Национальные стандарты РФ по различным аспектам защиты информации и информационной безопасности

― методологические аспекты;

― терминологические аспекты;

― технологические аспекты;

― технические аспекты.

С внедрением информационных технологий в управление в целом и управлении документами в частности, вопросы защиты информации приобрели принципиально иное значение, да и сам спектр этих вопросов существенно расширился за счет включения в него методологических, терминологических, технологических и технических аспектов. Вместе с тем, проблемы защиты информации вышли за пределы компетенции специалистов ИТ и распространились на специалистов всех направлений деятельности организации, и, прежде всего, на специалистов сферы документационного обеспечения управления. Однако, очевиден разрыв в понимании роли специалистов различных сфер деятельности в решении этих проблем, степени их ответственности и полномочий. На современном этапе нормативно-правовое регулирование защиты информации довольно обширно, но не все правовые и нормативные акты согласованы между собой в достаточной степени. Особняком в этом многообразии нормативного регулирования стоят теперь уже методические документы ― национальные стандарты. Именно о них, мы и поговорим в рамках этой статьи, в состав которой войдут три ее части, каждая из которых рассмотрит свой круг национальных стандартов.

Первая часть этой статьи будет содержать обзор национальных стандартов, описывающих методы, средства и технологии обеспечения информационной безопасности и защиты информации.

Вторая часть этой статьи будет содержать обзор национальных стандартов, описывающих технологические и технические аспекты обеспечения информационной безопасности и защиты информации.

Третья часть этой статьи будет содержать обзор национальных стандартов, описывающих системы менеджмента информационной безопасности.

Часть 1. Обзор национальных стандартов, описывающих методы, средства и технологии обеспечения информационной безопасности и защиты информации.

Говоря о национальных стандартах, содержащих в себе методику защиты информации и используемых для обеспечения информационной безопасности организации, следует отметить, что она не носит ярко выраженного характера и всегда привязана к направлениям деятельности организации, ее масштабу и финансовым возможностям. Отсюда и многообразие национальных стандартов, используемых в этой сфере. Вместе с тем, существует национальный стандарт, устанавливающий единые требования к самим национальным стандартам, разрабатываемым для сферы защиты информации и информационной безопасности. ГОСТ Р 52069.0-2013 «Защита информации. Система стандартов. Основные положения «. (Safety of information. System of standards. Basic principles)1, устанавливает цель, задачи и структуру системы стандартов по защите информации (некриптографическими методами), определяет объекты стандартизации в данной сфере и аспекты этой деятельности. Положения стандарта применяются при проведении работ по стандартизации в области противодействия техническим разведкам, технической защиты информации некриптографическими методами, обеспечения безопасности информации в ключевых системах информационной инфраструктуры. Стандарт является основополагающим национальным стандартом Российской Федерации в области защиты информации, осуществляемой некриптографическими методами.

Важную роль в установлении общего понимания процессов, описываемых и регламентируемых в данных национальных стандартах играет единая, общепризнанная и повсеместно используемая терминосистема, которая, как известно, тоже стандартизируется. В этой связи интерес представляют следующие стандарты.

ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения «. (Protection of information. Basic terms and definitions)2, вышедший взамен ГОСТ Р 50922-96.3 В настоящем стандарте реализованы нормы Федеральных законов от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации «4 и от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне «.5 Стандарт содержит и дает определения следующим группам терминов:

― термины, относящиеся к видам защиты информации;

― термины, относящиеся к способам защиты информации;

― термины, относящиеся к замыслу защиты информации;

― термины, относящиеся к объекту защиты информации;

― термины, относящиеся к угрозам безопасности информации;

― термины, относящиеся к технике защиты информации;

― термины, относящиеся к способам оценки соответствия требованиям по защите информации;

― термины, относящиеся к эффективности защиты информации.

ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения «. (Protection of information. Information security provision in organization. Basic terms and definitions)6 содержит и дает определения следующим группам терминов:

― термины, относящиеся к объекту защиты информации;

― термины, относящиеся к угрозам безопасности информации;

― термины, относящиеся к менеджменту информационной безопасности организации;

― термины, относящиеся к контролю и оценке информационной безопасности организации;

― терминмы, относящиеся к средствам обеспечения информационной безопасности организации.

ГОСТ Р ИСО 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения «. (Protection of information. Object of informatization. Factors influencing the information. General)7 содержит положения по вопросам классификация факторов, воздействующих на безопасность защищаемой информации, которые он делит на объективные и субъективные. Стандарт классифицирует факторы, воздействующие на безопасность защищаемой информации и формирует их перечень в целях обоснования угроз безопасности информации и формулирования требований по защите информации «на объекте информатизации «, в том числе в организации. Стандарт распространяется на объекты информатизации, создаваемые и эксплуатируемые в различных областях деятельности (экономики, науки, управлении и других).

ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения «. (Information protection. Sequence of protected operational system formation. General)8 содержит положения по вопросам содержания и порядка выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении, содержания и порядка выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении и т.п. Стандарт распространяется на создаваемые (модернизируемые) автоматизированные системы, в отношении которых законодательством или заказчиком установлены требования по их защите, и устанавливает содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении, содержание и порядок выполнения работ по защите информации о создаваемой (модернизируемой) автоматизированной системе в защищенном исполнении. В качестве основных видов автоматизированных систем рассматриваются автоматизированные рабочие места и информационные системы. Стандарт устанавливает, что автоматизированная система в защищенном исполнении должна соответствовать требованиям нормативных правовых актов, методических документов и национальных стандартов в области защиты информации. Стандарт может быть использован при создании автоматизированных систем документационного обеспечения управления.

ГОСТ Р 53131-2008 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения. Типовое руководство «. (Information protection. Guidelines for recovery services of information and communications technology security functions and mechanisms. General)9 содержит положения по вопросам восстановления и обеспечения информационной безопасности информационных и телекоммуникационных систем организации при чрезвычайной ситуации с целью обеспечения непрерывности ее деятельности. В стандарте представлены аспекты: обеспечения условий непрерывности деятельности в информационной среде организации; идентификации недостатков и угроз; непрерывности сервисов в изменяющейся среде и обеспечение информационной безопасности информационных и телекоммуникационных систем; понимания рисков непрерывности и их влияния на цели деятельности организации; восстановления защитных мер обеспечения информационной безопасности информационных и телекоммуникационных систем и восстановление их после чрезвычайных ситуаций; функций и механизмов безопасности информационных и телекоммуникационных технологий и т.п. Положения стандарта акцентируют внимание на роли совета директоров и исполнительных органов организации; организационной основе ее деятельности, включая вопросы: системы менеджмента информационной безопасности организации и менеджмента непрерывности бизнеса; восстановление и обеспечение функционирования процессов системы менеджмента информационной безопасности организации, а также защитных мер информационной безопасности при чрезвычайных ситуациях. Стандарт распространяется на процессы (услуги) по обеспечению (и восстановлению) информационной безопасности организации в условиях возникшей чрезвычайной ситуации. Несмотря на то, что стандарт предназначен для персонала (служб безопасности) организации, а также для внутренних и внешних провайдеров (поставщиков) услуг, участвующих в обеспечении информационной безопасности организации, специалисты сферы ДОУ должны знать его основные положения и использовать их в своей профессиональной деятельности.

ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения «. (Information technology. Protection of information technologies and automated systems against security threats posed by use of covert channels. Part 1. General principles)10 содержит положения по вопросам классификации: скрытых каналов; угроз безопасности, реализуемых с использованием скрытых каналов; степени опасности атак с использованием скрытых каналов и т.п. Стандарт устанавливает классификацию скрытых каналов и определяет задачи, решаемые при проведении анализа скрытых каналов, что является необходимой составляющей для определения дальнейшего порядка организации защиты информации от атак, осуществляемых с использованием скрытых каналов. Стандарт также устанавливает порядок проведения анализа скрытых каналов для продуктов, информационных технологий и автоматизированных систем, результаты которого используются при оценке доверия к мерам защиты информационных систем и информационных технологий. Стандарт предназначен для заказчиков, разработчиков и пользователей информационных технологий и может использоваться ими при формировании требований к разработке, приобретению и применению продуктов, систем и информационных технологий, которые предназначены для обработки, хранения или передачи информации, подлежащей защите в соответствии с требованиями нормативных документов или требованиями, устанавливаемыми собственником информации. Стандарт предназначен также для органов сертификации и испытательных лабораторий при проведении оценки безопасности и сертификации безопасности информационных технологий и автоматизированных систем, а также для аналитических подразделений и служб безопасности для сопоставления угроз ценным информационным активам с потенциальной возможностью ущерба через скрытые каналы.

ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов «. (Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technology and automated systems against covert channel attacks)11 содержит положения по вопросам: механизм функционирования скрытого канала; правила формирования модели угроз безопасности с учетом существования скрытых каналов; порядок организации защиты информации, информационных технологий и автоматизированных систем от атак, реализуемых с использованием скрытых каналов; анализ рисков и рекомендации по порядку выявления скрытых каналов; рекомендации по методам реализации защитных мероприятий по противодействию скрытым каналам; рекомендации по организации контроля за противодействием скрытым каналам. Стандарт предназначен для заказчиков, разработчиков и пользователей информационных технологий и может быть использован в процессе формирования требований по защите информации на стадиях разработки, приобретения и применения продуктов, информационных технологий и автоматизированных систем в соответствии с требованиями нормативных правовых документов или требованиями, устанавливаемыми обладателем информации. Стандарт предназначен для органов сертификации, а также испытательных лабораторий при проведении подтверждения соответствия информационных технологий и автоматизированных систем требованиям к обеспечению безопасности информации, циркулирующей в этих системах, аналитических подразделений и служб безопасности.

