Принят и введен в
действие
Постановлением
Госстандарта РФ
от 5 июня 2003 г. N
181-ст
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ЗАЩИТА ИНФОРМАЦИИ
СИСТЕМА СТАНДАРТОВ
ОСНОВНЫЕ ПОЛОЖЕНИЯ
Safety
of information. System of standards. Basic
principles
ГОСТ Р 52069.0-2003
Группа Э02
ОКС 01.040.01;
ОКСТУ 0090
Дата введения
1 января 2004 года
Предисловие
1. Разработан и внесен Государственным научно-исследовательским
испытательным институтом проблем технической защиты информации Государственной
технической комиссии при Президенте Российской Федерации, Техническим комитетом
по стандартизации ТК 362 "Защита информации".
2. Принят и введен
в действие Постановлением Госстандарта России от 5 июня 2003 г. N 181-ст.
3. Введен впервые.
1. Область
применения
Настоящий стандарт
устанавливает цель и задачи системы стандартов по защите информации, объекты
стандартизации, структуру, состав и классификацию входящих в нее стандартов и
правила их обозначения.
Положения
настоящего стандарта являются рекомендуемыми при разработке нормативных
документов по стандартизации в области защиты информации, независимо от
организационно-правовой формы и формы собственности предприятия, учреждения,
организации - разработчика стандарта, а также при организации работ по
стандартизации в области защиты информации органами управления Российской
Федерации.
Стандарт является
основополагающим государственным стандартом Российской Федерации в области
защиты информации.
2.
Нормативные ссылки
В настоящем
стандарте использованы ссылки на следующие стандарты и классификаторы:
ГОСТ 1.0-92.
Межгосударственная система стандартизации. Основные положения
ГОСТ 1.5-2001.
Межгосударственная система стандартизации. Стандарты межгосударственные,
правила и рекомендации по межгосударственной стандартизации. Общие требования к
построению, изложению, оформлению, содержанию и обозначению
ГОСТ 34.003-90.
Информационная технология. Комплекс стандартов на автоматизированные системы.
Автоматизированные системы. Термины и определения
ГОСТ 30335-95/ГОСТ Р 50646-94. Услуги населению. Термины и определения
ГОСТ Р 1.0-92. Государственная система стандартизации Российской
Федерации. Основные положения
ГОСТ Р 1.2-92. Государственная система стандартизации Российской
Федерации. Порядок разработки государственных стандартов
ГОСТ Р 1.4-93. Государственная система стандартизации Российской
Федерации. Стандарты отраслей, стандарты предприятий, стандарты
научно-технических, инженерных обществ и других общественных объединений. Общие
положения
ГОСТ Р 1.5-2002. Государственная система стандартизации
Российской Федерации. Стандарты. Общие требования к построению, изложению,
оформлению, содержанию и обозначению
ГОСТ Р 1.12-99. Государственная система стандартизации Российской
Федерации. Стандартизация и смежные виды деятельности. Термины и определения
ГОСТ Р ИСО 9000-2001. Система менеджмента качества. Основные
положения и словарь
ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности информационных
технологий. Часть 1. Введение и общая модель
ГОСТ Р 50922-96. Защита информации. Основные термины и
определения
ГОСТ Р 51275-99. Защита информации. Объект информатизации.
Факторы, воздействующие на информацию. Общие положения
ОК 002-93. Общероссийский классификатор услуг населению
ОК 003-99. Общероссийский классификатор информации по социальной защите
населения
ОК 004-93. Общероссийский классификатор видов экономической
деятельности, продукции и услуг
ОК 005-93. Общероссийский классификатор продукции
ОК 011-93. Общероссийский классификатор управленческой документации.
3.
Определения
В настоящем
стандарте применяют следующие термины:
3.1. система
стандартов по защите информации: Совокупность взаимосвязанных
НД по стандартизации, устанавливающих нормы, правила и требования по ЗИ.
3.2. комплекс
стандартов: По ГОСТ Р 1.12.
3.3. защита
информации: По ГОСТ Р 50922.
3.4. защищаемая
информация: По ГОСТ Р 50922.
3.5. объект
стандартизации: По ГОСТ Р 1.12.
3.6. требование: По
ГОСТ Р 1.12.
3.7. объект защиты
информации: По ГОСТ Р 50922.
3.8. фактор,
воздействующий на защищаемую информацию: По ГОСТ Р
51275.
3.9. продукция: По
ГОСТ Р ИСО 9000.
3.10. технология:
Система взаимосвязанных методов, способов, приемов предметной деятельности.
