Стандарты информационной безопасности. Защита и обработка конфиденциальных документов
Покупка
Основная коллекция
Издательство:
НИЦ ИНФРА-М
Автор:
Сычев Юрий Николаевич
Год издания: 2024
Кол-во страниц: 602
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
ВО - Специалитет
ISBN: 978-5-16-019905-4
ISBN-онлайн: 978-5-16-112445-1
Артикул: 745641.04.01
Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения требований стандартов и руководящих документов Государственной технической комиссии при Президенте Российской Федерации закреплена законодательно. Помимо этого, в стандартах имеются апробированные, высококачественные решения и методологии, разработанные квалифицированными специалистами в области информационной безопасности. Стандарты являются основой обеспечения взаимной совместимости и заменяемости информационных, аппаратно-программных систем и их компонентов.
Соответствует требованиям федеральных государственных образовательных стандартов высшего образования последнего поколения.
Предназначено для студентов вузов, обучающихся по укрупненной группе специальностей 10.05.00 «Информационная безопасность».
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Специалитет
- 10.05.01: Компьютерная безопасность
- 10.05.02: Информационная безопасность телекоммуникационных систем
- 10.05.03: Информационная безопасность автоматизированных систем
- 10.05.04: Информационно-аналитические системы безопасности
- 10.05.05: Безопасность информационых технологий в правоохранительной сфере
- 10.05.07: Противодействие техническим разведкам
ГРНТИ:
Скопировать запись
Стандарты информационной безопасности. Защита и обработка конфиденциальных документов, 2024, 745641.03.01
Стандарты информационной безопасности. Защита и обработка конфиденциальных документов, 2022, 745641.01.01
Фрагмент текстового слоя документа размещен для индексирующих роботов
Ю.Н. СЫЧЕВ 2-е издание, переработанное и дополненное Москва ИНФРА-М 2024 УЧЕБНОЕ ПОСОБИЕ СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАЩИТА И ОБРАБОТКА КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ
УДК 004.056(075.8) ББК 32.973я73 С95 Сычев Ю.Н. С95 Стандарты информационной безопасности. Защита и обработка конфиденциальных документов : учебное пособие / Ю.Н. Сычев. — 2-е изд., перераб. и доп. — Москва : ИНФРА-М, 2024. — 602 с. — (Высшее образование: Специалитет). — DOI 10.12737/2143785. ISBN 978-5-16-019905-4 (print) ISBN 978-5-16-112445-1 (online) Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения требований стандартов и руководящих документов Государственной технической комиссии при Президенте Российской Федерации закреплена законодательно. Помимо этого, в стандартах имеются апробированные, высококачественные решения и методологии, разработанные квалифицированными специалистами в области информационной безопасности. Стандарты являются основой обеспечения взаимной совместимости и заменяемости информационных, аппаратно-программных систем и их компонентов. Соответствует требованиям федеральных государственных образовательных стандартов высшего образования последнего поколения. Предназначено для студентов вузов, обучающихся по укрупненной группе специальностей 10.05.00 «Информационная безопасность». УДК 004.056(075.8) ББК 32.973я73 ISBN 978-5-16-019905-4 (print) ISBN 978-5-16-112445-1 (online) © Сычев Ю.Н., 2020 © Сычев Ю.Н., 2023, с изменениями
Список сокращений 27 ЦНИИ МО РФ — 27-й Центральный научно-исследовательский институт Министерства обороны Российской Федерации. IEC — Международная электротехническая комиссия. ISO — Международная организация по стандартизации. KB — компьютерные вирусы. ГОСТ — государственные и межгосударственные стандарты. ГОСТ Р — государственные стандарты РФ. ЗБ — задание по безопасности. ЗИ — защита информации. ИБ — информационная безопасность. ИС — информационная система. ИТ — информационные технологии. ИФБО — интерфейс функции безопасности объекта оценки. НКЦ «ЦНИИКА-СПИН» — Научно-консультационный центр по созданию и применению информационных технологий. НСД — несанкционированный доступ. ОДФ — область действия функции безопасности объекта оценки. ОИ — объект информатизации. ОО — объект оценки. ООО «ЦБИ» — общество с ограниченной ответственностью «Центр безопасности информации». ООО НПФ «Кристалл» — общество с ограниченной ответственностью «Научно-производственная фирма “Кристалл”». ОСТ — отраслевые стандарты. ОУД — оценочный уровень доверия. ОЭСР — организация экономического сотрудничества и развития. ПБО — политика безопасности объекта оценки. ПЗ — профиль защиты. ПНВ — преднамеренное воздействие. ПО — программное обеспечение. ПРД — порядок разграничения доступа. ПС — программные средства. ПФБ — политика функции безопасности. ПЭВМ — персональная электронно-вычислительная машина (персональный компьютер). Ростехрегулирование — Федеральное агентство по техническому регулированию и метрологии. СЗ — средства защиты.
