Стандарты информационной безопасности. Защита и обработка конфиденциальных документов
Покупка
Основная коллекция
Издательство:
НИЦ ИНФРА-М
Автор:
Сычев Юрий Николаевич
Год издания: 2023
Кол-во страниц: 223
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
Среднее профессиональное образование
ISBN: 978-5-16-015718-4
ISBN-онлайн: 978-5-16-109085-5
Артикул: 721001.05.01
К покупке доступен более свежий выпуск
Перейти
Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения требований стандартов и руководящих документов Государственной технической комиссии при Президенте Российской Федерации закреплена законодательно. Помимо этого, в стандартах имеются апробированные, высококачественные решения и методологии, разработанные квалифицированными специалистами в области информационной безопасности. Стандарты являются основой обеспечения взаимной совместимости и заменяемости информационных, аппаратно-программных систем и их компонентов.
Для студентов учреждений среднего профессионального образования, обучающихся по УГС 10.02.00 «Информационная безопасность».
Тематика:
ББК:
УДК:
ОКСО:
- Среднее профессиональное образование
- 10.02.01: Организация и технология защиты информации
- 10.02.02: Информационная безопасность телекоммуникационных систем
- 10.02.03: Информационная безопасность автоматизированных систем
- 10.02.04: Обеспечение информационной безопасности телекоммуникационных систем
- 10.02.05: Обеспечение информационной безопасности автоматизированных систем
- 51.02.03: Библиотечно-информационная деятельность
ГРНТИ:
Скопировать запись
Стандарты информационной безопасности. Защита и обработка конфиденциальных документов, 2024, 721001.04.01
Стандарты информационной безопасности. Защита и обработка конфиденциальных документов, 2021, 721001.02.01
Стандарты информационной безопасности. Защита и обработка конфиденциальных документов, 2020, 721001.01.01
Фрагмент текстового слоя документа размещен для индексирующих роботов
-¬¡ ©¡¡«¬ª°¡--¤ª©§¸©ª¡ª¬£ª©¤¡ -ÁÌÄÛÊÍÉʾ¼É¼¾¿ÊÀÏ Ю.Н. СЫЧЕВ СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАЩИТА И ОБРАБОТКА КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ УЧЕБНОЕ ПОСОБИЕ Рекомендовано Межрегиональным учебно-методическим советом профессионального образования в качестве учебного пособия для учебных заведений, реализующих программу среднего профессионального образования по укрупненной группе специальностей 10.02.00 «Информационная безопасность» (протокол № 12 от 24.06.2019) Москва ИНФРА-М 2023
УДК 004.056(075.32) ББК 32.973я723 С95 Сычев Ю.Н. С95 Стандарты информационной безопасности. Защита и обработка конфиденциальных документов : учебное пособие / Ю.Н. Сычев. — Москва : ИНФРА-М, 2023. — 223 с. — (Среднее профессиональное образование). ISBN 978-5-16-015718-4 (print) ISBN 978-5-16-109085-5 (online) Специалистам, работающим в области ин формационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения требований стандартов и руководящих документов Государственной технической комиссии при Президенте Российской Федерации закреплена законодательно. Помимо этого, в стандартах имеются апробированные, высококачественные решения и методологии, разработанные квалифицированными специалистами в области информационной безопасности. Стандарты являются основой обеспечения взаимной совместимости и заменяемости информационных, аппаратно-программных систем и их компонентов. Для студентов учреждений среднего профессионального образования, обучающихся по УГС 10.02.00 «Информационная безопасность». УДК 004.056(075.32) ББК 32.973я723 ISBN 978-5-16-015718-4 (print) ISBN 978-5-16-109085-5 (online) © Сычев Ю.Н., 2020
Список сокращений 27 ЦНИИ МО РФ — 27-й Центральный научно-исследовательский институт Министерства обороны Российской Федерации. IEC — Международная электротехническая комиссия. ISO — Международная организация по стандартизации. KB — компьютерные вирусы. ГОСТ — государственные и межгосударственные стандарты. ГОСТ Р — государственные стандарты РФ. ЗБ — задание по безопасности. ЗИ — защита информации. ИБ — информационная безопасность. ИС — информационная система. ИТ — информационные технологии. ИФБО — интерфейс функции безопасности объекта оценки. НКЦ «ЦНИИКА-СПИН» — Научно-консультационный центр по созданию и применению информационных технологий. НСД — несанкционированный доступ. ОДФ — область действия функции безопасности объекта оценки. ОИ — объект информатизации. ОО — объект оценки. ООО «ЦБИ» — общество с ограниченной ответственностью «Центр безопасности информации». ООО НПФ «Кристалл» — общество с ограниченной ответственностью «Научно-производственная фирма “Кристалл”». ОСТ — отраслевые стандарты. ОУД — оценочный уровень доверия. ОЭСР — организация экономического сотрудничества и развития. ПБО — политика безопасности объекта оценки. ПЗ — профиль защиты. ПНВ — преднамеренное воздействие. ПО — программное обеспечение. ПРД — порядок разграничения доступа. ПС — программные средства. ПФБ — политика функции безопасности. ПЭВМ — персональная электронно-вычислительная машина (персональный компьютер). Ростехрегулирование — Федеральное агентство по техническому регулированию и метрологии. СЗ — средства защиты. 3
