Читать онлайн «Стандарты информационной безопасности. Защита и обработка конфиденциальных документов. Учебное пособ»

Главный источник права здесь - Федеральный закон «О тех­ ническом регулировании». На данном уровне присутствуют законы и подзаконные правовые акты (постановления российского прави­ тельства, приказы различных ведомств и т. д. ). На втором уровне располагаются документы, в которых содер­ жатся нормы, регулирующие производственные объекты и процес­ сы. Это национальные и межгосударственные стандарты, различные классификаторы, рекомендации. На третьем уровне - источники, содержащие в себе отраслевые стандарты, и те, которые создаются научно-техническими обще­ ствами. На четвертом - источники, включающие стандарты предприя­ тий, а также дополняющие и сопровождающие их нормы. Виды стандартов Основной фактор отнесения нормы к тому или иному виду (не только в российской, но и в мировой практике) - наличие специфи­ ки объекта нормирования. Выделяют несколько основных классов, в рамках которых можно ее определить. Так, в зависимости от специ­ фики объекта нормирования, стандарты могут быть: - основополагающими; - ориентированными на продукцию (услуги); - ориентированными на работу (процессы); - адаптированными для методов контроля (в отношении испы­ таний, измерений или же, например, анализа). Основополагающие стандарты регламентируют ключевые ор­ ганизационные аспекты, положения и нормы, которые являются общими в отношении разных сегментов производства, областей науки и техники. Стандарты, ориентированные на продукцию или услуги, устанавливают критерии для конкретных видов активностей на производстве (или в сервисах) - выпуск, эксплуатация, перевоз­ ка, ремонт и т. д. 11  Требования к стандартам Универсальность стандарта - определяется множеством типов вычислительных систем и областью информационных технологий, к которым могут быть корректно применены его приложения. Гибкость стандарта - возможность его применения к посто­ янно развивающимся информационным технологиям и время его «устаревания» (гибкость может быть достигнута исключительно че­ рез фундаментальность требований и критериев и их инвариант­ ность по отношению к механизмам реализации и технологиям со­ здания продукта информационных технологий). Гарантированность - определяется мощностью предусмотрен­ ных стандартом методов и средств подтверждения надежности ре­ зультатов квалификационного анализа. Реализуемость - возможность адекватной реализации требова­ ний и критериев стандарта на практике с учетом затрат на этот про­ цесс. Актуальность - отражает соответствие требований и критериев стандарта постоянно развивающемуся множеству угроз безопасно­ сти, новейшим методам и средствам, используемым злоумышлен­ никами. Стандарты информационной безопасности Стандарты информационной безопасности —это обязательные или рекомендуемые к выполнению документы, в которых определе­ ны подходы к оценке уровня информационной безопасности (ИБ) и установлены требования к безопасным информационным системам. Стандарты в области ИБ выполняют следующие важнейшие функции: - выработка понятийного аппарата и терминологии в области информационной безопасности; - формирование шкалы измерений уровня информационной безопасности; - согласованная оценка продуктов, обеспечивающих информа­ ционную безопасность; - повышение технической и информационной совместимости продуктов, обеспечивающих информационную безопасность; - накопление сведений о лучших практиках обеспечения ин­ формационной безопасности и их предоставление различным груп­ пам заинтересованной аудитории (производителям средств инфор­ мационной безопасности, экспертам, ИТ-директорам, администра­ торам и пользователям информационных систем; 12  - функция нормотворчества - придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.