Правовые основы защиты информации
9.4. Система стандартов в области защиты информации
Система стандартов по защите информации (ССЗИ) - совокупность взаимосвязанных стандартов, устанавливающих характеристики продукции, правила осуществления и характеристики процессов, выполнения работ или оказания услуг в области защиты информации.
Национальные стандарты (ГОСТы) в общем случае являются рекомендательными. Однако в ряде случаев обязательность следования стандартам и спецификациям закреплена законодательно. В соответствии со ст.6 ФЗ №162 "О стандартизации в Российской Федерации" в том случае, если речь идет о "стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией", стандарты являются обязательными к применению.
Основополагающим стандартом РФ в области защиты информации (некриптографическими методами) является ГОСТ Р 52069.0-2013 "Защита информации. Система стандартов. Основные положения".
Целью создания ССЗИ является достижение рациональной упорядоченности организации и содержания работ в области ЗИ, повышение эффективности ЗИ на основе установления общих правил и характеристик для их многократного использования, а также повышение эффективности работ по стандартизации за счет упорядочения структуры системы стандартов, процесса разработки стандартов, учета взаимосвязи стандартов различных систем.
Основными задачами по формированию и развитию ССЗИ являются:
- установление основополагающих принципов построения, требований к составу и содержанию системы документов в области ЗИ;
- обеспечение единства терминологии в области ЗИ;
- упорядочение объектов и аспектов стандартизации в области ЗИ;
- обеспечение единства организационных и методических подходов к проведению работ по ЗИ;
- установление системы требований по ЗИ, предъявляемых к различным видам ОЗИ, и методов контроля выполнения этих требований;
- установление общих технических требований к СЗИ и СКЭЗИ, методам их испытаний;
- установление общих требований к услугам по ЗИ;
- установление требований к методам и методикам испытаний и оценки качества СЗИ и СКЭЗИ, к методам и методикам измерений в процессе контроля эффективности мероприятий по ЗИ;
- установление требований к метрологическому, информационному и другим видам обеспечения ЗИ.
Система стандартов по защите информации включает следующие виды документов в области стандартизации по ЗИ, используемых на территории Российской Федерации:
- национальные стандарты Российской Федерации, в том числе ограниченного распространения, государственные военные стандарты, национальные стандарты, оформленные на основе аутентичных переводов международных стандартов (гармонизированные стандарты);
- межгосударственные стандарты;
- правила стандартизации, нормы и рекомендации в области стандартизации;
- общероссийские классификаторы технико-экономической и социальной информации;
- стандарты организаций;
- предварительные национальные стандарты[86].
Структура ССЗИ представлена на рис. 9.2:
Сокращения на рисунке:
- ЗИ - защита информации;
- ОБИ в КСИИ - обеспечение безопасности информации в ключевых системах информационной инфраструктуры;
- ОЗИ - объект защиты информации;
- СЗИ - средство защиты информации;
- СКЭЗИ - средство контроля эффективности защиты информации;
- ТЗИ - техническая защита информации.
В таблице 9.1 приведен перечень стандартов в области защиты информации в соответствии с сайтом ФСТЭК России (http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/113-gosudarstvennye-standarty):
Обозначение | Наименование на русском языке |
---|---|
ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования |
ГОСТ Р 50922-2006 | Защита информации. Основные термины и определения |
ГОСТ Р 51188-98 | Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство |
ГОСТ Р 51275-2006 | Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения |
ГОСТ Р 51583-2014 | Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения |
ГОСТ Р 52069.0-2013 | Защита информации. Система стандартов. Основные положения |
ГОСТ Р 52447-2005 | Защита информации. Техника защиты информации. Номенклатура показателей качества |
ГОСТ Р 52448-2005 | Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения |
ГОСТ Р 52633.0-2006 | Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации |
ГОСТ Р 52633.1-2009 | Защита информации. Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации |
ГОСТ Р 52633.2-2010 | Защита информации. Техника защиты информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации |
ГОСТ Р 52633.3-2011 | Защита информации. Техника защиты информации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора |
ГОСТ Р 52633.4-2011 | Защита информации. Техника защиты информации. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия - код доступа |
ГОСТ Р 52633.5-2011 | Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа |
ГОСТ Р 52633.6-2012 | Защита информации. Техника защиты информации. Требования к индикации близости предъявленных биометрических данных образу "Свой" |
ГОСТ Р 52863-2007 | Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования |
ГОСТ Р 53109-2008 | Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности |
