Лекция №14-2008. Система стандартов российской федерации по защите информации
Вид материала | Лекция |
- 7 5 2008 национальный стандарт российской федерации система стандартов по информации,, 696.6kb.
- Стандарт 3 российской 2006 федерации система стандартов по информации, библиотечному, 1027.36kb.
- Стандарт 3 российской 2006 федерации система стандартов по информации, библиотечному, 1028.09kb.
- Национальный стандарт российской федерации система стандартов безопасности труда система, 959.36kb.
- Система стандартов безопасности труда система управления охраной труда в организации, 3661.78kb.
- Рекомендации по использованию национального стандарта гост р исо 15489-1-2007 система, 179.13kb.
- Стандартов безопасности труда, 451.97kb.
- Российской 53579-2009 федерации система стандартов в области геологического изучения, 2603.6kb.
- Национальный стандарт российской федерации продукты пищевые информация для потребителя, 583.83kb.
- Гост р 22 12-2005 структурированная система мониторинга и управления инженерными системами, 292.36kb.
ЛЕКЦИЯ № 14-2008.
СИСТЕМА СТАНДАРТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПО ЗАЩИТЕ ИНФОРМАЦИИ
Цель занятия: рассмотреть структуры системы стандартов Российской Федерации по защите информации, задачи, принципы и общую характеристику объектов и нормативных документов по стандартизации.
Учебные вопросы:
ВВЕДЕНИЕ
ВОПРОС 1. Задачи стандартизации в области защиты информации
ВОПРОС 2. Принципы стандартизации в области защиты информации
ВОПРОС 3. Общая характеристика нормативных документов по стандартизации
ВОПРОС 3. Общая характеристика объектов стандартизации
Список литературы:
-
Постановление Госстандарта РФ от 5 июня 2003 г. № 181-ст "О принятии и введении в действие государственного стандарта"
- Государственный стандарт РФ ГОСТ Р 52069.0-2003 "Защита информации. Система стандартов. Основные положения". Национальный стандарт Российской Федерации ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря 2004 г. № 152-ст).
- ГОСТ Р 50922-96 «Защита информации. Основные термины и определения».
- Государственный стандарт РФ ГОСТ Р ИСО 9000-2001. "Системы менеджмента качества. Основные положения и словарь". (Принят постановлением Госстандарта РФ от 15 августа 2001 г. N 332-ст) (с изменениями от 7 июля 2003 г.).
ВВЕДЕНИЕ
Основополагающим государственным стандартом Российской Федерации в области защиты информации является Государственный стандарт РФ ГОСТ Р 52069.0-2003 "Защита информации. Система стандартов. Основные положения"1.
При этом, на основании ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» по термином защита информации следует понимать - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Стандартом ГОСТ Р 52069.0-2003 установлены цели и задачи системы стандартов по защите информации, объекты стандартизации, структура, состав и классификация входящих в нее стандартов и правила их обозначения.
Положения данного стандарта являются рекомендуемыми при разработке в любой организации нормативных документов по стандартизации в области защиты информации.
Этим стандартом рекомендуется руководствоваться, независимо от организационно-правовой формы и формы собственности предприятия, учреждения, организации - разработчика стандарта.
Кроме того, постановлением Государственного комитета Российской Федерации по стандартизации и метрологии № 181-ст определено, что стандартом ГОСТ Р 52069.0-2003 целесообразно руководствоваться также при организации работ по стандартизации в области защиты информации органами управления Российской Федерации.
Вопрос 1. ЗАДАЧИ СТАНДАРТИЗАЦИИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
Система стандартов по защите информации является межотраслевой, общетехнической системой стандартов и разрабатывается в соответствии с программами и планами работ по стандартизации в области защиты информации.
При этом под системой стандартов по защите информации: понимается Совокупность взаимосвязанных нормативных документов по стандартизации, устанавливающих нормы, правила и требования по защите информации.
Целью Системы стандартов по защите информации является упорядочение процесса создания взаимоувязанной совокупности таких нормативных документов по защите информации.
