ما هو معيار أمن المعلومات الذي ظهر أولاً؟ المعايير الدولية الأساسية في مجال أمن المعلومات

27.06.2020

يكاد يكون من المستحيل على متخصصي أمن المعلومات اليوم الاستغناء عن المعرفة بالمعايير والمواصفات ذات الصلة. هناك عدة أسباب لذلك. السبب الرسمي هو أن الحاجة إلى اتباع معايير معينة، مثل معايير "التشفير" أو "وثائق التوجيه"، منصوص عليها في القانون. ومع ذلك، فإن الأسباب الموضوعية هي الأكثر إقناعا.

أولاً، تعد المعايير والمواصفات أحد أشكال تراكم المعرفة، وتتعلق في المقام الأول بالمستويات الإجرائية والبرمجيات والأجهزة لأمن المعلومات. إنهم يوثقون الحلول والمنهجيات التي أثبتت جدواها وعالية الجودة والتي طورها أكثر المتخصصين المؤهلين.

ثانيا، كلاهما الوسيلة الرئيسية لضمان التوافق المتبادل لأنظمة الأجهزة والبرامج ومكوناتها.

ثالثاً، تواجه معايير أمن المعلومات المهمة الصعبة المتمثلة في التوفيق بين ثلاث وجهات نظر مختلفة، "الشركة المصنعة للمعدات الأمنية"، و"المستهلك" و"متخصصو التصديق" المتنوعون، فضلاً عن إنشاء آلية فعالة للتفاعل بين جميع الأطراف.

يهتم المستهلكون بالطرق التي تسمح لهم باختيار منتج يلبي احتياجاتهم ويحل مشاكلهم، وقد يشمل ذلك خادم VPS يعمل بنظام التشغيل Windows Server OS، والذي يحتاجون إلى مقياس تصنيف أمني له. ويحتاج المستهلك أيضًا إلى أداة يمكنه من خلالها صياغة متطلباته للشركة المصنعة. لسوء الحظ، لا يفهم العديد من المستهلكين في كثير من الأحيان أن متطلبات الأمان تتعارض بالضرورة ليس فقط مع سهولة الاستخدام والأداء، ولكنها في كثير من الأحيان تفرض قيودًا معينة على التوافق، وكقاعدة عامة، تجبرهم على التخلي عن نطاق واسع وسهل الاستخدام، ولكن أقل أدوات آمنة.

ينظر المصدقون إلى المعايير كأداة تسمح لهم بتقييم مستوى الأمان وتمكين المستهلكين من اتخاذ الخيارات الأكثر فعالية لأنفسهم.

إحدى الوثائق الأولى والأكثر شهرة كانت ما يسمى بـ "الكتاب البرتقالي" الذي تم تطويره في التسعينيات باعتباره "معايير أمن أنظمة الكمبيوتر" من قبل وزارة الدفاع الأمريكية. وهي تحدد 4 مستويات أمان، A، B، C، D، حيث A هو أعلى مستوى أمان، وبالتالي يفرض المتطلبات الأكثر صرامة.

على الرغم من أن "الكتاب البرتقالي" أصبح من أوائل الوثائق الأكثر شهرة، فمن الواضح أن كل دولة ترغب في ضمان أمن معلوماتها قامت بتطوير وثائقها الخاصة - "المعايير الوطنية" في مجال أمن المعلومات. وتشمل هذه "معايير أمن تكنولوجيا المعلومات الأوروبية"، و"معايير أمن أنظمة الكمبيوتر الكندية"، وكذلك "الممارسات البريطانية لإدارة أمن المعلومات"، والتي على أساسها بالمناسبة المعايير الدولية ISO/IEC 17799:2000. (بس 7799- 1:2000). في الوقت الحالي، الإصدار الأحدث من معيار ISO/IEC 27001:2013، بالإضافة إلى "الوثائق التوجيهية للجنة الفنية الحكومية لاتحاد الجمهوريات الاشتراكية السوفياتية" (وروسيا لاحقًا).

تجدر الإشارة إلى أن الأمريكيين يقدرون بشدة أنشطة اللجنة الفنية الحكومية لاتحاد الجمهوريات الاشتراكية السوفياتية. وكتبت المنشورات الأمريكية أن الهيئة السوفيتية لحماية المعلومات ومكافحة الاستخبارات التقنية كانت تدرس بعناية كل ما هو معروف في الغرب عن الاتحاد السوفيتي وتطوير "كمية هائلة من المواد من أجل تشويه الصورة الحقيقية". وقالوا إن اللجنة تراقب جميع العروض العسكرية والتدريبات التي يحضرها الأجانب، وبناء القواعد الصاروخية والثكنات، بينما يتم إخفاء الإنجازات عمداً في بعض المجالات، وفي مناطق أخرى، مثل الدفاع الصاروخي، مبالغ فيها إلى حد كبير. لقد أثمرت أنشطة اللجنة الفنية الحكومية في هذا المجال في وقت قريب جدًا ثمارها الأولى. كما كتبت صحيفة نيويورك تايمز الأمريكية، بالفعل في عام 1977، نتيجة للتدابير المتخذة في أحواض بناء السفن وأحواض بناء السفن في اتحاد الجمهوريات الاشتراكية السوفياتية، واجه الأمريكيون مشاكل في مراقبة التقدم المحرز في بناء الغواصات السوفيتية.

لم تكن نتائج عمل اللجنة الفنية الحكومية لاتحاد الجمهوريات الاشتراكية السوفياتية خلال الفترة السوفيتية مجرد زيادة في أمن المعلومات في مؤسسات المجمعات الصناعية العسكرية، ولكن أيضًا اختبار أنواع جديدة من الأسلحة في ملاعب الاختبار. تم القيام بعمل جاد لضمان أمن المعلومات التي تتم معالجتها في أنظمة التحكم الآلي وأجهزة الكمبيوتر، على وجه الخصوص، تم إنشاء أنظمة التحكم الآمنة في الكمبيوتر ووسائل معالجة المستندات السرية لمنع تسرب المعلومات السرية، وتم إدخال قنوات الاتصال على المستوى الهيئات الحكومية والقيادة العليا للجيش السوفيتي، وأكثر من ذلك بكثير.

تجدر الإشارة أيضًا إلى أن الدور المشار إليه مسبقًا للمعايير مسجل أيضًا في القانون الاتحادي "بشأن اللائحة الفنية" بتاريخ 27 ديسمبر 2002 N 184-FZ

تجدر الإشارة إلى أنه من بين مبادئ التقييس المعلنة في القانون المذكور، تتضمن المادة 7 "محتوى وتطبيق اللوائح الفنية" مبدأ تطبيق معيار دولي كأساس لتطوير معيار وطني، إلا في الحالات التي يكون فيها هذا يُعترف بأن التطبيق مستحيل بسبب عدم الامتثال لمتطلبات المعايير الدولية المتعلقة بالمناخ والسمات الجغرافية أو الميزات التقنية أو التكنولوجية أو لأسباب أخرى، أو إذا عارض الاتحاد الروسي اعتماد معيار دولي أو حكم منفصل منه.

المادة 7. البند 8:

يجب استخدام المعايير الدولية كليًا أو جزئيًا كأساس لتطوير مشروع اللوائح الفنية، باستثناء الحالات التي تكون فيها المعايير الدولية أو أقسامها غير فعالة أو غير مناسبة لتحقيق الأهداف المنصوص عليها في المادة 6 من هذا القانون الاتحادي، بما في ذلك الواجب إلى السمات المناخية والجغرافية للاتحاد الروسي، والميزات التقنية و (أو) التكنولوجية. (بصيغته المعدلة بموجب القانون الاتحادي المؤرخ 18 يوليو 2009 رقم 189-FZ)
يمكن استخدام المعايير الوطنية للاتحاد الروسي كليًا أو جزئيًا كأساس لتطوير مشروع اللوائح الفنية.

