allgosts.ru01. ОБЩИЕ ПОЛОЖЕНИЯ. ТЕРМИНОЛОГИЯ. СТАНДАРТИЗАЦИЯ. ДОКУМЕНТАЦИЯ01.040. Словари

ГОСТ Р 52069.0-2013 Защита информации. Система стандартов. Основные положения

Обозначение:
ГОСТ Р 52069.0-2013
Наименование:
Защита информации. Система стандартов. Основные положения
Статус:
Действует
Дата введения:
09/01/2013
Дата отмены:
-
Заменен на:
-
Код ОКС:
01.040.01

Текст ГОСТ Р 52069.0-2013 Защита информации. Система стандартов. Основные положения



ФЕДЕРАЛЬНОЕ АГЕНТСТВО

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


ГОСТР

52069.0-

2013


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Защита информации

СИСТЕМА СТАНДАРТОВ

Основные положения

Издание официальное

Москва

Стенда ртинформ 2014


Предисловие

1    РАЗРАБОТАН Федеральным автономным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФАУ «ГНИИИ ПТЗИ ФСТЭК России»)

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2013 г. Ма 3-ст

4    83АМЕН ГОСТ Р 52069.0—2003

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0—2012 (раздел в). Информация об изменениях к настоящему стандарту публикуется е ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

© Стандартинформ. 2014

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

Приложение А (справочное) Основные объекты и аспекты стандартизации

in

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации СИСТЕМА СТАНДАРТОВ Основные положения

Safety of information. System of standards. Sasic principles

Дета введения — 2013—09—01

1    Область применения

Настоящий стандарт устанавливает цель, задачи и структуру системы стандартов по защите (некриптогрэфичесхими методами) информации, объекты и аспектыстакдартиэации в данной области.

Положения настоящегостандарта применяются при проведении работ по стандартизации в области противодействия техническим разведкам, технической защиты информации некригттографическими методами, обеспечения (некриптографическими методами) безопасности информации в ключевых системах информационной инфраструктуры.

Настоящий стандарт является основополагающим национальным стандартом Российской Феде* рации в области защиты (некриптографическими методами) информации.

2    Нормативные ссылки

8 настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р1.0—2004 Стандартизация в Российской Федерации. Основные положения ГОСТ Р 1.2—2004 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила разработки, утверждения, обновления и отмены

ГОСТ Р 1.4—2004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положения

ГОСТ Р 1.5—2004 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила построения, изложения, оформления и обозначения

ГОСТ Р 1.7—2008 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила оформления и обозначения при разработке на основе применения международных стандартов

ГОСТ Р 1.8—2004 Стандартизация в Российской Федерации. Стандарты межгосударственные. Правила проведения вРоссийской Федерации работпо разработке, применению, обновлению и прекращению применения

ГОСТ Р 1.10—2004 Стандартизация в Российской Федерации. Правила стандартизации и рекомендации по стандартизации. Порядок разработки, утверждения, изменения, пересмотра и отмены ГОСТ Р1.12—2004 Стандартизация в Российской Федерации. Термины и определения ГОСТ Р 50922—2006 Защита информации. Основные термины и определения ГОСТ Р 51141—98 Делопроизводство и архивное дело. Термины и определения ГОСТ Р 53114—2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

ГОСТ 1.1—2002 Межгосударственная система стандартизации. Термины и определения

Иэдвнив официальное

ГОСТ 1.2—2009 Межгосударственная система стандартизации. Стандарты межгосударствен* ные. правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, применения, обновления и отмены

ГОСТ 1.5—2001 Межгосударственная система стандартизации. Стандарты межгосударствен* ные. правила и рекомендации по межгосударственной стандартизации. Общие требования к построению. изложению, оформлению, содержанию и обозначению

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего попьэоввния — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты*, который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, не который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных еденную версию изменений. Если заменен ссылочный стандарт, не который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применятьбеэ учета данного изменения. Если ссылочный стандарт отменен без замены, то положение. в котором дана ссылка на него, рекомендуется применять в чести, не затрагивающей эту ссылку.

3    Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 1.12. ГОСТ Р 50922. ГОСТ Р 51141, ГОСТ Р 53114. ГОСТ 1.1, а также следующие термины с соответствующими определениями:

3.1    система стандартов по защите информации: Совокупность взаимосвязанных стандартов, устанавливающих характеристики продукции, правила осуществления и характеристики процессов, выполнения работ или оказания услуг в области защиты информации.