Основными задачами и направлениями работ по формированию и развитию Системы стандартов по защите информации являются:
- установление основополагающих принципов построения системы;
- обеспечение единства организационных и методических подходов к организации и обеспечению работ в области защиты информации;
- обеспечение терминологического взаимопонимания в области защиты информации;
- упорядочение системы требований по защите информации, предъявляемых к различным видам ОЗ, и методов контроля выполнения этих требований;
- установление рациональных требований к технике ЗИ;
- оптимизация номенклатуры СЗИ и СКЭЗИ;
- установление рациональных требований к услугам по защиты информации;
- нормативное и техническое обеспечение испытаний, контроля, сертификации и оценки качества ОЗ, СЗИ и СКЭЗИ на соответствие требованиям по безопасности информации;
- сокращение затрат на проведение работ в области защиты информации;
- создание и ведение классификаторов в области защиты информации;
- установление требований к метрологическому, информационному и другим видам обеспечения защиты информации.
Вопрос 2. ПРИНЦИПЫ СТАНДАРТИЗАЦИИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
Формирование Системы стандартов по защите информации осуществляют с учетом основных принципов стандартизации, регламентируемых ГОСТ Р 1.0.2
Данный стандарт устанавливает общие правила формирования, ведения и применения положений системы стандартизации в Российской Федерации.
На основании выпущенного стандарта основные принципы стандартизации в России, обеспечивающие достижение целей и задач ее развития, заключаются в реализации следующих мероприятий:
- добровольность применения стандартов;
- достижении при разработке и принятии стандартов консенсуса всех заинтересованных сторон;
- использовании международных стандартов как основы разработки национальных стандартов;
- комплексность стандартизации для взаимосвязанных объектов;
- недопустимость установления в стандартах требований, противоречащих техническим регламентам;
- установление требований в стандартах, соответствующих современным достижениям науки, техники и технологий с учетом имеющихся ограничений по их реализации;
- установление требований в стандартах, обеспечивающих возможность объективного контроля их выполнения;
- обеспечение четкости и ясности изложения стандартов, с тем чтобы добиться однозначности понимания их требований;
- исключение дублирования разработок стандартов на идентичные по функциональному назначению объекты стандартизации;
- недопустимость создания препятствий производству и обращению продукции, выполнению работ и оказанию услуг в большей степени, чем это минимально необходимо для выполнения целей стандартизации;
- обеспечение доступности представления информации по стандартам всем заинтересованным лицам, за исключением оговоренных законодательством случаев.
Кроме того, учитывая специфические особенности по защите информации, следует руководствоваться также следующими дополнительными принципами:
- согласованность работ по стандартизации в области защиты информации на основе распределения и закрепления ответственности в данной области между ответственными федеральными органами исполнительной власти и организациями-участниками работ;
- системность в работах по стандартизации в области защиты информации,
- согласованность и непротиворечивость требований по защите информации,
- взаимоувязанность нормативных документов по стандартизации в области защиты информации, исключение дублирования требований различных документов,
- обеспечение унификации требований по стандартизации;
- комплексность охвата взаимосвязанных объектов стандартизации в области защиты информации;
- использование единых систем классификации, идентификации, кодирования информации в области защиты информации.
Вопрос 3. ОБЩАЯ ХАРАКТЕРИСТИКА НОРМАТИВНЫХ ДОКУМЕНТОВ ПО СТАНДАРТИЗАЦИИ
Система стандартов по защите информации может включать в себя следующие нормативные документы по стандартизации:
- регламенты;
- стандарты;
- правила, нормы и рекомендации по стандартизации;
- общероссийские классификаторы технико-экономической информации.
Кроме перечисленных выше документов в систему могут входить нормативно-технические документы системы общих технических требований к вооружению и военной технике (НТД системы ОТТ).
Рассмотрим более подробно данные группы документов.