نظرًا لأنه من الناحية العملية، فإن عدد المعايير والمواصفات، بما في ذلك المعايير والمواصفات الدولية والوطنية والخاصة بالصناعة في مجال أمن المعلومات، لا نهاية له، وسنقدم فقط عددًا قليلاً منها؛ على الموقع الإلكتروني لـ FSTEC في روسيا في القسم المقابل "المعايير الوطنية".
تعيين الاسم باللغة الروسية
غوست ص 50739-95 مرافق الكمبيوتر. الحماية ضد الوصول غير المصرح به إلى المعلومات. المتطلبات الفنية العامة
غوست آر 50922-2006 حماية البيانات. المصطلحات والتعاريف الأساسية
غوست ص 51188-98 حماية البيانات. برامج اختبار فيروسات الكمبيوتر. دليل النموذج
غوست آر 51583-2014 حماية البيانات. الإجراء الخاص بإنشاء أنظمة آلية في تصميم آمن. الأحكام العامة
غوست آر 53110-2008 نظام لضمان أمن المعلومات لشبكة الاتصالات العامة. الأحكام العامة
غوست آر 53111-2008 استقرار عمل شبكة الاتصالات العامة. المتطلبات وطرق التحقق
غوست آر 53113.1-2008 تكنولوجيا المعلومات. حماية تكنولوجيا المعلومات والأنظمة الآلية من تهديدات أمن المعلومات التي يتم تنفيذها باستخدام القنوات السرية. الجزء 1. أحكام عامة
غوست آر 53113.2-2009 تكنولوجيا المعلومات. حماية تكنولوجيا المعلومات والأنظمة الآلية من تهديدات أمن المعلومات التي يتم تنفيذها باستخدام القنوات السرية. الجزء الثاني. توصيات لتنظيم حماية المعلومات وتقنيات المعلومات والأنظمة الآلية من الهجمات باستخدام القنوات السرية
GOST R 54581-2011 / I SO/IEC TR 15443-1:2005 تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. أساسيات الثقة في أمن تكنولوجيا المعلومات. الجزء 1: نظرة عامة والأساسيات
غوست آر 54582-2011 / آيزو/آي إي سي تي آر 15443-2:2005 تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. أساسيات الثقة في أمن تكنولوجيا المعلومات. الجزء 2. طرق الثقة
غوست آر 54583-2011 / آيزو/آي إي سي تي آر 15443-3:2007 تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. أساسيات الثقة في أمن تكنولوجيا المعلومات. الجزء 3. تحليل أساليب الثقة
غوست آر آيزو 7498-1-99 تكنولوجيا المعلومات. الربط بين الأنظمة المفتوحة. النموذج المرجعي الأساسي الجزء 1. النموذج الأساسي
غوست آر آيزو 7498-2-99 تكنولوجيا المعلومات. الربط بين الأنظمة المفتوحة. النموذج المرجعي الأساسي الجزء 2. هندسة أمن المعلومات
GOST R ISO/IEC TO 13335-5-2006 تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. الجزء الخامس: دليل إدارة أمن الشبكات
غوست آر آيزو/آي إي سي 15408-1-2012 تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. معايير تقييم أمن تكنولوجيا المعلومات. الجزء 1. مقدمة ونموذج عام

على سبيل المثال، ضع في اعتبارك GOST R 53113.2-2009 "تكنولوجيا المعلومات (IT)." حماية تقنيات المعلومات والأنظمة الآلية من تهديدات أمن المعلومات التي يتم تنفيذها باستخدام القنوات السرية.

لا يقدم هذا المعيار فقط المخطط العام لعمل القنوات السرية في النظام الآلي، وقواعد تشكيل نموذج التهديد، ولكن أيضًا التوصيات المختلفة لحماية المعلومات والأساليب المستخدمة في بناء نظام أمن المعلومات الذي يأخذ في الاعتبار وجود مثل هذه القنوات السرية

أدناه في الشكل 1، يتم عرض مخطط عام لعمل القنوات السرية في النظام الآلي.

الشكل 1 - رسم تخطيطي عام لآلية عمل القنوات السرية في النظام الآلي

1 - المخالف الأمني ​​(المهاجم)، الذي يكون هدفه الوصول غير المصرح به إلى المعلومات المقيدة أو التأثير غير المصرح به على النظام الآلي؛
2 - معلومات الوصول المقيدة أو الوظيفة الهامة؛
3 - الموضوع مع الوصول المصرح به إلى 2 و 5؛
3" هو وكيل لمخالف أمني، موجود في حلقة مغلقة مع 2 ويتفاعل مع 2 نيابة عن الموضوع 3؛
4 - مفتش (برنامج أو برنامج ثابت أو جهاز أو شخص) يتحكم في تفاعل المعلومات 3، يعبر الحلقة المغلقة التي تفصل كائن المعلومات عن البيئة الخارجية؛
5 - موضوع يقع خارج الحلقة المغلقة، حيث يقوم 3 بإجراء تفاعل المعلومات المصرح به

تشمل التهديدات الأمنية التي يمكن تنفيذها من خلال القنوات السرية ما يلي:

1. إدخال البرامج والبيانات الضارة؛
2. يقدم المهاجم الأوامر إلى الوكيل لتنفيذها؛
3. تسرب مفاتيح التشفير أو كلمات المرور؛
4. تسرب كائنات المعلومات الفردية.

إن حماية المعلومات وتكنولوجيا المعلومات والأنظمة الآلية من الهجمات التي يتم تنفيذها باستخدام القنوات السرية هي عملية دورية تتضمن الخطوات التالية، والتي تتكرر عند كل تكرار للعملية:

1. تحليل المخاطر المتعلقة بأصول المنظمة، بما في ذلك تحديد الأصول القيمة وتقييم العواقب المحتملة للهجمات باستخدام القنوات السرية
2. تحديد القنوات الخفية وتقييم مدى خطورتها على أصول التنظيم
3. تنفيذ الإجراءات الوقائية لمواجهة القنوات السرية
4. تنظيم الرقابة على مواجهة القنوات المخفية.

يتم تحديد الطبيعة الدورية لعملية الحماية من تهديدات أمن المعلومات التي يتم تنفيذها باستخدام القنوات السرية من خلال ظهور طرق جديدة لبناء قنوات سرية لم تكن معروفة في وقت التكرارات السابقة.

واستنادا إلى تقييم خطر القنوات المخفية، مع الأخذ في الاعتبار نتائج تحليل المخاطر، يتم التوصل إلى استنتاج حول مدى استصواب أو عدم ملاءمة مكافحة هذه القنوات.

وبناء على نتائج تحديد القنوات المخفية، يتم تشكيل خطة عمل لمواجهة التهديدات التي تتحقق من خلال استخدامها. قد تتضمن هذه الأنشطة تنفيذ إحدى الطرق المعروفة بالفعل (أو تحسين الطرق الموجودة بالفعل) لمواجهة تهديدات أمن المعلومات التي يتم تنفيذها باستخدام القنوات السرية.

يُنصح باستخدام ما يلي كإجراءات وقائية:

1. انخفاض قدرة قناة نقل المعلومات؛
2. الحلول المعمارية لبناء الأنظمة الآلية.
3. مراقبة فعالية حماية الأنظمة الآلية.

يتم تحديد اختيار طرق مواجهة التهديدات التي يتعرض لها أمن المعلومات لخادم VDS الذي تستأجره، والتي يتم تنفيذها باستخدام القنوات السرية، وتشكيل خطة لتنفيذها من قبل خبراء، بناءً على الخصائص الفردية للنظام الآلي المحمي.

كما ترون، حتى القائمة القصيرة للمعايير ليست قصيرة على الإطلاق، ناهيك عن اللوائح والتوصيات، ولكن من الضروري أن تكون لديك على الأقل المعرفة الأساسية في هذا المجال حتى لا تتمكن من التنقل فحسب، بل يمكنك أيضًا تطبيق المعايير اللازمة في يمارس.

ومن دواعي السرور أن السوق يدرك أهمية وضرورة أمن المعلومات، وأن اهتمامه بقضايا أمن المعلومات يتزايد باستمرار.

لتفسير هذا الاتجاه، ليس عليك أن تذهب بعيداً: فنحن نسمع عن تسويات رفيعة المستوى لأنظمة المعلومات تؤدي إلى خسائر مالية كبيرة وتضر بالسمعة. وفي بعض الحالات، أصبحت هذه العقوبات غير قابلة للرجوع عنها تمامًا بالنسبة لشركة معينة. وبالتالي، فإن أمن المعلومات الخاصة بالمؤسسة لا يصبح فقط المفتاح لعملها دون انقطاع، ولكن أيضًا معيار الموثوقية لشركائها وعملائها.