СМИБ — система менеджмента информационной безопасности. СТП — стандарты предприятий. СУИБ — система управления информационной безопасностью. СУО — служба удаленного технического обслуживания. СФБ — стойкость функции безопасности. ТЗИ — техническая защита информации. ФБ — функция безопасности. ФБО — функции безопасности объекта оценки. ФГУ «4 ЦНИИ Минобороны России» — Федеральное государственное учреждение «4 Центральный научно-исследовательский институт Министерства обороны России». ФГУ «ГНИИИ ПТЗИ ФСТЭК России» — Федеральное автономное учреждение «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю». ФГУП «ЦНИИАТОМИНФОРМ» — Федеральное государственное унитарное предприятие «Центральный научно-исследовательский институт управления, экономики и информации Росатома». ФСТЭК — Федеральная служба по техническому и экспортному контролю. ФТБ — функциональные требования безопасности.
Введение Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения требований стандартов и руководящих документов Гос техкомиссии России закреплена законодательно. Помимо этого, в стандартах имеются апробированные, высококачественные решения и методологии, разработанные квалифицированными специалистами в области информационной безопасности. Стандарты являются основой обеспечения взаимной совместимости и заменяемости информационных, аппаратно-программных систем и их компонентов. Данное учебное пособие отличается качеством изложения теоретического материала. Материал представлен по этапам создания стандартов, т.е. с учетом развития информационного общества. Учебное пособие предназначено для изучения дисциплин: «Стандарты информационной безопасности», «Защита и обработка конфиденциальных документов». Цели изучения дисциплины: • дать представление о действующих международных и российских стандартах информационной безопасности и руководящих документах Гостехкомиссии России для применения их в практической работе; • развивать творческие подходы при решении сложных научнотехнических задач, связанных с обеспечением информационной безопасности государственных и негосударственных организаций. В результате изучения учебного пособия должны быть сформированы следующие компетенции: • ОК-4 способность использовать основы правовых знаний в различных сферах деятельности. В результате освоения компетенции ОК-4 студент будет: знать требования стандартов информационной безопасности и других руководящих документов; уметь использовать стандарты и руководящие документы; владеть навыками применения стандартов и руководящих докумен тов в повседневной жизни; • ОПК-5 способность использовать нормативные правовые акты в профессиональной деятельности.
