Что относится к критериям безопасности
Критерии безопасности. Назначение. Что относится к критериям безопасности?
Назначение критериев безопасности заключается в сохранении жизни и здоровья работающих путем ограждения их от воздействия этих факторов.
К критериям безопасности относятся:
· предельно допустимые уровни (ПДУ) воздействия на человека потоков энергии (механической, электромагнитной, тепловой ионизирующей);
· предельные дозы (ПД) воздействия негативных технологических факторов (радиационных, ионизирующих и других);
· предельно допустимые концентрации (ПДК) токсических и\или загрязняющих химических веществ;
· предельно допустимые выбросы в атмосферу, предельно допустимые сбросы в гидросферу (ПДС, ПДВ) нежелательно для человека токсических и\или загрязняющих химических веществ.
· Предельно-допустимое время воздействия на человека негативных факторов, безопасное для человека и окружающей среды
· Предельно-допустимый риск воздействия на человека негативных факторов без опасности для человека и окружающей среды
Текущие и пороговые значения параметров техногенной среды. Воздействие нескольких разновидностей негативного фактора, воздействие нескольких факторов и их разновидностей, эффект усиления действия отдельных факторов
Текущее значение параметров техногенной сферы Сj не должно превышать пороговых значений критериев безопасности Пj (ПДУ, ПДК)
, j=1,2,…, n
При одновременном воздействии нескольких k-ых разновидностей j-го вредного вещества производится суммирование отношение текущих значений 
этих разновидностей к их пороговым значениям 
Эффект усиления действия отельных факторов учитывается введением в неравенство (1) коэффициент взаимного влияния.
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)
Основные стандарты безопасности
В статье приведено описание основных международных и национальных стандартов безопасности. Рассмотрены определения терминов «безопасность», «опасность», «риск». Сделаны предположения о возможности применения для описания опасностей принципов неопределенности Гейзенберга и дополнительности Бора.
Что такое «безопасность»?
Обеспечение безопасности — одно из важнейших требований, которое должны выполнять все, везде и всегда, так как любая деятельность потенциально опасна. Безопасность связана с риском (они взаимозависимы). Рассмотрим определения этих понятий, приведенные в стандартах [3, 12, 13].
Безопасность — отсутствие недопустимого риска [3, 12, 13].
Опасность — потенциальный источник возникновения ущерба [3, 12, 13].
Риск — эффект от неопределенности целей [13].
Таким образом, безопасность характеризуется не отсутствием риска вообще, а только отсутствием недопустимого риска. Стандарты [6, 12] определяют допустимый риск как «оптимальный баланс между безопасностью и требованиями, которым должны удовлетворять продукция, процесс или услуга, а также такими факторами, как выгодность для пользователя, эффективность затрат, обычаи и др.». Стандарт [10], часто используемый предприятиями, трактует допустимый (приемлемый) риск как «риск, уменьшенный до уровня, который организация может допустить, учитывая свои законодательные обязательства и собственную политику в области гигиены и безопасности труда».
Типы стандартов безопасности
Задание требований безопасности в регламентах/стандартах должно основываться на анализе риска причинения вреда людям, имуществу или окружающей среде или их сочетанию — так говорится в стандартах [6, 12]. На рисунке схематически приведены основные риски предприятия с указанием стандартов управления рисками.
Возможно, для описания и анализа опасностей и рисков можно было бы применять дельта-функции Дирака и функции Хевисайда, так как переход от допустимого к недопустимому риску — скачкообразный.
Принципы и средства обеспечения безопасности
Остановимся подробнее на принципе классификации (категорирования). Он состоит в делении объектов на классы и категории по признакам, связанным с опасностями. Примеры: санитарнозащитные зоны (5 классов), категории производств (помещений) по взрывопожарной опасности (А, Б, В, Г, Д), категории/классы по директивам АТЕХ (3 категории оборудования, 6 зон), классы опасности отходов (5 классов — в России, 4 класса — в Украине), классы опасности веществ (4 класса), классы опасности при перевозках опасных грузов (9 классов) и др.
По расчетам Гейнриха на один несчастный случай со смертельным исходом приходится около 30 травм с менее тяжелыми последствиями и около 300 других инцидентов, которые могут пройти практически незамеченными. При этом косвенные экономические затраты на ликвидацию последствий в четыре раза превышают прямые.
Справка
около 20% всех неблагоприятных событий связаны с отказами оборудования, а 80% — с человеческой ошибкой, из которых 70% ошибок произошли из-за скрытых организационных слабостей (ошибки скрывались, не было реакции на них), а около 30% связаны с индивидуальным работником.
Рис. Риски компании (пример) и применимые к ним стандарты
ЕСО — Европейские стандарты оценки (Европейская группа оценщиков TEGoVA);
МСО — Международные стандарты оценки (имущества);
МСФО — Международные стандарты финансовой отчетности (IFRS);
BASEL II — соглашение «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» Базельского комитета по банковскому надзору;
BRC — The British Retail Consortium Global standards (Стандарты Консорциума Британской торговли);
COBIT — Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий» — пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности); COSO — Committee of Sponsoring Organizations of the Treadway Commission (стандарт комитета спонсорских организаций комиссии Тредвея);
FERMA — Federation of European Risk Management Associations (стандарт Федерации европейских ассоциаций риск-менеджеров); GARP — Global Association of Risk Professionals (стандарт Ассоциации риск-профессионалов);
IFS — International Featured Standards (Международные стандарты по производству и реализации продуктов питания);
ISO/PAS 28000 — Specification for security management systems for the supply chain (Системы менеджмента безопасности цепи поставок. Технические условия);
NIST SP 800–30 — Risk Management Guide for Information Technology Systems (Руководство по управлению рисками в системах информационных технологий).