يلعب السوق بنفس القواعد، ومعايير قياس مستوى الأمان الحالي وفعالية عمليات إدارة أمن المعلومات هي نفسها لجميع اللاعبين. يتم لعب دورهم من خلال المعايير المصممة لمساعدة الشركة على إنشاء المستوى المطلوب من حماية المعلومات. الأكثر شعبية في الصناعة المصرفية الروسية تشمل معيار ISO / IEC 27000، ومعيار بنك روسيا لضمان أمن المعلومات لمؤسسات النظام المصرفي ومعيار أمن بيانات البنية التحتية لبطاقة الدفع PCI DSS.

قامت المنظمة الدولية للمعايير (ISO) واللجنة الكهروتقنية الدولية (IEC) بتطوير ونشر معايير سلسلة ISO/IEC 27000 وهي تحتوي على توصيات لبناء نظام لإدارة أمن المعلومات. يحق لشركات التدقيق المعتمدة إجراء عملية التصديق وفقًا للمعايير، مسترشدة بالمتطلبات المنصوص عليها فيها.

يؤدي عدم وجود شرط صارم للامتثال للمعيار الخاص بالمشاركين في السوق الروسية إلى انخفاض معدل انتشاره إلى حد كبير. على سبيل المثال، في اليابان وحدها، يبلغ عدد الشركات التي نجحت في اجتياز عملية التدقيق للوفاء بمتطلبات المعيار الدولي ما يقرب من 200 مرة أكبر من نفس المؤشر في روسيا ودول رابطة الدول المستقلة.

تجدر الإشارة إلى أن هذا الحساب لا يشمل الشركات التي تمتثل فعليًا لمتطلبات المعيار، ولكنها لم تحصل على شهادة رسمية. بمعنى آخر، يوجد في روسيا ودول رابطة الدول المستقلة العديد من الشركات التي قررت بناء عمليات لإدارة والحفاظ على مستوى أمن المعلومات ليس من أجل "علامة" في شكل شهادة مطابقة، ولكن بشكل حقيقي فائدة. والحقيقة هي أن معايير سلسلة 27000 غالبًا ما تكون الخطوة الأولى في تطوير أنظمة أمن المعلومات. واستخدامها كمبدأ توجيهي هو الأساس الذي يفترض مواصلة بناء وتطوير نظام فعال لإدارة أمن المعلومات.

IBBS STO BR هو معيار قريب جدًا من ISO/IEC 27001، تم إنشاؤه من قبل بنك روسيا للمؤسسات في القطاع المصرفي، وهو مصمم لضمان مستوى مقبول من المستوى الحالي لأمن المعلومات وعمليات إدارة الأمن للبنوك. تم تحديد الأهداف الرئيسية أثناء إنشائها لتكون زيادة مستوى الثقة في الصناعة المصرفية، وتوفير الحماية ضد التهديدات الأمنية وتقليل مستوى الضرر الناجم عن حوادث أمن المعلومات. المعيار استشاري ولم يكن شائعًا بشكل خاص حتى إصدار 2010.

بدأ التنفيذ النشط لـ IBBS STO BR بإصدار نسخة من المعيار تتضمن متطلبات لضمان أمان البيانات الشخصية، وخطاب معلومات لاحق يحدد قبول الامتثال لمتطلبات المعيار بطريقة بديلة للامتثال مع التشريعات في مجال ضمان أمن البيانات الشخصية. حاليًا، وفقًا للإحصاءات غير الرسمية، قبلت حوالي 70٪ من البنوك معيار بنك روسيا باعتباره إلزاميًا.

يعد معيار IBBS BR عبارة عن مجموعة من المستندات تتطور بشكل ديناميكي إلى حد ما، مع متطلبات لضمان وإدارة أمن المعلومات الملائمة للتهديدات الحديثة. لقد أصبح استخدامه في البنوك ضروريًا بالفعل، على الرغم من الوضع الاستشاري الرسمي للمنظمات غير المالية، يمكن أن تكون وثائق مجمع IBBS بمثابة مجموعة من الممارسات الجيدة في ضمان أمن المعلومات.

أخيرًا، هناك معيار آخر مهم للغاية للمؤسسات المالية وهو معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS، معيار أمان بيانات صناعة بطاقات الدفع). تم إنشاؤه بمبادرة من أكبر خمسة أنظمة دفع في العالم - Visa وMasterCard وJCB وAmerican Express وDiscover، التي نظمت مجلس أمن صناعة بطاقات الدفع (PCI SSC). يجب أن يتم تنفيذ خدمة بطاقات الدفع وفقًا لقواعد موحدة والامتثال لمستوى معين من أمن المعلومات. من الواضح أن الأمن عامل رئيسي عند استخدام التقنيات المتعلقة بالمال. ولذلك، فإن حماية بيانات بطاقة الدفع هي مهمة ذات أولوية لأي نظام دفع.

يتمثل الاختلاف الرئيسي بين معيار PCI DSS وتلك المذكورة أعلاه في تطبيقه الإلزامي على جميع المؤسسات التي تعالج بطاقات الدفع. وفي الوقت نفسه، فإن متطلبات تقييم المطابقة مرنة للغاية - فهي تعتمد على عدد المعاملات التي تتم معالجتها: من التقييم الذاتي إلى اجتياز تدقيق الشهادات. يتم تنفيذ هذا الأخير من قبل شركة ذات حالة PCI QSA.

كانت السمة الرئيسية لظهور معيار PCI DSS هي تحديد المواعيد النهائية لتحقيق الامتثال. وقد أدى ذلك إلى قيام معظم اللاعبين الرئيسيين في صناعة بطاقات الدفع بالعمل على الامتثال. ونتيجة لذلك، أثر هذا على المستوى العام للأمان لكل من المشاركين الأفراد وصناعة الدفع غير النقدي بأكملها.

على الرغم من أن ظهور المعيار كان مبادرة من أكبر اللاعبين في صناعة أنظمة الدفع، إلا أنه يمكن أن يجد تطبيقه ويصبح دليلاً إرشاديًا للمؤسسات غير المرتبطة بهذه الصناعة. الميزة الرئيسية لاستخدامه هي التحديثات المستمرة، ونتيجة لذلك، التدابير والتوصيات الحالية للحد من تهديدات أمن المعلومات.

إن تطبيق المعايير والامتثال لمتطلباتها يعد بلا شك ممارسة جيدة وخطوة كبيرة إلى الأمام عند بناء نظام أمن المعلومات. ولكن لسوء الحظ، هناك أمثلة توضح أن مجرد الامتثال لا يضمن مستوى عالٍ من الأمان. تمتد صلاحية الشهادة لفترة معينة عندما تتوقف الإجراءات المتخذة فقط للامتثال الرسمي عن العمل. وبالتالي، قد يتبين أن حالة نظام أمن المعلومات في المنظمة في وقت التدقيق لا تتوافق مع التقييم الذي تم إجراؤه بعد ستة أشهر.

بالإضافة إلى ذلك، عند تحليل المخاطر المحتملة، لا يمكن استبعاد العامل البشري، مما قد يعني خطأ من قبل المدققين أنفسهم في تحديد نطاق التدقيق، وتكوين المكونات التي يتم فحصها والاستنتاجات العامة.

في الختام، أود أن أشير إلى أن الامتثال للمعايير لا يحل محل العملية المستمرة لضمان أمن المعلومات الهامة. لا يوجد أمان مثالي، ولكن استخدام أدوات مختلفة يتيح لك تحقيق أقصى مستوى من أمن المعلومات. معايير أمن المعلومات هي مجرد أداة من هذا القبيل.

تقدير:

0 4

التأكد من أمن نظم المعلومات في حاليا، من المستحيل دون إنشاء أنظمة أمن المعلومات المختصة وعالية الجودة. وهذا ما حدد عمل المجتمع العالمي لتنظيم وتبسيط المتطلبات والخصائص الأساسية لهذه الأنظمة فيما يتعلق بأمن المعلومات.

وكانت إحدى النتائج الرئيسية لمثل هذه الأنشطة نظامالمعايير الدولية والوطنيةأمن المعلومات,والذي يحتوي على أكثر من مائة وثيقة مختلفة.

هذا ينطبق بشكل خاص على ما يسمى الأنظمة المفتوحة للاستخدام التجاريومعالجة المعلومات المقيدة التي لا تحتوي على أسرار الدولة، وتتطور بسرعة في بلدنا.