РЕГЛАМЕНТЫ
При этом под термин «регламент» определен в Федеральном законе «О техническом регулировании»
Технический регламент - документ, который принят
- международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации,
- или межправительственным соглашением, заключенным в порядке, установленном законодательством Российской Федерации,
- или федеральным законом,
- или указом Президента Российской Федерации,
- или постановлением Правительства Российской Федерации
и УСТАНАВЛИВАЕТ ОБЯЗАТЕЛЬНЫЕ для применения и исполнения ТРЕБОВАНИЯ к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям или к связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации);
Согласно постановлению Госстандарта России от 30 января 2004 г. N 4 со дня вступления в силу Федерального закона "О техническом регулировании" впредь до вступления в силу соответствующих технических регламентов требования, установленные действующими национальными стандартами, подлежат обязательному исполнению только в части, обеспечивающей достижение целей законодательства Российской Федерации о техническом регулировании.
СТАНДАРТЫ
При этом под термин «стандарт» определен в Федеральном законе «О техническом регулировании»
стандарт - документ, в котором в целях добровольного многократного использования устанавливаются
- характеристики продукции,
- правила осуществления и характеристики процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг.
Стандарт также может содержать правила и методы исследований (испытаний) и измерений, правила отбора образцов, требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.
В Российской Федерации, в зависимости от объекта стандартизации в области защиты информации и требований, предъявляемых к нему, устанавливают стандарты следующих видов:
- основополагающие стандарты;
- стандарты на продукцию;
- стандарты на процессы;
- стандарты на технологию, включая в том числе информационные технологии;
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов3;
- стандарты на услуги;
- стандарты на методы контроля;
- стандарты на документацию;
- стандарты на термины и определения.
При разработке оборудования (в том числе и оборудования для защиты информации) руководствуются Государственным стандартом РФ ГОСТ Р EH 414-2002 "Безопасность оборудования. Правила разработки и оформления стандартов по безопасности" (принят постановлением Госстандарта РФ от 29 мая 2002 г. N 211-ст).
Целью разработки данного стандарта, который содержит идентичный текст европейского стандарта ЕН 414-2000, - предоставить конструкторам, изготовителям оборудования и другим заинтересованным сторонам основные правила разработки и оформления стандартов по безопасности оборудования для достижения их гармонизации с европейским законодательством.
При этом различают стандарты следующих типов:
стандарты типа А (основополагающие стандарты по безопасности): Стандарты, содержащие основные концепции, принципы конструирования и общие аспекты, которые могут быть применены к оборудованию всех видов.
стандарты типа В (стандарты групповых вопросов безопасности): Стандарты, которые относятся к одному аспекту безопасности или к одному типу защитного устройства, которые могут быть применены к оборудованию широкого диапазона:
- стандарты типа В1 распространяются на определенные аспекты безопасности (например, безопасное расстояние, температура поверхности, шум);
- стандарты типа В2 распространяются на устройства, обеспечивающие безопасность (например, двуручное устройство управления, блокирующее устройство).
стандарты типа С (стандарты по безопасности машин):
Стандарты, содержащие детальные требования по безопасности отдельных видов машин или группы однородных машин.
Примечание - Группа однородных машин - машины подобного предназначенного использования, могущие создавать подобные опасности, опасные ситуации и вызывать опасные события.
По своему масштабу применения стандарты по защите информации подразделяют на следующие категории:
- международные стандарты;
- межгосударственные стандарты;
- государственные стандарты Российской Федерации, оформленные на основе аутентичного текста международного стандарта;
- государственные стандарты Российской Федерации;
- государственные военные стандарты Российской Федерации;
- стандарты отраслей, в том числе и на оборонную продукцию;
- стандарты предприятий.
Международные и межгосударственные стандарты по защите информации применяют в установленном нормативными актами порядке.
Государственные стандарты по защите информации разрабатываются на объекты стандартизации межотраслевого значения, в том числе и на оборонную продукцию, в целях систематизации и упорядочения требований, предъявляемых к объектам, и не должны противоречить законодательству Российской Федерации.
Стандарты отраслей и предприятий по защите информации разрабатываются и принимаются федеральными органами исполнительной власти в пределах их компетенции применительно к объектам стандартизации отраслевого значения, в том числе и к оборонной продукции.
Стандарты отраслей и предприятий разрабатывают, принимают, пересматривают, вносят изменения или отменяют - в соответствии со стандартом ГОСТ Р 1.4.