Таблица. Стандарты безопасности (примеры)
примеры стандартов
Основополагающие стандарты
ISO 31000 Risk management — Principles and guidelines (Менеджмент риска. Принципы и руководства);
IEC/ ISO 31010 Risk management — Risk assessment techniques (Менеджмент риска. Методы оценки риска);
BS 31100 Risk management.Code of practice (Менеджмент риска. Практический кодекс); BS 25999 Business continuity management (part 1, part 2) (Управление непрерывностью бизнеса, ч. 1, 2);
IEC 61160 Risk management. Formal design review (Менеджмент риска. Формальный анализ проекта);
BS OHSAS 18001 Occupational health and safety management systems. Requirements. (Системы менеджмента безопасности труда и здоровья. Требования);
GS-R-1 Legal and Governmental Infrastructure for Nuclear, Radiation, Radioactive Waste and Transport Safety. Requirements (Законодательная и правительственная инфраструктура для ядерной и радиационной безопасности, безопасности радиоактивных отходов и транспортировки); ISO 22000:2005 Food safety management systems — Requirements for any organization in the food chain (Системы управления безопасностью пищевой продукции. Требования для любой организации в пищевой цепочке)
Групповые стандарты
ISO 14121 Safety of machinery — Risk assessment (Безопасность машин. Оценка риска);
ISO 12100 Safety of machinery — Basic concepts, general principles for design (Безопасность машин.
Базовые концепции, основные принципы для проектирования);
ISO 13849 Safety of machinery — Safety-related parts of control systems (Безопасность машин. Безопасность частей систем контроля);
ATEX 95 directive 94/9/EC, Equipment and protective systems intended for use in potentially explosive atmospheres (Директива 94/9/EC. Оборудование и защитные системы, предназначенные для применения в потенциально взрывоопасных атмосферах);
ATEX 137 directive 99/92/EC, Minimum requirements for improving the safety and health protection of workers potentially at risk from explosive atmospheres (Директива 1999/92EC. Минимальные требования для улучшения безопасности, охраны труда и здоровья работников, а также потенциального риска от взрывоопасной атмосферы);
IEC 62198 Project Risk Management — Application Guidelines (Управление риском проекта. Руководство по применению);
ISO 15190 Medical laboratories — Requirements for safety (Медицинские лаборатории. Требования к безопасности);
ISO 14971 Medical devices — Application of risk management to medical devices (Медицинские приборы. Применение менеджмента риска к медицинским приборам);
ISO 14798 Lifts (elevators), escalators and moving walks — Risk assessment and reduction methodology (Лифты, эскалаторы и конвейеры. Методология оценки и снижения риска); ISO 15408 Information technology — Security techniques — Evaluation criteria for IT security (Информационная технология. Критерии оценки для безопасности информационной технологии)
Стандарты на безопасность продукции
ISO 10218 Robots for industrial environments — Safety requirements (Промышленные роботы. Требования безопасности);
IEC 61010–1:2001 Safety requirements for electrical equipment for measurement, control, and laboratory use—Part 1: General requirements (Требования безопасности к оборудованию для измерений, контроля и лабораторного применения. Часть 1: Основные требования);
IEC 60086–4:2000—Primary batteries—Part 4: Safety of lithium batteries. (Батареи первичные. Часть Часть 4: Безопасность литиевых батарей);
EC 61199 Single-capped fluorescent lamps. Safety specifications (Лампы люминесцентные одноцокольные. Требования безопасности);
IEC 60335 Household and similar electrical appliances — Safety (Приборы электрические бытового и аналогичного назначения. Безопасность);
IEC 60065 Audio, video and similar electronic apparatus — Safety requirements (Аудио, видео и подобная электронная аппаратура. Требования безопасности); EN 692 Mechanical presses — Safety (Механические прессы. Безопасность); EN 50088 Safety of electric toys (Безопасность электрических игрушек)
Стандарты на продукцию
Standards of Codex Alimentarius Commission. (Стандарты Комиссии Кодекс Алиментариус на продукцию CODEX STAN 12–1981, CODEX STAN 13–1981 и др.);
ISO 3500:2005 Gas cylinders — Seamless steel CO2 cylinders for fixed fire-fighting installations on ships (Баллоны газовые. Стальные бесшовные баллоны с углекислым газом для судовых стационарных пожарных установок);
ISO 4706:2008 Gas cylinders — Refillable welded steel cylinders — Test pressure 60 bar and below (Баллоны газовые. Баллоны стальные сварные заправляемые. Испытательное давление 60 бар и ниже); EN 13109:2002 LPG tanks. Disposa (Баллоны для сжиженного газа. Использование); EN 13807:2003 Transportable gas cylinders. Battery vehicles. Design, manufacture, identification and testing (Баллоны газовые переносные. Аккумуляторные автомобили. Проектирование, изготовление, идентификация и испытания); ГОСТ 10003–90. Стирол. Технические условия; ГОСТ 10007–80. Фторопласт-4. Технические условия;
ГОСТ 10121–76. Масло трансформаторное селективной очистки. Технические условия; ГОСТ 10037–83. Автоклавы для строительной индустрии. Технические условия
Средства обеспечения безопасности делятся на средства коллективной (СКЗ) и индивидуальной защиты (СИЗ). В свою очередь, СКЗ и СИЗ делятся на группы в зависимости от характера опасностей, конструктивного исполнения, области применения и т.д.