3.11. стандарт
отрасли: По ГОСТ Р 1.12.
3.12. нормативный
документ: По ГОСТ Р 1.12.
3.13. стандарт
предприятия: По ГОСТ Р 1.12.
3.14.
информационная технология: По ГОСТ 34.003.
3.15. услуга: По
ГОСТ 30335.
3.16. процесс:
Совокупность последовательных действий для достижения какого-либо результата.
3.17. жизненный
цикл продукции: По Р 50.605-80 [1].
3.18. документ:
Зафиксированная на материальном носителе информация с реквизитами, позволяющими
ее идентифицировать.
3.19. электронный
документ: Документ, информация в котором представлена в электронно-цифровой
форме.
3.20. техника
защиты информации: По ГОСТ Р 50922.
3.21. средство
защиты информации: По ГОСТ Р 50922.
3.22. средство
контроля эффективности защиты информации: По ГОСТ Р
50922.
3.23. способ защиты
информации: По ГОСТ Р 50922.
3.24. способ
контроля эффективности защиты информации: По ГОСТ Р
50922.
3.25. качество: По
ГОСТ Р ИСО 9000.
4.
Сокращения
В настоящем
стандарте применяют следующие сокращения:
ССЗИ - система
стандартов по защите информации;
ЗИ - защита
информации;
ОЗ - объект защиты
информации;
СЗИ - средство
защиты информации;
СКЭЗИ - средство
контроля эффективности защиты информации;
ПЭМИ - побочные
электромагнитные излучения;
НД - нормативный
документ;
НТД системы ОТТ -
нормативно-технический документ системы общих технических требований к вооружению
и военной технике;
ВВТ - вооружение и
военная техника;
СРПП - система
разработки и постановки на производство;
ЕСПД - единая
система программной документации;
ЕСТД - единая
система технологической документации;
СНиП - строительные
нормы и правила;
НСД -
несанкционированный доступ;
НСВ -
несанкционированное воздействие;
НПВ -
непреднамеренное воздействие;
ЕКПС МО РФ - единый
классификатор предметов снабжения Министерства обороны
Российской Федерации;
НИР -
научно-исследовательская работа;
ОКР - опытно-конструкторская работа.
5. Общие
положения
5.1. ССЗИ является
межотраслевой, общетехнической системой стандартов и разрабатывается в
соответствии с программами и планами работ по стандартизации в области ЗИ.
Целью ССЗИ является
упорядочение процесса создания взаимоувязанной совокупности НД по ЗИ.
5.2. Основными
задачами и направлениями работ по формированию и развитию ССЗИ являются:
- установление
основополагающих принципов построения системы;
- обеспечение
единства организационных и методических подходов к
организации и обеспечению работ в области ЗИ;
- обеспечение
терминологического взаимопонимания в области ЗИ;
- упорядочение
системы требований по ЗИ, предъявляемых к различным видам ОЗ, и методов
контроля выполнения этих требований;
- установление
рациональных требований к технике ЗИ;
- оптимизация
номенклатуры СЗИ и СКЭЗИ;
- установление
рациональных требований к услугам по ЗИ;
- нормативное и
техническое обеспечение испытаний, контроля, сертификации и оценки качества ОЗ,
СЗИ и СКЭЗИ на соответствие требованиям по безопасности информации;
- сокращение затрат
на проведение работ в области ЗИ;
- создание и
ведение классификаторов в области ЗИ;
- установление
требований к метрологическому, информационному и другим видам обеспечения ЗИ.
5.3. Формирование
ССЗИ осуществляют с учетом основных принципов стандартизации, регламентируемых
ГОСТ Р 1.0, а также дополнительных:
- согласованность
работ по стандартизации в области ЗИ на основе распределения и закрепления
ответственности в данной области между ответственными федеральными органами
исполнительной власти и организациями - участниками работ;
- системность в
работах по стандартизации в области ЗИ, в том числе согласованность и
непротиворечивость требований по ЗИ, взаимоувязанность
НД по стандартизации в области ЗИ, исключение дублирования требований различных
документов, обеспечение унификации требований по стандартизации;
- комплексность
охвата взаимосвязанных объектов стандартизации в области ЗИ;
- использование
единых систем классификации, идентификации, кодирования информации в области
ЗИ.
