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России

ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России

ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования

ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения

ГОСТ Р 53131-2008 (ИСО/МЭК ТО 24762-2008). Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения

ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России

ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России

ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средста обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 4. Выбор защитных мер

ГОСТ Р ИСО/МЭК ТО 13335-5-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети

ГОСТ Р ИСО/МЭК 15408 -1-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий . Часть 1. Введение и общая модель. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-2-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК 15408-3-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России

ГОСТ Р ИСО/МЭК ТО 15443-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы

ГОСТ Р ИСО/МЭК ТО 15443-2-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 2. Методы доверия

ГОСТ Р ИСО/МЭК ТО 15443-3-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 3. Анализ методов доверия

ГОСТ Р ИСО/МЭК17799- 2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью

ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности

ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем

ГОСТ Р ИСО/МЭК27001- 2006. Методы и средства обеспечения безопасности.Системы менеджмента информационной безопасности . Требования

ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

ГОСТ Р ИСО/МЭК 27005-2009. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

ГОСТ 28147 -89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования .

ГОСТ Р 34.10 -2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи .

ГОСТ Р 34.11 -94 Информационная технология. Криптографическая защита информации. Функции хэширования .

Весьма важным является семейство международных стандартов по управлению информационной безопасностью серии ISO 27000 (которые с некоторой задержкой принимаются и в качестве российских государственных стандартов). Отдельно отметим ГОСТ/ISO 27001 (Системы управления информационной безопасностью), ГОСТ/ISO 27002 (17799) (Практические правила управления информационной безопасностью)

Технологии межсетевых экранов

Межсетевой экран (МЭ) - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. МЭ также называют брандма́уэр (нем. Brandmauer ) или файрво́л (англ. firewall ). МЭ позволяет разделить общую сеть на 2 части и реализовать набор правил, определяющий условия прохождения пакетов с данными через экран из одной части сети в другую. Обычно МЭ устанавливается между корпоративной (локальной) сетью и сетью Интернет, защищая внутреннюю сеть предприятия от атак из глобальной сети, но может защищать и локальную сеть от угроз из корпоративной сети.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.