ГОСТ Р 53110-2008 | Система обеспечения информационной безопасности сети связи общего пользования. Общие положения |
ГОСТ Р 53111-2008 | Устойчивость функционирования сети связи общего пользования. Требования и методы проверки |
ГОСТ Р 53112-2008 | Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний |
ГОСТ Р 53113.1-2008 | Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения |
ГОСТ Р 53113.2-2009 | Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов |
ГОСТ Р 53114-2008 | Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения |
ГОСТ Р 53115-2008 | Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства |
ГОСТ Р 53131-2008 | Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения |
ГОСТ Р 54581-2011 / ISO/IEC TR 15443-1:2005 | Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы |
ГОСТ Р 54582-2011 / ISO/IEC TR 15443-2:2005 | Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия |
ГОСТ Р 54583-2011 / ISO/IEC TR 15443-3:2007 | Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия |
ГОСТ Р 56045-2014 | Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью |
ГОСТ Р 56093-2014 | Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования |
ГОСТ Р 56103-2014 | Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения |
ГОСТ Р 56115-2014 | Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования |
ГОСТ Р ИСО/МЭК 13335-1-2006 | Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий |
ГОСТ Р ИСО 7498-1-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель |
ГОСТ Р ИСО 7498-2-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации |
ГОСТ Р ИСО/МЭК ТО 13335-5-2006 | Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети |
ГОСТ Р ИСО/МЭК 15408-1-2012 | Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель |
ГОСТ Р ИСО/МЭК 15408-2-2013 | Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности |
ГОСТ Р ИСО/МЭК 15408-3-2013 | Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности |
ГОСТ Р ИСО/МЭК ТО 15446-2008 | Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности |
ГОСТ Р ИСО/МЭК ТО 18044-2007 | Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности |
ГОСТ Р ИСО/МЭК 18045-2013 | Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий |
ГОСТ Р ИСО/МЭК ТО 19791-2008 | Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем |
ГОСТ Р ИСО/МЭК 21827-2010 | Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса |
ГОСТ Р ИСО/МЭК 27000-2012 | Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология |
ГОСТ Р ИСО/МЭК 27001-2006 | Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования |
ГОСТ Р ИСО/МЭК 27002-2012 | Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента безопасности |
ГОСТ Р ИСО/МЭК 27003-2012 | Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности |
ГОСТ Р ИСО/МЭК 27004-2011 | Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения |
ГОСТ Р ИСО/МЭК 27005-2010 | Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности |
ГОСТ Р ИСО/МЭК 27006-2008 | Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности |
ГОСТ Р ИСО/МЭК 27007-2014 | Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности |
ГОСТ Р ИСО/МЭК 27013-2014 | Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1 |
ГОСТ Р ИСО/МЭК 27033-1-2011 | Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции |
ГОСТ Р ИСО/МЭК 27033-3-2014 | Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления |
ГОСТ Р ИСО/МЭК 27034-1-2014 | Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия |
ГОСТ Р ИСО/МЭК 27037-2014 | Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме |
ГОСТ Р ИСО/МЭК 29100-2013 | Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности |
Рекомендации по стандартизации Р 50.1.050-2004 | Защита информации. Система обеспечения качества техники защиты информации. Общие положения |
Рекомендации по стандартизации Р 50.1.053-2005 | Информационные технологии. Основные термины и определения в области технической защиты информации |
Рекомендации по стандартизации Р 50.1.056-2005 | Техническая защита информации. Основные термины и определения |
Следует отметить наличие стандартов Банка России, регулирующих защиту информации в банковской сфере. Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) - это комплекс документов Банка России, описывающий единый подход к построению системы обеспечения информационной безопасности организаций банковской сферы с учётом требований российского законодательства:
- Стандарт Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств" (СТО БР ИББС-1.3-2016)
- Стандарт Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2014)
- Стандарт Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 - 2014" (СТО БР ИББС-1.2-2014)
- Стандарт Банка России: "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007" (СТО БР ИББС-1.1-2007)
Стандарты являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов. Они также являются средством накопления знаний и методологической платформой к комплексному решению проблем информационной безопасности.
В лекциях "Методы и средства контроля защищенности информации" и "Сертификация средств защиты информации" будут подробно рассмотрены вопросы сертификации и аттестации в области защиты информации.