В результате освоения компетенции ОПК-5 студент будет: знать нормативные правовые документы, международные и отечественные стандарты в области информационной безопасности; уметь использовать нормативные правовые документы, международные и отечественные стандарты; владеть навыками использования нормативных правовых докумен тов, международных и отечественных стандартов. • ПК-3 способность администрировать подсистемы информационной безопасности объекта защиты. В результате освоения компетенции ПК-3 студент будет: знать подсистемы информационной безопасности объектов защиты информации; уметь администрировать подсистемы информационной безопасности объектов защиты информации; владеть навыками администрирования подсистем информационной безопасности объектов защиты информации; • ПК-4 способность участвовать в работах по реализации политики информационной безопасности, применять комплексный подход к обеспечению информационной безопасности объекта защиты. В результате освоения компетенции ПК-4 студент будет: знать политику информационной безопасности объектов защиты информации; уметь применять комплексный подход к обеспечению информационной безопасности объекта защиты; владеть навыками реализации политики информационной безопасности объекта при построении и эксплуатации защищенных информационных систем; • ПК-10 способность проводить анализ информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности. В результате освоения компетенции ПК-10 студент будет: знать порядок проведения анализа информационной безопасности объектов и систем; уметь проводить анализ информационной безопасности объектов; владеть навыками проведения анализа информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности. В учебных целях стандарты и руководящие документы приведены автором в сокращенном варианте.
Глава 1 СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Стандартизация — деятельность по разработке, опубликованию и применению стандартов, по установлению норм, правил и характеристик в целях обеспечения безопасности продукции, работ и услуг для окружающей среды, жизни, здоровья и имущества, информационной и технической совместимости, взаимозаменяемости и качества продукции, соответствия работ и услуг уровню развития науки, техники и технологии, единства измерений, экономии всех видов ресурсов, безопасности хозяйственных объектов с учетом риска возникновения природных и техногенных катастроф и других чрезвычайных ситуаций, мобилизационной готовности и обороноспособности страны. Стандартизация направлена на приведение в соответствие различных видов продукции и услуг, разработанных в различных организациях. За реализацию норм стандартизации отвечают органы и службы стандартизации, наделенные законным правом руководить разработкой и утверждать нормативные документы и другие правила, придавая им статус стандартов. Органы и службы стандартизации — организации, учреждения, объединения и их подразделения, основной деятельностью которых является осуществление работ по стандартизации или выполнение определенных функций по стандартизации. Руководство российской национальной стандартизацией осуществляет национальный орган по стандартизации — Федеральное агентство по техническому регулированию и метрологии — Ростехрегулирование. Оно имеет право представлять интересы страны в области стандартизации в международных или региональных организациях по стандартизации. Функции Ростехрегулирования: 1) принятие программы разработки национальных стандартов; 2) утверждение национальных стандартов; 3) учет национальных стандартов, правил стандартизации, норм и рекомендаций в этой области и обеспечение их доступности заинтересованным лицам; 4) введение в действие общероссийских классификаторов техникоэкономической и социальной информации.
Ростехрегулирование осуществляет свои функции непосредственно и через свои межрегиональные территориальные управления, а также российские службы стандартизации. В структуру Ростехрегулирования входят: • Центральное межрегиональное территориальное управление (место расположения центрального аппарата территориального органа г. Москва); • Северо-Западное межрегиональное территориальное управление (г. Санкт-Петербург); • Южное межрегиональное территориальное управление (г. Ростов-на-Дону); • Приволжское межрегиональное территориальное управление (г. Нижний Новгород); • Уральское межрегиональное территориальное управление (г. Екатеринбург); • Сибирское межрегиональное территориальное управление (г. Новосибирск); • Дальневосточное межрегиональное территориальное управление (г. Хабаровск). Службы стандартизации — специально создаваемые организации и подразделения для проведения работ по стандартизации на определенных уровнях управления — государственном, отраслевом, предприятий (организации). Российские службы стандартизации — научно-исследовательские институты Ростехрегулирования России и технические комитеты по стандартизации. К научно-исследовательским институтам, например, относятся: • НИИ стандартизации (ВНИИ стандарт) головной институт в области национальной системы стандартизации; • ВНИИ сертификации продукции (ВНИИС) головной институт в области сертификации продукции (услуг) и систем управления качеством продукции (услуг); • ВНИИ по нормализации в машиностроении (ВНИИНМАШ) — головной институт в области разработки научных основ унификации и агрегатирования в машиностроении и приборостроении; • «Стандартинформ» головной институт в области разработки и дальнейшего развития Единой системы классификации и кодирования технико-экономической информации, стандартизации научно-технической терминологии. Технические комитеты по стандартизации создаются на базе организаций, специализирующихся на определенных видах про