Основные стандарты безопасности
Учитывая важность оценки профессиональных рисков для безопасности труда на рабочих местах, Европейское агентство по обеспечению здоровья и безопасности работников в 1996 г. опубликовало Руководство о порядке проведения оценки рисков (Guidance on risk assessment at work) и постоянно добавляет много полезных примеров для определения опасностей при оценке профессиональных рисков.
В целом также и требования европейской Директивы REACH [18] направлены на обеспечение безопасности. Эта система основана на управлении рисками, связанными с веществами, которые содержатся в химических соединениях, а в отдельных случаях и в изделиях.
Важное место занимают стандарты системы безопасного труда (ГОСТ ССБТ). Это документы хорошо выстроенной системы, которая существует в немногих странах мира. Так безопасность технологического оборудования должна соответствовать ГОСТ 12.2.003 [3], безопасность технологических процессов — ГОСТ 12.3.002 [4]. А если производятся, сохраняются и применяются опасные вещества, то требования к безопасности определяются по ГОСТ 12.1.007 [1]. Системы (устройства, элементы) безопасности должны соответствовать ГОСТ 12.4.011 [5], а при пожаре и взрыве — еще и ГОСТ 12.1.004 [2].
Требования к безопасности строений/сооружений определяются по строительным нормам и правилам.
Большое значение имеют также медицинские стандарты и регламенты (GMP — надлежащая производственная практика, GLP — надлежащая лабораторная практика, GDP — надлежащая дистрибьюторская практика, GPP — надлежащая аптечная практика и др.).
Стандарты безопасности в продовольственной сфере определяются Комиссией Codex Alimentarius. Есть также регламенты безопасности в ветеринарии, растениеводстве.
Развитие космонавтики и ядерной энергетики, усложнение авиационной техники привело к тому, что изучение безопасности систем было выделено в независимую отдельную область деятельности (например, МАГАТЭ была опубликована новая структура стандартов по безопасности: GS-R-1 «Законодательная и правительственная инфраструктура для ядерной и радиационной безопасности, безопасности радиоактивных отходов и транспортировки»). Еще в 1969 г. Министерство обороны США приняло стандарт MILSTD-882 «Программа по обеспечению надежности систем, подсистем и оборудования». В нем изложены требования для всех промышленных подрядчиков по военным программам.
Важными документами являются карты безопасности материала (MSDSкарты — Material safety data sheet) [7]. MSDS-карты, как правило, содержат следующие разделы: сведения о продукте, опасные составляющие, потенциальное воздействие на здоровье (контакт с кожей, воздействие при приеме пищи, предельные дозы, раздражающее действие, возбуждающее действие, взаимно усиливающее действие в контакте с другими химическими веществами, кратковременное воздействие, долговременное воздействие, влияние на репродуктивность, мутагенность, канцерогенность), порядок оказания первой медицинской помощи (при попадании на кожу, в глаза, желудок, при вдыхании), пожаро- и взрывоопасность (огнеопасность/горючесть — при каких условиях, способы тушения, особые инструкции по тушению огня, опасные продукты сгорания), данные по химической активности (химическая стабильность, условия химической активности, опасные продукты распада), действия в случае розлива/утечки (включая утилизацию отходов, распад/токсичность для водной флоры/фауны, грунта, воздуха), борьба с воздействием вещества и средства индивидуальной защиты (технические средства, перчатки, средства защиты органов дыхания и зрения, защитная обувь, защитная одежда), требования к хранению и работе с веществом (хранение, работа, порядок транспортировки), физические характеристики вещества, экологическая, нормативная, дополнительная информация. Такие MSDS-карты готовит производитель и передает пользователю/потребителю. Данные из MSDS-карт необходимо включить в инструкции производственные и по охране труда.
Факты
Примеры отзывов продукции по причине ее опасности
Заключение
Специалистам, разрабатывающим стандарты безопасности, нужно больше внимания уделять гармонизации нормативов, применяемых в различных областях. Например, использовать подходы, изложенные в принципах неопределенности Гейзенберга и дополнительности Бора. Кроме того, не забывать о человеческих ошибках [17] и устранении организационных слабостей. Введение риск-менеджмента на предприятиях поможет повысить уровень безопасности. В последние годы активно развиваются стандарты риск-менеджмента, например [9, 11, 14, 15, 16]. Изучение и применение этих документов также способствует улучшению культуры безопасности.
Безусловно, в сфере безопасности стандарты, регламенты, нормы, правила, инструкции необходимы, но не менее важно их выполнение.
Для обеспечения безопасности необходимо знать ответы на вопросы:
1. Какова вероятность возникновения инцидента?
2. Каковы будут негативные последствия?
3. Как их минимизировать?
4. Как продолжать деятельность во время и после инцидента?
5. Каковы приоритеты и временные рамки восстановления?
6. Что, как, когда и кому необходимо сделать?
7. Какие предупреждающие меры надо предпринимать, чтобы упредить/ минимизировать негативные последствия?
Использованная литература
1. ГОСТ 12.1.007–76 (1999). ССБТ. Вредные вещества. Классификация и общие требования безопасности.
2. ГОСТ 12.1.004–91. ССБТ. Пожарная безопасность. Общие требования.
