Государственный стандарт Союза ССР ГОСТ 34 603 92 Информационная технология Виды Испытаний Автоматизированных Систем

ГОСТы

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.

Государственный стандарт Союза ССР ГОСТ 34.603—92 Информационная технология. Виды Испытаний Автоматизированных Систем

Настоящий стандарт распространяется на автоматизированные системы (АС), используемые в различных видах деятельности (исследование, проектирование, управление и т. п.), включая их сочетания, создаваемые в организациях, объединениях и на предприятиях (далее — организациях).

Стандарт устанавливает виды испытаний АС и общие требования к их проведению.

Термины, применяемые в настоящем стандарте, и их определения — по ГОСТ 34.003.

Требования настоящего стандарта, кроме пп. 2.2.4, 4.4, 4.5, являются обязательными, требования пп. 2.2.4, 4.4, 4.5 — рекомендуемые.

Государственный стандарт Российской Федерации ГОСТ Р 51624-2000 Защита информации Автоматизированные системы в защищенном исполнении

1 РАЗРАБОТАН 5 ЦНИИИ МО РФ

ВНЕСЕН Техническим комитетом по стандартизации «Защита информации» (ТК. 362)

2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 30 июня 2000 г. 175-ст

3 В настоящем стандарте реализованы нормы Законов Российской Федерации в информационной сфере и в областях защиты информации

ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении

Настоящий стандарт распространяется на автоматизированные системы в защищенном ис­полнении, используемые в различных видах деятельности (исследование, управление, проектиро­вание и т. п.), включая их сочетания, в процессе создания и применения, которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне.

Межгосударственный стандарт ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»

Настоящий стандарт распространяется на автоматизированные системы (АС) для автоматизации различных видов деятельности (управление, проектирование, исследование и т.п.), включая их сочетания, и устанавливает состав, содержание, правила оформления документа «Техническое задание на создание (развитие или модернизацию) системы» (далее — ТЗ на АС).

Государственный стандарт Союза ССР ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания» (утв. постановлением Госстандарта СССР от 29 декабря 1990 г. N 3469)

Настоящий стандарт распространяется на автоматизированные системы (АС), используемые в различных видах деятельности (исследование, проектирование, управление и т.п.), включая их сочетания, создаваемые в организациях, объединениях и на предприятиях (далее — организациях).

Межгосударственный стандарт ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»

Настоящий стандарт распространяется на автоматизированные системы (АС), используемые в различных сферах деятельности (управление, исследование, проектирование и т.п.), включая их сочетание, и устанавливает виды, наименование, комплектность и обозначение документов, разрабатываемых на стадиях создания АС, установленных ГОСТ 34.601.

Межгосударственный стандарт ГОСТ 21552-84

Настоящий стандарт распространяется на стационарные средства вычислительной техники (СВТ), применяемые в автоматизированных системах управления различного назначения всех уровней, в системах обработки данных, сетях ЭВМ, на вычислительных центрах автономно, а также встраиваемые в машины, оборудование и приборы, и предназначенные для сбора, подготовки, ввода, накопления, обработки, вывода, отображения, приема и передачи информации, и устанавливает требования к СВТ, изготовляемым для народного хозяйства и экспорта.

Защита информации ГОСТ Р 51188-98 Испытания программных средств на наличие компьютерных вирусов Типовое руководство

Настоящий стандарт распространяется на испытания программных средств (ПС) и их компонентов, цели которых — обнаружить в этих ПС и устранить из них компьютерные вирусы (KB) силами специальных предприятий (подразделений), и устанавливает общие требования к организации и проведению таких испытаний.

Средства вычислительной техники защита от несанкционированного доступа к информации ГОСТ Р 50739-95

Настоящий стандарт устанавливает единые функциональные требо­вания к защите средств вычислительной техники (СВТ) от несанкцио­нированного доступа (НСД) к информации; к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защищенности от НСД к информации.

Источник

ГОСТы ИБ

ГОСТ информационной безопасности — государственный стандарт, содержащий требования к процессам и способам обеспечения информационной безопасности. Стандарты информационной безопасности подразделяются на следующие основные категории:

Международные стандарты. К ним относятся, в первую очередь, стандарты ISO — International Organization for Standardization, Международной организации по стандартизации, на
данный момент разработавшей более двадцати тысяч стандартов в самых разных областях. Процессы обеспечения информационной безопасности организации регулируются семнадцатью стандартами, объединенными
в группу ISO 27000. Они подразделяются на четыре группы:

• Общие стандарты (обзор, введение в терминологию)
• Стандарты, содержащие обязательные требования к системе управления информационной безопасностью (СУИБ)
• Стандарты, содержащие требования и рекомендации для аудита СУИБ
• Стандарты, содержащие лучшие практики внедрения, развития и совершенствования СУИБ.

К другой основной категории стандартов в области информационной безопасности относятся Государственные стандарты Российской Федерации, которые содержат требования к процессам и
способам обеспечения информационной безопасности. Как правило, данные стандарты носят рекомендательный характер (например, ГОСТ Р ИСО/МЭК 18044 или ГОСТ Р ИСО/МЭК
27001-2006), однако некоторые являются обязательными (например, ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 для финансовых организаций).

Кроме того, к финансовым организациям, функционирующим на территории РФ, применяется Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС), который устанавливает единый подход к построению системы обеспечения информационной
безопасности в организациях банковской сферы с учётом требований российского законодательства. А к платежным системам применим и Payment Card Industry Data
Security Standard (PCI DSS) – международный стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности Visa, MasterCard, American
Express, JCB и Discover.

