Моей любимой внучке Алисе посвящаю.
Не грусти. Рано или поздно все станет понятно, все станет на свои места и выстроится в единую красивую схему, как кружева. Станет понятно, зачем все было нужно, потому что все будет правильно.
Льюис Кэрролл. Алиса в Стране чудес
Рецензенты:
доктор педагогических наук, профессор кафедры корпоративных информационных систем, электронных сервисов и интеллектуальных информационных технологий Самарского государственного экономического университета
А. Г. Абросимов;
доктор технических наук, профессор Самарского национального исследовательского университета имени академика С. П. Королева
В. С. Кузьмичев.
АС – автоматизированная система
АСЗИ – АС в защищенном исполнении
АСУ ТП – автоматизированная система управления производственными и технологическими процессами
ГИС – государственная информационная система
ЗБ – задание по безопасности
ИБ – информационная безопасность
ИС ОП – информационная система общего пользования
ИСПДн – информационная система персональных данных
ИТ – информационная технология
ИКТ – информационно-коммуникационные технологии
ИИСМиОБП – интегрированная интеллектуальная система мониторинга и обеспечения безопасности предприятия
ИСБ – интегрированные системы безопасности
КСБ – комплексные системы безопасности
КСЗ – комплекс средств защиты
МЭ – межсетевой экран
НДВ – недекларированная возможность
НСД – несанкционированный доступ
ОУД – оценочный уровень доверия
ОО – объект оценки
ПЗ – профиль защиты
ПО – программное обеспечение
ПС – программное средство
РД – руководящий документ
РИД – результат интеллектуальной деятельности
САВЗ – средство антивирусной защиты
СВТ – средство вычислительной техники
СЗИ – средство защиты информации
СКН – средства контроля съемных машинных носителей информации
СОВ – система обнаружения вторжений
СДЗ – средства доверенной загрузки
СМИБ – система менеджмента ИБ
СВТ – средство вычислительной техники
СоПД – составной пакет доверия
СКУД – система контроля и управления доступом
СОС – система охранной сигнализации
СОТ – система охранная телевизионная
СТС – система тревожной сигнализации
СКЗИ – средство криптографической защиты информации
СРД – система разграничения доступа
СЦН – система централизованного наблюдения
ФТБ – функциональные требования безопасности
В современном обществе информационные технологии приобрели глобальный трансграничный характер и стали неотъемлемой частью всех сфер деятельности человека. Их эффективное применение является фактором ускорения экономического развития государства и формирования информационного общества.
Учитывая масштабы проникновения информационных технологий в повседневную жизнь граждан, организаций и органов власти всех уровней, а также высокий уровень зависимости создаваемых в стране информационных систем от импортных аппаратно-программных средств, особенно актуальным становится вопрос обеспечения необходимого уровня информационной безопасности страны в современном глобальном информационном мире.
Расширение областей применения информационных технологий порождает новые информационные угрозы. Возрастают масштабы компьютерной преступности, увеличивается число преступлений, связанных с нарушением конституционных прав и свобод человека, в том числе при обработке персональных данных с использованием информационных технологий.
В «Стратегии национальной безопасности Российской Федерации», утвержденной Указом Президента Российской Федерации от 31.12.2015 г. № 683, отмечается появление новых форм противоправной деятельности с использованием информационно-коммуникационных технологий и уделяется особое внимание обеспечению информационной безопасности с учетом стратегических национальных приоритетов.
Важнейшим элементом комплексной системы защиты информации является нормативно-правовое обеспечение, заключающееся в разработке нормативных правовых актов, регламентирующих отношения в информационной сфере, а также нормативных методических документов по конкретным вопросам обеспечения информационной безопасности. Меры нормативно-правовой поддержки регулирования вопросов защиты информации в Российской Федерации определяются на основании:
• международных договоров и соглашений;
• законов Российской Федерации;
• указов и распоряжений Президента Российской Федерации;
• нормативных документов Правительства Российской Федерации;
• технических регламентов;
• национальных стандартов и стандартов организаций;
• нормативных правовых актов уполномоченных федеральных органов исполнительной власти.
Низшим звеном в иерархической системе документов являются нормативные акты уровня учреждений, необходимость принятия которых отмечается в ряде нормативно-правовых документов федерального уровня.
Как отмечено в «Доктрине информационной безопасности Российской Федерации», утвержденной Указом Президента Российской Федерации от 5 декабря 2016 г. № 646, отсутствие международных правовых норм, регулирующих межгосударственные отношения в информационном пространстве, а также механизмов и процедур их применения, учитывающих специфику информационных технологий, затрудняет формирование системы международной информационной безопасности, направленной на достижение стратегической стабильности и равноправного стратегического партнерства.
В последние годы в Российской Федерации существенно обновлена нормативно-правовая база в сфере информационных технологий и защиты информации. Значительные изменения произошли также и в национальной системе стандартизации и технического регулирования.
Все работы по стандартизации в России осуществляются на основе принятых Федеральных законов: «О техническом регулировании» от 27 декабря 2002 г. № 184-ФЗ и «О стандартизации в Российской Федерации» от 29 июня 2015 г. № 162-ФЗ, а также утвержденной распоряжением Правительства Российской Федерации от 24 сентября 2012 г. № 1762-р Концепцией развития национальной системы стандартизации Российской Федерации на период до 2020 г.
После принятия закона 184-ФЗ от 27 декабря 2002 г. утратили силу два ранее принятых закона: «О сертификации продукции и услуг» от 10 июня 1993 г. № 5151-1 и «О стандартизации» от 10 июня 1993 г. № 5154-1. Все вопросы, связанные с функционированием национальной системы стандартизации, были перенесены в закон «О техническом регулировании». Однако в 2015 г. вновь был принят отдельный закон, регулирующий вопросы стандартизации в Российской Федерации (№ 162-ФЗ).
Основной причиной принятия нового закона «О стандартизации в Российской Федерации» явилась необходимость совершенствования государственного регулирования в сфере стандартизации, поскольку сложившаяся национальная система стандартизации в рамках закона о техническом регулировании не отвечала современным экономическим условиям. Национальное законодательство в сфере стандартизации нуждалось в коренной модернизации в соответствии с приоритетными направлениями развития стандартизации, закрепленными Концепцией развития национальной системы стандартизации в Российской Федерации от 24 сентября 2012 г.