3.2    технология: Система взаимосвязанных методов, способов, приемов предметной деятельности.

3.3    продукция: Результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях.

3.4    процесс: Совокупность последовательных действий для достижения какого-либо результата.

4    Обозначения и сокращения

В настоящем стандарте применены следующие сокращения:

ЗИ — защита информации:

ОБИ в КСИИ — обеспечение безопасности информации в ключевых системах информационной инфраструктуры;

ОЗИ — объект защиты информации;

ПРНС — программа разработки национальных стандартов;

СЗИ — средство защиты информации;

СКЭЗИ — средство контроля эффективности защиты информации:

ССЗИ — система стандартов по защите информации;

ТЗИ — техническая защита информации;

ТК — технический комитет по стандартизации.

5    Общие положения

5.1 Система стандартов по защите информации является составной частью национальной системы стандартизации Российской Федерации и формируется е соответствии с программами разработки национальных стандартов.

Целью ССЗИ является достижение рациональной упорядоченности организации и содержания работеобластиЗИ, повышение эффективности ЗИ на основе установления общих правил и характеристик для их многократного использования, а также повышение эффективности работ по стандартизации за счет упорядочения структуры системы стандартов, процесса разработки стандартов, учета взаимосвязи стандартов различных систем.

5.2    Основными задачами по формированию и развитию ССЗИ являются:

•    установление основополагающих принципов построения, требований к составу и содержанию системы документов в области ЗИ;

•    обеспечение единства терминологии в области ЗИ;

•    упорядочение объектов и аспектов стандартизации в области ЗИ;

•    обеспечение единства организационных и методических подходов к проведению работ по ЗИ;

•    установление системы требований по ЗИ. предъявляемых к различным видам ОЗИ. и методов контроля выполнения этих требований;

•    установление общих технических требований кСЗИ и СКЭЗИ. методам их испытаний;

•    установление общих требований к услугам по ЗИ;

•    установление требований к методам и методикам испытаний и оценки качества СЗИ и СКЭЗИ. к методам и методикам измерений в процессе контроля эффективности мероприятий по ЗИ;

•    установление требований к метрологическому, информационному и другим видам обеспечения ЗИ.

5.3    Формирование ССЗИ осуществляется во взаимосвязи сдругими документами по стандартизации еобласти ЗИ. используемыми на территории Российской Федерации, сучетом основных принципов стандартизации, установленных ГОСТ Р1.0. а также следующих дополнительных принципов:

•    учет важности и характеристик ОЗИ при определении объектов и аспектов стандартизации в ходе планирования и разработки документов по стандартизации в области ЗИ;

•    согласованность работ по стандартизации в области ЗИ. выполняемых федеральными органами исполнительной власти в пределах их компетенции и другими организациями — участниками работе рамках отдельных систем стандартов;

•    согласованность и непротиворечивость требований по ЗИ в документах по стандартизации, исключение их дублирования в различных документах, обеспечение унификации требований по ЗИ;

•    комплексность охвата взаимосвязанных объектов стандартизации в области ЗИ.

5.4    Основными объектами стандартизации ССЗИ являются;

а)    ЗИкакобластьдеятельности:

•    противодействие техническим разведкам;

•    ТЗИ;

•    ОБИвКСИИ;

б)    ОЗИ. в том числе:

•    промышленные объекты, объекты науки, энергетики, жизнеобеспечения.

•    объекты органов управления;

•    объекты информатизации;

•    продукция;

-    процессы (работы, технологии);

в)    угрозы безопасности информации и уязвимости ОЗИ;

г)    организация и содержание работ по ЗИ;

д)    методы (процессы, работы, технологии) ЗИ и методы контроля состояния ЗИ;

е)    техника ЗИ. в том числе:

-    СЗИ;

•    СКЭЗИ;

ж)    услуги по ЗИ.

Применение — Указанные объекты стандартизации ССЗИ могут быть подразделены на классы, виды и группы. При атом используется иерархическая система классификации. На каждой ступени классификации объекта деление осуществляют по классификационным признакам, назначение, область применения, а также с учетом отношений вида «часть — целое*, «причина — следствие» и др. Классификация объекта может быть завершена на различных ступенях классификационного деления в зависимости от решаемых задач по стандартизации в области ЗИ и категории стандарта.

5.5    Основными аспектами стандартизации в ССЗИ являются:

•    термины и определения в области ЗИ;

•    классификация в области ЗИ (ОЗИ, угроз безопасности информации, уязвимостей ОЗИ. работ и услуг по ЗИ. техники ЗИ):

•    требования к системе документов в области ЗИ и ССЗИ. в том числе требования к структуре системы документов, содержанию, оформлению, порядку разработки, согласования, утверждения и отмены;

•    общие технические требования по ЗИ. предъявляемые к различным ОЗИ;

•    общие требования коргакизации и содержанию работ по ЗИ на ОЗИ;

з

•    общие технические требования к СЗИ и СКЭЗИ и методам их испытаний;

•    методы контроля организации и эффективности ЗИ. методы измерений при проведении контроля;

•    общие требования к организации, содержанию работ и результатам оказания услуг по ЗИ.

В процессе разработки стандартов перечисленные аспекты стандартизации детализируются при-менительно к объектам стандартизации. Взаимосвязь основных объектов и аспектов стандартизации (фрагмент) показана в приложении А.

5.6 Система стандартов по защите информации включает следующие виды документов в области стандартизации по ЗИ. используемых на территории Российской Федерации:

•    национальные стандарты Российской Федерации, в том числе ограниченного распространения, государственные военные стандарты, национальные стандарты, оформленные на основе аутентичных переводов международных стандартов (гармонизированные стандарты);

•    межгосударственные стандарты;

•    правила стандартизации, нормы и рекомендации в области стандартизации;

. общероссийские классификаторы технико-экономической и социальной информации;

•    стандарты организаций;

- предварительные национальные стандарты.

Кроме перечисленных выше документов в состав документов в области стандартизации по ЗИ могут входить:

•    своды правил:

•    нормативно-технические документы системы общих технических требований к видам вооружения и военной техники;

•    международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, и их надлежащим образом заверенные переводы на русский язык.

Примечание — В случае установления отдельных требований по ЗИ в принятых технических регламентах на территории Российской Федерации на добровольной основе могут применяться международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, в интересах обеспечения соблюдения указанных требований.

5.7    Виды стандартов, разрабатываемых в области ЗИ. соответствуют ГОСТ Р 1.0.

5.8    Национальные стандарты Российской Федерации и предварительные национальные стандарты по ЗИ обеспечивают систематизацию и упорядочение предъявляемых кним требований и не должны противоречить нормативным правовым актам Российской Федерации.

5.9    Межгосударственные стандарты по ЗИ применяются по ГОСТ 1.2 и ГОСТ Р1.8.

5.10    Правила стандартизации, нормы стандартизации и рекомендации в области стандартизации разрабатываются на объекты, процессы ЗИ.

5.11    Общероссийские классификаторы технико-экономической и социальной информации устанавливают классификацию видов экономической деятельности и информации о них. продукции, документации, услуг.

5.12    Стандарты организаций по ЗИ разрабатываются организациями и утверждаются ими самостоятельно исходя из необходимости применения этих стандартов для целей стандартизации по ЗИ. для совершенствования производства и обеспечения качества продукции, выполнения работ, оказания услуг, а также для распространения и использования полученных в области ЗИ знаний результатов исследований (испытаний), измерений и разработок, и не должны противоречить другим документам в области стандартизации по ЗИ. используемым на территории Российской Федерации.

5.13    Своды правил разрабатываются в случае отсутствия национальных стандартов применительно котдельным требованиям технических регламентов или к объектам технического регулирования в целях обеспечения соблюдения требований технических регламентов к продукции или связанным с ними процессами проектирования (включая изыскания), производства, строительства, монтажа, наладки. эксплуатации, хранения, перевозки, реализации и утилизации.

Примечание — Своды правил по ЗИ могут разрабатываться в случае установления отдельных требований по ЗИ в принятых технических регламентах.

5.14    Нормативно-технические документы системы общих технических требований квидам вооружения и военной техники устанавливают общие требования к изделиям вооружения и военной техники по ЗИ и общие технические требования кСЗИ и СКЭЗИ. тактико-технические задания на разработку которых выдает федеральный орган исполнительной власти, уполномоченный в области обороны.

