Информационная безопасность. Национальные стандарты Российской Федерации
Юрий Родичев
Информационная безопасность. Национальные стандарты Российской Федерации
Моей любимой внучке Алисе посвящаю.
Не грусти. Рано или поздно все станет понятно, все станет на свои места и выстроится в единую красивую схему, как кружева. Станет понятно, зачем все было нужно, потому что все будет правильно.
Льюис Кэрролл. Алиса в Стране чудесРецензенты:
доктор педагогических наук, профессор кафедры корпоративных информационных систем, электронных сервисов и интеллектуальных информационных технологий Самарского государственного экономического университета
А. Г. Абросимов;
доктор технических наук, профессор Самарского национального исследовательского университета имени академика С. П. Королева
В. С. Кузьмичев.
Перечень сокращений
АС – автоматизированная система
АСЗИ – АС в защищенном исполнении
АСУ ТП – автоматизированная система управления производственными и технологическими процессами
ГИС – государственная информационная система
ЗБ – задание по безопасности
ИБ – информационная безопасность
ИС ОП – информационная система общего пользования
ИСПДн – информационная система персональных данных
ИТ – информационная технология
ИКТ – информационно-коммуникационные технологии
ИИСМиОБП – интегрированная интеллектуальная система мониторинга и обеспечения безопасности предприятия
ИСБ – интегрированные системы безопасности
КСБ – комплексные системы безопасности
КСЗ – комплекс средств защиты
МЭ – межсетевой экран
НДВ – недекларированная возможность
НСД – несанкционированный доступ
ОУД – оценочный уровень доверия
ОО – объект оценки
ПЗ – профиль защиты
ПО – программное обеспечение
ПС – программное средство
РД – руководящий документ
РИД – результат интеллектуальной деятельности
САВЗ – средство антивирусной защиты
СВТ – средство вычислительной техники
СЗИ – средство защиты информации
СКН – средства контроля съемных машинных носителей информации
СОВ – система обнаружения вторжений
СДЗ – средства доверенной загрузки
СМИБ – система менеджмента ИБ
СВТ – средство вычислительной техники
СоПД – составной пакет доверия
СКУД – система контроля и управления доступом
СОС – система охранной сигнализации
СОТ – система охранная телевизионная
СТС – система тревожной сигнализации
СКЗИ – средство криптографической защиты информации
СРД – система разграничения доступа
СЦН – система централизованного наблюдения
ФТБ – функциональные требования безопасности
Введение
В современном обществе информационные технологии приобрели глобальный трансграничный характер и стали неотъемлемой частью всех сфер деятельности человека. Их эффективное применение является фактором ускорения экономического развития государства и формирования информационного общества.
Учитывая масштабы проникновения информационных технологий в повседневную жизнь граждан, организаций и органов власти всех уровней, а также высокий уровень зависимости создаваемых в стране информационных систем от импортных аппаратно-программных средств, особенно актуальным становится вопрос обеспечения необходимого уровня информационной безопасности страны в современном глобальном информационном мире.
Расширение областей применения информационных технологий порождает новые информационные угрозы. Возрастают масштабы компьютерной преступности, увеличивается число преступлений, связанных с нарушением конституционных прав и свобод человека, в том числе при обработке персональных данных с использованием информационных технологий.
В «Стратегии национальной безопасности Российской Федерации», утвержденной Указом Президента Российской Федерации от 31.12.2015 г. № 683, отмечается появление новых форм противоправной деятельности с использованием информационно-коммуникационных технологий и уделяется особое внимание обеспечению информационной безопасности с учетом стратегических национальных приоритетов.
Важнейшим элементом комплексной системы защиты информации является нормативно-правовое обеспечение, заключающееся в разработке нормативных правовых актов, регламентирующих отношения в информационной сфере, а также нормативных методических документов по конкретным вопросам обеспечения информационной безопасности. Меры нормативно-правовой поддержки регулирования вопросов защиты информации в Российской Федерации определяются на основании:
• международных договоров и соглашений;
• законов Российской Федерации;
• указов и распоряжений Президента Российской Федерации;
• нормативных документов Правительства Российской Федерации;
• технических регламентов;
• национальных стандартов и стандартов организаций;
• нормативных правовых актов уполномоченных федеральных органов исполнительной власти.
