Решение на Съвета на ЕО от 31.01.1992 г. в областта на безопасност на информационните системи
 Съдържание
АНЕКС - Резюме на линиите на действие. Ориентации на плана на действие в областта на безопасността на информационните системи
АНЕКС - Резюме на линиите на действие. Ориентации на плана на действие в областта на безопасността на информационните системи

Въведение
Планът на действие ще има като своя цел развитието на общи стратегии, за да осигурят потребителите и производителите с електронно съхранена, обработена и предоставена информация със съответна защита на информационните системи срещу инцидентни или преднамерени заплахи.
Планът на действие ще вземе под внимание и ще допълва световно разпространените действия по стандартизация влезли в сила в тази област.
Той ще включва следните линии на действие:
•  развитие на стратегическа рамка за безопасност на информационните системи;
•  идентификация на изискванията на потребителите и осигуряващите услугите към безопасност на информационните системи;
•  развитие на спецификации, стандартизация, оценяване и сертификация по отношение на безопасността на информационните системи;
•  технологични и оперативни развития на безопасност на информационните системи;
•  осигуряване на безопасност на информационните системи.

1.I линия на действие - Развитие на стратегическа рамка за безопасност на информационните системи
1.1 Предмет
Безопасност на информационните системи се признава като проникващо качество, необходимо за съвременното общество. Електронните информационни услуги се нуждаят от безопасна инфраструктура на телекомуникациите, безопасен хардуер и софтуер, както и безопасно използване и управление. Обща стратегия, разглеждаща всички аспекти на безопасността на информационните системи, е необходимо да бъде изградена, избягвайки фрагментния подход. Всяка стратегия за безопасност на информацията, обработена в електронна форма трябва да отразява желанието на всяко общество да действа ефективно при своя защита в бързо променящия се свят.
1.2 Цел
Трябва да бъде изградена стратегически ориентирана рамка за съгласуване на социалните, икономически и политически цели с техническите, оперативни и законодателни възможности за Общността в международен контекст. Точният баланс между различните отношения, цели и ограничения трябва да бъде открит от секторните действащи лица, работещи заедно за развитието на общото разбиране и съгласуваната стратегическа рамка. Това са предпоставките з? съгласуване на интересите и нуждите при осъществяването на политиката и при развитието на промишлеността.
1.3 Положение и тенденции
Ситуацията се характеризира с нарастване на съзнанието за нуждата от действие. Но, при липсата на инициатива за координиране на действията, изглежда твърде вероятно, че разпръснатите усилия в различните сектори ще създадат ситуация, която ще бъде де факто противоречива, създаваща прогресивно повече сериозни законови, социални и икономически проблеми.
1.4 Изисквания, възможности и приоритети
Такава съгласувана рамка ще е необходимо да разгледа и ситуира анализа и управлението на риска относно уязвимостта на информацията и свързаните услуги, изравняването на законите и нормативните рамки, свързани с злоупотребата и неправилната употреба на компютрите/телекомуникациите, административните инфраструктури включително политиките за безопасност и сега те могат да бъдат ефективно осъществени от различните промишлености, и социални и частни концерни (напр. прилагането на идентификация, автентичност, невъзможност за отхвърляне и възможни схеми за упълномощаване, характерни за една демократична среда).
За развитието на физичните и логични архитектури трябва да бъде осигурено ясно указание за безопасно извършващите се информационни услуги, стандарти, указания и дефиниции за гарантираните безопасни продукти и услуги, прототипи за въвеждане на жизнеспособността на различните административни структури, архитектури и стандарти, свързани с нуждите на специфичните сектори.
Трябва да бъде създадено разбиране за безопасност, което да действа по отношението на потребителите към нарасналото безпокойство относно безопасността при информационните технологии.