تحت فهم الأنظمة المفتوحة مجموعة من جميع أنواع معدات الحوسبة والاتصالات السلكية واللاسلكية من مختلف الشركات المصنعة، والتي يتم ضمان عملها المشترك من خلال الامتثال لمتطلبات المعايير، وخاصة المعايير الدولية.

على المدى " يفتح " يعني أيضًا أنه إذا كان نظام الحوسبة يتوافق مع المعايير، فسيكون مفتوحًا للاتصال البيني مع أي نظام آخر يلبي نفس المعايير. وينطبق هذا، على وجه الخصوص، على آليات حماية معلومات التشفير أو الحماية من الوصول غير المصرح به ( نسد)إلى المعلومات.

أخصائيو أمن المعلومات ( يكون) اليوم يكاد يكون من المستحيل الاستغناء عن معرفة المعايير ذات الصلة.

أولاً، تعد المعايير والمواصفات أحد أشكال تراكم المعرفة، وتتعلق في المقام الأول بالمستويات الإجرائية والبرمجيات والأجهزة لأمن المعلومات. إنهم يوثقون الحلول والمنهجيات التي أثبتت جدواها وعالية الجودة والتي طورها أكثر المتخصصين المؤهلين.

ثانيًا كلاهما الوسيلة الرئيسية لضمان التوافق المتبادل لأنظمة الأجهزة والبرامج ومكوناتها إنترنت:-مجتمعهذا المنتج يعمل حقًا وفعال جدًا.

في الآونة الأخيرة، ظهر جيل جديد من المعايير في مجال أمن المعلومات في بلدان مختلفة، مخصص للقضايا العملية لإدارة أمن معلومات الشركة. هذه هي، في المقام الأول، معايير إدارة أمن المعلومات الدولية والوطنية ايزو 15408, يكونس 17799 (بس7799)، بإس.آي.; معايير التدقيق لنظم المعلومات والمعلومات

الأمن على الانترنت بُومَةأناتي،سأج، شركةسعنوبعض الآخرين مثلهم.

المعايير الدولية لها أهمية خاصة ايزو 15408, ايزو 17799 بمثابة الأساس لأي عمل في هذا المجال أمن المعلومات، بما في ذلك التدقيق.

ايزو 15408 - يحدد بالتفصيل متطلبات أدوات أمن المعلومات الخاصة بالبرمجيات والأجهزة.

ايزو 17799 - ركزت على القضايا التنظيم وإدارة الأمن.

استخدام الدولية والوطنية المعايير يساعد ضمان أمن المعلومات في حل المهام الخمس التالية:

- أولاً تحديد الأهداف لضمان أمن المعلومات لأنظمة الكمبيوتر؛

- ثانيًا إنشاء نظام فعال لإدارة أمن المعلومات.

- ثالثا ، حساب مجموعة من المؤشرات التفصيلية ليس فقط النوعية، ولكن أيضًا الكمية لتقييم مدى امتثال أمن المعلومات للأهداف المعلنة؛

- رابعا وتطبيق أدوات أمن المعلومات وتقييم وضعها الحالي؛

- خامسا ، واستخدام تقنيات إدارة الأمن مع نظام جيد الأساس من المقاييس والتدابير لدعم مطوري أنظمة المعلومات التي تسمح لهم بتقييم أمن أصول المعلومات بشكل موضوعي وإدارة أمن معلومات الشركة.

التركيز على المعايير الدولية ايزو/ 15408 والروسية له التناظرية لـ GOST R ISO/IEC15408 -2002 "معايير تقييم أمان تكنولوجيا المعلومات"و تحديد "إنترنت-مجتمعات."

إجراء التدقيقيعتمد أمن المعلومات على استخدام العديد من التوصيات المنصوص عليها بشكل أساسي في المعايير الدولية يكون.

البدء من البداية الثمانينياتتم إنشاء العشرات من المعايير الدولية والوطنية في مجال أمن المعلومات، والتي تكمل بعضها البعض إلى حد ما.

تناقش المحاضرة أهم المعايير التي يلزم معرفتها لمطوري ومقيمي المنتجات الأمنية، ومسؤولي الأنظمة، ورؤساء خدمات أمن المعلومات، والمستخدمين حسب التسلسل الزمني لإنشائها، ومنها:

    معيار تقييم موثوقية أنظمة الكمبيوتر " كتاب برتقالي"(الولايات المتحدة الأمريكية)؛

    المعايير المنسقة للدول الأوروبية;

    المعيار الألماني بي إس آي;

    المعيار البريطاني ب.س. 7799 ;

    معيار " المعايير العامة"ايزو 15408;

    معيار ايزو 17799;

    معيار كوبيت

ويمكن تقسيم هذه المعايير إلى نوعين مختلفين:

    معايير التقييم , تهدف إلى تصنيف نظم المعلومات ووسائل الحماية حسب المتطلبات الأمنية.

    المواصفات الفنية تنظيم الجوانب المختلفة لتنفيذ معدات الحماية.

من المهم أن نلاحظ ذلك بين هذه الأنواع من الوثائق التنظيميةلا يوجد جدار فارغ، بل على العكس من ذلك، هناك علاقة منطقية.

معايير التقييم تسليط الضوء على أهم جوانب أمن المعلومات من وجهة نظر أمن المعلومات، لعب دور المواصفات المعمارية.

المواصفات الفنية تحديد كيفية بناء نظام IS ذو بنية محددة. وفيما يلي وصف لميزات هذه المعايير.

2. معايير تقييم أنظمة الكمبيوتر الموثوقة

الكتاب البرتقالي")

في. تيخونينكورئيس اتحاد خبراء الجودة (كييف، أوكرانيا)، دكتوراه، مدير عام EKTC "VATT"

تقدم المقالة وصفًا لمعايير السلامة الدولية والوطنية الرئيسية. يتم النظر في تعريفات المصطلحات "السلامة"، "الخطر"، "الخطر". تم وضع افتراضات حول إمكانية استخدام مبادئ عدم اليقين لهايزنبرغ ومبادئ التكامل لبور لوصف المخاطر.

ما هو "الأمن"؟

يعد ضمان السلامة أحد أهم المتطلبات التي يجب على الجميع، في كل مكان ودائمًا، الوفاء بها، نظرًا لأن أي نشاط يحتمل أن يكون خطيرًا. يرتبط الأمن بالمخاطر (فهي مترابطة). دعونا نفكر في تعريفات هذه المفاهيم الواردة في المعايير.

أمان- غياب المخاطر غير المقبولة.

خطر- مصدر محتمل للضرر.

مخاطرة– تأثير عدم التأكد من الهدف.

ومن ثم، فإن السلامة لا تتميز بغياب المخاطر على الإطلاق، بل فقط بغياب المخاطر غير المقبولة. تحدد المعايير المخاطر المقبولة بأنها "التوازن الأمثل بين السلامة والمتطلبات التي يجب أن يلبيها المنتج أو العملية أو الخدمة، بالإضافة إلى عوامل مثل المنفعة للمستخدم، وفعالية التكلفة، والعرف، وما إلى ذلك". يحدد المعيار، الذي تستخدمه الشركات غالبًا، المخاطر المقبولة بأنها "خطر يتم تقليله إلى مستوى يمكن للمنظمة تحمله، نظرًا لالتزاماتها القانونية وسياسات الصحة والسلامة المهنية الخاصة بها".

تنظم المعايير طرق تقليل المخاطر (حسب الأولوية):

  • تطوير مشروع آمن؛
  • أجهزة الحماية ومعدات الحماية الشخصية (هذه معدات حماية جماعية وفردية - ملاحظة المؤلف)؛
  • معلومات التثبيت والتطبيق؛
  • تعليم.

