Информационная безопасность. Национальные стандарты Российской Федерации
Стандартизация – деятельность по разработке (ведению), утверждению, изменению (актуализации), отмене, опубликованию и применению документов по стандартизации и иная деятельность, направленная на достижение упорядоченности в отношении объектов стандартизации.
Технические условия – вид стандарта организации, утвержденный изготовителем продукции или исполнителем работы, услуги.
В соответствии со статьей 6 закона порядок стандартизации в отношении оборонной продукции по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией, устанавливается Правительством Российской Федерации.
Закон устанавливает следующие принципы стандартизации:
1) добровольность применения документов по стандартизации;
2) обязательность применения документов по стандартизации в отношении объектов стандартизации, предусмотренных статьей 6 закона, а также включенных в определенный Правительством Российской Федерации перечень документов по стандартизации, обязательное применение которых обеспечивает безопасность дорожного движения при его организации на территории Российской Федерации;
3) обеспечение комплексности и системности стандартизации, преемственности деятельности в сфере стандартизации;
4) обеспечение соответствия общих характеристик, правил и общих принципов, устанавливаемых в документах национальной системы стандартизации, современному уровню развития науки, техники и технологий, передовому отечественному и зарубежному опыту;
5) открытость разработки документов национальной системы стандартизации, обеспечение участия в разработке таких документов всех заинтересованных лиц, достижение консенсуса при разработке национальных стандартов;
6) установление в документах по стандартизации требований, обеспечивающих возможность контроля за их выполнением;
7) унификация разработки, утверждения, изменения, отмены, опубликования и применения документов по стандартизации;
8) соответствие документов по стандартизации действующим на территории Российской Федерации техническим регламентам;
9) непротиворечивость национальных стандартов друг другу;
10) доступность информации о документах по стандартизации с учетом ограничений, установленных нормативными правовыми актами Российской Федерации в области защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа.
К документам в области стандартизации, используемым на территории Российской Федерации, относятся:
1) документы национальной системы стандартизации;
2) общероссийские классификаторы;
3) стандарты организаций, в том числе технические условия;
4) своды правил;
5) документы по стандартизации, которые устанавливают обязательные требования в отношении некоторых объектов стандартизации (оборонная продукция, продукция, используемая для защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, и т. п.).
Документы национальной системы стандартизации не должны противоречить международным договорам Российской Федерации, федеральным законам, актам Президента Российской Федерации, актам Правительства Российской Федерации, нормативным правовым актам федеральных органов исполнительной власти и нормативным правовым актам Государственной корпорации по атомной энергии «Росатом», изданным в соответствии с установленными полномочиями. Разработчиками документов национальной системы стандартизации являются участники работ по стандартизации (в том числе физические лица).
При разработке национальных стандартов международные стандарты используются в качестве основы, за исключением случаев, если такое использование признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и/или технологическим особенностям или по иным основаниям либо Российская Федерация в соответствии с установленными процедурами выступала против утверждения международного стандарта или отдельного его положения.
Документы национальной системы стандартизации применяются на добровольной основе одинаковым образом и в равной мере независимо от страны и/или места происхождения продукции (товаров, работ, услуг), если иное не установлено законодательством Российской Федерации.
Информационное обеспечение национальной системы стандартизации реализуется посредством ведения Федерального информационного фонда стандартов, создания и эксплуатации федеральных информационных систем, необходимых для его функционирования, официального опубликования, издания и распространения документов национальной системы стандартизации и общероссийских классификаторов. Федеральный информационный фонд стандартов является государственным информационным ресурсом.
1.3. Основы стандартизации в Российской Федерации
1.3.1. Основополагающие стандарты Российской Федерации
В соответствии с Федеральным законом «О стандартизации в Российской Федерации» в России действует Государственная система стандартизации. Законодательную и нормативную базу национальной системы стандартизации составляют:
• Федеральный закон «О стандартизации в Российской Федерации»;
• нормативно-правовые акты Правительства РФ по вопросам стандартизации;
• основополагающие стандарты Национальной системы стандартизации.