5.4. Основными
объектами стандартизации ССЗИ являются следующие группы:
- объекты защиты
информации, включающие в себя подгруппы:
а) продукцию,
б) технологии,
в) процессы
(работы),
г) объекты
капитального строительства,
д) услуги,
е) документы;
- факторы,
воздействующие на защищаемую информацию (носитель информации);
- технику ЗИ;
- процессы по ЗИ;
- услуги по ЗИ;
- технологии ЗИ;
- документы по ЗИ.
Указанные группы
объектов стандартизации по ЗИ могут быть подразделены на классы и виды в
соответствии с требованиями Единой системы классификации и кодирования
технико-экономической и социальной информации Российской Федерации: ОК 002, ОК 003, ОК 004, ОК 005 и ОК 011. При этом используют
иерархическую систему классификации. На каждой ступени классификации объекта
деление осуществляют по классификационным признакам: назначение, область
применения, вид носителя, а также с учетом отношений вида "часть - целое",
"причина - следствие". Классификация объекта может быть завершена на
различных ступенях классификационного деления, в зависимости от решаемых задач
по стандартизации в области ЗИ и категории стандарта. Фрагмент классификации
объектов стандартизации по ЗИ представлен в Приложении А.
Взаимосвязь
объектов стандартизации ССЗИ с требованиями, которые предъявляются к ним,
представлена в Приложении Б.
5.5. ССЗИ может включать в себя следующие НД по стандартизации:
- регламенты;
- стандарты;
- правила, нормы и
рекомендации по стандартизации;
- общероссийские
классификаторы технико-экономической информации.
Кроме перечисленных
выше документов в систему могут входить НТД системы ОТТ.
5.6. В зависимости
от объекта стандартизации в области ЗИ и требований, предъявляемых к нему,
устанавливают стандарты следующих видов:
- основополагающие;
- на продукцию;
- на процессы;
- на технологию, включая в том числе информационные технологии;
- на услуги;
- на методы
контроля;
- на документацию;
- на термины и
определения.
5.7. Стандарты по
ЗИ подразделяют на следующие категории:
- международные;
-
межгосударственные;
- государственные
стандарты Российской Федерации, оформленные на основе аутентичного текста
международного стандарта;
- государственные
стандарты Российской Федерации;
- государственные
военные стандарты Российской Федерации;
- стандарты
отраслей, в том числе и на оборонную продукцию;
- стандарты
предприятий.
5.8. Международные
и межгосударственные стандарты по ЗИ применяют в установленном нормативными
актами порядке.
5.9.
Государственные стандарты по ЗИ разрабатываются на объекты стандартизации
межотраслевого значения, в том числе и на оборонную продукцию, в целях
систематизации и упорядочения требований, предъявляемых к объектам, и не должны
противоречить законодательству Российской Федерации.
5.10. Стандарты
отраслей и предприятий по ЗИ разрабатываются и принимаются федеральными
органами исполнительной власти в пределах их компетенции применительно к
объектам стандартизации отраслевого значения, в том числе и к оборонной
продукции.
5.11.
Общероссийские классификаторы устанавливают классификацию информации о технике
ЗИ, услугах, технологиях, процессах и документах по ЗИ с присвоением ей единых
кодовых обозначений, которая используется в процессе
функционирования Государственной системы защиты информации.
5.12. НТД системы
ОТТ устанавливают состав и показатели общих тактико-технических требований по
ЗИ к видам систем и комплексов (образцов) ВВТ, общих требований к методам
контроля выполнения этих требований, а также общие тактико-технические
требования к средствам ЗИ (СКЭЗИ) и общие требования к методам их
государственных испытаний.
5.13. НД по ЗИ
разрабатывают, принимают, пересматривают, вносят изменения или отменяют по ГОСТ
Р 1.2, а стандарты отраслей и предприятий - по ГОСТ Р
1.4.
5.14. Оформление и
содержание НД по ЗИ должны соответствовать требованиям ГОСТ 1.5, ГОСТ Р 1.2, ГОСТ Р 1.5 и Р 50.1.039 [2].
5.15. ССЗИ должна
быть взаимоувязана со стандартами других систем и комплексов стандартов,
например СРПП, ЕСПД, информационных технологий и др.
6.
Структура, состав, классификация и обозначения НД
по стандартизации в
области ЗИ
6.1. Структура ССЗИ
определяется двумя основными признаками - объектами стандартизации и
требованиями по стандартизации, предъявляемыми к этим объектам. Для уточнения
этих признаков могут вводиться два дополнительных признака - виды деятельности
в области ЗИ и виды защищаемой информации.