أنواع معايير الأمن

وفقا لذلك قد يكون هناك الأنواع التالية من معايير السلامة:

  • الأساسية، والتي تتضمن المفاهيم والمبادئ والمتطلبات الأساسية المتعلقة بالجوانب الرئيسية للسلامة. تنطبق هذه المعايير على مجموعة واسعة من المنتجات والعمليات والخدمات؛
  • مجموعة تحتوي على جوانب السلامة التي تنطبق على عدة أنواع أو على مجموعة من الأنواع المترابطة من المنتجات أو العمليات أو الخدمات. وتشير هذه الوثائق إلى معايير السلامة الأساسية؛
  • معايير سلامة المنتج التي تغطي جوانب السلامة لنوع أو عائلة معينة من المنتجات أو العمليات أو الخدمات. تشير هذه الوثائق إلى المعايير التأسيسية والمجموعة؛
  • معايير المنتج التي تحتوي على جوانب السلامة، ولكنها لا تقتصر على هذه القضايا. يجب عليهم الإشارة إلى معايير السلامة الأساسية والجماعية. ويقدم الجدول أمثلة للمعايير الدولية المتعلقة بالأنواع المدرجة. نوصي بالتعرف على الجدول. 1 المعيار الذي يحدد الوثائق التنظيمية الدولية والأوروبية والروسية التي تحتوي على متطلبات خصائص وظيفة السلامة.

يجب أن يستند تحديد متطلبات السلامة في اللوائح/المعايير إلى تحليل مخاطر الإضرار بالأشخاص أو الممتلكات أو البيئة أو مزيج من هذه المخاطر - وهذا ما تنص عليه المعايير. يوضح الشكل بشكل تخطيطي المخاطر الرئيسية للمؤسسة مع الإشارة إلى معايير إدارة المخاطر.

ربما، لوصف وتحليل المخاطر والمخاطر، سيكون من الممكن استخدام وظائف دلتا ديراك ووظائف هيفيسايد، حيث أن الانتقال من المخاطر المقبولة إلى المخاطر غير المقبولة يكون مفاجئًا.

مبادئ وأدوات السلامة

ومن الناحية النظرية يمكن التمييز بين المبادئ الأمنية التالية:

  • الإدارية (الكفاية، والرقابة، والتغذية الراجعة، والمسؤولية، والتخطيط، والحوافز، والإدارة، والكفاءة)؛
  • التنظيمية (حماية الوقت، المعلومات، التكرار، عدم التوافق، التقنين، اختيار الموظفين، الاتساق، بيئة العمل)؛
  • التقنية (الحجب، الكنس، الختم، حماية المسافة، الضغط، القوة، الحلقة الضعيفة، البلغم، التدريع)؛
  • التوجيه (نشاط المشغل، استبدال المشغل، التصنيف، التخلص من المخاطر، الاتساق، تقليل المخاطر).

دعونا نتناول المزيد من التفاصيل حول مبدأ التصنيف (التصنيف). وهو يتألف من تقسيم الأشياء إلى فئات وفئات بناءً على الخصائص المرتبطة بالمخاطر. أمثلة: مناطق الحماية الصحية (5 فئات)، فئات الإنتاج (المباني) لخطر الانفجار (أ، ب، ج، د، د)، الفئات/الفئات وفقًا لتوجيهات ATEX (3 فئات من المعدات، 6 مناطق)، خطر النفايات فئات (5 فئات - في روسيا، 4 فئات - في أوكرانيا)، فئات خطر المواد (4 فئات)، فئات الخطر عند نقل البضائع الخطرة (9 فئات)، إلخ.

معلومة

وفقًا لحسابات هاينريش، مقابل كل حادث مميت هناك حوالي 30 إصابة ذات عواقب أقل خطورة وحوالي 300 حادث آخر يمكن أن تمر دون أن يلاحظها أحد تقريبًا. وفي الوقت نفسه، فإن التكاليف الاقتصادية غير المباشرة لإزالة العواقب أعلى بأربعة أضعاف من التكاليف المباشرة.

مرجع

يرتبط حوالي 20% من جميع الأحداث السلبية بأعطال المعدات، و80% منها بسبب خطأ بشري، منها 70% من الأخطاء تحدث بسبب نقاط ضعف تنظيمية مخفية (تم إخفاء الأخطاء، ولم يكن هناك استجابة لها)، وحوالي 30 % مرتبطة بالعامل الفردي .

أرز. مخاطر الشركة (مثال) والمعايير المطبقة

ملحوظات:

ESO - معايير التقييم الأوروبية (المجموعة الأوروبية للمثمنين TEGoVA)؛

MSO - معايير التقييم الدولية (الممتلكات)؛

IFRS - المعايير الدولية لإعداد التقارير المالية (IFRS)؛

بازل 2 - اتفاقية "التقارب الدولي لقياس رأس المال ومعايير رأس المال: مناهج جديدة" للجنة بازل للرقابة المصرفية؛

BRC - المعايير العالمية لاتحاد التجزئة البريطاني؛

COBIT - أهداف التحكم في المعلومات والتكنولوجيا ذات الصلة ("أهداف المعلومات والتقنيات ذات الصلة" - حزمة من المستندات المفتوحة وحوالي 40 معيارًا ومبادئ توجيهية دولية ووطنية في مجال إدارة تكنولوجيا المعلومات والتدقيق وأمن تكنولوجيا المعلومات)؛ COSO - لجنة المنظمات الراعية للجنة تريدواي (معيار لجنة المنظمات الراعية للجنة تريدواي)؛

FERMA - اتحاد جمعيات إدارة المخاطر الأوروبية (معيار اتحاد جمعيات مديري المخاطر الأوروبية)؛ GARP - الرابطة العالمية لمحترفي إدارة المخاطر (معيار رابطة محترفي إدارة المخاطر)؛

IFS - المعايير الدولية المميزة (المعايير الدولية لإنتاج وبيع المنتجات الغذائية)؛

ISO/PAS 28000 - مواصفات أنظمة إدارة الأمن لسلسلة التوريد (أنظمة إدارة أمن سلسلة التوريد. المواصفات الفنية)؛

NIST SP 800-30 – دليل إدارة المخاطر لأنظمة تكنولوجيا المعلومات.

طاولة. معايير السلامة (أمثلة)

نوع المعايير

أمثلة على المعايير

المعايير الأساسية

إدارة المخاطر ISO 31000 - المبادئ والتوجيهات (إدارة المخاطر. المبادئ والتوجيهات)؛

IEC/ISO 31010 إدارة المخاطر - تقنيات تقييم المخاطر (إدارة المخاطر. طرق تقييم المخاطر)؛

BS 31100 إدارة المخاطر. قواعد الممارسة؛ BS 25999 إدارة استمرارية الأعمال (الجزء 1، الجزء 2) (إدارة استمرارية الأعمال، الجزء 1، 2)؛

IEC 61160 إدارة المخاطر. مراجعة التصميم الرسمية (إدارة المخاطر. التحليل الرسمي للمشروع)؛

BS OHSAS 18001 أنظمة إدارة الصحة والسلامة المهنية. متطلبات. (أنظمة إدارة السلامة والصحة المهنية. المتطلبات)؛

GS-R-1 البنية التحتية القانونية والحكومية للسلامة النووية والإشعاعية والنفايات المشعة وسلامة النقل. المتطلبات (البنية التحتية التشريعية والحكومية للسلامة النووية والإشعاعية، وسلامة النفايات المشعة ونقلها)؛ ISO 22000:2005 أنظمة إدارة سلامة الغذاء - متطلبات أي منظمة في السلسلة الغذائية (أنظمة إدارة سلامة الغذاء. متطلبات أي منظمة في السلسلة الغذائية)

معايير المجموعة

ISO 14121 سلامة الآلات - تقييم المخاطر؛

ISO 12100 سلامة الآلات - المفاهيم الأساسية والمبادئ العامة للتصميم.