Источник



Сертификация средств защиты информации

В настоящий момент актуальной является проблема защиты персональных данных. С ней сталкиваются как государственные учреждения, так и частные компании. Гарантировать функциональность и надежность IT-программ, отвечающих за сохранность сведений, можно с помощью сертификации средств защиты информации (СЗИ). Поэтому оценка соответствия пользуется большой популярностью во всем мире.

Виды СЗИ

Выделяют несколько категорий IT-продуктов:

• технические — маскируют и перекрывают каналы утечки данных;
• программные — способны зашифровывать информацию, идентифицировать пользователя, уничтожать файлы, вести контроль доступа;
• смешанные — объединяют в себе характеристики вышеперечисленных категорий;
• организационные — заключаются в правильной прокладке кабельной системы, создании свода правил выполнения работы.

Нормативная база

В отношении оценки соответствия СЗИ действуют несколько нормативно-правовых актов:

• Закон РФ №5485-1 “О государственной тайне” от 21.07.93 г.;
• Федеральный закон №184-ФЗ “О техническом регулировании” от 27.12.02 г.;
• ПП РФ №608 “О сертификации СЗИ” от 26.06.95 г.;
• Положение о системе сертификации СЗИ, утвержденное приказом ФСТЭК России от 3.04.18 г. №55.

Необходимость обязательной оценки соответствия

Сертификацию в обязательном порядке должны проводить разработчики следующих программных продуктов:

1. технические, криптографические, программные и другие средства, которые осуществляют противодействие зарубежным разведкам;
2. программы, в которых применяются вышеназванные IT-продукты;
3. программы контроля эффективности технической защиты данных.

Отказ от оформления разрешительной документации грозит административной ответственностью, которая выражается в значительных штрафах и конфискации нелегальной продукции.

Система сертификации ФСТЭК

Основными участниками оценки соответствия средств защиты данных выступают:

• уполномоченные органы и испытательные лаборатории, имеющие соответствующую аккредитацию;
• компании-изготовители СЗИ;
• Росаккредитация.

Для каждого участника предусмотрены определенные функции. Например, производители средств защиты данных обязаны руководствоваться установленными правилами изготовления программных продуктов. Предприятия, выпускающие СЗИ для сведений, составляющих государственную тайну или имеющих ограниченный доступ, должны получить лицензию ФСТЭК на ведение деятельности.

Заявителями могут быть как предприятия-изготовители, так и органы управления всех уровней.

Применяемые схемы

Выбор определенной схемы зависит от формы выпуска СЗИ:

• для единичного экземпляра – осуществление экспертизы образца и проверки организации технической поддержки;
• для поставки партии – проведение испытаний выборки образцов и оценка техподдержки;
• для серийного изготовления – контроль выборки образцов, анализ производства и технической поддержки.

Срок действия выданного сертификата не может превышать пять лет. Далее законом предусмотрена возможность подачи заявки на продление срока законной силы документа.

Внешний вид документа

Отличает сертификат специальная голограмма, которая обеспечивает надежную защиту от подделок.

В документе представлена важная информация:

1. реквизиты, адрес и контакты заявителя;
2. название и область применения товара, нормативы изготовления;
3. протоколы лабораторных исследований;
4. сведения о специализированной лаборатории;
5. отметки об инспекционном контроле и маркировке;
6. регистрационный номер;
7. дата регистрации и срок действия;
8. подпись руководителя подразделения ФСТЭК и печать.

Добровольное оформление сертификационной документации

Если предприятие выпускает СЗИ, не связанные с охраной государственной тайны, есть возможность оформить сертификат соответствия в добровольном порядке. Это повысит конкурентоспособность товара и привлечет массу новых покупателей.

Документальное подтверждение качества увеличит инвестиционную привлекательность фирмы и позволит заключать выгодные контракты с требовательными заказчиками.

Уровни доверия СЗИ

В марте 2019 г. было опубликовано Информационное сообщение ФСТЭК России № 240/24/1525. Документ устанавливает уровни доверия средств технической защиты информации. Всего насчитывается шесть позиций: 1-й (самый высокий), а 6-й (самый низкий).

Нововведение актуально для разработчиков и изготовителей IT-продуктов, заявителей на проведение оценки соответствия, а также для испытательных центров и уполномоченных органов. Выполнение требований к уровню доверия обязательно при сертификации:

Источник

Справочник законодательства РФ в области информационной безопасности (обновления от 01.06.2021)

Все специалисты по информационной безопасности рано или поздно сталкиваются с вопросами законодательного регулирования своей деятельности. Первой проблемой при этом обычно является поиск документов, где прописаны те или иные требования. Данный справочник призван помочь в этой беде и содержит подборку ссылок на основные законодательные и нормативно-правовые акты, регламентирующие применение информационных технологий и обеспечение информационной безопасности в Российской Федерации.

Предисловие

Для облегчения восприятия весь массив документов разделен на смысловые блоки, которые применяются для регулирования тех или иных областей информационной безопасности.
К сожалению большая часть приведенных документов применяется для регулирования сразу нескольких областей права, поэтому предложенная классификация весьма условна. Документы в справочнике упоминаются только один раз. Это немного затрудняет поиск, но существенно сокращает объем справочника.

Предлагаемый справочник не является исчерпывающим, но содержит, пожалуй, основные направления обеспечения информационной безопасности в России.

В справочнике, за редким исключением, отсутствуют ссылки на документы ограниченного распространения, национальные стандарты и проекты документов.

Большая часть документов представлена в виде ссылок на справочно-правовую систему «Консультант+», при этом некоторые документы будут недоступны для бесплатного просмотра в рабочее время. Для таких документов рядом с названием в квадратных скобках будет даваться альтернативная ссылка, доступная в рабочее время.

Представленные документы актуальны на момент публикации данного справочника.
Приятного просмотра и успешной работы!

Источник