3. ГОСТ 12.2.003–91. ССБТ. Оборудование производственное. Общие требования безопасности.
4. ГОСТ 12.3.002–75 (2000). ССБТ. Процессы производственные. Общие требования безопасности.
5. ГОСТ 12.4.011–89. ССБТ. Средства защиты работающих. Общие требования и классификация.
6. ГОСТ Р 51898–2002. Аспекты безопасности. Правила включения в стандарты.
7. ГОСТ Р 12.1.052–97. ССБТ. Информация о безопасности веществ и материалов (Паспорт безопасности). Основные положения.
8. ГОСТ Р ИСО 13849–1-2003. Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Часть 1. Общие принципы конструирования.
9. BS 31100:2008. Risk management — Code of practice.
10. BS OHSAS 18001:2007. Occupational health and safety management systems. Requirements.
11. CWA 15793:2008. Laboratory biorisk management standard.
12. ISO/IEC 51:1999. Safety aspects — Guidelines for their inclusion in standards.
13. ISO/IEC Guide 73:2009. Risk management — Vocabulary — Guidelines for use in standards.
14. ISO 31000:2009. Risk management — Principles and guidelines.
15. IEC/ISO 31010:2009. Risk management — Risk assessment techniques.
16. ISO 15190:2003. Medical laboratories — Requirements for safety.
17. Reason J. Human error. — New York: Cambridge University Press, 1990. — 316 p.
18. Regulation (EC) № 1907/2006 of the European Parliament and the Council of 18 December 2006 concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH), establishing a European Chemicals Agency, amending Directive 1999/45/EC and repealing Council Regulation (EEC) № 793/93 and Commission Regulation (EC) № 1488/94 as well as Council Directive 76/769/EEC and Commission Directives 91/155/EEC, 93/67/ EEC, 93/105/EC and 2000/21/EC.
© Интернет-проект «Корпоративный менеджмент», 1998–2021
ТЕМА 1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цели и задачи изучения темы:
Оглавление:
1.1.Основные положения теории информационной безопасности информационных систем
На сегодняшний день сеть Интернет становится неотъемлемой частью ведения бизнеса, позволяющей работать с большими массивами информации и осуществлять мгновенную коммуникацию с географически разрозненными регионами. Глобальная сеть Интернет стала универсальным средством связи и общения. Вместе с тем, Интернет является очень трудно контролируемым каналом распространения информации, что приводит к тому, что средства World Wide Web нередко используются для получения несанкционированного доступа к конфиденциальной и закрытой коммерческой информации со стороны злоумышленников и различного рода мошенников. Сеть Интернет играет существенную роль и в так называемой «конкурентной» разведке – сборе сведений о действиях и планах конкурирующих организаций с целью дальнейшего ослабления их рыночных позиций. Различного рода информационные угрозы для деятельности предприятия могут создаваться как единичными мошенниками или хулиганствующими непрофессиональными субъектами, так и мощными, высокопрофессиональными организациями, задействованными в многоуровневых стратегиях конкурентной борьбы.
Специфика бизнеса, человеческий фактор, несовершенство законодательства и технические недостатки современных информационных систем обуславливают повышенный риск корпоративных информационных сетей. К основным нарушениям информационной безопасности, приносящим материальный ущерб, относятся: коммерческий шпионаж, утечки и потери информации из-за халатности сотрудников, внутренние инциденты с персоналом, компьютерные вирусы, нападения хакеров.
Ущерб, как известно, легче предотвратить, чем восполнить. С развитием информационных систем и средств их защиты одновременно совершенствуются и способы нападения со стороны злоумышленников.
Превалирующими по объему потерь преступлениями в информационной сфере являются:
При разработке эффективной защиты информационных систем должны быть поставлены следующие цели:
Адекватная защита информации требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы.
Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.
Соответственно, составляющими информационной безопасности являются:
Вкратце все это можно сформулировать следующим образом. Основными задачами информационной безопасности являются:
Все эти три задачи реализуются за счет проведения соответствующих организационных мероприятий и применения аппаратно/программных средств защиты конфиденциальной информации.
Виды противников или «нарушителей» информационной безопасности (ИБ). Среди внешних противников ИБ за последние годы существенно возросло число инцидентов, связанных с использованием так называемых брешей в системном программном обеспечении для несанкционированного проникновения через сеть Интернет в информационные ресурсы, увеличилось количество случаев нарушения нормальной работы из-за влияния программ-вирусов, возросло количество отказов в обслуживании, связанных с переполнением буфера при появлении «спама» в электронной почте.
Анализ структуры внутренних угроз показывает, что наиболее серьезные нарушения в области ИБ представляют такие негативные проявления человеческого фактора в работе персонала, как самовольная установка и использование нерегламентированного программного обеспечения, увеличение случаев использования оборудования и ресурсов в личных целях. Одновременно отмечается снижение количества случаев, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.
1.2. Нарушения информационной безопасности
Анализ угроз ИБ. О рганизация обеспечения ИБ должна носить комплексный характер. Она должна основываться на глубоком анализе всевозможных негативных последствий. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению (уязвимостей) и как следствие определение актуальных угроз информационной безопасности. Исходя из этого, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:источники угроз – уязвимость – угроза (действие) – последствия.
Источники угроз – это потенциальные антропогенные, техногенные и стихийные угрозы безопасности.
Уязвимость – это присущие объекту ИС причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта ИС, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформы, условиями эксплуатации, невнимательностью сотрудников.
Последствия – это возможные действия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости.