2.II Линия на действие - Идентификация на изискванията на потребители и извършващите услугите към безопасността на информационните системи
2.1 Предмет
Безопасността на информационните системи е присъща предпоставка за интегриране и надеждност на бизнес приложенията, интелектуалната собственост и конфиденциалност. Това довежда очевидно до труден баланс и понякога до труден избор между договореност за свободна търговия и договореност за осигуряването на тайната и интелектуалната собственост. Тези избори и компромиси е необходимо да бъдат базирани на пълно разбиране и влияние на възможните опции за безопасност на информационните системи, които да отговарят на тях.
Изискванията на потребителите означава безопасни функционалности на информационните системи взаимосвързани с технологичните, оперативни и нормативни аспекти. Ето защо, систематично проучване на изискванията за безопасност към информационните системи представляват съществена част от развитието на подходящи и ефективни мерки.
2.2 Цел
Да се установят същността и характерните черти на изискванията на потребителите и осигуряващите услугите и тяхната връзка с мерките за безопасност на информационните системи.
2.3 Положение и тенденции
До сега не са предприемани съгласувани усилия за определяне на бързо развиващите се и променящи изисквания на основните лица към безопасността на информационните системи. Страните-членки на Общността определиха изискванията за хармонизиране на националните действия (особено на критериите за оценка на безопасността на информационните технологии). Критериите за унифицирана оценка и правила за взаимно признаване на сертификати от извършеното оценяване са от особено значение.
2.4 Изисквания, възможности и приоритети
Като основа за последователно и прозрачно отношение към мотивираните нужди на секторните лица, развиването на съгласувана класификация на изискванията на потребителите и тяхната връзка с осигуряването на безопасност при информационните системи.
Също така от голямо значение се смята определянето на изискванията към законодателството, разпоредбите и кодексите на практика в светлината на оценката на тенденциите на характеристиката и технологията на обслужването с цел определяне на алтернативните стратегии за осъществяване на целите посредством административните, обслужващите, оперативните и техническите разпоредби, и оценяване ефективността, благосклонното отношение към потребителите и разходите на алтернативните безопасни възможности и стратегии за информационни системи за потребителите, осигуряващите услуги и операторите.

3. Линия на действие III - Разрешаване на непосредствените и междинни нужди на потребители, осигуряващите стоките и услугите
3.1 Предмет
Понастоящем е възможно да се защитят компютрите адекватно от неоторизиран достъп отвън чрез "изолация", напр. чрез прилагане на конвенционални организационни и физични мерки. Това се отнася до електронната комуникация сред тесните потребителски групи, действащи в определена мрежа. Ситуацията е много трудна, ако информацията се разделя измежду потребителски групи или се обменя с обществеността или общодостьпна мрежа. Нито технологията, терминалите, службите, нито свързаните стандарти и процедури са общо налице, за да осигурят сравнителна безопасност за информационните системи в тези случаи.
3.2 Цел
В кратък срок трябва да се осигурят решения, които да отговарят на най-належащите нужди на потребители, осигуряващите услугите и производители. Това включва използването на общи критерии за оценка безопасността на информационните технологии. Те трябва да бъдат разглеждани като отворени към бъдещите изисквания и разрешения.
3.3 Положение и тенденции
Някои групи потребители развиват техники и процедури за свое специфично използване, по-конкретно при задоволяване нуждата от автентичност, цялост и невъзможност за отхвърляне. Като общо се използват магнетични карти и бързи карти. Някои използват повече или по-малко сложни криптографични техника. Често това означава определяне на специфичните отговорности на групата-потребители. Но е трудно да се обобщят тези техники и методи, за да задоволят нуждите на отворената среда.
180 (Международната организация по стандартизация) работи по стандарта за безопасност на информационната система в контекста на Х 400. Възможно е също така да се включат безопасни сегменти в съобщенията. Автентичността, целостта и невъзможността за отхвърляне се разглеждат като част от съобщенията, а също и като част от Х400.
Понастоящем законовата рамка на обмена на електронни данни е все още на етап разработване на концепция. Международната търговска палата публикува единни правила за осъществяване обмена на търговски данни посредством телекомуникационните мрежи.
Няколко страни (напр. Германия, Франция, Великобритания и САЩ) развиваха и развиват критерии за оценка на сигурността на информационните технологии и телекомуникационни продукти и системи и съответстващите процедури за осъществяване на оценяването. Тези критерии се координират с националните производители и ще доведат до нарастване броя надеждните продукти и системи, стартиращи с опростени продукти. Създаването на национални организации, които да осъществяват оценяването и да предоставят сертификати ще подкрепи тази тенденция.
Осигуряването на конфиденциалност се счита от повечето потребители като по-малко непосредствено важно. В бъдеще обаче има вероятност тази ситуации да се промени като напредналите комуникационни услуги и, по-конкретно мобилните услуги проникнат навсякъде.
3.4 Изисквания, възможности и приоритети
Съществено важно е да се развият възможно най-бързо процедурите, продуктите и средствата за осигуряване на безопасност при информационните системи като такива и при обществените комуникационни мрежи. Голям приоритет ще бъде даден на автентичността, целостта и невъзможността за отхвърляне. Пилотни проекти трябва да бъдат създадени, за да се установи валидност на предложените решения. Решенията за приоритизиране на нуждите от електронен обемен на данни се наблюдава в програмата ТЕВ18 в рамките на по-общото съдържание на този план на действие.