Основополагающие вопросы организации и практической деятельности в области стандартизации в Российской Федерации регламентированы в комплексе основополагающих национальных стандартов, правил и рекомендаций:
ГОСТ Р 1.0–2012 «Стандартизация в Российской Федерации. Основные положения (с Изменением № 1)».
ГОСТ Р 1.1–2013 «Стандартизация в Российской Федерации. Технические комитеты по стандартизации. Правила создания и деятельности».
ГОСТ Р 1.2–2016 «Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила разработки, утверждения, обновления, внесения поправок, приостановки действия и отмены».
ГОСТ Р 1.4–2004 «Стандартизация в Российской Федерации. Стандарты организаций. Общие положения».
ГОСТ Р 1.5–2012 «Стандартизация в Российской Федерации. Стандарты национальные. Правила построения, изложения, оформления и обозначения (с Поправкой, с Изменением № 1)».
ГОСТ Р 1.6–2013 «Стандартизация в Российской Федерации. Проекты стандартов. Правила организации и проведения экспертизы».
ГОСТ Р 1.7–2014 «Стандартизация в Российской Федерации. Стандарты национальные. Правила оформления и обозначения при разработке на основе применения международных стандартов (с Изменением № 1)».
ГОСТ Р 1.8–2011 «Стандартизация в Российской Федерации. Стандарты межгосударственные. Правила проведения в Российской Федерации работ по разработке, применению, обновлению и прекращению применения».
ГОСТ Р 1.9–2004 «Стандартизация в Российской Федерации. Знак соответствия национальным стандартам Российской Федерации. Изображение. Порядок применения».
ГОСТ Р 1.10–2004 «Стандартизация в Российской Федерации. Правила стандартизации и рекомендации по стандартизации. Порядок разработки, утверждения, изменения, пересмотра и отмены».
ГОСТ Р 1.12–2004 «Стандартизация в Российской Федерации. Термины и определения».
ГОСТ Р 1.13-2004 «Стандартизация в Российской Федерации. Уведомления о проектах документов в области стандартизации. Общие требования (с Изменением № 1)».
ГОСТ Р 1.14–2017 «Стандартизация в Российской Федерации. Программа разработки национальных стандартов. Требования к структуре, правила формирования, утверждения и контроля за реализацией».
ГОСТ Р 1.15–2017 «Стандартизация в Российской Федерации. Службы стандартизации в организациях. Правила создания и функционирования».
ГОСТ Р 1.16–2011 «Стандартизация в Российской Федерации. Стандарты национальные предварительные. Правила разработки, утверждения, применения и отмены».
ГОСТ Р 1.17–2017 «Стандартизация в Российской Федерации. Эксперт по стандартизации. Общие требования».
ПР 50.1.008–2013 «Организация и проведение работ по международной стандартизации в Российской Федерации».
ПР 50.1.025–2007 «Методика формирования перечня национальных стандартов и/или сводов правил, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента».
ПР 50.1.074–2004 «Подготовка проектов национальных стандартов Российской Федерации и проектов изменений к ним к утверждению, регистрации и опубликованию. Внесение поправок в стандарты и подготовка документов для их отмены».
Р 50.1.004–2011 «Подготовка межгосударственных стандартов для принятия и применения в Российской Федерации в качестве национальных стандартов».
Р 50.1.039–2002 «Разработка, обновление и отмена правил и рекомендаций по стандартизации, метрологии, сертификации, аккредитации и каталогизации».
Р 50.1.057–2006 «Комплектование, хранение, ведение и учет документов Федерального информационного фонда технических регламентов и стандартов и порядок предоставления пользователям информационной продукции и услуг. Основные положения».
Р 50.1.058–2011 «Методика оценки стоимости разработки и экспертизы национальных стандартов Российской Федерации».
Р 50.1.075–2011 «Разработка стандартов на термины и определения».