6.2. В зависимости
от объекта стандартизации и предъявляемых к нему требований ССЗИ включает в
себя следующие подсистемы:
- комплекс
стандартов, устанавливающих общие требования к системе стандартов по ЗИ;
- комплекс
стандартов, устанавливающих требования по классификации и терминологии в
области ЗИ;
- комплекс
стандартов, устанавливающих общие технические требования по ЗИ к объектам ЗИ;
- комплекс
стандартов, устанавливающих общие технические требования к технике ЗИ;
- комплекс
стандартов, устанавливающих общие технические требования к процессам по ЗИ;
- комплекс
стандартов, устанавливающих общие технические требования к услугам по ЗИ;
- комплекс
стандартов, устанавливающих общие технические требования к технологиям ЗИ;
- комплекс
стандартов, устанавливающих общие требования к документам по ЗИ.
6.3. Подсистема
"Комплекс стандартов, устанавливающих общие требования к системе
стандартов по ЗИ" регламентирует следующие вопросы:
- общие
организационно-технические правила по стандартизации в области ЗИ;
- порядок
организации работ по стандартизации в области ЗИ.
6.4. Подсистема
"Комплекс стандартов, устанавливающих требования по классификации и
терминологии в области ЗИ" регламентирует следующие вопросы:
- принципы, методы
классификации и кодирования информации, используемой в области ЗИ;
- классификаторы
для различных объектов стандартизации по ЗИ;
-
научно-технические термины, применяемые в области ЗИ.
6.5. Подсистема
"Комплекс стандартов, устанавливающих общие технические требования по ЗИ к
объектам ЗИ" регламентирует следующие вопросы:
- общие технические
требования по ЗИ, предъявляемые к различным объектам защиты, в том числе и
типовые требования к информационным технологиям (профили защиты - по ГОСТ Р ИСО/МЭК 15408-1), на всех стадиях их жизненного цикла;
- методы контроля
(проверки) выполнения этих требований.
6.6. Подсистема
"Комплекс стандартов, устанавливающих общие технические требования к
технике ЗИ" регламентирует следующие вопросы:
- показатели
качества техники ЗИ на всех стадиях ее жизненного цикла;
- методы оценки
показателей качества техники ЗИ;
- параметрические
ряды СЗИ и СКЭЗИ;
- общие технические
условия, предъявляемые к группам однородных СЗИ и
СКЭЗИ;
- технические
условия, предъявляемые к конкретным СЗИ и СКЭЗИ;
- методы контроля
(проверки) выполнения требований и методы испытаний СЗИ и СКЭЗИ;
- правила приемки,
маркировки, упаковки, транспортирования, хранения и утилизации.
6.7. Подсистема
"Комплекс стандартов, устанавливающих общие технические требования к
процессам по ЗИ" регламентирует следующие вопросы:
- номенклатуру
типовых процессов по ЗИ, включающую контроль, управление, координацию и т.п.;
- номенклатуру
типовых процессов контроля эффективности ЗИ;
- технические
требования, предъявляемые к процессам по ЗИ различных видов;
- технические
требования, предъявляемые к контролю эффективности ЗИ различных видов;
- методы контроля
(проверки) выполнения требований.
6.8. Подсистема
"Комплекс стандартов, устанавливающих общие технические требования к
услугам по ЗИ" регламентирует следующие вопросы:
- номенклатуру
услуг по ЗИ;
- общие технические
условия, предъявляемые к группам однородных услуг по ЗИ;
- технические
условия, предъявляемые к конкретным видам услуг по ЗИ;
- требования к
персоналу;
- требования к
процессам оказания услуг по ЗИ;
- требования к
результатам оказания услуг по ЗИ;
- методы оценки
результатов услуг по ЗИ.
6.9. Подсистема
"Комплекс стандартов, устанавливающих общие технические требования к
технологиям ЗИ" регламентирует следующие вопросы:
- номенклатуру
технологий ЗИ;
- номенклатуру
способов ЗИ и контроля эффективности ЗИ;
- общие технические
требования, предъявляемые к различным видам технологий ЗИ;
- методы оценки
эффективности ЗИ;
- методы контроля
(проверки) выполнения требований, предъявляемых к различным видам технологий
ЗИ.
6.10. Подсистема
"Комплекс стандартов, устанавливающих общие требования к документам по
ЗИ" регламентирует следующие вопросы:
- номенклатуру
документов по ЗИ;
- общие требования
к содержанию и оформлению документов по ЗИ;
- методы контроля
(проверки) выполнения требований.