4. Линия на действие IV - Развитие на спецификациите, стандартизацията, оценяването и сертификацията по отношение на безопасността на информационните системи
4.1 Предмет
Изискванията за безопасност на информационните системи са проникващи и като такива общите спецификации и стандарти са решаващи. Липсата на съгласувани стандарти и спецификации за безопасност на информационните технологии може да представлява голяма бариера за ускоряването на информационно-базираните процеси и услуги в икономиката и обществото. Също така се изискват действия за ускоряване развитието и използването на технология и стандарти в няколко свързани комуникационни и компютърни мрежи които са от решаващо значение за потребителите, промишлеността и администрациите.
4.2 Цел
Необходимо е да се осигурят усилия като средство за подкрепа и изпълнение на специфични безопасни функции в общи области като 081, (ЖР, 150М/1ВС и при управлението на мрежите. Ясно свързани към стандартизацията и спецификацията са техниките и подходите изисквани за проверка, включително сертификация водеща до взаимното признаване. Там където е възможно, трябва да се подкрепят международно съгласувани решения. Развитието и използването на компютърни системи с безопасни функции трябва също да бъде насърчавано.
4.3 Положение и тенденции
По конкретно САЩ предприемат важни инициативи за разглеждането на безопасността на информационните системи. В Европа този въпрос се разглежда в контекста на информационните технологии, а комуникационната стандартизация в контекста на ЕТ81 (Европейския институт по стандартизация в областта на телекомуникациите) и СЕN\СЕNЕ ЕС при подготовката на СС1ТТ и работата на 180 в областта.
С оглед на нарастващата загриженост, работата в САЩ бързо се интензифицира и навлизащите и доставящите услугите увеличават своите усилия в тази област. В Европа, Франция, Германия и Великобритания започват независими подобни действия, но произтичащото общо действие от страна на САЩ е твърде бавно.
4.4 Изисквания, възможности и приоритети
При безопасността на информационните системи съществува свойствено много тясна връзка между нормативните, оперативните, административните и технически аспекти. В стандартите трябва да бъдат отразени нормативните актове, и нормативните разпоредби за безопасност на информационните системи трябва да бъдат приведени в съответствие по един потвърждаващ начин със стандартите и нормативните актове. В няколко аспекта, разпоредбите изискват спецификации, които да излизат извън конвенционалния обхват на стандартизацията, напр. вкл. на кодексите на практика. Изискванията към стандартите и кодексите на практика присъстват във всички области на безопасност на информационните системи, и разграничение между изискванията за защита трябва да бъдат направени, които да отговарят на целите за безопасност и на някои от техническите изисквания, които могат да бъдат възложени на компетентните европейски органи (СЕЖ ЕЬЕС/ЕТ81).
Спецификациите и стандартите трябва да покриват предмета на безопасното обслужване на информационните системи (персонална и фирмена автентичност, протоколи невъзможност за отхвърляне, законово приетото електронно доказателство), техните комуникационни услуги (мисълта за комуникационна тайна, гласът на мобилните комуникации и безопасност, защита на данните и възможните база данни, безопасност на интегрираните услуги), тяхното управление на комуникациите и безопасността, (държавно/частна ключова система за работа на отворена мрежа, защита на управлението на мрежата, защита на осигуряващите услугите, и тяхната сертификация (критерии за осигуряване и нива, процедури за осигуряване на безопасността на безопасните информационни системи)