5.15    Национальные стандарты по ЗИ разрабатывают, принимают, пересматривают, вносят изменения или отменяют по ГОСТ Р 1.2. стандарты организаций — по ГОСТ Р 1.4. своды правил — в соответствии с правилами, утвержденными постановлением Правительства Российской Федерации (1), правила, нормы стандартизации и рекомендации по стандартизации — ло ГОСТ Р 1.10.

5.16    Оформление и содержание стандартов ССЗИ должны соответствовать требованиям ГОСТ Р 1.5. ГОСТ Р 1.7. ГОСТ Р 1.10, ГОСТ 1.5, а также национальных стандартов ограниченного распространения. утверждаемых Федеральным агентством по техническому регулированию и метрологии по согласованию с федеральными органами исполнительной власти, являющимися в соответствии с законодательством Российской Федерации органами защиты государственной тайны.

6 Структура системы стандартов по защите информации

6.1    Система стандартов ло защите информации является составной частью общей системы документов в области ЗИ. Структура ССЗИ определяется объектами и аспектами стандартизации.

6.2    Система стандартов по защите информации включает подсистемы стандартов в области:

-    противодействия техническим разведкам;

-    ТЗИ;

•    ОБИвКСИИ.

б каждой области подсистемы стандартов ССЗИ включают следующие комплексы стандартов:

•    комплекс общесистемных стандартов по ЗИ;

•    комплексы стандартов по ЗИ для различных классов (видов, групп) ОЗИ;

•    комплексы стандартов по технике ЗИ;

•    комплекс стандартов на услуги по ЗИ.

Примечание — 8 зависимости от объектов стандартизации, указанные комплексы стандартов могут включать документы в области стандартизации по 5.6.

Структура ССЗИ всоответствии с приложением Б.

6.3    Комплекс общесистемных стандартов устанавливает общие требования по ЗИ в различных областях деятельности, терминологию в области ЗИ. общие требования к системе документов по ЗИ. классификацию, структуру системы документов, требования ксодержанию.

6.4    Комплексы стандартов по ЗИ для различных классов ОЗИ формируются применительно ккон-кретным классам (при необходимости видам. группам)ОЗИ и включают национальные стандарты, относящиеся к одному объекту стандартизации:

•    стандарты, содержащие общие требования к ОЗИ;

•    стандарты, содержащие описание, классификацию и характеристики угроз безопасности информации и уязвимостей применительно к классу (при необходимости виду, группе) ОЗИ:

•    стандарты, содержащие требования к организации и содержанию работ по ЗИ применительно к классу (при необходимости виду, группе) ОЗИ:

•    стандарты, содержащие требования к методам ЗИ и контроля эффективности ЗИ применительно к классу (при необходимости виду, группе) ОЗИ.

6.5    Комплексы стандартов ло технике ЗИ включают:

•    стандарты, содержащие требования к СЗИ;

•    стандарты, содержащие требования к СКЭЗИ.

6.6    Комплексстандартовна услуги лоЗИ включает стандарты, содержащие требования лооргани-зации. содержанию работ, используемым методам оценки соответствия СЗИ и СКЭЗИ. а также аттестации объектов информатизации по требованиям безопасности информации.

6.7    Отдельные требования лоЗИ, включаемые в документывобластистандартизации других систем стандартов, должны быть взаимоувязаны со стандартами ССЗИ.

Технологические схемы проведения работ по включению отдельных требований по ЗИ в разрабатываемые документы в области стандартизации, а также в действующие документы е области стандартизации приведены на рисунках В.1. В.2 приложения 8. Жирным шрифтом на рисунках показаны дополнительные (по отношению к ГОСТ Р 1.2) работы, подлежащие выполнению в интересах осуществления периодической актуализации документов в области стандартизации, содержащих отдельные требования по ЗИ.

6.8    Структура регистрационного номера стандартов ССЗИ включает в себя:

-    обозначение категории стандарта;

•    регистрационный номер стандарта;

•    порядковый номер стандарта в комплексе (пакете) национальных стандартов ССЗИ.

6.9    Наименование стандартов в области ЗИ приводится в соответствии с требованиями ГОСТ 1.5 (подраздел 3.6) и в зависимости от его содержания имеет следующую структуру:

-    заголовок и подзаголовок;

•    групповой заголовок, заголовок и подзаголовок.