المفاهيم الأساسية والمبادئ الأساسية للتصميم)؛

ISO 13849 سلامة الآلات - أجزاء أنظمة التحكم المتعلقة بالسلامة (سلامة الآلات. سلامة أجزاء أنظمة التحكم)؛

توجيه ATEX 95 94/9/EC، المعدات وأنظمة الحماية المعدة للاستخدام في الأجواء التي يحتمل أن تكون قابلة للانفجار (التوجيه 94/9/EC. المعدات وأنظمة الحماية المعدة للاستخدام في الأجواء التي يحتمل أن تكون قابلة للانفجار)؛

توجيه ATEX 137 99/92/EC، المتطلبات الدنيا لتحسين السلامة والحماية الصحية للعمال الذين يحتمل أن يكونوا معرضين للخطر من الأجواء المتفجرة)؛

IEC 62198 إدارة مخاطر المشروع - إرشادات التطبيق؛

ISO 15190 المختبرات الطبية - متطلبات السلامة (المختبرات الطبية. متطلبات السلامة)؛

الأجهزة الطبية ISO 14971 - تطبيق إدارة المخاطر على الأجهزة الطبية (الأجهزة الطبية. تطبيق إدارة المخاطر على الأجهزة الطبية)؛

ISO 14798 المصاعد (المصاعد والسلالم المتحركة والممرات المتحركة) - منهجية تقييم المخاطر والحد منها (المصاعد والسلالم المتحركة والناقلات. منهجية تقييم المخاطر والحد منها)؛ ISO 15408 تكنولوجيا المعلومات - تقنيات الأمن - معايير التقييم لأمن تكنولوجيا المعلومات (تكنولوجيا المعلومات. معايير التقييم لأمن تكنولوجيا المعلومات)

معايير سلامة المنتج

الروبوتات ISO 10218 للبيئات الصناعية - متطلبات السلامة (الروبوتات الصناعية. متطلبات السلامة)؛

IEC 61010-1:2001 متطلبات السلامة للمعدات الكهربائية للقياس والتحكم والاستخدام المعملي - الجزء 1: المتطلبات العامة؛

IEC 60086-4:2000 – البطاريات الأولية – الجزء 4: سلامة بطاريات الليثيوم. (البطاريات الأولية. الجزء الرابع: سلامة بطاريات الليثيوم)؛

EC 61199 مصابيح الفلورسنت ذات الغطاء الواحد. مواصفات السلامة (مصابيح الفلورسنت ذات الطرف الواحد. متطلبات السلامة)؛

IEC 60335 الأجهزة الكهربائية المنزلية وما شابهها - السلامة (الأجهزة الكهربائية للأغراض المنزلية وما شابهها. السلامة)؛

IEC 60065 أجهزة الصوت والفيديو والأجهزة الإلكترونية المماثلة - متطلبات السلامة (أجهزة الصوت والفيديو والأجهزة الإلكترونية المماثلة. متطلبات السلامة)؛ EN 692 المكابس الميكانيكية - السلامة (المكابس الميكانيكية. السلامة)؛ EN 50088 سلامة الألعاب الكهربائية

معايير المنتج

معايير هيئة الدستور الغذائي. (معايير هيئة الدستور الغذائي للمنتجات CODEX STAN 12-1981، CODEX STAN 13-1981، وما إلى ذلك)؛

ISO 3500:2005 أسطوانات الغاز — أسطوانات ثاني أكسيد الكربون الفولاذية غير الملحومة لمنشآت مكافحة الحرائق الثابتة على السفن؛

ISO 4706: 2008 أسطوانات الغاز - أسطوانات فولاذية ملحومة قابلة لإعادة التعبئة - اختبار الضغط 60 بار أو أقل (أسطوانات الغاز. أسطوانات الفولاذ الملحومة، القابلة لإعادة التعبئة. اختبار الضغط 60 بار أو أقل)؛ EN 13109:2002 خزانات غاز البترول المسال. التخلص (أسطوانات الغاز المسال. الاستخدام)؛ EN 13807:2003 أسطوانات الغاز القابلة للنقل. مركبات البطارية. التصميم والتصنيع والتحديد والاختبار (أسطوانات الغاز المحمولة. المركبات التي تعمل بالبطاريات. التصميم والتصنيع والتحديد والاختبار)؛ غوست 10003-90. الستايرين المواصفات الفنية؛ غوست 10007-80. الفلوروبلاستيك -4. المواصفات الفنية؛

غوست 10121-76. زيت المحولات للتنقية الانتقائية. المواصفات الفنية؛ غوست 10037-83. الأوتوكلاف لصناعة البناء والتشييد. تحديد

تنقسم معدات السلامة إلى معدات الحماية الجماعية (CPS) ومعدات الحماية الشخصية (PPE). وفي المقابل، يتم تقسيم SKZ ومعدات الوقاية الشخصية إلى مجموعات اعتمادًا على طبيعة المخاطر والتصميم والنطاق وما إلى ذلك.

معايير السلامة الأساسية

في الاتحاد الأوروبي، ترد متطلبات تقييم المخاطر المهنية في ما يلي:

  • التوجيه 89/391/EEC (متطلبات إدخال تقييم المخاطر المهنية في الدول الأعضاء في الاتحاد الأوروبي)؛
  • توجيهات الاتحاد الأوروبي الفردية بشأن السلامة المهنية في العمل (89/654/EEC، 89/655/EEC، 89/656/EEC، 90/269/EEC، 90/270/EEC، 1999/92/EC، وما إلى ذلك) وما إلى ذلك) حماية العمال من المخاطر الكيميائية والفيزيائية والبيولوجية والمواد المسرطنة والمطفرة (98/24/EC، 2000/54/EC، 2002/44/EC، 2003/10/EC، 2004/40/EC، 2004/37/ EC وما إلى ذلك) تحتل توجيهات الاتحاد الأوروبي ATEX أيضًا مكانها الخاص في مجال السلامة - واحدة للمصنعين والأخرى لمستخدمي المعدات:
  • "معدات ATEX 95" (التوجيه 94/9/EC) - المعدات وأنظمة الحماية المخصصة للاستخدام في الأجواء التي يحتمل أن تكون قابلة للانفجار؛
  • "ATEX 137 مكان العمل" (التوجيه 1999/92/EC) - الحد الأدنى من المتطلبات لتحسين سلامة وصحة وصحة العمال الذين يحتمل أن يكونوا معرضين للخطر من التعرض للأجواء المتفجرة.

نظرًا لأهمية تقييم المخاطر المهنية للسلامة في مكان العمل، نشرت هيئة الصحة والسلامة الأوروبية إرشادات حول تقييم المخاطر في العمل في عام 1996، وأضافت باستمرار العديد من الأمثلة المفيدة لتحديد المخاطر في التقييمات.

بشكل عام، تهدف متطلبات توجيه REACH الأوروبي أيضًا إلى ضمان السلامة. يعتمد هذا النظام على إدارة المخاطر المرتبطة بالمواد الموجودة في المركبات الكيميائية، وفي بعض الحالات، في المنتجات.

تشغل معايير نظام العمل الآمن (GOST SSBT) مكانًا مهمًا. هذه وثائق لنظام جيد البناء موجود في عدد قليل من دول العالم. لذلك يجب أن تتوافق سلامة المعدات التكنولوجية مع GOST 12.2.003، وسلامة العمليات التكنولوجية - GOST 12.3.002. وإذا تم إنتاج وتخزين واستخدام المواد الخطرة، فسيتم تحديد متطلبات السلامة وفقًا لـ GOST 12.1.007. يجب أن تتوافق أنظمة السلامة (الأجهزة والعناصر) مع GOST 12.4.011، وفي حالة الحريق والانفجار - أيضًا GOST 12.1.004.

يتم تحديد متطلبات السلامة للمباني/المنشآت من خلال قوانين ولوائح البناء.

تعتبر المعايير واللوائح الطبية أيضًا ذات أهمية كبيرة (GMP - ممارسة التصنيع الجيدة، GLP - الممارسة المعملية الجيدة، الناتج المحلي الإجمالي - ممارسة التوزيع الجيدة، GPP - ممارسة الصيدلة الجيدة، وما إلى ذلك).

يتم تحديد معايير سلامة الأغذية من قبل هيئة الدستور الغذائي. هناك أيضًا لوائح السلامة في الطب البيطري وإنتاج المحاصيل.

أدى تطور الملاحة الفضائية والطاقة النووية وتعقيد تكنولوجيا الطيران إلى حقيقة أن دراسة سلامة النظام قد تم تحديدها كمجال نشاط منفصل مستقل (على سبيل المثال، نشرت الوكالة الدولية للطاقة الذرية هيكلًا جديدًا لمعايير السلامة: GS-R-1 "البنية التحتية التشريعية والحكومية للسلامة النووية والإشعاعية وأمان النفايات المشعة ونقلها"). في عام 1969، اعتمدت وزارة الدفاع الأمريكية معيار MILSTD-882 "برنامج ضمان موثوقية الأنظمة والأنظمة الفرعية والمعدات". ويحدد المتطلبات لجميع المقاولين الصناعيين في البرامج العسكرية.