СМИБ — система менеджмента информационной безопасности. СТП — стандарты предприятий. СУИБ — система управления информационной безопасностью. СФБ — стойкость функции безопасности. ТЗИ — техническая защита информации. ФБ — функция безопасности. ФБО — функции безопасности объекта оценки. ФГУ «4 ЦНИИ Минобороны России» — Федеральное государственное учреждение «4 Центральный научно-исследовательский институт Министерства обороны России». ФГУ «ГНИИИ ПТЗИ ФСТЭК России» — Федеральное автономное учреждение «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю». ФГУП «ЦНИИАТОМИНФОРМ» — Федеральное государственное унитарное предприятие «Центральный научно-исследовательский институт управления, экономики и информации Росатома». ФСТЭК — Федеральная служба по техническому и экспортному контролю. ФТБ — функциональные требования безопасности. 4
Введение Специалистам, работающим в области информационной безопасности, невозможно обойтись без знания международных и национальных стандартов и руководящих документов. Необходимость применения требований стандартов и руководящих документов Гос техкомиссии России закреплена законодательно. Помимо этого, в стандартах имеются апробированные, высококачественные решения и методологии, разработанные квалифицированными специалистами в области информационной безопасности. Стандарты являются основой обеспечения взаимной совместимости и заменяемости информационных, аппаратно-программных систем и их компонентов. Данное учебное пособие отличается качеством изложения теоретического материала. Материал представлен по этапам создания стандартов, т.е. с учетом развития информационного общества. Учебное пособие предназначено для изучения дисциплин: «Стандарты информационной безопасности», «Защита и обработка конфиденциальных документов». Цели изучения дисциплины: • дать представление о действующих международных и российских стандартах информационной безопасности и руководящих документах Гостехкомиссии России для применения их в практической работе; • развивать творческие подходы при решении сложных научнотехнических задач, связанных с обеспечением информационной безопасности государственных и негосударственных организаций. В результате изучения учебного пособия должны быть сформированы следующие компетенции: • ОК-4 — способность использовать основы правовых знаний в различных сферах деятельности. В результате освоения компетенции ОК-4 студент будет: знать требования стандартов информационной безопасности и других руководящих документов; уметь использовать стандарты и руководящие документы; владеть навыками применения стандартов и руководящих докумен тов в повседневной жизни; • ОПК-5 — способность использовать нормативные правовые акты в профессиональной деятельности. 5
В результате освоения компетенции ОПК-5 студент будет: знать нормативные правовые документы, международные и отечественные стандарты в области информационной безопасности; уметь использовать нормативные правовые документы, международные и отечественные стандарты; владеть навыками использования нормативных правовых докумен тов, международных и отечественных стандартов. • ПК-3 — способность администрировать подсистемы информационной безопасности объекта защиты. В результате освоения компетенции ПК-3 студент будет: знать подсистемы информационной безопасности объектов защиты информации; уметь администрировать подсистемы информационной безопасности объектов защиты информации; владеть навыками администрирования подсистем информационной безопасности объектов защиты информации; • ПК-4 — способность участвовать в работах по реализации политики информационной безопасности, применять комплексный подход к обеспечению информационной безопасности объекта защиты. В результате освоения компетенции ПК-4 студент будет: знать политику информационной безопасности объектов защиты информации; уметь применять комплексный подход к обеспечению информационной безопасности объекта защиты; владеть навыками реализации политики информационной безопасности объекта при построении и эксплуатации защищенных информационных систем; • ПК-10 — способность проводить анализ информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности. В результате освоения компетенции ПК-10 студент будет: знать порядок проведения анализа информационной безопасности объектов и систем; уметь проводить анализ информационной безопасности объектов; 6
владеть навыками проведения анализа информационной безопасности объектов и систем на соответствие требованиям стандартов в области информационной безопасности. В учебных целях стандарты и руководящие документы приведены автором в сокращенном варианте. 7
Глава 1 СТАНДАРТИЗАЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Стандартизация — деятельность по разработке, опубликованию и применению стандартов, по установлению норм, правил и характеристик в целях обеспечения безопасности продукции, работ и услуг для окружающей среды, жизни, здоровья и имущества, информационной и технической совместимости, взаимозаменяемости и качества продукции, соответствия работ и услуг уровню развития науки, техники и технологии, единства измерений, экономии всех видов ресурсов, безопасности хозяйственных объектов с учетом риска возникновения природных и техногенных катастроф и других чрезвычайных ситуаций, мобилизационной готовности и обороноспособности страны. Стандартизация направлена на приведение в соответствие различных видов продукции и услуг, разработанных в различных организациях. За реализацию норм стандартизации отвечают органы