Содержание

Реквизиты документа

Вид: Гост р (государственный стандарт)
Принят: Росстандарт 28.02.2013
Номер: 52069.0-2013
Редакция от: 28.02.2013
Дата вступления в силу: 01.09.2013
Статус: Действует
Опубликован: На момент включения в базу документ опубликован не был

Примечания

ОКС 01.040.01

Защита информации. Система стандартов. Основные положения. ГОСТ р 52069.0-2013

(утв. Приказом Росстандарта от 28.02.2013 N 3-СТ)

Редакция от 28.02.2013 — Действует с 01.09.2013

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ЗАЩИТА ИНФОРМАЦИИ

СИСТЕМА СТАНДАРТОВ

ОСНОВНЫЕ ПОЛОЖЕНИЯ

SAFETY OF INFORMATION. SYSTEM OF STANDARDS. BASIC PRINCIPLES

ГОСТ Р 52069.0-2013

Дата введения 2013-09-01

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1. РАЗРАБОТАН Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России").

2. ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации".

3. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 февраля 2013 г. N 3-ст.

4. ВЗАМЕН ГОСТ Р 52069.0-2003.

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.

1 Область применения

Настоящий стандарт устанавливает цель, задачи и структуру системы стандартов по защите (некриптографическими методами) информации, объекты и аспекты стандартизации в данной области.

Положения настоящего стандарта применяются при проведении работ по стандартизации в области противодействия техническим разведкам, технической защиты информации некриптографическими методами, обеспечения (некриптографическими методами) безопасности информации в ключевых системах информационной инфраструктуры.

Настоящий стандарт является основополагающим национальным стандартом Российской Федерации в области защиты (некриптографическими методами) информации.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 1.0-2004 Стандартизация в Российской Федерации. Основные положения

ГОСТ Р 1.2-2004 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила разработки, утверждения, обновления и отмены

ГОСТ Р 1.4-2004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положения

ГОСТ Р 1.5-2004 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила построения, изложения, оформления и обозначения

ГОСТ Р 1.7-2008 Стандартизация в Российской Федерации. Стандарты национальные Российской Федерации. Правила оформления и обозначения при разработке на основе применения международных стандартов

ГОСТ Р 1.8-2004 Стандартизация в Российской Федерации. Стандарты межгосударственные. Правила проведения в Российской Федерации работ по разработке, применению, обновлению и прекращению применения

ГОСТ Р 1.10-2004 Стандартизация в Российской Федерации. Правила стандартизации и рекомендации по стандартизации. Порядок разработки, утверждения, изменения,пересмотра и отмены

ГОСТ Р 1.12-2004 Стандартизация в Российской Федерации. Термины и определения

ГОСТ Р 50922-2006 Защита информации. Основные термины и определения

ГОСТ Р 51141-98 Делопроизводство и архивное дело. Термины и определения

ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

ГОСТ 1.1-2002 Межгосударственная система стандартизации. Термины и определения

ГОСТ 1.2-2009 Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Порядок разработки, принятия, применения, обновления и отмены

ГОСТ 1.5-2001 Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Общие требования к построению, изложению, оформлению, содержанию и обозначению

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 1.12, ГОСТ Р 50922, ГОСТ Р 51141, ГОСТ Р 53114, ГОСТ 1.1, а также следующие термины с соответствующими определениями:

3.1. система стандартов по защите информации: Совокупность взаимосвязанных стандартов, устанавливающих характеристики продукции, правила осуществления и характеристики процессов, выполнения работ или оказания услуг в области защиты информации.

3.2. технология: Система взаимосвязанных методов, способов, приемов предметной деятельности.

3.3. продукция: Результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях.

3.4. процесс: Совокупность последовательных действий для достижения какого-либо результата.

4 Обозначения и сокращения

В настоящем стандарте применены следующие сокращения:

ЗИ - защита информации;

ОБИ в КСИИ - обеспечение безопасности информации в ключевых системах информационной инфраструктуры;

ОЗИ - объект защиты информации;

ПРНС - программа разработки национальных стандартов;

СЗИ - средство защиты информации;

СКЭЗИ - средство контроля эффективности защиты информации;

ССЗИ - система стандартов по защите информации;

ТЗИ - техническая защита информации;

ТК - технический комитет по стандартизации.