المستندات المهمة هي أوراق بيانات سلامة المواد (بطاقات MSDS). تحتوي بطاقات MSDS عادةً على الأقسام التالية: معلومات المنتج، والمكونات الخطرة، والآثار الصحية المحتملة (ملامسة الجلد، والتعرض الغذائي، وحدود الجرعة، والتأثيرات المهيجة، والتأثيرات المنشطة، والتأثيرات التآزرية مع المواد الكيميائية الأخرى)، والتعرض قصير المدى، والتعرض طويل المدى، التأثير على التكاثر، الطفرات، السرطنة)، إجراءات الإسعافات الأولية (في حالة ملامسة الجلد والعينين والمعدة والاستنشاق)، خطر الحريق والانفجار (القابلية للاشتعال / القابلية للاشتعال - تحت أي ظروف، طرق تعليمات إطفاء الحرائق، تعليمات خاصة لإطفاء الحرائق ومنتجات الاحتراق الخطرة)، وبيانات التفاعل (الاستقرار الكيميائي، وظروف التفاعل، ومنتجات التحلل الخطرة)، وإجراءات الانسكاب/التسرب (بما في ذلك التخلص من النفايات، والتحلل/السمية المائية، والتربة، والهواء)، ومكافحة آثار المادة ومعدات الحماية الشخصية ( المعدات التقنية، والقفازات، وحماية الجهاز التنفسي والعين، وأحذية السلامة، والملابس الواقية)، ومتطلبات التخزين والعمل مع المادة (التخزين، والعمل، وإجراءات النقل)، والخصائص الفيزيائية للمادة، والمعلومات البيئية والتنظيمية والإضافية. يتم إعداد بطاقات MSDS هذه من قبل الشركة المصنعة وتسليمها إلى المستخدم/المستهلك. يجب تضمين البيانات الواردة من بطاقات MSDS في تعليمات الإنتاج والسلامة المهنية.

بيانات

أمثلة على سحب المنتجات بسبب المخاطر

  • استدعت شركة Apple مشغلات iPod nano 1G في عام 2009 بسبب خطر انفجار البطارية (http://proit.com.ua/print/?id=20223).
  • في عام 2010، استدعت ماكدونالدز 12 مليون نظارة قابلة للتحصيل تحمل رموز الرسوم المتحركة "شريك" في الولايات المتحدة بسبب العثور على الكادميوم في الطلاء الذي تم طلاؤها به (www.gazeta.ru/news/lenta/. .. /n_1503285.shtml).
  • وفي عام 2008، دخل آلاف الأطفال في الصين إلى المستشفى بعد تعرضهم للتسمم بسبب تركيبة تحتوي على الميلامين. اعتذرت شركة سانلو رسميًا للمستهلكين، قائلة إن موردي الحليب أضافوا مواد سامة إلى منتجاتها. / دولي/newsid_7620000/7620305.stm).
  • طلبت هيئة سلامة المنتجات الطبية الفرنسية سحب نوع واحد من الأطراف الاصطناعية (زراعة السيليكون) اعتبارا من 1 أبريل 2010، لأنه لم يجتاز الاختبارات اللازمة (http://www.newsru.co.il/health/01apr2010/pip301) .لغة البرمجة ).
  • اكتشفت شركة Thule مؤخرًا أن طقم تركيب رف السقف الخاص بها لم يكن موثوقًا بدرجة كافية (بالنسبة للمنتجات المصنعة بين 1 يناير 2008 و28 فبراير 2009) بسبب هشاشة الترباس المتضمن. بعد أن أجرت الشركة اختبارات داخلية، تبين أن الترباس الأساسي لا يفي بمعايير السلامة الخاصة بالشركة. نظرًا للمخاطر الكبيرة التي يتعرض لها المستهلكون (قد يؤدي الكسر المحتمل للمسمار تحت الحمل إلى انفصال الحامل والوزن أثناء القيادة)، فقد قررت شركة Thule إصدار استدعاء فوري للمنتج (http://www2.thulegroup.com/) ar/استدعاء المنتج /المقدمة2/).

خاتمة

يحتاج المحترفون الذين يقومون بتطوير معايير السلامة إلى إيلاء المزيد من الاهتمام لتنسيق المعايير المطبقة في مختلف المجالات. على سبيل المثال، استخدم الأساليب الموضحة في مبادئ عدم اليقين لهايزنبرج ومبادئ التكامل لبور. ضع في اعتبارك أيضًا الخطأ البشري ومعالجة نقاط الضعف التنظيمية. سيساعد إدخال إدارة المخاطر في المؤسسات على تحسين مستوى الأمان. في السنوات الأخيرة، تم تطوير معايير إدارة المخاطر بنشاط، على سبيل المثال. كما تساهم دراسة هذه الوثائق وتطبيقها في تحسين ثقافة السلامة.

بالطبع، في مجال الأمن، فإن المعايير واللوائح والقواعد والقواعد والتعليمات ضرورية، لكن تنفيذها لا يقل أهمية.

لضمان السلامة، عليك معرفة إجابات الأسئلة التالية:

1. ما هو احتمال وقوع الحادث؟

2. ما هي العواقب السلبية؟

3. كيفية التقليل منها؟

4. كيفية مواصلة الأنشطة أثناء وبعد وقوع الحادث؟

5. ما هي الأولويات والأطر الزمنية للتعافي؟

6. ماذا وكيف ومتى ومن يجب القيام به؟

7. ما هي التدابير الوقائية التي ينبغي اتخاذها لمنع/تقليل العواقب السلبية؟

مراجع

1. غوست 12.1.007-76 (1999). إس إس بي تي. مواد مؤذية. التصنيف ومتطلبات السلامة العامة.

2. غوست 12.1.004-91. إس إس بي تي. السلامة من الحرائق. المتطلبات العامة.

3. غوست 12.2.003-91. إس إس بي تي. معدات الإنتاج. متطلبات السلامة العامة.

4. غوست 12.3.002-75 (2000). إس إس بي تي. عمليات الانتاج. متطلبات السلامة العامة.

5. غوست 12.4.011-89. إس إس بي تي. معدات الحماية للعمال. المتطلبات العامة والتصنيف.

6. غوست آر 51898-2002. الجوانب الأمنية. قواعد التضمين في المعايير.

7. غوست آر 12.1.052-97. إس إس بي تي. معلومات عن سلامة المواد والمواد (صحيفة بيانات السلامة). الأحكام الأساسية.

8. غوست آر آيزو 13849-1-2003. سلامة المعدات. عناصر نظم التحكم المتعلقة بالسلامة. الجزء 1. مبادئ التصميم العامة.

9. بكالوريوس 31100:2008. إدارة المخاطر - قواعد الممارسة.

10. بي إس أوساس 18001:2007. أنظمة إدارة الصحة والسلامة المهنية. متطلبات.

11. كوا 15793:2008. معيار إدارة المخاطر البيولوجية في المختبرات

12. آيزو/آي إي سي 51:1999. جوانب السلامة - مبادئ توجيهية لإدراجها في المعايير.

13. دليل ISO/IEC 73:2009. إدارة المخاطر – المفردات – إرشادات الاستخدام في المعايير.

14. آيزو 31000:2009. إدارة المخاطر - المبادئ والإرشادات.

15. اللجنة الكهروتقنية الدولية/الأيزو 31010:2009. إدارة المخاطر - تقنيات تقييم المخاطر.

16. آيزو 15190:2003. المختبرات الطبية - متطلبات السلامة.

17. السبب ي. خطأ بشري. - نيويورك: مطبعة جامعة كامبريدج، 1990. - 316 ص.

18. اللائحة (المفوضية الأوروبية) رقم 1907/2006 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 18 ديسمبر 2006 بشأن تسجيل وتقييم وترخيص وتقييد المواد الكيميائية (REACH)، وإنشاء وكالة أوروبية للمواد الكيميائية، وتعديل التوجيه 1999/45/EC وإلغاء لائحة المجلس (EEC) رقم 793/93 ولائحة المفوضية (EC) رقم 1488/94 بالإضافة إلى توجيه المجلس 76/769/EEC وتوجيهات المفوضية 91/155/EEC، 93/67/EEC، 93/ 105/EC و2000/21/EC.

دعونا نلقي نظرة على المعايير الدولية الأكثر شهرة في مجال أمن المعلومات.