Национальный стандарт РФ ГОСТ Р 1.4-2004
"Стандартизация в Российской Федерации. Стандарты организаций. Общие положения"
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря 2004 г. N 154-ст)
ПРАВИЛА, НОРМЫ И РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
Правила, нормы и рекомендации по стандартизации разрабатываются уполномоченными федеральными органами власти в рамках деятельности по установлению правил и характеристик стандартизации в целях добровольного многократного использования стандартов. Правила, нормы и рекомендации по стандартизации направлены на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или услуг.
ОБЩЕРОССИЙСКИЕ КЛАССИФИКАТОРЫ ТЕХНИКО-ЭКОНОМИЧЕСКОЙ ИНФОРМАЦИИ
Общероссийские классификаторы устанавливают классификацию информации о технике ЗИ, услугах, технологиях, процессах и документах по защите информации с присвоением ей единых кодовых обозначений, которая используется в процессе функционирования Государственной системы защиты информации.
- Следует учесть, что стандартом ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» установлено:
Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
НОРМАТИВНО-ТЕХНИЧЕСКИЕ ДОКУМЕНТЫ СИСТЕМЫ ОБЩИХ ТЕХНИЧЕСКИХ ТРЕБОВАНИЙ К ВООРУЖЕНИЮ И ВОЕННОЙ ТЕХНИКЕ
Нормативно-технические документы системы общих технических требований к вооружению и военной технике устанавливают состав и показатели общих тактико-технических требований по защите информации
Эти нормативно-технические документы устанавливают также состав и показатели общих требований к видам систем и комплексов (образцов) вооружения и военной технике, общих требований к методам контроля выполнения этих требований, а также общие тактико-технические требования к средствам ЗИ (в то числе к средствам контроля эффективности защиты информации) и общие требования к методам их государственных испытаний.
Нормативные документы по защите информации разрабатывают, принимают, пересматривают, вносят изменения или отменяют в соответствии со стандартом ГОСТ Р 1.2
Национальный стандарт РФ ГОСТ Р 1.2-2004
"Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила разработки, утверждения, обновления и отмены"
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря 2004 г. N 153-ст)
Оформление и содержание нормативных документы по защите информации должны соответствовать требованиям ГОСТ 1.5, ГОСТ Р 1.2, ГОСТ Р 1.5 и Р 50.1.039 [2].
Система стандартов по защите информации должна быть взаимоувязана со стандартами других систем и комплексов стандартов, например система разработки и постановки на производство СРПП, единая система программной документации ЕСПД, информационных технологий и др.
Вопрос 3. ОБЩАЯ ХАРАКТЕРИСТИКА ОБЪЕКТОВ СТАНДАРТИЗАЦИИ
Основными объектами стандартизации ССЗИ являются следующие группы:
Группа 1. ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ
Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации4.
Объекты защиты информации включают в себя следующие подгруппы:
а) продукцию,
б) технологии,
в) процессы (работы),
г) объекты капитального строительства,
д) услуги,
е) документы.
В интересах оптимальной реализации учебного плана следует более подробно охарактеризовать перечисленные подгруппы.
А) ПРОДУКЦИЯ.
На основании ГОСТ Р ИСО 9000-20015:
продукция (en product; fr produit) – это результат процесса.
Имеются четыре общие категории продукции:
- услуги (например, перевозки);
- программные средства (например, компьютерная программа, словарь);
- технические средства (например, принтер, модем и т.п.);
- перерабатываемые материалы (например, смазка, тонер принтера).
Многие виды продукции содержат элементы, относящиеся к различным общим категориям продукции. Отнесение продукции к услугам, программным или техническим средствам или перерабатываемым материалам зависит от преобладающего элемента.
Охарактеризуем эти категории.
Например, поставляемая продукция "компьютер" состоит из технических средств (например, монитор), перерабатываемых материалов (например, тонер принтера), программных средств (программное обеспечение) и услуги (разъяснения по эксплуатации, даваемые продавцом).
1. Услуга является результатом, по меньшей мере, одного действия, обязательно осуществленного при взаимодействии поставщика и потребителя, она, как правило, нематериальна.