ГОСТ Р ИСР/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель «. (Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model)12 содержит положения по вопросам: контекст оценки, доработка требований безопасности для конкретного применения, профили защиты и пакеты, профили защиты, результаты оценки. Стандарт устанавливает основные понятия и принципы оценки безопасности ИТ, а также определяет общую модель оценки, которой посвящены различные части стандарта, предназначенного в целом для использования в качестве основы при оценке характеристик безопасности продуктов ИТ. В стандарте представлен краткий обзор и описание всех частей ИСО/МЭК 15408; определены термины и сокращения, используемые во всех частях ИСО/МЭК 15408; установлено основное понятие объекта оценки, контекста оценки, описание целевой аудитории, которой адресованы критерии оценки. Представлены основные положения, необходимые для оценки продуктов ИТ. В стандарте определяются ключевые понятия профилей защиты, пакетов требований безопасности, а также рассматриваются вопросы, связанные с утверждениями о соответствии; описываются выводы и результаты оценки. В данном стандарте даны инструкции по спецификации заданий по безопасности и описание структуры компонентов в рамках всей модели. Также дана общая информация о методологии оценки.

ГОСТ Р ИСО/МЭК 15408-2-2013 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности «. (Information technology. Security techniques. Evaluation criteria for IT security. Security functional components)13 содержит положения по вопросам: парадигма функциональных требований; функциональные компоненты безопасности и их каталог; аудит безопасности и его анализ; криптографическая поддержка, включая генерацию, распределение, доступ и управление криптографическими ключами; управление доступом, основанное на атрибутах безопасности; аутентификация данных; политика управления информационными потоками; мониторинг целостности хранимых данных; защита конфиденциальности данных пользователя; базовая конфиденциальность обмена данными. Стандарт устанавливает структуру и содержание компонентов функциональных требований безопасности для оценки безопасности. Он также включает в себя каталог функциональных компонентов, отвечающих общим требованиям к функциональным возможностям безопасности многих продуктов ИТ.

ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности «. (Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements)14. Стандарт содержит положения по вопросам: требования доверия к безопасности, краткий обзор оценочных уровней доверия, составные пакеты доверия, оценка профиля защиты, оценка задания по безопасности (определение проблемы безопасности, цели безопасности, требования безопасности), архитектура безопасности, оценка уязвимостей, анализ уязвимостей. Стандарт определяет требования доверия на сформулированные на основе положений международного стандарта ИСО/МЭК 15408 и включает оценочные уровни доверия, определяющие шкалу для измерения доверия через: составные пакеты доверия, определяющие шкалу для измерения доверия для составных компонентов; отдельные компоненты доверия, из которых составлены уровни и пакеты доверия, а также критерии. Третью часть данного стандарта целесообразно использовать совместно с первыми двумя его частями.

ГОСТ Р 54581-2011 «Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы. Типовое руководство «. (Information technology. Security techniques. A framework for IT security assurance. Part 1. Overview and framework)15 содержит положения по организационным вопросам выбора, спецификация требований, типу и базовой структуре, техническим вопросам, обеспечивающим доверие к безопасности информационных технологий, используемых в организации. В стандарте рассмотрены вопросы оптимизации базовой структуры доверия (подход к обеспечению доверия, методы обеспечения доверия, аспекты жизненного цикла, сопоставление «доверия к эффективности « с «доверием к корректности «, классификации методов обеспечения доверия, составному доверию, классификации доверия). Стандарт предназначен для описания методов обеспечения доверия к безопасности, соотнесения их с базовой моделью жизненного цикла объекта и классификации методов обеспечения доверия для получения высокой степени уверенности в функциональных возможностях обеспечения безопасности объекта.

ГОСТ Р ИСО/МЭК 18045-2013 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий «. (Information technology ― Security techniques ― Methodology for IT security evaluation)16 содержит положения по вопросам: задач и процессам оценки, их краткому описанию; задача получения исходных данных для оценки; оценка профиля защиты; определения целей и требований безопасности и проблемы, возникающих при их реализации; оценку задания и архитектуру безопасности; моделирование политики безопасности и анализ ее уязвимостей. Положения данного стандарта тесно связаны с положениями ИСО/МЭК 15408 «Информационная технология ― Методы и средства обеспечения безопасности ― Критерии оценки безопасности информационных технологий «, т.к. он описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСО/МЭК 15408 с использованием критериев и свидетельств оценки, определенных в нем.

ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем « (Information technology. Security techniques. Security assessment of operational systems)17 содержит положения по вопросам: методологического подхода к решению проблемы безопасности; обеспечения безопасности автоматизированных систем; основных принципы оценки безопасности и меры ее обеспечения; взаимосвязи с существующими стандартами безопасности; оценки автоматизированных систем; определение проблем, цели и требований безопасности. Стандарт содержит рекомендации и критерии оценки безопасности автоматизированных систем, а также обеспечивает расширение области применения международного стандарта ИСО/МЭК 15408, включая ряд критических аспектов, касающихся оценки среды эксплуатации объекта оценки. Стандарт устанавливает описание расширений концепции оценки безопасности, методологию и процесс выполнения оценки безопасности автоматизированных систем, дополнительные критерии оценки безопасности. Стандарт дает возможность включать продукты безопасности, в автоматизированные системы и проводить ее оценку как единого целого с использованием настоящего стандарта. Стандарт ограничивается оценкой безопасности автоматизированных систем и не распространяется на другие формы оценки систем.

ГОСТ Р ИСО/МЭК 27037-2014 « Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме « (Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence)18 содержит положения по вопросам касающимся сбора свидетельств (цифровые данные, которые можно использовать в качестве доказательства), ключевым компонентам идентификации, сбора, получения и сохранения свидетельств, представленных в цифровой форме, носителям цифровых данных. Стандарт предоставляет руководства по конкретным видам деятельности, касающимся обращения со свидетельствами, представленными в цифровой форме, к которым относится идентификация, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме, которые могут иметь доказательную ценность. Стандарт предоставляет руководство по распространенным ситуациям, возникающим в процессе обращения со свидетельствами, представленными в цифровой форме. Стандарт предоставляет рекомендации относительно цифровых носителей данных, используемых в типовых компьютерах, например, жестких дисках, оптических дисках, мобильных телефонах, персональных электронных устройствах, картах памяти, типовых компьютеров с сетевыми соединениями и т.п.

ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности «. (Information technology ― Security techniques ― Privacy framework)19 содержит положения по вопросам: основные элементы структуры обеспечения приватности, включая их общий обзор; меры и средства контроля и управления приватностью; принципы обеспечения приватности, включая информационную безопасность. Положения стандарта описывают структуру обеспечения приватности, которая устанавливает общую терминологию приватности; определяют субъектов и их роли в обработке персональной идентификационной информации; описывают соображения, касающиеся мер защиты приватности; предоставляют ссылки на известные принципы обеспечения приватности. Стандарт предназначен для физических лиц и организаций, вовлеченных в процессы определения особенностей, приобретения, моделирования, проектирования, создания, тестирования, обслуживания, управления и функционирования системы информационно-коммуникационных технологий или услуги, где для обработки требуются меры и средства контроля и управления приватностью.

ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса «. (Information technology. Security techniques. Systems security engineering. Capability maturity model)20 содержит положения по вопросам, касающимся провайдеров услуг, связанных с безопасностью, разработчиков мер противодействия, специфике отраслей промышленности, преимущества применения модели. Стандарт содержит подробное описание модели проектирования систем безопасности и является эталонной моделью процесса, сосредоточенной на требованиях по реализации безопасности в системе или серии взаимосвязанных систем, которые являются доменом безопасности информационных технологий. Положения стандарта регламентируют действия по проектированию систем безопасности для защищенного продукта или выверенной системы, включающие полный жизненный цикл этого процесса, состоящий из: определения понятия, анализа требований, проектирования, разработки, интеграции, установки, эксплуатации, обслуживания и вывода из эксплуатации. В стандарте также приведены требования к разработчикам продукта; разработчикам и интеграторам безопасных систем; организациям, предоставляющим услуги по обеспечению компьютерной безопасности и проектированию безопасности; организациям по проектированию безопасности всех типов и масштабов, от коммерческих до правительственных.

В заключение этой части статьи, посвященной обзору национальных стандартов по вопросам методологии, терминологии и основополагающей технологии защиты информации и информационной безопасности следует отметить, что национальные стандарты, посвященные вопросам использования электронной подписи (ГОСТ Р 34.10 ― 201221 и ГОСТ Р 34.11 -201222) в рамках данной статьи не рассматриваются, ввиду их изученности. Целью данной статьи является информирование специалистов сферы документационного обеспечения управления о многообразии национальных стандартов, используемых специалистами ИТ для защиты информации и обеспечения информационной безопасности, положения которых могли бы быть частично использованы специалистами сферы ДОУ в их профессиональной деятельности.

Продолжение следует