Классификация угроз информационной безопасности
Основными угрозами информации являются :
Классификация источников угроз ИБ
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем источники угроз могут находиться как внутри ИС – внутренние источники, так и вне нее – внешние источники.
Все источники угроз информационной безопасности можно разделить на три основные группы:
Угрозы, как правило, появляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности в ИС. Уязвимости присущие ИС, неотделимы от нее, и обуславливаются недостатками процесса функционирования, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации).
Устранение или существенно ослаблен ие уя звимостей, влияет на возможности реализации угроз безопасности информации.
Существуют следующая классификация уязвимостей:
Субъективные – зависят от действий сотрудников, в основном устраняются организационными и программно – аппаратными методами:
Случайные – зависят от особенностей окружающей ИС среды и непредвиденных обстоятельств.
Обзор потенциальных угроз безопасности.
Территориально распределенная структура ИС создает ряд предпосылок для реализации разнообразия потенциальных угроз ИБ, которые могут нанести ущерб ИС. Это разнообразие настолько велико, что не позволяет предусмотреть каждую угрозу. Поэтому анализируемые характеристики угроз надо выбирать с позиций здравого смысла, одновременно выявляя не только сами угрозы, размер потенциального ущерба, но их источники и уязвимости системы.
Для любой ИС характерны антропогенные, техногенные и стихийные источники угроз, которые воздействуют на систему через ее уязвимости, характерные для любой ИС (как бы она идеально не была построена), реализуя тем самым угрозы ИБ.
Определим потенциальные угрозы ИБ для ИС.
Антропогенные источники угроз ИБ
В качестве антропогенного источника угроз для ИС можно рассматривать субъекта (личность), имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними так и внутренними, как случайными, так и преднамеренными. Внутренние и внешние источники могут использовать различные классы уязвимостей: объективные, субъективные, случайные. Методы противодействия для данной группы управляемы, и напрямую зависят от службы безопасности.
Случайные (непреднамеренные). Данные источники могут использовать такие классы уязвимостей, как субъективные и случайные. Субъективные могут выражаться в ошибках, совершенных при проектировании ИС и ее элементов, ошибками в программном обеспечении. Случайные могут определятся различного рода сбоями и отказами, повреждениями, проявляемыми в ИС. К таким источникам можно отнести персонал поставщиков различного рода услуг, персонал надзорных организаций и аварийных служб, др. Действия (угрозы) исходящие от данных источников совершаются по незнанию, невнимательности или халатности, из любопытства, но без злого умысла. Основные угрозы от таких действий – уничтожение, блокирование, искажение информации.
Преднамеренные. Проявляются в корыстных устремлениях субъектов (злоумышленников). Основная цель таких источников – умышленная дезорганизация работы, вывода системы из строя, разглашения и искажения конфиденциальной информации за счет проникновение в систему посредством несанкционированного доступа (НСД) и утечки по техническим каналам. Угрозы от таких источников могут быть самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации. В качестве таких источников могут выступать: потенциальные преступники (террористы) и хакеры; недобросовестные партнеры; представители силовых структур.
Для реализации этих угроз внешние преднамеренные источники могут использовать следующие три класса уязвимостей: объективные; субъективные; случайные. Каждым отдельным источником может использоваться определенный класс уязвимостей, в зависимости от преследуемой цели. Например, хакеры могут воспользоваться сбоями в программном обеспечении (случайные уязвимости), недобросовестные партнеры, для получения доступа к информации, могут воспользоваться активизируемыми программными закладками, встроенными в поставленном ими же программном обеспечении (объективные уязвимости), др.
Внутренние источники – как правило, представляют собой первоклассных специалистов в области эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой и основными функциями и принципами работы программно – аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств ИС. К таким источника можно отнести: основной персонал; представителей служб безопасности; вспомогательный персонал; технических персонал (жизнеобеспечение, эксплуатация). Внутренние антропогенные источники, в связи с их положением в ИС, для реализации угроз, могут использовать каждый из классов уязвимостей (объективные, субъективные, случайные), опять же в зависимости от преследуемых целей. Угрозы от таких источников, также могут самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации.
Угрозы этой группы, могут реализовываться различными методами: аналитические; технические; программные; социальные; организационные.
При организации защиты службы ИБ должны определять степень доступности каждого источника к защищенному объекту, квалификацию и привлекательность совершения деяний со стороны источника угрозы.
Меры защиты (противодействия) от таких источников должны тщательно продумываться, к ним можно отнести:
Список способов противодействия должен, в случае необходимости пополнятся новыми средствами защиты.
Источники угроз данной группы, напрямую зависят от свойств техники и, поэтому требуют не меньшего внимания. Данные источники также могут быть как внутренними, так и внешними.
Внешние источники – средства связи (телефонные линии); сети инженерных коммуникаций (водоснабжение, канализации).
Внутренние источники – некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные средства охраны (охраны, сигнализации, телефонии); другие технические средства, применяемые в ИС.
Данная группа источников менее прогнозируема и напрямую зависит от свойств техники применяемой в ИС и поэтому требует особого внимания со стороны служб ИБ. Угрозы от таких источников могут быть следующие: потеря информации, искажение блокирование, др. Для предотвращения таких угроз необходимо использовать (по возможности) надежную вычислительную и другую необходимую для надежного функционирования технику, лицензионное программное обеспечение (ПО). Также во время анализа, не стоит упускать непредвиденные ошибки пользователей во время эксплуатации техники и ПО. Таки ошибки могут создать слабости, которыми в свою очередь могут воспользоваться злоумышленники. Согласно статистике, 65% потерь – следствие таких ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью как пользователей, так и персонала.