6.11. Потребный
состав стандартов по ЗИ, включаемых в подсистемы ССЗИ, определяется ролью и
местом стандартизации в области ЗИ в общей системе НД по ЗИ, номенклатурой
объектов стандартизации в области ЗИ, предъявляемыми к ним требованиями, а
также экономической целесообразностью разработки стандартов.
6.12. Структура
регистрационного номера ССЗИ включает в себя:
- обозначение
категории стандарта (ГОСТ, ГОСТ Р, ГОСТ РВ);
- регистрационный
номер системы стандартов по защите информации (пять разрядов);
- порядковый номер
стандарта в системе стандартов по защите информации.
Примечание.
Порядковый номер "0" присваивают ГОСТ Р
ХХХХХ.0-2003 "Защита информации. Система стандартов. Основные
положения".
Примеры
регистрационных номеров стандартов в ССЗИ:
1. ГОСТ
ХХХХХ.Х ... - 20ХХ;
2. ГОСТ Р ХХХХХ.Х ... - 20ХХ;
3. ГОСТ РВ
ХХХХХ.Х ... - 20ХХ.
Приложение А
(справочное)
ФРАГМЕНТ
КЛАССИФИКАЦИИ ОБЪЕКТОВ СТАНДАРТИЗАЦИИ ПО ЗИ
┌───────────────┬────────────────┬───────────────────┬────────────┐
│ Группа
│ Класс │ Вид │ Примечание │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
1. Объекты ЗИ │
│
│ │
│
1.1. Продук- │
Научно- │ Опытные
образцы. │ Детализация│
│ция, подлежащая│техническая │ Экспериментальные │по СРПП
и │
│защите │продукция │образцы. │СРПП ВВТ │
│ │ │ Макеты изделий. │ │
│ │ │ Модели изделий │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Продукция │ Вычислительная │ Детализация│
│ │народно- │техника. │по ОК 004, │
│ │хозяйственного │ Техника связи и │ОК 005 │
│ │назначения │телекоммуникаций. │ │
│ │ │ Средства техноло-
│ Детализация│
│ │ │гического
оснаще- │по ЕСТД │
│ │ │ния. │ │
│ │ │ Средства вспомога-│
│
│ │ │тельного производ- │
│
│ │ │ства │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Программные │ Системные програм-│ Детализация│
│ │средства, │мные
средства. │по ОК 005 │
│ │информационные │ Программные сред-
│(класс │
│ │продукты │ства
общего назна- │50 0000) │
│ │вычислительной │чения. │ │
│ │техники │ Прикладные про- │ │
│ │ │граммные
средства │ │
│ │ │для научных иссле- │
│
│ │ │дований. │ │
│ │ │ Прикладные про- │ │
│ │ │граммные
средства │ │
│ │ │для
проектирования.│ │
│ │ │ Прикладные про- │ │
│ │ │граммные
средства │ │
│ │ │для управления │ │
│ │ │техническими
сред- │ │
│ │ │ствами
и техноло-
│ │
│ │ │гическими
процес-
│ │
│ │ │сами. │ │
│ │ │ Прикладные про- │ │
│ │ │граммные
средства │ │
│ │ │для решения орга- │ │
│ │ │низационно-эконо- │ │
│ │ │мических
задач. │ │
│ │ │ Прикладные про- │ │
│ │ │граммные
средства │ │
│ │ │учебного назначе-
│ │
│ │ │ния. │ │
│ │ │ Программно-инфор- │
│
│ │ │мационные
продукты │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Оборонная │ Вооружение. │Детализация │
│ │продукция │ Военная техника. │по класси- │
│ │ │ Специальная │фикаторам │
│ │ │техника. │ВВТ и ЕКПС │
│ │ │ Военно-техническое│МО
РФ │
│ │ │имущество │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
1.2. Техноло- │ Технологии но- │ │ Детализация│
│гии, подлежащие│вых
материалов. │ │по
ЕСТД │
│защите │ Микроэлектрон-
│ │ │
│ │ные
технологии. │
│ │
│ │
Оптоэлектронные│
│ │
│ │технологии. │ │ │
│ │ Радиоэлектрон-
│ │ │
│ │ные
технологии. │
│ │
│ │ Компьютерные │ │ │
│ │технологии. │ │ │
│ │ Информационные
│ │ │
│ │технологии. │ │ │
│ │ Ядерные │ │ │
│ │технологии. │ │ │
│ │ Технологии │ │ │
│ │промышленного │ │ │
│ │оборудования. │ │ │
│ │ Технологии │ │ │
│ │производства │ │ │
│ │продукции │ │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
1.3. Процессы │ Процессы, │ НИР. │ │
│(работы), │происходящие на │ ОКР. │ │
│подлежащие │отдельных ста- │ Постановка на про-│ │
│защите │диях жизненного │изводство и
серий- │ │
│ │цикла объекта │ное
производство. │ │
│ │защиты │ Поставка, эксплуа-│ │
│ │ │тация,
ремонт. │ │
│ │ │ Обеспечение │ │
│ │ │эксплуатации. │ │
│ │ │ Снятие с
│ │
│ │ │производства. │ │
│ │ │ Утилизация │ │
│ ├────────────────┼───────────────────┼────────────┤
│ │ Процессы сбора,│
Сбор информации. │ │
│ │хранения, обра-
│ Хранение │ │
│ │ботки,
ввода, │информации. │ │
│ │вывода и пере- │
Обработка │ │
│ │дачи информации │информации.
│ │
│ │ │ Передача │ │
│ │ │информации │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Процессы созда-│
Создание │ │
│ │ния,
производ- │документа. │ │
│ │ства
и распро- │ Производство │ │
│ │странения │документа. │ │
│ │документов │ Распространение │ │
│
│(информационных │документа │ │
│ │ресурсов) │ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Процессы, │ │ │
│ │связанные с │ │ │
│ │нематериальным │ │ │
│ │производством │ │ │
│
│(банковской,
│
│ │
│ │статистической,
│ │ │
│ │издательской │ │ │
│ │деятельностью).
│ │ │
│ │ Управленческие
│ │ │
│ │процессы. │ │ │
│ │ Измерительные │ │ │
│ │процессы │ │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
1.4. Объекты │ Промышленные │ Заводы. │ Детализация│
│капитального │объекты │ Фабрики. │по
СНиП │
│строительства,
│ │
Предприятия │ │
│подлежащие
├────────────────┼───────────────────┤ │
│защите │ Военные объекты│
Аэродромы. │ │
│ │ │ Базы. │ │
│ │ │ Арсеналы │ │
│
├────────────────┼───────────────────┤ │
│ │ Военно- │ Военные заводы. │ │
│ │промышленные │ Военные │ │
│ │объекты │предприятия │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Объекты │ Командные пункты. │ │
│ │управления │ Учреждения органов│ │
│ │ │власти │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Объекты │ Вычислительные │ │
│ │информатизации │центры │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
1.5. Услуги, │ Банковские │ │ Детализация│
│подлежащие │услуги. │ │по ОК
002, │
│защите │ Юридические │ │ОК
004 │
│ │услуги. │ │ │
│ │ Производствен-
│ │ │
│ │ные
услуги. │ │ │
│ │ Правовые │ │ │
│ │услуги. │ │ │
│ │ Услуги связи. │ │ │
│ │ Информационные
│ │ │
│ │услуги │ │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
1.6. Докумен- │ Правовые
│ Указы
│Детализация │
│ты,
подлежащие │документы
│
│по ОК 011 │
│защите
├────────────────┼───────────────────┤ │
│ │ Организационно-│ Положения.
│ │
│ │распорядительные│
Руководства │ │
│ │документы │ │ │
│
├────────────────┼───────────────────┤ │
│ │ Плановые │ Программы. │ │
│ │документы │ Планы │ │
│
├────────────────┼───────────────────┤ │
│ │ Документация на│ Конструкторская
│ │
│ │продукцию │документация. │ │
│ │(услуги) │ Эксплуатационная │ │
│ │ │документация │ │
│
├────────────────┼───────────────────┤ │
│ │ Нормативные │ Регламенты. │ │
│ │документы │ Стандарты │ │
│
├────────────────┼───────────────────┤ │
│ │ Информационные │
Каталоги. │ │
│ │документы │ Справочники │ │
│
├────────────────┼───────────────────┤ │
│ │ Отчетная │ Отчеты. │ │
│ │научно- │ Методики │ │
│ │техническая │ │ │
│ │документация │ │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
2. Факторы, │ Объективные │ Внутренние │ Детализация│
│воздействующие
│ │ │по │
│на
защищаемую
├────────────────┼───────────────────┤ГОСТ
Р 51275│
│информацию │ Субъективные │ Внешние │ │
│(носитель
│
│
│ │
│информации) │ │ │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
3. Техника ЗИ │ СЗИ от утечки
│ СЗИ от ПЭМИ.