Низшим звеном в иерархической системе документов являются нормативные акты уровня учреждений, необходимость принятия которых отмечается в ряде нормативно-правовых документов федерального уровня.
Как отмечено в «Доктрине информационной безопасности Российской Федерации», утвержденной Указом Президента Российской Федерации от 5 декабря 2016 г. № 646, отсутствие международных правовых норм, регулирующих межгосударственные отношения в информационном пространстве, а также механизмов и процедур их применения, учитывающих специфику информационных технологий, затрудняет формирование системы международной информационной безопасности, направленной на достижение стратегической стабильности и равноправного стратегического партнерства.
В последние годы в Российской Федерации существенно обновлена нормативно-правовая база в сфере информационных технологий и защиты информации. Значительные изменения произошли также и в национальной системе стандартизации и технического регулирования.
Все работы по стандартизации в России осуществляются на основе принятых Федеральных законов: «О техническом регулировании» от 27 декабря 2002 г. № 184-ФЗ и «О стандартизации в Российской Федерации» от 29 июня 2015 г. № 162-ФЗ, а также утвержденной распоряжением Правительства Российской Федерации от 24 сентября 2012 г. № 1762-р Концепцией развития национальной системы стандартизации Российской Федерации на период до 2020 г.
После принятия закона 184-ФЗ от 27 декабря 2002 г. утратили силу два ранее принятых закона: «О сертификации продукции и услуг» от 10 июня 1993 г. № 5151-1 и «О стандартизации» от 10 июня 1993 г. № 5154-1. Все вопросы, связанные с функционированием национальной системы стандартизации, были перенесены в закон «О техническом регулировании». Однако в 2015 г. вновь был принят отдельный закон, регулирующий вопросы стандартизации в Российской Федерации (№ 162-ФЗ).
Основной причиной принятия нового закона «О стандартизации в Российской Федерации» явилась необходимость совершенствования государственного регулирования в сфере стандартизации, поскольку сложившаяся национальная система стандартизации в рамках закона о техническом регулировании не отвечала современным экономическим условиям. Национальное законодательство в сфере стандартизации нуждалось в коренной модернизации в соответствии с приоритетными направлениями развития стандартизации, закрепленными Концепцией развития национальной системы стандартизации в Российской Федерации от 24 сентября 2012 г.
В целях исключения дублирования областей применения Федерального закона «О техническом регулировании» и Федерального закона «О стандартизации в Российской Федерации» из сферы технического регулирования исключены вопросы разработки и принятия стандартов национальной системы стандартизации. Однако вопросы применения на добровольной основе стандартов в целях обеспечения выполнения требований технических регламентов оставлены в предметной области закона «О техническом регулировании».
Закон «О техническом регулировании» регулирует отношения, возникающие при:
• разработке, принятии, применении и исполнении обязательных требований к продукции, в том числе зданиям и сооружениям, или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации;
• применении и исполнении на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, а также к выполнению работ или оказанию услуг в целях добровольного подтверждения соответствия;
• оценке соответствия.
Одним из основных принципов стандартизации является добровольность применения документов по стандартизации.
В «Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы», утвержденной Указом Президента Российской Федерации от 9 мая 2017 г. № 203, подчеркивается необходимость осуществления интеграции российских стандартов в сфере информационных и коммуникационных технологий в соответствующие международные стандарты, а также обеспечения гармонизации межгосударственной и национальной систем стандартов в данной сфере. В настоящее время в России наряду с отечественной нормативной базой широко используются международные стандарты в области информационных технологий и защиты информации. Многие международные стандарты приняты и введены в действие в России в качестве национальных стандартов.
В соответствии с международными и национальными стандартами для обеспечения информационной безопасности компании необходимо:
1. Определить цели обеспечения информационной безопасности.
2. Создать эффективную систему управления информационной безопасностью.
3. Определить совокупность количественных и качественных показателей для оценки соответствия уровня информационной безопасности заявленным целям.
4. Использовать определенный инструментарий для реализации процесса обеспечения информационной безопасности и оценки уровня ее текущего состояния.
