Страница 2 из 10
Закон «О техническом регулировании» регулирует отношения, возникающие при:
• разработке, принятии, применении и исполнении обязательных требований к продукции, в том числе зданиям и сооружениям, или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации;
• применении и исполнении на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, а также к выполнению работ или оказанию услуг в целях добровольного подтверждения соответствия;
• оценке соответствия.
Одним из основных принципов стандартизации является добровольность применения документов по стандартизации.
В «Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы», утвержденной Указом Президента Российской Федерации от 9 мая 2017 г. № 203, подчеркивается необходимость осуществления интеграции российских стандартов в сфере информационных и коммуникационных технологий в соответствующие международные стандарты, а также обеспечения гармонизации межгосударственной и национальной систем стандартов в данной сфере. В настоящее время в России наряду с отечественной нормативной базой широко используются международные стандарты в области информационных технологий и защиты информации. Многие международные стандарты приняты и введены в действие в России в качестве национальных стандартов.
В соответствии с международными и национальными стандартами для обеспечения информационной безопасности компании необходимо:
1. Определить цели обеспечения информационной безопасности.
2. Создать эффективную систему управления информационной безопасностью.
3. Определить совокупность количественных и качественных показателей для оценки соответствия уровня информационной безопасности заявленным целям.
4. Использовать определенный инструментарий для реализации процесса обеспечения информационной безопасности и оценки уровня ее текущего состояния.
5. Применять эффективные методики анализа и управления рисками, позволяющие объективно оценить состояние защищенности активов.
Все эти аспекты обеспечения информационной безопасности охватываются системой национальных стандартов Российской Федерации. Поэтому важнейшим условием повышения уровня информационной безопасности является подготовка высококвалифицированных специалистов в области защиты информации, обладающих необходимыми компетенциями и знаниями нормативных документов и национальных стандартов. В «Доктрине информационной безопасности Российской Федерации» 2016 г. в состав основных направлений обеспечения информационной безопасности России включено развитие кадрового потенциала в области обеспечения информационной безопасности и применения информационных технологий, а также обеспечение защищенности граждан от информационных угроз, в том числе за счет формирования культуры личной информационной безопасности.
Целью данного учебного пособия является рассмотрение важнейших открытых действующих документов национальной системы стандартизации, включая международные и межгосударственные стандарты в области информационной безопасности по состоянию на начало 2019 г. С различной степенью подробности в пособии рассмотрено более 230 документов, действующих в Российской Федерации. Некоторые важнейшие стандарты описаны в пособии достаточно подробно. Описания некоторых стандартов ограничиваются только целями их принятия, предметом регулирования и названиями разделов, что дает возможность получить представление о содержании стандарта в целом. Изучение данного учебного пособия дает возможность получить представление обо всей системе стандартов в области информационной безопасности. Это позволит оптимизировать поиск решения конкретных практических задач по защите информации. После нахождения возможного решения задачи необходимо будет обратиться к первоисточникам и изучить полный текст соответствующего стандарта или серии стандартов.
Все национальные стандарты, описанные в учебном пособии, сгруппированы по направлениям:
• основополагающие стандарты национальной системы стандартизации и стандартизации в области защиты информации;
• стандарты по менеджменту информационной безопасности;
• стандарты по безопасности информационно-телекоммуникационных систем;
• оценочные стандарты;
• стандарты по безопасности в финансовой сфере;
• стандарты по биометрии;
• стандарты по криптографии;
• стандарты по интегрированным системам безопасности.
В главе 1 рассматриваются национальные стандарты, устанавливающие основы национальной системы стандартизации Российской Федерации и основы стандартизации в сфере защиты информации.
Глава 2 посвящена комплексу стандартов по менеджменту информационной безопасности.
Глава 3 посвящена рассмотрению стандартов в области защиты информации в информационно-телекоммуникационных системах.
В главе 4 рассмотрены стандарты в области оценки соответствия требованиям безопасности.
В главе 5 описаны стандарты, регулирующие процессы защиты информации в финансовой сфере. Здесь также рассмотрены стандарты Банка России.
Глава 6 посвящена рассмотрению стандартов в области биометрии.
Глава 7 посвящена документам в области криптографической защиты информации.
Глава 8 посвящена стандартам по комплексным и интегрированным системам безопасности.
Отзывы, пожелания и замечания по данному учебному пособию можно направлять на кафедру безопасности информационных систем Самарского национального исследовательского университета имени академика С. П. Королева по адресу: 443086, г. Самара, Московское шоссе, 34, а также на электронную почту автора [email protected]
Благодарности
Выражаю благодарность рецензентам учебного пособия Абросимову Александру Григорьевичу и Кузьмичеву Венедикту Степановичу за ценные советы по содержанию материалов.
Выражаю благодарность коллективу кафедры безопасности информационных систем Самарского университета имени академика С. П. Королева, в котором родилась идея подготовки такого учебного пособия, и лично заведующему кафедрой Осипову Михаилу Николаевичу за всестороннюю поддержку.
«Какой толк в книге, – подумала Алиса, – если в ней нет ни картинок, ни разговоров?» В связи с этим выражаю благодарность художнику Гридневу Андрею Сергеевичу за остроумные иллюстрации к главам пособия, которые повысили толк книги.
Большое спасибо руководителю проектной группы «Компьютерная и научно-популярная литература» Юлии Сергиенко за профессионализм и доброе отношение при подготовке к изданию книги.
Искреннее спасибо замечательному ведущему редактору редакции компьютерной и научно-популярной литературы Кристине Тульцевой за оперативность и профессионализм в доработке рукописи при подготовке к изданию.
Благодарю всех сотрудников издательского дома «Питер», принявших участие в редактировании рукописи и подготовке книги к изданию.
Глава 1
Основы технического регулирования и стандартизации в Российской Федерации
– Начните сначала, – серьезно сказал Король, – и читайте, пока не дойдете до конца; тогда остановитесь.
– …А уж кто хочет по-настоящему углубиться в науку, тот должен добраться до самого дна! Вот это и называется Законченное Низшее Образование! Но, конечно, это не каждому дано!..
– Мне вот так и не удалось по-настоящему углупиться! Не хватило меня на это. Так я и остался при высшем образовании…