│ │
│ │по техническим │ СЗИ от наводок │ │
│ │каналам │ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ СЗИ от НСД │ СЗИ от НСД в │ │
│ │ │локальных вычис- │ │
│ │ │лительных
сетях.
│ │
│ │ │ СЗИ от НСД в рас- │
│
│ │ │пределенных
вычис- │ │
│ │ │лительных
сетях.
│ │
│ │ │ СЗИ от НСД в │ │
│ │ │автоматизированных
│ │
│ │ │системах │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ СЗИ от НСВ. │ СЗИ от НСД в ПЭВМ │ │
│ │ СЗИ от НПВ. │ │ │
│ │ Криптографичес-│ │ │
│ │кие
средства │ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Средства физи- │ Охранные и │ │
│ │ческой защиты │охранно-пожарные │ │
│ │информации на │сигнализации. │ │
│ │объекте │ Системы охранного
│ │
│ │ │телевидения и │ │
│ │ │наблюдения. │ │
│ │ │ Инженерно-техни- │ │
│ │ │ческие
средства │ │
│ │ │защиты объектов │ │
│
├────────────────┼───────────────────┤ │
│ │ СКЭЗИ от утечки│
СКЭЗИ от ПЭМИ. │ │
│ │по техническим │ СКЭЗИ от наводок │ │
│ │каналам │ │ │
│
├────────────────┼───────────────────┤ │
│ │ СКЭЗИ от НСД │ СКЭЗИ от НСД в │ │
│ │ │локальных вычис- │ │
│ │ │лительных
сетях.
│ │
│ │ │ СКЭЗИ от НСД в │ │
│ │ │распределенных
вы- │ │
│ │ │числительных
сетях.│ │
│ │ │ СКЭЗИ от НСД в │ │
│ │ │автоматизированных
│ │
│ │ │системах │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ СКЭЗИ от НСВ. │ СКЭЗИ от НСД в │ │
│ │ СКЭЗИ от НПВ │ПЭВМ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Средства конт- │ │ │
│ │роля эффектив- │ │ │
│ │ности
криптогра-│ │ │
│ │фической
ЗИ │ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Средства кон- │ │ │
│ │троля
эффектив- │ │ │
│ │ности
физической│
│ │
│ │ЗИ на объекте │ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Средства │ Средства
управле- │
│
│ │управления │ния
доступом к
│ │
│ │ │информации. │ │
│ │ │ Аппаратура управ-
│ │
│ │ │ления
техническими │ │
│ │ │средствами и │ │
│ │ │процессами ЗИ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Средства │ Средства │ │
│ │обеспечения │измерений. │ │
│ │ │ Средства │ │
│ │ │эксплуатации │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
4. Процессы по│ Процессы
│ НИР в области ЗИ. │ │
│ЗИ │создания, │ ОКР в
области ЗИ. │ │
│ │производства, │ Постановка на │ │
│ │эксплуатации и │производство и │ │
│ │утилизации │серийное производ- │
│
│ │техники ЗИ │ство СЗИ
и СКЭЗИ. │ │
│ │ │ Поставка, эксплуа-│
│
│ │ │тация,
ремонт СЗИ и│ │
│ │ │СКЭЗИ. │ │
│ │ │ Обеспечение экс- │ │
│ │ │плуатации
СЗИ и │ │
│ │ │СКЭЗИ. │ │
│ │ │ Снятие с производ-│
│
│ │ │ства
СЗИ и СКЭЗИ. │ │
│ │ │ Утилизация СЗИ и │ │
│ │ │СКЭЗИ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Процессы созда-│ │ │
│ │ния,
производ-
│
│ │
│ │ства
и распро-
│
│ │
│ │странения
доку- │
│ │
│ │ментов по ЗИ │ │ │
│
│(информационных │ │ │
│ │ресурсов) │ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Процессы кон- │ │ │
│ │троля
и обес-
│
│ │
│ │печения измере- │ │ │
│ │ний
параметров │ │ │
│ │(характеристик)
│ │ │
│ │эффективности
ЗИ│ │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
5. Услуги по │ Процессы │ │ │
│ЗИ │управления ЗИ │ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Лицензирование
│ │ │
│ │в области ЗИ │ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Сертификация │ │ │
│ │СЗИ │ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Аттестация │ │ │
│ │объектов │ │ │
│ │информатизации │ │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
6. Технологии │ Технологии │ Способы ЗИ от │ │
│ЗИ │организационные
│утечки по ПЭМИ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Технологии │ Способы ЗИ от │ │