5. Применять эффективные методики анализа и управления рисками, позволяющие объективно оценить состояние защищенности активов.
Все эти аспекты обеспечения информационной безопасности охватываются системой национальных стандартов Российской Федерации. Поэтому важнейшим условием повышения уровня информационной безопасности является подготовка высококвалифицированных специалистов в области защиты информации, обладающих необходимыми компетенциями и знаниями нормативных документов и национальных стандартов. В «Доктрине информационной безопасности Российской Федерации» 2016 г. в состав основных направлений обеспечения информационной безопасности России включено развитие кадрового потенциала в области обеспечения информационной безопасности и применения информационных технологий, а также обеспечение защищенности граждан от информационных угроз, в том числе за счет формирования культуры личной информационной безопасности.
Целью данного учебного пособия является рассмотрение важнейших открытых действующих документов национальной системы стандартизации, включая международные и межгосударственные стандарты в области информационной безопасности по состоянию на начало 2019 г. С различной степенью подробности в пособии рассмотрено более 230 документов, действующих в Российской Федерации. Некоторые важнейшие стандарты описаны в пособии достаточно подробно. Описания некоторых стандартов ограничиваются только целями их принятия, предметом регулирования и названиями разделов, что дает возможность получить представление о содержании стандарта в целом. Изучение данного учебного пособия дает возможность получить представление обо всей системе стандартов в области информационной безопасности. Это позволит оптимизировать поиск решения конкретных практических задач по защите информации. После нахождения возможного решения задачи необходимо будет обратиться к первоисточникам и изучить полный текст соответствующего стандарта или серии стандартов.
Все национальные стандарты, описанные в учебном пособии, сгруппированы по направлениям:
• основополагающие стандарты национальной системы стандартизации и стандартизации в области защиты информации;
• стандарты по менеджменту информационной безопасности;
• стандарты по безопасности информационно-телекоммуникационных систем;
• оценочные стандарты;
• стандарты по безопасности в финансовой сфере;
• стандарты по биометрии;
• стандарты по криптографии;
• стандарты по интегрированным системам безопасности.
В главе 1 рассматриваются национальные стандарты, устанавливающие основы национальной системы стандартизации Российской Федерации и основы стандартизации в сфере защиты информации.
Глава 2 посвящена комплексу стандартов по менеджменту информационной безопасности.
Глава 3 посвящена рассмотрению стандартов в области защиты информации в информационно-телекоммуникационных системах.
В главе 4 рассмотрены стандарты в области оценки соответствия требованиям безопасности.
В главе 5 описаны стандарты, регулирующие процессы защиты информации в финансовой сфере. Здесь также рассмотрены стандарты Банка России.
Глава 6 посвящена рассмотрению стандартов в области биометрии.
Глава 7 посвящена документам в области криптографической защиты информации.
Глава 8 посвящена стандартам по комплексным и интегрированным системам безопасности.
Отзывы, пожелания и замечания по данному учебному пособию можно направлять на кафедру безопасности информационных систем Самарского национального исследовательского университета имени академика С. П. Королева по адресу: 443086, г. Самара, Московское шоссе, 34, а также на электронную почту автора rodichev@ssau.ru.
Благодарности
Выражаю благодарность рецензентам учебного пособия Абросимову Александру Григорьевичу и Кузьмичеву Венедикту Степановичу за ценные советы по содержанию материалов.
Выражаю благодарность коллективу кафедры безопасности информационных систем Самарского университета имени академика С. П. Королева, в котором родилась идея подготовки такого учебного пособия, и лично заведующему кафедрой Осипову Михаилу Николаевичу за всестороннюю поддержку.
«Какой толк в книге, – подумала Алиса, – если в ней нет ни картинок, ни разговоров?» В связи с этим выражаю благодарность художнику Гридневу Андрею Сергеевичу за остроумные иллюстрации к главам пособия, которые повысили толк книги.
Большое спасибо руководителю проектной группы «Компьютерная и научно-популярная литература» Юлии Сергиенко за профессионализм и доброе отношение при подготовке к изданию книги.