معيار الأيزو 17799 تتناول "القواعد العملية لإدارة أمن المعلومات" الجوانب التالية لأمن المعلومات:

المفاهيم والتعاريف الأساسية؛

سياسة أمن المعلومات؛

قضايا الأمن التنظيمي؛

تصنيف الأصول وإدارتها؛

قضايا السلامة المتعلقة بالموظفين؛

الحماية المادية والبيئية؛

إدارة نقل البيانات والأنشطة التشغيلية؛

صلاحية التحكم صلاحية الدخول؛

تطوير وصيانة النظم؛

إدارة استمرارية العمل؛

التدقيق الداخلي لأمن معلومات الشركة؛

الامتثال للمتطلبات القانونية.

يحتل المعيار مكانة مهمة في نظام المعايير ايزو 15408"المعايير المشتركة لأمن تكنولوجيا المعلومات" والمعروفة باسم "المعايير المشتركة". تصنف "المعايير العامة" مجموعة واسعة من متطلبات أمن تكنولوجيا المعلومات، وتحدد هياكل تجميعها ومبادئ استخدامها.

أحد العناصر المهمة في نظام المعايير هو البنية التحتية للمفتاح العام PKI (البنية التحتية للمفتاح العام). تتضمن هذه البنية التحتية نشر شبكة من سلطات التصديق الرئيسية واستخدام الشهادات الرقمية التي تتوافق مع توصيات X.509

معايير أمن المعلومات الروسية

غوست ص 50739-95. مرافق الكمبيوتر. الحماية ضد الوصول غير المصرح به إلى المعلومات. المتطلبات الفنية العامة. معيار الجودة في روسيا

غوست آر 50922-2006. حماية البيانات. المصطلحات والتعاريف الأساسية. معيار الجودة في روسيا

غوست ص 51188-98. حماية البيانات. برامج اختبار فيروسات الكمبيوتر. دليل النموذج. معيار الجودة في روسيا

غوست آر 51275-2006. حماية البيانات. كائن المعلومات. العوامل المؤثرة على المعلومات. الأحكام العامة. معيار الجودة في روسيا

غوست آر 51583-2000. حماية البيانات. الإجراء الخاص بإنشاء أنظمة آلية في تصميم آمن. الأحكام العامة

غوست آر 51624-2000. حماية البيانات. الأنظمة الآلية في تصميم آمن. المتطلبات العامة

غوست آر 52069-2003. حماية البيانات. نظام المعايير. الأحكام الأساسية

غوست آر 53131-2008 (ISO/IEC إلى 24762-2008). حماية البيانات. توصيات لخدمات التعافي من الكوارث لوظائف وآليات أمن تكنولوجيا المعلومات والاتصالات. الأحكام العامة

غوست آر آيزو 7498-1-99. تكنولوجيا المعلومات. الربط بين الأنظمة المفتوحة. النموذج المرجعي الأساسي الجزء 1. النموذج الأساسي. معيار الجودة في روسيا

غوست آر آيزو 7498-2-99. تكنولوجيا المعلومات. الربط بين الأنظمة المفتوحة. النموذج المرجعي الأساسي الجزء 2. هندسة أمن المعلومات. معيار الجودة في روسيا

غوست آر آيزو/آي إي سي 13335-1-2006. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. الجزء الأول. مفهوم ونماذج إدارة أمن تكنولوجيا المعلومات والاتصالات

GOST R ISO/IEC TO 13335-3-2007. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. الجزء 3. أساليب إدارة أمن تكنولوجيا المعلومات

GOST R ISO/IEC TO 13335-4-2007. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. الجزء 4. اختيار التدابير الوقائية

GOST R ISO/IEC TO 13335-5-2007. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. الجزء الخامس: دليل إدارة أمن الشبكات

غوست آر آيزو/آي إي سي 15408 -1-2008. طرق ووسائل ضمان الأمن. معايير تقييم أمن تكنولوجيا المعلومات. الجزء 1. مقدمة ونموذج عام. معيار الجودة في روسيا

غوست آر آيزو/آي إي سي 15408-2-2008. طرق ووسائل ضمان الأمن. معايير تقييم أمن تكنولوجيا المعلومات. الجزء 2. متطلبات السلامة الوظيفية. معيار الجودة في روسيا

غوست آر آيزو/آي إي سي 15408-3-2008. طرق ووسائل ضمان الأمن. معايير تقييم أمن تكنولوجيا المعلومات. الجزء 3. متطلبات ضمان الأمن. معيار الجودة في روسيا

GOST R ISO/IEC حتى 15443-1-2011. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. أساسيات الثقة في أمن تكنولوجيا المعلومات. الجزء 1: نظرة عامة والأساسيات

GOST R ISO/IEC TO 15443-2-2011. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. أساسيات الثقة في أمن تكنولوجيا المعلومات. الجزء 2. طرق الثقة

GOST R ISO/IEC حتى 15443-3-2011. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. أساسيات الثقة في أمن تكنولوجيا المعلومات. الجزء 3. تحليل أساليب الثقة

غوست آر آيزو/آي إي سي 17799- 2005. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. ممارسات إدارة أمن المعلومات

غوست آر آيزو/آي إي سي 18028-1-2008. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. أمن شبكات تكنولوجيا المعلومات. إدارة أمن الشبكات

GOST R ISO/IEC حتى 19791-2008. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. التقييم الأمني ​​للأنظمة الآلية

غوست آر آيزو/آي إي سي 27001- 2006. طرق ووسائل ضمان الأمن. نظم إدارة أمن المعلومات. متطلبات

غوست آر آيزو/آي إي سي 27004-2011. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. إدارة أمن المعلومات. قياسات

غوست آر آيزو/آي إي سي 27005-2009. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. إدارة مخاطر أمن المعلومات

غوست آر آيزو/آي إي سي 27033-1-2011. تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. أمن الشبكة. الجزء الأول: نظرة عامة ومفاهيم

غوست 28147 -89 نظم معالجة المعلومات. حماية التشفير. خوارزمية تحويل التشفير.

غوست ر 34.10 -2001 تكنولوجيا المعلومات. حماية معلومات التشفير. عمليات توليد والتحقق من الإلكترونية توقيع إلكتروني.

غوست ر 34.11 -94 تكنولوجيا المعلومات. حماية معلومات التشفير. وظائف التجزئة.

تعتبر مجموعة المعايير الدولية لإدارة أمن المعلومات لسلسلة ISO 27000 مهمة جدًا (والتي، مع بعض التأخير، تم اعتمادها أيضًا كمعايير حكومية روسية). نشير بشكل خاص إلى GOST/ISO 27001 (أنظمة إدارة أمن المعلومات)، GOST/ISO 27002 (17799) (القواعد العملية لإدارة أمن المعلومات)

تقنيات جدار الحماية

جدار الحماية(ME) عبارة عن مجموعة معقدة من الأجهزة أو البرامج التي تقوم بمراقبة وتصفية حزم الشبكة التي تمر عبرها وفقًا لقواعد محددة. ويسمى لي أيضا جدار الحماية(ألمانية) براندماور) أو جدار الحماية(إنجليزي) جدار الحماية). يتيح لك ME تقسيم الشبكة الإجمالية إلى قسمين وتنفيذ مجموعة من القواعد التي تحدد شروط مرور حزم البيانات عبر الشاشة من جزء من الشبكة إلى آخر. عادةً، يتم تثبيت جدار الحماية بين شبكة الشركة (المحلية) والإنترنت، مما يحمي الشبكة الداخلية للمؤسسة من الهجمات من الشبكة العالمية، ولكنه يمكنه أيضًا حماية الشبكة المحلية من التهديدات من شبكة الشركة.

تتمثل المهمة الرئيسية لجدار الحماية في حماية شبكات الكمبيوتر أو العقد الفردية من الوصول غير المصرح به. غالبًا ما تسمى جدران الحماية عوامل التصفية، نظرًا لأن مهمتها الرئيسية هي عدم السماح (تصفية) للحزم التي لا تفي بالمعايير المحددة في التكوين.



مقالات مماثلة
أنواع
  • أجهزة التوجيه
  • الأقراص الصلبة
  • لا يتم تشغيله
  • الطابعات
  • الفرامل
  • يتجمد
  • الفيروسات
  • أجهزة لوحية
المواد شعبية
مقالات جديدة