5 Общие положения

5.1 Система стандартов по защите информации является составной частью национальной системы стандартизации Российской Федерации и формируется в соответствии с программами разработки национальных стандартов.

Целью ССЗИ является достижение рациональной упорядоченности организации и содержания работ в области ЗИ, повышение эффективности ЗИ на основе установления общих правил и характеристик для их многократного использования, а также повышение эффективности работ по стандартизации за счет упорядочения структуры системы стандартов, процесса разработки стандартов, учета взаимосвязи стандартов различных систем.

5.2 Основными задачами по формированию и развитию ССЗИ являются:

- установление основополагающих принципов построения, требований к составу и содержанию системы документов в области ЗИ;

- обеспечение единства терминологии в области ЗИ;

- упорядочение объектов и аспектов стандартизации в области ЗИ;

- обеспечение единства организационных и методических подходов к проведению работ по ЗИ;

- установление системы требований по ЗИ, предъявляемых к различным видам ОЗИ, и методов контроля выполнения этих требований;

- установление общих технических требований к СЗИ и СКЭЗИ, методам их испытаний;

- установление общих требований к услугам по ЗИ;

- установление требований к методам и методикам испытаний и оценки качества СЗИ и СКЭЗИ, к методам и методикам измерений в процессе контроля эффективности мероприятий по ЗИ;

- установление требований к метрологическому, информационному и другим видам обеспечения ЗИ.

5.3 Формирование ССЗИ осуществляется во взаимосвязи с другими документа ми по стандартизации в области ЗИ, используемыми на территории Российской Феде рации, с учетом основных принципов стандартизации, установленных ГОСТ Р 1.0, а также следующих дополнительных принципов:

- учет важности и характеристик ОЗИ при определении объектов и аспектов стандартизации в ходе планирования и разработки документов по стандартизации в области ЗИ;

- согласованность работ по стандартизации в области ЗИ, выполняемых федеральными органами исполнительной власти в пределах их компетенции и другими организациями-участниками работ в рамках отдельных систем стандартов;

- согласованность и непротиворечивость требований по ЗИ в документах по стандартизации, исключение их дублирования в различных документах, обеспечение унификации требований по ЗИ;

- комплексность охвата взаимосвязанных объектов стандартизации в области ЗИ.

5.4 Основными объектами стандартизации ССЗИ являются:

а) ЗИ как область деятельности:

- противодействие техническим разведкам;

- ТЗИ;

- ОБИ в КСИИ;

б) ОЗИ, в том числе:

- промышленные объекты, объекты науки, энергетики ,жизнеобеспечения;

- объекты органов управления;

- объекты информатизации;

- продукция;

- процессы (работы, технологии);

в) угрозы безопасности информации и уязвимости ОЗИ;

г) организация и содержание работ по ЗИ;

д) методы (процессы, работы .технологии) ЗИ и методы контроля состояния ЗИ;

е) техника ЗИ, в том числе:

- СЗИ;

- СКЭЗИ;

ж) услуги по ЗИ.

Примечание - Указанные объекты стандартизации ССЗИ могут быть подразделены на классы, виды и группы. При этом используется иерархическая система классификации. На каждой ступени классификации объекта деление осуществляют по классификационным признакам: назначение, область применения, а также с учетом отношений вида "часть - целое", "причина - следствие" и др. Классификация объекта может быть завершена на различных ступенях классификационного деления в зависимости от решаемых задач по стандартизации в области ЗИ и категории стандарта.

5.5 Основными аспектами стандартизации в ССЗИ являются:

- термины и определения в области ЗИ;

- классификация в области ЗИ (ОЗИ, угроз безопасности информации, уязвимостей ОЗИ, работ и услуг по ЗИ,техники ЗИ);

-требования к системе документов в области ЗИ и ССЗИ, в том числе требования к структуре системы документов, содержанию, оформлению, порядку разработки, согласования, утверждения и отмены;

- общие технические требования по ЗИ, предъявляемые к различным ОЗИ;

- общие требования к организации и содержанию работ по ЗИ на ОЗИ;

- общие технические требования к СЗИ и СКЭЗИ и методам их испытаний;

- методы контроля организации и эффективности ЗИ, методы измерений при проведении контроля;

- общие требования к организации, содержанию работ и результатам оказания услуг по ЗИ.