│ │технические │утечки по наводкам │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Технологии │ Способы ЗИ от НСД.│ │
│ │программные │ Способы ЗИ от НСВ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Технологии │ Способы ЗИ от НПВ.│ │
│ │шифрования │ Способы контроля │ │
│ │ │эффективности ЗИ │ │
├───────────────┼────────────────┼───────────────────┼────────────┤
│
7. Документы │ Организационно-│ Положения в
│ │
│по
ЗИ │распорядительные│области
ЗИ. │ │
│ │документы по ЗИ │
Руководства в
│ │
│ │ │области ЗИ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Плановые │ Программы в │ │
│ │документы по ЗИ
│области ЗИ. │ │
│ │ │ Планы в области
ЗИ│ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Нормативные │ Регламенты в │ │
│ │документы по ЗИ
│области ЗИ. │ │
│ │ │ Стандарты в │ │
│ │ │области ЗИ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Информационные │
Каталоги в области│
│
│ │документы по ЗИ
│ЗИ. │ │
│ │ │ Справочники в │ │
│ │ │области ЗИ │ │
│
├────────────────┼───────────────────┼────────────┤
│ │ Документация на│ Конструкторская
│ │
│ │технику ЗИ │документация по СЗИ│ │
│ │(услуги по ЗИ) │и СКЭЗИ. │ │
│ │ │ Эксплуатационная │ │
│ │ │документация по
СЗИ│ │
│ │ │и СКЭЗИ. │ │
│ │ │ Отчеты о НИР (ОКР)│
│
│ │ │в области ЗИ. │ │
│ │ │ Методики оценки │ │
│ │ │эффективности ЗИ │ │
└───────────────┴────────────────┴───────────────────┴────────────┘
Приложение Б
(справочное)
ВЗАИМОСВЯЗЬ
ОБЪЕКТОВ СТАНДАРТИЗАЦИИ СИСТЕМЫ СТАНДАРТОВ
ПО ЗИ С
ТРЕБОВАНИЯМИ, ПРЕДЪЯВЛЯЕМЫМИ К НИМ
┌──────────────────────┬─────────────────────────────────────────┐
│Объект
стандартизации │
Содержание требования
│
│ по ЗИ │
│
├──────────────────────┼─────────────────────────────────────────┤
│
Объекты ЗИ │
Классификация.
│
│ │
Терминология.
│
│ │ Общие технические
требования по ЗИ, │
│ │предъявляемые
к различным ОЗ. │
│ │ Методы проверки
требований по ЗИ │
├──────────────────────┼─────────────────────────────────────────┤
│
Факторы, воздейству- │ Классификация. │
│ющие на защищаемую │ Терминология │
│информацию (носитель │
│
│информации) │
│
├──────────────────────┼─────────────────────────────────────────┤
│
Техника ЗИ, техноло- │ Классификация. │
│гии ЗИ, услуги по ЗИ, │ Терминология. │
│процессы
по ЗИ, │ Типы. │
│документы
по ЗИ │ Основные параметры
и/или размеры │
│ │унифицированных
средств ЗИ. │
│ │ Показатели
качества техники ЗИ. │
│ │ Методы
определения показателей качества │
│ │техники ЗИ. │
│ │ Общие требования
по ЗИ. │
│ │ Общие требования
по контролю │
│ │эффективности
ЗИ. │
│
│ Общие
технические условия (технические │
│ │условия) на
средства ЗИ (услуги по ЗИ). │
│ │ Методы ЗИ. │
│ │ Методы контроля
норм эффективности ЗИ и │
│ │обеспечения
достоверности информации. │
│ │ Методы проверки
требований по контролю │
│ │эффективности
ЗИ. │
│ │ Требования к
методам и приемки ОЗ в │
│ │области ЗИ. │
│ │ Номенклатура
показателей эффективности │
│ │ЗИ. │
│ │ Нормы эффективности
ЗИ. │
│ │ Методы (методики)
проверки выполнения │
│ │норм эффективности
ЗИ. │
│ │ Организация
(порядок) проведения работ │
│ │(оказания услуг)
по ЗИ. │
│ │ Правила
проведения работ (оказания │
│ │услуг) по ЗИ │
└──────────────────────┴─────────────────────────────────────────┘
Приложение В
(справочное)
БИБЛИОГРАФИЯ
[1] Р 50.605-80-93. Рекомендации по стандартизации. Система
разработки и постановки продукции на производство. Термины и определения
[2] Р 50.1.039-2002. Разработка, обновление и отмена правил и
рекомендаций по стандартизации, метрологии, сертификации, аккредитации и
каталогизации.