При этом, под термином
поставщик (en supplier; fr fournisseur) следует понимать Организацию или лицо, предоставляющие продукцию.
Примеры: производитель, оптовик, предприятие розничной торговли или продавец продукции, исполнитель услуги, поставщик информации.
Примечания
1) Поставщик может быть внутренним или внешним по отношению к организации.
2) В контрактной ситуации поставщика иногда называют "подрядчиком".
Аналогично,
потребитель (en customer; fr client) - это Организация или лицо, получающие продукцию.
Примеры: клиент, заказчик, конечный пользователь, розничный торговец, бенефициар и покупатель.
Примечание - Потребитель может быть внутренним или внешним по отношению к организации.
В общем случае, предоставление услуги может включать, к примеру, следующее:
- деятельность, осуществленную на поставленной потребителем материальной продукции (например, компьютер, нуждающийся в ремонте);
- деятельность, осуществленную на поставленной потребителем нематериальной продукции (например, заявление о доходах, необходимое для определения размера налога);
- предоставление нематериальной продукции (например, информации в смысле передачи знаний);
- создание благоприятных условий для потребителей (например, в гостиницах и ресторанах).
2. Программное средство содержит информацию и обычно является нематериальным, может также быть в форме подходов, операций или процедуры.
При этом
процедура (en procedure; fr procedure) - Установленный способ осуществления деятельности или процесса.
Примечания
1) Процедуры могут быть документированными или недокументированными.
2) Если процедура документирована, часто используется термин "письменная процедура" или "документированная процедура".
Документ, содержащий процедуру, может называться "документированная процедура".
3. Техническое средство, как правило, является материальным и его количество выражается исчисляемой характеристикой.
В соответствии с ГОСТ Р ИСО 9000-2001:
характеристика (en characteristic; fr caracteristique) - Отличительное свойство.
Примечания
1) Характеристика может быть собственной или присвоенной.
2) Характеристика может быть качественной или количественной.
3) Существуют различные классы характеристик, такие как:
- физические (например, механические, электрические, химические или биологические характеристики);
- органолептические (например, связанные с запахом, осязанием, вкусом, зрением, слухом);
- этические (например, вежливость, честность, правдивость);
- временные (например, пунктуальность, безотказность, доступность);
- эргономические (например, физиологические характеристики или связанные с безопасностью человека);
- функциональные (например, объем оперативной памяти).
4. Перерабатываемые материалы обычно являются материальными и их количество выражается непрерывной характеристикой. Технические средства и перерабатываемые материалы часто называются товарами.
Также к объектам защиты информации относятся:
- факторы, воздействующие на защищаемую информацию (носитель информации);
- технику ЗИ;
- процессы по ЗИ;
- услуги по ЗИ;
- технологии ЗИ;
- документы по ЗИ.
Указанные группы объектов стандартизации по защите информации могут быть подразделены на классы и виды в соответствии с требованиями Единой системы классификации и кодирования технико-экономической и социальной информации Российской Федерации: ОК 002, ОК 003, ОК 004, ОК 005 и ОК 011.
При этом используют иерархическую систему классификации.
На каждой ступени классификации объекта деление осуществляют по классификационным признакам:
- назначение,
- область применения,
- вид носителя,
- а также с учетом отношений вида "часть - целое", "причина - следствие".
Классификация объекта может быть завершена на различных ступенях классификационного деления, в зависимости от решаемых задач по стандартизации в области защиты информации и категории стандарта.
1 Данный стандарт принят постановлением Госстандарта России от 5 июня 2003 г. № 181-ст "О принятии и введении в действие государственного стандарта".
2 Национальный стандарт Российской Федерации ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря 2004 г. N 152-ст)
3 Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
4 Государственный стандарт РФ ГОСТ Р 52069.0-2003 "Защита информации. Система стандартов. Основные положения".
5 Государственный стандарт РФ ГОСТ Р ИСО 9000-2001. "Системы менеджмента качества. Основные положения и словарь". (Принят постановлением Госстандарта РФ от 15 августа 2001 г. № 332-ст) (с изменениями от 7 июля 2003 г.)