и службы стандартизации, наделенные законным правом руководить разработкой и утверждать нормативные документы и другие правила, придавая им статус стандартов. Органы и службы стандартизации — организации, учреждения, объединения и их подразделения, основной деятельностью которых является осуществление работ по стандартизации или выполнение определенных функций по стандартизации. Руководство российской национальной стандартизацией осуществляет национальный орган по стандартизации — Федеральное агентство по техническому регулированию и метрологии — Ростехрегулирование. Оно имеет право представлять интересы страны в области стандартизации в международных или региональных организациях по стандартизации. Функции Ростехрегулирования: 1) принятие программы разработки национальных стандартов; 2) утверждение национальных стандартов; 3) учет национальных стандартов, правил стандартизации, норм и рекомендаций в этой области и обеспечение их доступности заинтересованным лицам; 4) введение в действие общероссийских классификаторов техникоэкономической и социальной информации. 8
Ростехрегулирование осуществляет свои функции непосредственно и через свои межрегиональные территориальные управления, а также российские службы стандартизации. В структуру Ростехрегулирования входят: • Центральное межрегиональное территориальное управление (место расположения центрального аппарата территориального органа — г. Москва); • Северо-Западное межрегиональное территориальное управление (г. Санкт-Петербург); • Южное межрегиональное территориальное управление (г. Ростов-на-Дону); • Приволжское межрегиональное территориальное управление (г. Нижний Новгород); • Уральское межрегиональное территориальное управление (г. Екатеринбург); • Сибирское межрегиональное территориальное управление (г. Новосибирск); • Дальневосточное межрегиональное территориальное управление (г. Хабаровск). Службы стандартизации — специально создаваемые организации и подразделения для проведения работ по стандартизации на определенных уровнях управления — государственном, отраслевом, предприятий (организации). Российские службы стандартизации — научно-исследовательские институты Ростехрегулирования России и технические комитеты по стандартизации. К научно-исследовательским институтам, например, относятся: • НИИ стандартизации (ВНИИ стандарт) — головной институт в области национальной системы стандартизации; • ВНИИ сертификации продукции (ВНИИС) — головной институт в области сертификации продукции (услуг) и систем управления качеством продукции (услуг); • ВНИИ по нормализации в машиностроении (ВНИИНМАШ) — головной институт в области разработки научных основ унификации и агрегатирования в машиностроении и приборостроении; • «Стандартинформ» — головной институт в области разработки и дальнейшего развития Единой системы классификации и кодирования технико-экономической информации, стандартизации научно-технической терминологии. Технические комитеты по стандартизации создаются на базе организаций, специализирующихся на определенных видах про9
дукции (услуг) и имеющих в данной области наиболее высокий научно-технический потенциал. На сегодняшний день зарегистрировано свыше 350 технических комитетов. Стандарт — продукт согласованного мнения всех заинтересованных в этом документе сторон (пользователей). Задача технического комитета заключается в обеспечении круглого стола участников разработки проекта стандарта. Поэтому в их состав включают представителей разработчиков, изготовителей, поставщиков, потребителей (заказчиков) продукции, обществ (союзов) потребителей и других заинтересованных предприятий и организаций, а также ведущих ученых и специалистов в конкретной области. Технические комитеты отвечают за качество и сроки разрабатываемых ими проектов стандартов в соответствии с действующим законодательством и заключенными договорами на проведение этих работ. Руководители предприятий непосредственно несут ответственность за организацию и состояние выполняемых работ по стандартизации на этих предприятиях. При необходимости предприятия создают службы стандартизации (отдел, лабораторию, бюро), которые выполняют научно-исследовательские, опытно-конструкторские и другие работы по стандартизации. Выделяют следующие ключевые задачи стандартизации: 1) налаживание взаимопонимания между субъектами производственных процессов (разработчиками, промышленниками, продавцами, покупателями товаров и услуг); 2) выработка оптимальных критериев стандартизации, отражающих особенности развития тех или иных отраслей или экономики в целом; 3) содействие выработке предприятиями оптимальных схем доступа к необходимым ресурсам посредством внедрения стандартов, отражающих применение тех или иных видов сырья, материалов, компонентов; 4) унификация производственных процессов с целью повышения динамики масштабирования бизнесов (как результат — позитивный эффект в аспекте роста экономики); 5) установление оптимальных норм в области метрологии (с целью оптимизации производственных цепочек как на национальном, так и на международном уровне); 6) нормативное обеспечение процедур контроля, испытаний, измерений, исследования продукции для определения качества; 7) оптимизация технологических процессов с точки зрения трудоемкости, потребности в материалах, электроэнергии; 10
К покупке доступен более свежий выпуск
Перейти