Читаем Информационная безопасность. Национальные стандарты Российской Федерации полностью

• методы контроля организации и эффективности ЗИ, методы измерений при проведении контроля;

• общие требования к организации, содержанию работ и результатам оказания услуг по ЗИ.

Система стандартов по защите информации включает следующие виды документов в области стандартизации по ЗИ:

• национальные стандарты Российской Федерации, в том числе ограниченного распространения, государственные военные стандарты, национальные стандарты, оформленные на основе аутентичных переводов международных стандартов;

• межгосударственные стандарты;

• правила стандартизации, нормы и рекомендации в области стандартизации;

• общероссийские классификаторы технико-экономической и социальной информации;

• стандарты организаций;

• предварительные национальные стандарты;

• международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, и их надлежащим образом заверенные переводы на русский язык.

В состав документов в области стандартизации по ЗИ могут входить:

• своды правил;

• нормативно-технические документы системы общих технических требований к видам вооружения и военной техники;

• международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, и их надлежащим образом заверенные переводы на русский язык.

Стандарты организаций по ЗИ разрабатываются организациями и утверждаются ими самостоятельно исходя из необходимости применения этих стандартов для целей стандартизации по ЗИ и не должны противоречить другим документам в области стандартизации по ЗИ, используемым на территории Российской Федерации.

Структура системы стандартов по ЗИ представлена на рис. 1.1.

Система стандартов по защите информации включает подсистемы стандартов в области:

• противодействия техническим разведкам;

• технической защиты информации;

• обеспечение безопасности информации в ключевых системах информационной инфраструктуры.

Рис. 1.1. Структура системы стандартов по ЗИ

В каждой области подсистемы стандартов ССЗИ включают следующие комплексы стандартов:

• комплекс общесистемных стандартов по ЗИ (общие требования по ЗИ в различных областях деятельности, терминология в области ЗИ);

• комплексы стандартов по ЗИ для различных классов объектов (общие требования к объекту защиты, классификация угроз и уязвимостей, требования к методам защиты и контроля эффективности защиты);

• комплексы стандартов по технике ЗИ (требования к системе защиты и контроля эффективности защиты);

• комплекс стандартов на услуги по ЗИ (требования по организации, содержанию работ, используемым методам оценки соответствия средств защиты и их эффективности, аттестации объектов информатизации по требованиям безопасности информации).

Национальный стандарт Российской Федерации ГОСТ Р 51275–2006 «Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения» введен в действие с 01.02.2008 г. взамен ранее принятого стандарта ГОСТ Р 51275–99.

Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации.

Стандарт вводит ряд понятий, в частности:

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Система обработки информации – совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, необходимых для выполнения автоматизированной обработки информации.

Закладочное средство – техническое средство [устройство] приема, передачи и обработки информации, преднамеренно устанавливаемое на объекте информатизации или в контролируемой зоне в целях перехвата информации или несанкционированного воздействия на информацию и/или ресурсы автоматизированной информационной системы.

Программная закладка – преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения.