[МУЗЫКА] Добрый день, уважаемые слушатели. Наша сегодняшняя лекция, завершающая в нашем курсе, будет посвящена основным стандартам в области информационной безопасности, в первую очередь стандартам Российской Федерации. Но, как вы увидите по ходу лекции, многие из них являются международными стандартами, то есть прямыми аналогами мировых стандартов, их практически дословными переводами, что и будет отражено в названии данных стандартов. Наша сегодняшняя лекция будет построена по следующему плану. Мы поговорим о том, какие категории стандартов существуют в Российской Федерации, обсудим список основных действующих стандартов Российской Федерации в области информационной безопасности. Остановимся более подробно на стандартах группы 27000. Также отдельно рассмотрим стандарты в области криптографической защиты информации — их всего три. Затем обратим особое внимание на стандарт 15408, который является аналогом документа, известного как «Общие критерии». Отдельно рассмотрим составные части этого стандарта, состоящего из трех частей. И затем в качестве примера документа, являющегося фактическим стандартом, но не имеющего статуса государственного стандарта, рассмотрим два руководящих документа уполномоченных органов или, иными словами, регуляторов Российской Федерации, конкретно — Федеральной службы по техническому и экспортному контролю. Прежде всего поговорим о том, какие существуют категории стандартов в Российской Федерации. Для этого дадим определение двум понятиям. Собственно, стандарт, под ним мы в рамках сегодняшней лекции будем подразумевать документ, устанавливающий характеристики продукции, правила осуществления и характеристики процессов, например, производства, эксплуатации, выполнения работы или оказания услуг. Процессы бывают и иные, например, транспортировки, хранения и утилизации каких-то объектов. Как правило, в рамках задачи защиты информации с подобными процессами стандартизация работает достаточно редко, хотя появление таких стандартов никоим образом нельзя исключать. Стандарт также может содержать требования к терминологии, внешнему виду, обозначениям и прочим параметрам тех или иных товаров, услуг, продукции. Главное, что стандарт направлен на создание некоего единого образа либо объекта, как правило, какого-то товара, какой-то продукции, либо единой последовательности действий при осуществлении некоего процесса. Задача стандарта, таким образом, заключается в том, чтобы осуществить стандартизацию, как бы тавтологично это ни звучало. Стандартизация же, в свою очередь, — это деятельность по установлению правил и характеристик, направленные на достижение упорядоченности в сферах производства и обращения продукции, а также повышение качества и конкурентоспособности продукции, работ или услуг. Задача стандартизации заключается в том, чтобы, если какая-то услуга реализуется на основании государственного стандарта, ее потребитель мог бы быть уверен в том, что он получает. В задачах защиты информации это особенно важно, поскольку стандартизация каких-то решений по защите информации, например, конкретных реализаций или алгоритмов защиты информации, будь то криптографическая защита или защита информации некриптографическими методами, потребитель должен быть уверен в том, какое качество он получает. Именно на это и направлена деятельность по разработке государственных стандартов в области защиты информации. По своему содержанию стандарты можно разделить на несколько достаточно обширных групп. Стандарты бывают основополагающие, то есть вводящие какие-то основные принципы, например, проведение некоей процедуры, скажем, процедуры оценки. Они устанавливают, что должно быть основными критериями такой оценки, какие параметры должны быть приняты во внимание обязательно и какие из них считаются основными, а какие — второстепенными. Стандарты на терминологию уже неоднократно встречались нам в рамках курса. Из них мы берем определения основных понятий. Они служат для того, чтобы в официальных документах осуществлялось и поддерживалось единство терминологии, чтобы каждый пользователь такого документа, какой-то инструкции, какой-то сопроводительной документации мог бы быть уверен в том, что он ее однозначно понял. Стандарты на технологии и на процессы описывают подробно различные технологические процессы, их каждую стадию в отдельности, дают рекомендации по тому, как эти процессы должны осуществляться, служат тому, чтобы не нарушалась последовательность действий, и, таким образом, не страдало бы и качество, например, производимой продукции или результат производимого процесса, например, процесса оценивания надежности защиты информации. Стандарты на методы контроля устанавливают, какими методами должна контролироваться степень осуществления защиты информации в организации или на объекте информатизации. Стандарты на документацию служат упорядочению оформления документов, например, технической документации или пользовательских инструкций. Существуют иногда другие стандарты, которые описывают какие-то конкретные вопросы или какие-то конкретные решения по, например, информационной безопасности. Стандарты в области защиты информации можно разделить еще на две большие категории. Возможно, не все из них попадают в эти категории, но большинство попадают. Либо оценочные, то есть стандарты, которые дают некую классификацию информационных средств и средств защиты информации по требованиям безопасности, классам защищенности и так далее. Эти стандарты служат тому, чтобы можно было принимать какие-то решения, которые бы на понятном всем пользователям и всем участникам процесса языке давали бы некую оценку, например, того, насколько та или иная информационная система защищена от, допустим, несанкционированного доступа к информации. Что означает, например, такой-то уровень защищенности? Об этом говорит конкретный стандарт. И вторая большая категория стандартов — это спецификации, то есть описание различных аспектов реализации конкретных средств защиты информации и их применения. По сути, это подробные инструкции по тому, как должны быть реализованы те или иные средства защиты информации, как они должны применяться, какие обязательно элементы должны в них включаться и как эти элементы должны быть между собой взаимосвязаны. Типичными примерами спецификаций являются государственные стандарты как раз на средства криптографической защиты информации. Мы сегодня о них поговорим в нашей лекции. По уровню применения государственных стандартов и их юрисдикции, если угодно, можно составить следующую иерархию стандартов Российской Федерации. Самый высокий уровень — международные — обозначаются ГОСТ ИСО. Это международные стандарты, принятые в Российской Федерации как действующие, признаваемые на территории Российской Федерации. Межгосударственные, обозначаемые просто ГОСТ, — это стандарты, как правило, на уровне Содружества Независимых Государств, принимаемые в качестве государственных стандартов Российской Федерации и еще рядом государств. Государственные стандарты Российской Федерации, оформленные на основе соответствующего текста международного стандарта, обозначаются ГОСТ Р ИСО/МЭК. Большинство стандартов, о которых мы будем сегодня говорить, относятся именно к этой категории. Это государственные стандарты Российской Федерации, оформленные на основе текста международного стандарта. Государственные стандарты просто Российской Федерации, не имеющие мирового аналога, то есть созданные как оригинальные — не на основе какого-то иного текста, обозначаются ГОСТ Р. И к ним, в частности, относятся стандарты на криптографические средства защиты информации. Государственные военные стандарты Российской Федерации обозначаются ГОСТ РВ. Стандарты отраслей, в том числе и на оборонную продукцию, обозначаются ОСТ без первой буквы Г, обозначающей государственный, то есть это стандарты более низкого уровня, чем государственные. И кроме них на самой нижней ступени находятся стандарты предприятий, которые распространяют свою юрисдикцию только на конкретные организации, на какие-то конкретные объекты информатизации, например. [МУЗЫКА] [МУЗЫКА]