В процессе разработки стандартов перечисленные аспекты стандартизации детализируются применительно к объектам стандартизации. Взаимосвязь основных объектов и аспектов стандартизации (фрагмент) показана в приложении А.

5.6 Система стандартов по защите информации включает следующие виды документов в области стандартизации по ЗИ, используемых на территории Российской Федерации:

- национальные стандарты Российской Федерации, в том числе ограниченного распространения, государственные военные стандарты, национальные стандарты, оформленные на основе аутентичных переводов международных стандартов (гармонизированные стандарты);

- межгосударственные стандарты;

- правила стандартизации, нормы и рекомендации в области стандартизации;

- общероссийские классификаторы технико-экономической и социальной информации;

- стандарты организаций.

- предварительные национальные стандарты.

Кроме перечисленных выше документов в состав документов в области стандартизации по ЗИ могут входить:

- своды правил;

- нормативно-технические документы системы общих технических требований к видам вооружения и военной техники;

- международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, и их надлежащим образом заверенные переводы на русский язык.

Примечание - В случае установления отдельных требований по ЗИ в принятых технических регламентах на территории Российской Федерации на добровольной основе могут применяться международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, в интересах обеспечения соблюдения указанных требований.

5.7. Виды стандартов, разрабатываемых в области ЗИ, соответствуют ГОСТ Р 1.0.

5.8.Национальные стандарты Российской Федерации и предварительные национальные стандарты по ЗИ обеспечивают систематизацию и упорядочение предъявляемых к ним требований и не должны противоречить нормативным правовым актам Российской Федерации.

5.9. Межгосударственные стандарты по ЗИ применяются по ГОСТ 1.2 и ГОСТ Р 1.8.

5.10. Правила стандартизации, нормы стандартизации и рекомендации в области стандартизации разрабатываются на объекты, процессы ЗИ.

5.11. Общероссийские классификаторы технико-экономической и социальной информации устанавливают классификацию видов экономической деятельности и информации о них, продукции, документации, услуг.

5.12. Стандарты организаций по ЗИ разрабатываются организациями и утверждаются ими самостоятельно исходя из необходимости применения этих стандартов для целей стандартизации по ЗИ, для совершенствования производства и обеспечения качества продукции, выполнения работ, оказания услуг, а также для распространения и использования полученных в области ЗИ знаний результатов исследований (испытаний), измерений и разработок, и не должны противоречить другим документам в области стандартизации по ЗИ, используемым на территории Российской Федерации.

5.13. Своды правил разрабатываются в случае отсутствия национальных стандартов применительно к отдельным требованиям технических регламентов или к объектам технического регулирования в целях обеспечения соблюдения требований технических регламентов к продукции или связанным с ними процессами проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации.

Примечание - Своды правил по ЗИ могут разрабатываться в случае установления отдельных требований по ЗИ в принятых технических регламентах.

5.14. Нормативно-технические документы системы общих технических требований к видам вооружения и военной техники устанавливают общие требования к изделиям вооружения и военной техники по ЗИ и общие технические требования к СЗИ и СКЭЗИ, тактико-технические, задания на разработку которых выдает федеральный орган исполнительной власти, уполномоченный в области обороны.

5.15. Национальные стандарты по ЗИ разрабатывают, принимают, пересматривают, вносят изменения или отменяют по ГОСТ Р 1.2, стандарты организаций -по ГОСТ Р 1.4, своды правил - в соответствии с правилами, утвержденными постановлением Правительства Российской Федерации [1], правила, нормы стандартизации и рекомендации по стандартизации - по ГОСТ Р 1.10

5.16. Оформление и содержание стандартов ССЗИ должны соответствовать требованиям ГОСТ Р 1.5, ГОСТ Р 1.7, ГОСТ Р 1.10, ГОСТ 1.5, а также национальных стандартов ограниченного распространения, утверждаемых Федеральным агентством по техническому регулированию и метрологии по согласованию с федеральными органами исполнительной власти, являющимися в соответствии с законодательством Российской Федерации органами защиты государственной тайны.