5. Линия на действие V - Технологично и оперативно развитие при безопасност на информационните системи
5.1 Предмет
Систематично проучване и развитие на технологията, която да позволи икономически жизнеспособен и оперативно задоволителни решения на настоящите и бъдещи изисквания за безопасност на информационните системи е предпоставка за развитието на пазара на услуги и конкурентноспособност на европейската икономика като цяло.
Всички технологични развития, свързани с безопасността на информационните системи ще трябва да включват аспекти от компютърната безопасност и безопасност на комуникациите тъй като съвременните системи са разпространени системи, и достъпа до такива системи е посредством комуникационните служби.
5.2 Цел
Систематично проучване и развиване на технологията с цел икономически жизнеспособност и оперативно задоволяване на настоящите и бъдещи изисквания за безопасност на информационните системи.
5.3 Изисквания, възможности и приоритети
Работата по безопасността на информационните системи е необходимо да разгледа развиването и изпълнението на стратегии, технологии и интеграция и проверка.
Стратегическата К_0 работа трябва да разгледа концептуалните модели на безопасни системи (безопасни срещу спогодби, неоторизирани изменения и отказ от услуга), моделите на функционални изисквания, модели на риска и архитектури на безопасност.
Технологично ориентираната К_0 работа трябва да включва автентичност на съобщението и потребителя (напр. Анализ на гласа и електронните подписи), технически интерфейси и протоколи за кодиране, механизми за контрол на достъпа и методи на осъществяване за доказуемите безопасни системи
Проверката и потвърждението на безопасността на техническата система и нейната приложимост ще бъдат предвидени посредством проекти за интеграция и проверка.
В допълнение към затвърждаването и развиването на технологии за безопасност, голям брой придружаващи мерки се изискват, свързани с създаването, поддържането и непрекъснатото прилагане на стандартите, и потвърждаването и сертификацията на информационните технологии и телекомуникационните продукти по отношение на техните свойства за безопасност, включително потвърждаване и сертификация на методите за разработване и прилагане на системите.
Третата рамкова програма на Общността КВТ може да бъде използвана да насърчи проектите на сътрудничество на пред конкурентни и преднормативни нива.

6. Линия на действие VI - Осигуряване на безопасност на информационните системи
6.1 Предмет
В зависимост от характера на присъщите черти за безопасност на информационните системи, изискваните функции ще бъдат нужни да бъдат инкорпорирани в различни части на информационната система включително терминали/компютри, услуги, мрежово управление на криптографичните устройства, бързи карти, държавните и частни начини и т.н. Част от тях може да се очаква да бъдат внедрени в хардуера или софтуера осигурен от търговците, докато други могат да бъда част от системите за дистрибуция      (напр. управление на мрежата), в собственост на индивидуалния потребител (напр. бързите карти), или осигурени от специализирана организация (напр. държавен/частен начин).
Повечето от продуктите и услугите за безопасност може да се очаква да бъдат осигурени от продавачите, осигуряващите услугите или операторите. Поради специфични функции, напр. оторизация за оторизиране, може би ще съществува нужда от определяне и поставяне под мандат на съответните организации.
Същото се отнася до сертификацията, оценяването и проверката на качеството на услугата , които са функции които е нужно да бъдат извършени от организации независими от интересите на продавачите, доставящите услугите или операторите. Тези организации могат да бъдат частни, правителствени, или лицензирани от правителството за осъществяване на делегираните функции.
6.2 Цел
Да улесни хармоничното развитие на осигуряването на информационните системи в Общността за защита интересите на обществеността и бизнеса, ще бъде нужно да се развие последователен подход по отношение на осигуряване на неговата безопасност. Когато независими организации трябва да им бъде предоставен мандат, трябва да бъдат определени техните функции и условия , както и да бъдат съгласувани и когато е необходимо да бъдат внедрени в нормативна рамка. Целта следователно ще бъде да се достигне до ясно определена и съгласувана разделение на отговорностите между различните страни на ниво Общност като предпоставка за взаимно признаване.
6.3 Положение и тенденции
Понастоящем осигуряването на безопасност на информационните системи е добре организирано за определени области и ограничено до разглеждане на техните специфични нужди. Организацията на европейско ниво е преди всичко неформална, и взаимното признаване на проверката и сертификацията все още не е установено извън тесните групи. С нарастващото значение на безопасността на информационните системи, нуждата за определяне на последователен подход към осигуряването на безопасност на информационните системи в Европа и в света става все по- належащо.
6.4 Изисквания, възможности и приоритети
Поради броя на различните засегнати лица и тесните връзки с нормативни и законодателни въпроси, изключително важно е да се предъгласуват принципите, които трябва да управляват осигуряването на безопасност на информационните системи.
При развиването на последователен подход към този въпрос, ще бъде необходимо да бъдат разгледани аспектите на вдентификация и спецификация на функциите, изискващи поради самия техен характер наличие на независими организации (или вътрешно работещи организации). Това може да включва функции като администрацията на публичните/частни ключови системи.
В допълнение, се изисква да се идентифицират и определят на ранен етап функциите които поради публичен интерес е необходимо да бъдат възложени на независими организации (или вътрешно работещи организации). Това би могло, напр. да включва одитиране, осигуряване на качеството, проверка, сертификация и подобни функции.