Искреннее спасибо замечательному ведущему редактору редакции компьютерной и научно-популярной литературы Кристине Тульцевой за оперативность и профессионализм в доработке рукописи при подготовке к изданию.
Благодарю всех сотрудников издательского дома «Питер», принявших участие в редактировании рукописи и подготовке книги к изданию.
Глава 1
Основы технического регулирования и стандартизации в Российской Федерации
– Начните сначала, – серьезно сказал Король, – и читайте, пока не дойдете до конца; тогда остановитесь.
– …А уж кто хочет по-настоящему углубиться в науку, тот должен добраться до самого дна! Вот это и называется Законченное Низшее Образование! Но, конечно, это не каждому дано!..
– Мне вот так и не удалось по-настоящему углупиться! Не хватило меня на это. Так я и остался при высшем образовании…
Льюис Кэрролл. Алиса в Стране чудес
1.1. Общие замечания
Основным правовым документом в области технического регулирования и стандартизации до 2015 г. являлся Федеральный закон Российской Федерации «О техническом регулировании» № 184-ФЗ. Он был принят 27.12.2002 г. и вступил в силу с 1 июля 2003 г. В связи с его принятием утратил силу ряд ранее принятых законов и нормативных актов в области стандартизации и сертификации продукции и услуг. Среди таких документов, в частности, следует отметить Федеральные законы Российской Федерации № 5151-1 от 10.06.1993 г. «О сертификации продукции и услуг» и № 5154-1 от 10.06.1993 г. «О стандартизации».
Одной из причин принятия закона явилась подготовка к вступлению Российской Федерации во Всемирную торговую организацию (ВТО), что, в свою очередь, потребовало реформирования существующей системы технического регулирования в соответствии с требованиями ВТО. В государствах – членах ВТО обязательные для применения требования к продукции устанавливаются в технических регламентах, утверждаемых органами власти, а национальные стандарты являются добровольными для применения. В России до принятия закона «О техническом регулировании» разделения требований на обязательные и применяемые на добровольной основе не существовало. Большинство требований носило обязательный характер и устанавливалось в государственных стандартах и нормативных документах федеральных органов исполнительной власти.
Федеральный закон «О техническом регулировании» № 184-ФЗ заложил основу принципиально новой системы сертификации и стандартизации в Российской Федерации. Фактически закон заложил основу для создания двухуровневой системы нормативных документов: технических регламентов, которые содержат обязательные требования безопасности, и добровольно применяемых стандартов. Иными словами, стандарты, даже государственные, перестали быть обязательными для субъектов хозяйствующей деятельности. Сам термин «государственный стандарт» выведен из обращения. Вместо него введены новые понятия: «национальный стандарт», «международный стандарт», «региональный стандарт», «стандарт организации». Выведен из обращения также термин «отраслевой стандарт». Изменение правового статуса документов по стандартизации и самого понятия «стандартизация» обусловлено ориентацией российского законодателя на международную практику и сложившийся практический международный опыт в этой сфере деятельности.
Федеральным органом исполнительной власти Российской Федерации в области технического регулирования является Федеральное агентство по техническому регулированию и метрологии (Росстандарт, сайт агентства: www.gost.ru), созданное Указом Президента Российской Федерации от 20 мая 2004 г. № 649 «Вопросы структуры федеральных органов исполнительной власти». Агентство ведет свою деятельность в соответствии с Положением, утвержденным Постановлением Правительства Российской Федерации от 17 июня 2004 г. № 294.
Основными задачами агентства являются:
• реализация функций национального органа по стандартизации;
• обеспечение единства измерений;
• осуществление государственного контроля (надзора) за соблюдением требований технических регламентов и обязательных требований стандартов;
• создание и ведение федерального информационного фонда технических регламентов и стандартов и единой информационной системы по техническому регулированию;
• оказание государственных услуг в сфере стандартизации, технического регулирования и метрологии.