дукции (услуг) и имеющих в данной области наиболее высокий научно-технический потенциал. На сегодняшний день зарегистрировано свыше 350 технических комитетов. Стандарт — продукт согласованного мнения всех заинтересованных в этом документе сторон (пользователей). Задача технического комитета заключается в обеспечении круглого стола участников разработки проекта стандарта. Поэтому в их состав включают представителей разработчиков, изготовителей, поставщиков, потребителей (заказчиков) продукции, обществ (союзов) потребителей и других заинтересованных предприятий и организаций, а также ведущих ученых и специалистов в конкретной области. Технические комитеты отвечают за качество и сроки разрабатываемых ими проектов стандартов в соответствии с действующим законодательством и заключенными договорами на проведение этих работ. Руководители предприятий непосредственно несут ответственность за организацию и состояние выполняемых работ по стандартизации на этих предприятиях. При необходимости предприятия создают службы стандартизации (отдел, лабораторию, бюро), которые выполняют научно-исследовательские, опытно-конструкторские и другие работы по стандартизации. Выделяют следующие ключевые задачи стандартизации: 1) налаживание взаимопонимания между субъектами производственных процессов (разработчиками, промышленниками, продавцами, покупателями товаров и услуг); 2) выработка оптимальных критериев стандартизации, отражающих особенности развития тех или иных отраслей или экономики в целом; 3) содействие выработке предприятиями оптимальных схем доступа к необходимым ресурсам посредством внедрения стандартов, отражающих применение тех или иных видов сырья, материалов, компонентов; 4) унификация производственных процессов с целью повышения динамики масштабирования бизнесов (как результат — позитивный эффект в аспекте роста экономики); 5) установление оптимальных норм в области метрологии (с целью оптимизации производственных цепочек как на национальном, так и на международном уровне); 6) нормативное обеспечение процедур контроля, испытаний, измерений, исследования продукции для определения качества; 7) оптимизация технологических процессов с точки зрения трудоемкости, потребности в материалах, электроэнергии;
8) содействие инвестиционной привлекательности национальных предприятий с точки зрения повышения эффективности производства за счет оптимизации стандартов. Стандарты нацелены на регулирование какой-либо конкретной части производственного процесса (предоставления услуг). В них также могут указываться критерии, имеющие, например, отношение к терминологии каких-либо товаров или услуг. Данные документы разрабатываются на основе обобщенных научных исследований, инженерных работ, они аккумулируют результаты практики производства (оказания услуг) в различных сферах экономики. Все стандарты, применяемые в российской практике, как указывается в Федеральном законе «О техническом регулировании» от 27.12.2002 № 184-ФЗ, имеют единообразный формат обозначения. То есть в любой категории стандартов Российской Федерации структура соответствующих норм представлена в виде индекса, номера регистрации, а также года принятия (например, ГОСТ Р 50597–93). Целями стандартизации являются: • обеспечение безопасности граждан, сохранности их имущества и имущества различных организаций, а также государственного и муниципального имущества; • выполнение требований к качеству продукции, а также выполняемых работ и предоставляемых услуг, повышению их конкурентоспособности, бережного использования ресурсов страны, взаимозаменяемость составных частей машин и оборудования, их комплектующих, информационной и технической совместимости, обеспечение единства измерений результатов исследований и испытаний, технических данных; • выполнение требований технических регламентов; • создание унифицированной системы классификации и кодирования качества продукции, работ и услуг, системы передачи данных. Выделяют следующие основные категории стандартов: • международные; • государственные стандарты Российской Федерации (ГОСТ Р); • межгосударственные (ГОСТ); • корпоративные (стандарты предприятий); • отраслевые; • издаваемые общественными объединениями. Есть в мировой практике и другие категории. Например, региональные стандарты, применяемые одновременно в нескольких странах, которые объединены по культурным или географическим признакам.