Представителями государств бывшего СССР 13 марта 1992 г. было подписано Соглашение о проведении согласованной политики в области стандартизации. В нем заложены основы системы межгосударственной стандартизации. На межправительственном уровне был создан Межгосударственный совет по стандартизации, метрологии и сертификации (МГС). В области межгосударственной стандартизации действуют следующие основополагающие документы:
ГОСТ 1.0–2015 «Межгосударственная система стандартизации (МГСС). Основные положения».
ГОСТ 1.1–2002 «Межгосударственная система стандартизации. Термины и определения».
ГОСТ 1.2–2015 «Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены».
ГОСТ 1.3–2014 «Межгосударственная система стандартизации. Стандарты межгосударственные. Правила разработки на основе международных и региональных стандартов».
ГОСТ 1.4–2015 «Межгосударственная система стандартизации. Межгосударственные технические комитеты по стандартизации. Правила создания и деятельности».
ГОСТ 1.5–2001 «Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Общие требования к построению, изложению, оформлению, содержанию и обозначению».
ПМГ 03–93 «Порядок регистрации и подготовки к изданию межгосударственных нормативных документов по стандартизации».
ПМГ 04–94 «Порядок распространения межгосударственных стандартов и нормативной документации Межгосударственного совета по стандартизации, метрологии и сертификации».
1.3.2. Основные положения системы стандартизации в Российской Федерации (ГОСТ Р 1.0–2012)
Национальный стандарт Российской Федерации ГОСТ Р 1.0–2012 «Стандартизация в Российской Федерации. Основные положения» введен в действие с 01.07.2013 г. взамен ранее принятого стандарта ГОСТ Р 1.0–2004.
Стандарт устанавливает основные положения по организации и проведению в Российской Федерации работ в области стандартизации, цели и принципы стандартизации, требования к документам в области стандартизации, правила их опубликования, распространения и применения, а также задачи международного сотрудничества в области стандартизации.
Стандарт устанавливает следующие принципы осуществления национальной стандартизации в Российской Федерации:
• добровольности применения заинтересованным лицом документов в области стандартизации и обязательности соблюдения указанным лицом требований, содержащихся в этих документах, в случае объявления об их использовании, а также в случае определения обязательности исполнения требований стандартов в рамках контрактных (договорных) обязательств;
• применения в установленном порядке на территории Российской Федерации международных и региональных стандартов, региональных сводов правил, стандартов иностранных государств и сводов правил иностранных государств;
• максимального учета мнения заинтересованных лиц при разработке документов в области стандартизации;
• обеспечения преемственности работ по стандартизации;
• обеспечения условий для единообразного применения документов в области стандартизации;
• открытости (прозрачности) процедур разработки документов в области стандартизации;
• обеспечения доступности документов в области стандартизации и информации о них для заинтересованных лиц;
• однозначности понимания требований, включаемых в документы в области стандартизации;
• соответствия документов в области стандартизации нормативным правовым актам Российской Федерации;
• прогрессивности и оптимальности требований документов в области стандартизации;
• недопустимости разработки национальных стандартов Российской Федерации на объекты и аспекты стандартизации, стандартизованные на межгосударственном уровне;
• недопустимости разработки и применения национальных стандартов Российской Федерации, которые создают излишние препятствия международной торговле;
• унификации процессов разработки, хранения стандартов, а также процессов внесения в них изменений и обеспечения доступа к документам в области стандартизации;
• обеспечения системности и комплексности информационных ресурсов в области стандартизации с использованием информационных технологий;
15 обеспечения актуальности и достоверности информационных ресурсов в области стандартизации.
Раздел 5 стандарта посвящен организации работ по стандартизации и функциям национального органа по стандартизации (Федеральное агентство по техническому регулированию и метрологии – Росстандарт).
В разделах 6 и 7 описаны требования к документам в области стандартизации, порядок их опубликования и распространения.
Стандарт определяет также основные задачи международного сотрудничества в области стандартизации, а именно:
• гармонизация системы стандартизации в Российской Федерации с международными, региональными, прогрессивными национальными системами стандартизации других стран;
• совершенствование фонда документов в области стандартизации, используемых в Российской Федерации;
• гармонизация национальных стандартов Российской Федерации с международными, региональными стандартами и национальными стандартами других стран;
• повышение качества отечественной продукции и ее конкурентоспособности на мировом рынке;
• содействие внедрению инноваций, проведению технологической модернизации и продвижению отечественной продукции на мировой рынок;
• активное привлечение представителей отечественной промышленности к разработке международных и региональных стандартов;
• разработка международных и межгосударственных стандартов на основе национальных стандартов Российской Федерации;
• улучшение нормативного обеспечения торгово-экономического и научно-технического сотрудничества Российской Федерации с другими странами и участие Российской Федерации в международном разделении труда;
• обеспечение защиты национальных интересов Российской Федерации при разработке международных и региональных стандартов;
• обеспечение единства измерений при взаимодействии с другими странами.
1.3.3. Правила разработки национальных стандартов (ГОСТ Р 1.2–2016)
Национальный стандарт Российской Федерации ГОСТ Р 1.2–2016 «Стандарты национальные Российской Федерации. Правила разработки, утверждения, обновления, внесения поправок, приостановки действия и отмены» введен в действие с 18.07.2016 г. взамен ГОСТ Р 1.2–2014. Стандарт устанавливает правила разработки и утверждения национальных стандартов Российской Федерации, проведения работ по их обновлению, внесению поправок, а также правила приостановки действия и отмены стандартов.
Разработку национальных стандартов осуществляют на основе программы разработки национальных стандартов в такой последовательности:
• организация разработки стандарта;
• разработка первой редакции проекта стандарта и ее публичное обсуждение;
• доработка проекта стандарта по результатам публичного обсуждения и его редактирование;
• подготовка окончательной редакции с учетом замечаний по результатам редактирования;
• проведение контроля проектов стандартов на соответствие правилам, установленным в ГОСТ Р 1.7 и/или ГОСТ Р 1.5, и требованиям к их оформлению (нормоконтроль);
• проведение экспертизы и подготовка мотивированного предложения об утверждении проекта стандарта в качестве национального стандарта, или об утверждении проекта национального стандарта в качестве предварительного национального стандарта, или об отклонении проекта национального стандарта;
• подготовка к утверждению, утверждение и регистрация стандарта.
В разделе 4 подробно описаны правила разработки и утверждения национальных стандартов в соответствии с указанной выше последовательностью.
Официальное опубликование утвержденного стандарта должно быть осуществлено незамедлительно, не позднее даты его введения в действие.
В разделе 5 описаны правила проведения работ по обновлению национальных стандартов, а в разделе 7 – правила осуществления отмены национальных стандартов.
1.3.4. Стандарты организаций (ГОСТ Р 1.4-2004)
Национальный стандарт Российской Федерации ГОСТ Р 1.4–2004 «Стандарты организаций. Общие положения» введен в действие с 01.07.2005 г. взамен ГОСТ Р 1.4–93. Он устанавливает объекты стандартизации и общие положения при разработке и применении стандартов организаций.
В соответствии с п. 4.1 данного стандарта стандарты организаций, в том числе коммерческих, общественных, научных организаций, саморегулируемых организаций, объединений юридических лиц, разрабатываются этими организациями в случаях и на условиях, указанных в статье 17 закона «О техническом регулировании».
ВНИМАНИЕ
Статья 17 утратила силу с 1 июля 2016 г. в связи с вступлением в силу соответствующих статей Федерального закона от 29.06.2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». В нем содержится статья 21 «Стандарты организаций и технические условия» в соответствии с которой:
1. Стандарты организаций разрабатываются организациями самостоятельно исходя из необходимости их применения для обеспечения целей, указанных в статье 3 настоящего Федерального закона.
2. Стандарты организаций и технические условия разрабатываются с учетом соответствующих документов национальной системы стандартизации.
3. Технические условия разрабатываются изготовителем и/или исполнителем и применяются в соответствии с условиями, установленными в договорах (контрактах).