В соответствии с Постановлением Госстандарта РФ от 30.01.2004 г. № 4 «О национальных стандартах Российской Федерации» со дня вступления в силу Федерального закона № 184-ФЗ «О техническом регулировании» национальными стандартами признаются государственные и межгосударственные стандарты, принятые Госстандартом России до 1 июля 2003 г. Впредь до вступления в силу соответствующих технических регламентов установленные ранее требования к продукции подлежат обязательному исполнению только в части, соответствующей целям:
• защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;
• охраны окружающей среды, жизни или здоровья животных и растений;
• предупреждения действий, вводящих в заблуждение приобретателей.
Разработка документов национальной системы стандартизации ведется в рамках технических комитетов, создаваемых Росстандартом. В данном учебном пособии рассмотрены документы по стандартизации, разработанные следующими техническими комитетами:
• ТК 362 «Защита информации»;
• ТК 26 «Криптографическая защита информации»;
• ТК 22 «Информационные технологии»;
• ТК 355 «Технологии автоматической идентификации и сбора данных и биометрия»;
• ТК 098 «Биометрия и биомониторинг»;
• ТК 122 «Стандарты финансовых операций»;
• ТК 12 «Методология стандартизации»;
• ТК 536 «Методология межгосударственной стандартизации».
1.2. Федеральный закон Российской Федерации «О стандартизации в Российской Федерации»
Федеральный закон «О стандартизации в Российской Федерации» от 29 июня 2015 г. № 162-ФЗ устанавливает правовые основы стандартизации в Российской Федерации, в том числе функционирования национальной системы стандартизации, и направлен на обеспечение проведения единой государственной политики в сфере стандартизации. Он регулирует отношения в сфере стандартизации, включая отношения, возникающие при разработке, утверждении, изменении, отмене, опубликовании и применении документов по стандартизации. Закон полностью вступил в силу с 1 июля 2016 г., а отдельные его статьи введены в действие с 29 сентября 2015 г.
Закон вводит ряд понятий в предметной области.
Документ по стандартизации – документ, в котором для добровольного и многократного применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы в отношении объекта стандартизации, за исключением случаев, если обязательность применения документов по стандартизации устанавливается настоящим Федеральным законом.
Документы, разрабатываемые и применяемые в национальной системе стандартизации – национальный стандарт Российской Федерации, в том числе основополагающий национальный стандарт Российской Федерации, и предварительный национальный стандарт Российской Федерации, а также правила стандартизации, рекомендации по стандартизации, информационно-технические справочники.
Информационно-технический справочник – документ национальной системы стандартизации, утвержденный федеральным органом исполнительной власти в сфере стандартизации, содержащий систематизированные данные в определенной области и включающий в себя описание технологий, процессов, методов, способов, оборудования и иные данные.
Национальная система стандартизации – механизм обеспечения согласованного взаимодействия участников работ по стандартизации.
Национальный стандарт – документ по стандартизации, который разработан участником или участниками работ по стандартизации, по результатам экспертизы в техническом комитете по стандартизации или проектном техническом комитете по стандартизации утвержден федеральным органом исполнительной власти в сфере стандартизации и в котором для всеобщего применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы в отношении объекта стандартизации.
Основополагающий национальный стандарт – национальный стандарт, разработанный и утвержденный федеральным органом исполнительной власти в сфере стандартизации, устанавливающий общие положения, касающиеся выполнения работ по стандартизации, а также виды национальных стандартов.
Предварительный национальный стандарт – документ по стандартизации, который разработан участником или участниками работ по стандартизации, по результатам экспертизы в техническом комитете по стандартизации или проектном техническом комитете по стандартизации утвержден федеральным органом исполнительной власти в сфере стандартизации и в котором для всеобщего применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы в отношении объекта стандартизации на ограниченный срок в целях накопления опыта в процессе применения предварительного национального стандарта для возможной последующей разработки на его основе национального стандарта.
Свод правил – документ по стандартизации, утвержденный федеральным органом исполнительной власти или Государственной корпорацией по атомной энергии «Росатом» и содержащий правила и общие принципы в отношении процессов в целях обеспечения соблюдения требований технических регламентов.
Стандарт организации – документ по стандартизации, утвержденный юридическим лицом, в том числе государственной корпорацией, саморегулируемой организацией, а также индивидуальным предпринимателем для совершенствования производства и обеспечения качества продукции, выполнения работ, оказания услуг.