Анализ угроз ИБ является одним из ключевых моментов политики безопасности любой ИС. Разрабатывая политику безопасности, соответствующим службам целесообразно использовать системный подход.
Под системностью понимается, прежде всего, то, что защита информации заключается не только в создании соответствующих механизмов, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС, с применением единой совокупности законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидации различных видов угроз информационной безопасности.
Однако, к сожалению, эти системы, призванные идентифицировать и отражать нападения хакеров, сами могут быть подвержены несанкционированным воздействиям, которые могут нарушить работоспособность этой системы, что не позволит ей выполнять поставленные перед ней задачи. По этой причине целесообразно рассмотреть единую классификацию (таксономию) атак на системы обнаружения вторжения.
В первую очередь обычно атакуют сенсор. Поскольку сенсор – это совокупность аппаратно/программных средств, то его работа невозможна без операционной системы, сетевого драйвера и сетевой карты. Рассмотрим возможные атаки на сенсор, начиная с самого «низа».
Сетевая карта. Этот компонент задействуется для двух целей – получение доступа к сетевому трафику, в котором ищутся следы атак (если речь не идет о специальных платах обнаружения атак, вставляемых в шасси коммутатора или маршрутизатора, или специальном ПО обнаружения атак для маршрутизатора), а также для передачи на консоль управления сигналов тревоги.
Сетевой драйвер. Неправильная реализация сетевого стека позволяет посылать на сенсор определенным образом сформированные пакеты, что приводит к блокировке системы («синий экран»).
Возможны вторжения через «прорехи» в операционных системах. Через этот компонент атаки на IDS более чем реальны.
Модуль захвата данных. В том случае, если он оперирует сетевыми пакетами, то достаточно послать на него либо нестандартные (т.е. несоответствующие) пакеты, либо организовать «лавинный» трафик, который сенсор не способен обработать. Если он оперирует журналом регистрации, то можно «переполнить» этот журнал и старые события будут перезаписаны новыми.
Подсистема реагирования. Даже если система IDS обнаружила атаку, то достаточно не дать ей прореагировать на нападение и эффективность системы обнаружения вторжений будет сведена к нулю.
Следующим компонентом системы обнаружения атак является сервер управления, на который и поступают сигналы тревоги от сенсора. Поскольку сервер управления в свою очередь взаимодействует с сенсором, консолью или базой данных, то если противник сможет заблокировать эти каналы, то система IDS не сможет нормально функционировать.
База данных, хранящая события. Кроме блокирования ее взаимодействия с сервером управления, противник может попытаться ее переполнить ложными сигналами тревоги.
Сетевое оборудование тоже может стать мишенью для хакеров, что приведет к нарушению взаимодействия между компонентами IDS. Например, можно отключить порт, к которому подключен любой из компонентов системы обнаружения атак.
Для проведения атак на систему обнаружения вторжений противник может использовать также и механизм аутентификации. Для этого достаточно удалить ключ аутентификации одного из компонентов IDS и процесс аутентификации уже не выполнится. Следовательно, компоненты не смогут обмениваться между собой информацией.
1.3. Концепция информационной безопасности
Концепция Информационной Безопасности – это система взглядов на проблему обеспечения Информационной Безопасности, взаимоувязывающая правовые, организационные и программно-аппаратные меры защиты и основанная на анализе защищенности информационной системы в разрезе видов угроз и динамики их развития.
Правовую основу Концепции должна составлять Конституция Российской Федерации, законы Российской Федерации «О безопасности», «О государственной тайне», «Об информации, информатизации и защите информации», Основы законодательства Российской Федерации об Архивном фонде и архивах, другие законодательные акты Российской Федерации, а также международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере.
В зависимости от требований к режиму Информационной Безопасности, различают базовый и повышенный уровни ее обеспечения.
Базовый уровень Информационной Безопасности предполагает упрощенный подход к анализу рисков, при котором рассматривается стандартный набор распостраненных угроз без оценки вероятностей их проявления. Для нейтрализации угроз применяется типовой комплекс контрмер, а вопросы эффективности в расчет не берутся. Подобный подход приемлем, если ценность защищаемых ресурсов в данной организации не слишком высока.
В ряде случаев базового уровня недостаточно. Для обеспечения повышенного уровня Информационной Безопасности необходимо знать параметры, характеризующие степень безопасности информационной системы и количественные оценки угроз, уязвимостей и рисков по отношению к ценности информационных ресурсов. Как правило, выбор концепции проводится на основе анализа нескольких вариантов по критерию стоимость/эффективность.
Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности можно говорить о единой концепции Информационной Безопасности.
Анализ мирового и отечественного опыта обеспечения Информационной Безопасности диктует необходимость создания целостной системы безопасности, взаимоувязывающей правовые, организационные и программно-аппаратные меры защиты и использующей современные методы прогнозирования, анализа и моделирования ситуаций.
Из анализа действующего законодательства вытекает, что правовой защите подлежит главным образом документированная информация (документ), зафиксированная на материальном носителе с реквизитами, т.е. информация, облеченная в форму, позволяющую ее идентифицировать.
При этом неправомерный доступ к компьютерной информации считается преступлением, если:
Эти действия наказываются либо штрафом, либо исправительными работами, либо лишением свободы сроком до двух лет.