Примеры;

ЗАЩИТА ИНФОРМАЦИИ. Термины и определения (заголовок и подзаголовок):

Защита информации. СИСТЕМА ОБЕСПЕЧЕНИЯ КАЧЕСТВА ТЕХНИКИ ЗАЩИТЫ ИНФОРМАЦИИ. Общие положения (групповод заголовок, заголовок и подзаголовок).

Приложение А (справочное)

Основные объекты и аспекты стандартизации в системе стандартов по защите информации

(фрагмент)

Взаимосвязь основных объектов и аспектов стандартизации (фрагмент) в системе стандартов по защите информации проиллюстрирована в таблице А.1.

Таблица А.1 — Основные объекты и аспекты стандартизации в системе стандартов по защите информации

Объекты стандартизации

Аспекты стандартизации

ТЗИ. как область деятельности

Общие положения по ТЗИ. термины и определения, принципы, методы классификации и кодирования информации, структура системы документов. содержание, требования к содержанию, порядку разработки, согласования. утверждения, отмены

ОЗИ

Общие положения, классификация, общие требования, виды защищаемых ресурсов, методы обоснования требований, критерии оценки безопасности

Угрозы безопасности информации и уязвимости на ОЗИ

Общие положения, классификация, характеристики угроз безопасности информации и уязвимостей информационных систем

Организация и содержание работ по ЗИ

Общие положения, порядок и содержание работ по защите информационных систем от различных видов угроз безопасности информации, по созданию систем обеспечения безопасности информации и управлению ими. основные функции должностных лиц. органов и организаций, требования к документам

Методы (процессы, работы, технологии) ЗИ и контроля состояния ЗИ

Общие положения, классификация, порядок, правила, методы оценки безопасности, критерии, методы ЗИ и контроля, требования к должностным лицам, порядок выполнения рвбот подразделениями и специалистами. требования к документам

Техника ЗИ. а том числе СЗИ и СКЭЗИ

Общие положения, классификация, общие требования, номенклатура СЗИ. СКЭЗИ. требования к средствам, методам испытаний, методы обоснования требований, методы контроля (проверки) выполнения требований. методы измерений, показатели качества, методы определения показателей качества техники ЗИ

Услуги по ЗИ

Общие положения, порядок предоставления услуг, требования к организации. содержанию работ, методам оценки соответствия СЗИ. СКЭЗИ. аттестации объектов информатизации на соответствие требованиям безопасности информации

Приложение Б (обязательное)


Структура системы стандартов по защите информации


Рисунок 6.1 — Структура системы стандартов по защите ^формации


ГОСТ Р 52069.0—2013


Приложение В (рекомендуемое)

Технологические схемы проведения работ по включению отдельных требований по защите информации

в документы других систем стандартизации

Рисунок 6.1 — Технологические схемы проведете работ по включению отдельных требоватй позащите информации в разрабатываемые документы в области стандартизации


ГОСТ Р 52069.0—2013


Лц-мшм

1 CZ3 -flUMtCMiM |Ч1МИИ»»Ч11|«.    awm»«

21    | - Л»0|»СС МШ IMM Лч)ИИИ|»    C|W ICIlHgWiXI^I

uit m niifirnirr rf ,n“n mr 4    -fl—Ht< flMmUMlHHIMlIMUHWIHWI


ГОСТ Р 52069.0—2013


Рисунок в. 2 — Технологические схемы проведений работ по включению отдельных требований по защите ^формации в действующие документы в области стаидертиэацм*

Библиография

[1] Постановление Правительства    О порядке разработки и утверждения сводов правил

Российской Федерации от 19.11.2008 № 858

УДК 65.011.56.012.45:006.354    ОКС01.040.01    Э02    ОКСТУ0090

Ключевые слова: защита информации, стандартизация в области защиты информации, объекты стан» дартиэации, система стандартов по защите информации, объект защиты информации, техника защиты информации, обеспечение защиты информации

Редактор Н.А. Аргунове Технический редактор А Н. Прусакова Корректор £Д Дупънева Компьютерная верстка И.А Нелейкиной

Сдано в набор 23.12.2013. Подписано а печать 27.01.2014. Формат 60 ' 84^£. Гарнитура Ариал Уел. печ. п. 1.86. Уч.-изд. л. 1.45. Тираж 133 экэ. За*. 13В.

Издано и отпечатано ео ФГУП «СТАНДАР ТИН ФОРМ». 123095 Москва, Гранатный пор.. 4.