4. Порядок разработки, утверждения, учета, изменения, отмены и применения стандартов организаций и технических условий устанавливается организациями самостоятельно с учетом применимых принципов, предусмотренных статьей 4 настоящего Федерального закона.
5. Проект стандарта организации, а также проект технических условий перед их утверждением может представляться в соответствующий технический комитет по стандартизации или проектный технический комитет по стандартизации для проведения экспертизы, по результатам которой технический комитет по стандартизации или проектный технический комитет по стандартизации готовит соответствующее заключение.
Стандарты организации могут разрабатываться на применяемые в данной организации продукцию, процессы и оказываемые в ней услуги, а также на продукцию, создаваемую и поставляемую данной организацией на внутренний и внешний рынок, на работы, выполняемые данной организацией на стороне, и оказываемые ею на стороне услуги в соответствии с заключенными договорами.
Стандарты организации не должны противоречить требованиям технических регламентов, а также национальных стандартов. Порядок разработки, утверждения, учета, изменения и отмены стандартов организаций устанавливается организациями самостоятельно. Стандарты организации утверждает руководитель (заместитель руководителя) организации приказом и/или личной подписью на титульном листе стандарта в установленном в организации порядке. В случае утверждения стандарта организации приказом дату введения стандарта в действие устанавливают в приказе.
При необходимости проект стандарта может быть направлен организацией-разработчиком в специализированные организации для проведения экспертиз. Стандарт организации, разработанный и утвержденный одной организацией, может использоваться другой организацией в своих интересах только по договору с утвердившей его организацией.
Организация, разработавшая и утвердившая стандарт организации на продукцию, поставляемую на внутренний или внешний рынок, может при необходимости готовить предложения о разработке национального стандарта на основе этого стандарта.
1.3.5. Основные положения межгосударственной системы стандартизации (ГОСТ 1.0–2015)
Межгосударственный стандарт ГОСТ 1.0–2015 «Межгосударственная система стандартизации (МГСС). Основные положения» введен в действие 01.07.2016 г. взамен ГОСТ 1.0–92. Он устанавливает цели и принципы межгосударственной стандартизации, основные направления работ и объекты межгосударственной стандартизации, организационные основы межгосударственной системы стандартизации, категории документов по межгосударственной стандартизации и правила их применения.
Организацию работ по межгосударственной стандартизации осуществляет Межгосударственный совет по стандартизации, метрологии и сертификации.
Объектами межгосударственной стандартизации в соответствии со стандартом являются:
• общетехнические нормы и требования, в том числе единый технический язык, типоразмерные ряды и типовые конструкции изделий общемашиностроительного применения, совместимые программные и технические средства информационных технологий, справочные данные о свойствах материалов и веществ;
• объекты крупных промышленных и хозяйственных комплексов (транспорт, энергетика, связь и др.);
• объекты крупных межгосударственных социально-экономических и научно-технических программ;
• взаимопоставляемая продукция и услуги.
В зависимости от специфики объекта стандартизации и содержания устанавливаемых к нему требований применяют следующие основные виды межгосударственных стандартов:
• стандарты основополагающие;
• стандарты на продукцию;
• стандарты на услуги;
• стандарты на процессы;
• стандарты на методы контроля (испытаний, измерений, анализа);
• стандарты на термины и определения.
К документам по межгосударственной стандартизации относятся:
• межгосударственные стандарты;
• правила по межгосударственной стандартизации;
• рекомендации по межгосударственной стандартизации;
• межгосударственные классификаторы технико-экономической и социальной информации.
1.4. Основы стандартизации в области защиты информации
1.4.1. Основополагающие стандарты в сфере защиты информации
В системе стандартов в области защиты информации к основополагающим можно отнести следующие:
1. ГОСТ Р 50739–95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
2. ГОСТ Р 51188–98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство».
3. Р 50.1.053–2005 «Рекомендации по стандартизации. Информационные технологии. Основные термины и определения в области технической защиты информации».
4. Р 50.1.056–2005 «Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения».
5. ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».
6. ГОСТ Р 53114–2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения».
7. ГОСТ Р 51275–2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».