Те же действия, совершенные с использованием служебного положения, влекут за собой наказание в более суровой форме (ст. 272 ч. 2 УК). Это означает, что хакеры со стороны несут меньшую уголовную ответственность чем сотрудники организации или лица, допущенные к ее компьютерной информации по договорам.
УК содержит понятие «вредоносные программы», под которое подпадают программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, а также приводящие к нарушению работы информационной системы (ст. 273 УК). В настоящее время у таких программ множество специфических названий, так что обобщающий термин был просто необходим.
К разряду преступлений относится нарушение правил эксплуатации ЭВМ и сетей, если это приводит к уничтожению, блокированию или модификации компьютерной информации, что, в свою очередь, наносит существенный вред или влечет за собой тяжкие последствия (ст. 274 УК). Понятия «существенный вред» и «тяжкие последствия» УК не конкретизирует, как и не дает разъяснении, чему или кому причинен вред: информации, бизнесу, репутации фирмы или гражданина. Очевидно, что ответы на эти вопросы даст лишь судебная практика. В зависимости от тяжести последствий такие преступления наказываются лишением свободы на срок либо до трех либо до семи лет (ст. 273 ч. 1 и 2 УК).
Наряду с этими компьютерно-ориентированными статьями используются остальные, позволяющие квалифицировать противоправное деяние как подпадающее под их юрисдикцию. Проблема в значительной степени связана с объективными возможностями правоохранительной системы обеспечить соответствующую реакцию на тот объем информации о реальной преступности, который ей надлежит полномасштабно перерабатывать. Чем более ограничены эти возможности, тем, соответственно, более значительную часть сигналов о преступлениях система вынуждена от себя отталкивать, оставляя ту или иную часть преступности «в тени».
Кроме того, понятно, что государственные и коммерческие структуры, которые подверглись нападениям, не хотят афишировать их последствия и недостаточную эффективность своих систем защиты. Поэтому совершаемые преступления далеко не всегда становятся достоянием гласности. Не следует думать, что информационные преступления является лишь отечественной национальной спецификой.
Согласно сведениям Института защиты компьютеров The Computer Security Institute (CSI, San Francisco, USA) и ФБР:
Первое что можно предложить — ограничить количество лиц, имеющих доступ к информации. Зафиксировать тех кто имеет доступ, ввести протоколирование работы с информацией и установить за всем этим контроль.
Одним из лучших способов защиты корпоративной информации до недавнего времени считался свод правил, регламентирующий работу с информацией и страхующий от случайных потерь данных. Под потерями данных в данном случае понимается как разглашение личной и корпоративной информации, так и ее несанкционированное изменение или физическое уничтожение. Однако, как показывает практика, эффективность таких мер, при непланомерном подходе без учета специфики организации, невысока.
Как уберечь информацию от потерь и несанкционированного доступа заинтересованных лиц? Можно предложить следующий набор административных мер:
При разработке организационных мер необходимо помнить, что существует как минимум три способа потери данных: с использованием личного контакта, средств компьютерной техники и технических каналов передачи данных.
Выбор контрмер и управление рисками.
При разработке концепции Информационной Безопасности организации необходимо выработать стратегию управления рисками различных классов.
Возможно несколько подходов:
Информационная безопасность экономических систем играет ключевую роль в обеспечении жизненно важных интересов Российской Федерации. Это в первую очередь обусловлено насущной потребностью создания развитой и защищенной информационной среды общества. Именно через информационную среду осуществляются угрозы национальной безопасности в различных сферах деятельности государства.
Экономический потенциал государства все в большей степени определяется объемом информационных ресурсов и уровнем развития информационной инфраструктуры. При этом постоянно растет уязвимость экономических структур от недостоверности получаемой по открытым каналам связи экономической информации, ее запаздывания и блокирования, незаконного использования посторонними в корыстных целях.
Информационная среда, являясь системообразующим фактором во всех сферах национальной безопасности, активно влияет на состояние политической, экономической, оборонной и других составляющих национальной безопасности Российской Федерации. В то же время она представляет собой самостоятельную сферу национальной безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию государства, юридических лиц, граждан.
Основными целями обеспечения информационной безопасности экономических систем являются:
К основным задачам обеспечения информационной безопасности экономических систем относятся:
1.4. Нормативно-руководящие документы
Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства. Место информационной беопасности экономических систем в национальной безопасности страны.
Закон о государственной тайне (в редакции Федерального закона от 06.10.97 N 131-ФЗ) (с изменениями, внесенными Постановлением Конституционного Суда РФ от 27.03.1996 N 8-П) – основной нормативный руководящий документ. Этот Закон содержит ряд статей и регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
В настоящем Законе используются следующие основные понятия:
Правила отнесения сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации. Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.
В деле обеспечения информационной безопасности несомненный успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.
См. подробнее в хрестоматии
На законодательном уровне отметим две группы мер:
Самое важное (и, вероятно, самое трудное) на законодательном уровне – создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 – право на знание достоверной информации о состоянии окружающей среды.
В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.
Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 – право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.
В Гражданском кодексе Российской Федерации (в редакции от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайны. Согласно статье 139, информация составляет служебную или коммерческую тайну в том случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.
Весьма совершенным в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 – «Преступления в сфере компьютерной информации» – содержит три статьи:
Первая имеет дело с посягательствами на конфиденциальность, вторая – с вредоносным ПО, третья – с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государственной тайне» (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.
Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.
Некоторые из этих определений:
Обратим внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу защиты последних.
Данный Закон выделяет следующие цели защиты информации:
Закон гласит, что «Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу». По сути дела, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных отношений.
Режим защиты информации устанавливается:
Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности, а остальные аспекты ИБ – забыты.
Обратим внимание на то, что защиту государственной тайны и персональных данных берет на себя государство; а за другую конфиденциальную информацию отвечают ее собственники.
Как же защищать информацию? В качестве основного закон предлагает для этой цели мощные универсальные средства: лицензирование и сертификацию. Из статьи 19 следует, что и нформационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».
Закон «О лицензировании отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года).
Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Важное значение имеют следующие виды:
Необходимо учитывать, что, согласно статье 1, действие данного Закона не распространяется на следующие виды деятельности:
Подчеркнем, что данный Закон не препятствует организации Интернет-Университетом учебных курсов по информационной безопасности (не требует получения специальной лицензии; ранее подобная лицензия была необходима). В свою очередь, Федеральный Закон «Об образовании» не содержит каких-либо специальных положений, касающихся образовательной деятельности в области ИБ.
Закон «Об электронной цифровой подписи» номер 1-ФЗ (принят Государственной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона «Об информации. ».
Целью данного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
Закон вводит следующие основные понятия:
Согласно Закону, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
Закон определяет сведения, которые должен содержать сертификат ключа подписи:
Зарубежное законодательство в области информационной безопасности. Ключевую роль играет американский «Закон об информационной безопасности» (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Его цель – реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.
Характерно, что уже в начале Закона называется конкретный исполнитель – Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду как регламентация действий специалистов, так и повышение информированности всего общества.
Закон обязывает НИСТ координировать свою деятельность с другими министерствами и ведомствами, включая Министерство обороны, Министерство энергетики, Агентство национальной безопасности (АНБ) и т.д., чтобы избежать дублирования и несовместимости.
Помимо регламентации дополнительных функций НИСТ, Закон предписывает создать при Министерстве торговли комиссию по информационной безопасности, которая должна:
В законодательстве ФРГ имеется весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 (BGBl.I 1990 S.2954), amended by law of September 14, 1994 (BGBl. I S. 2325)). Он целиком посвящен защите персональных данных.
В данном случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной жизни. В остальном права личности защищены весьма тщательно. Например, если сотрудник фирмы обрабатывает персональные данные в интересах частных компаний, он дает подписку о неразглашении, которая действует и после перехода на другую работу.
Международные стандарты информационного обмена. В мировой практике принято использовать следующую схему работы в рамках «электронного государства»: между субъектами, вступающими во взаимодействие, создается единое информационное пространство (среда электронного взаимодействия), и принимаются единые стандарты предоставления информации и обмена данными, а также стандарты на структуру данных. Интеграция разных информационных систем в рамках единого информационного пространства происходит посредством их реализации в виде веб-сервисов с использованием в качестве основного стандарта регистра UDDI (Universal Description, Discovery and Integration).
Этот стандарт позволяет искать и регистрировать информацию, организовывать взаимосвязи между различными базами данных.
Для описания функциональных особенностей работы сервисов и клиентских интерфейсов, а также для организации доступа к сервисам отдельных информационных систем используются протоколы WSDL (Web Services Description Language) и SOAP (Simple Object Access Protocol). Стандартом на структуру предоставляемых данных и документы выступает XML (eXtended Markup Language), широко применяемый для создания информационных ресурсов в последнее время благодаря его универсальности и независимости от используемой платформы.
Так, например, в Великобритании для работы «электронного правительства» организован Шлюз государственных служб (Government Gateway), предоставляющий гражданам и частным компаниям доступ ко всем органам власти по сети интернет. Каждое из ведомств может создавать и использовать свою собственную независимую компьютерную систему и задавать свои бизнес-процессы, однако на уровне единой среды взаимодействия используется общий формат. Таким образом, в качестве единой информационной среды использована уже существующая коммуникационная сеть, а вся информация предоставляется в стандарте XML. Это позволяет людям и организациям просто и согласованно получать доступ к любому государственному учреждению, ведомству или органу местной власти и обмениваться с ним информацией. Любые устройства и информационные системы (персональные компьютеры, веб-серверы, порталы, цифровые телевизоры, интернет-киоски) способны отправлять информацию на языке XML в Government Gateway, где с помощью реализованных там правил будет определяться организация, для которой эта информация предназначена. Кроме того, правила обработки определяют способ дальнейшей передачи данных. После этого информация поступает в соответствующее ведомство, а в случае необходимости Шлюз государственных служб может преобразовать ее в понятный для конечной системы формат.
Аналогично подошли к выбору стандартов и в некоторых других европейских странах – Германии, Дании, а также в США.
В России также принят курс на использование общемировых стандартов. Принято решение о том, что создаваемые информационные системы будут базироваться на принципах построения международного регистра, универсального описания поиска и интеграции данных. Это так называемый регистр UDDI, позволяющий не только регистрировать и находить информацию, но и организовывать взаимодействие между базами данных. При формировании каталогов, целесообразно использовать стандарт XML. Он позволяет всем информационным системам экспортировать уже хранящуюся в их справочниках информацию в регистр без проведения дополнительных операций, при этом постоянно совершенствуется и развивается.
Кроме того, на федеральном уровне ведется работа по подготовке единых стандартов на данные и метаданные (то есть правила описания данных, их структуры и содержимого):