6 Структура системы стандартов по защите информации

6.1. Система стандартов по защите информации является составной частью общей системы документов в области ЗИ. Структура ССЗИ определяется объектами и аспектами стандартизации.

6.2. Система стандартов по защите информации включает подсистемы стандартов в области:

- противодействия техническим разведкам;

- ТЗИ;

- ОБИ в КСИИ.

В каждой области подсистемы стандартов ССЗИ включают следующие комплексы стандартов:

- комплекс общесистемных стандартов по ЗИ;

- комплексы стандартов по ЗИ для различных классов (видов, групп) ОЗИ;

- комплексы стандартов по технике ЗИ;

- комплекс стандартов на услуги по ЗИ.

Примечание - В зависимости от объектов стандартизации, указанные комплексы стандартов могут включать документы в области стандартизации по 5.6.

Структура ССЗИ в соответствии с приложением Б.

6.3. Комплекс общесистемных стандартов устанавливает общие требования по ЗИ в различных областях деятельности, терминологию в области ЗИ, общие требования к системе документов по ЗИ, классификацию, структуру системы документов, требования к содержанию.

6.4. Комплексы стандартов по ЗИ для различных классов ОЗИ формируются применительно к конкретным классам (при необходимости видам, группам) ОЗИ и включают национальные стандарты, относящиеся к одному объекту стандартизации:

- стандарты, содержащие общие требования к ОЗИ;

- стандарты, содержащие описание, классификацию и характеристики угроз безопасности информации и уязвимостей применительно к классу (при необходимости виду, группе) ОЗИ;

- стандарты, содержащие требования к организации и содержанию работ по ЗИ применительно к классу (при необходимости виду, группе) ОЗИ;

- стандарты, содержащие требования к методам ЗИ и контроля эффективности ЗИ применительно к классу (при необходимости виду, группе) ОЗИ.

6.5 Комплексы стандартов по технике ЗИ включают:

- стандарты, содержащие требования к СЗИ;

- стандарты, содержащие требования к СКЭЗИ.

6.6. Комплекс стандартов на услуги по ЗИ включает стандарты, содержащие требования по организации, содержанию работ, используемым методам оценки соответствия СЗИ и СКЭЗИ, а также аттестации объектов информатизации по требованиям безопасности информации.

6.7. Отдельные требования по ЗИ, включаемые в документы в области стандартизации других систем стандартов, должны быть взаимоувязаны со стандартами ССЗИ.

Технологические схемы проведения работ по включению отдельных требований по ЗИ в разрабатываемые документы в области стандартизации, а также в действующие документы в области стандартизации, приведены на рисунках В.1, В.2 приложения В. Жирным шрифтом на рисунках показаны дополнительные (по отношению к ГОСТ Р 1.2) работы, подлежащие выполнению в интересах осуществления периодической актуализации документов в области стандартизации, содержащих отдельные требования по ЗИ.

6.8 Структура регистрационного номера стандартов ССЗИ включает в себя:

- обозначение категории стандарта;

- регистрационный номер стандарта;

- порядковый номер стандарта в комплексе (пакете) национальных стандартов ССЗИ.

6.9 Наименование стандартов в области ЗИ приводится в соответствии с требованиями ГОСТ 1.5 (подраздел 3.6) и в зависимости от его содержания имеет следующую структуру:

- заголовок и подзаголовок;

- групповой заголовок, заголовок и подзаголовок.

Примеры:

ЗАЩИТА ИНФОРМАЦИИ. Термины и определения (заголовок и подзаголовок);

Защита информации. СИСТЕМА ОБЕСПЕЧЕНИЯ КАЧЕСТВА ТЕХНИКИ ЗАЩИТЫ ИНФОРМАЦИИ. Общие положения (групповой заголовок, заголовок и подзаголовок)

Приложение А
(справочное)

ОСНОВНЫЕ ОБЪЕКТЫ И АСПЕКТЫ СТАНДАРТИЗАЦИИ В СИСТЕМЕ СТАНДАРТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ (ФРАГМЕНТ)

Взаимосвязь основных объектов и аспектов стандартизации (фрагмент) в системе стандартов по защите информации проиллюстрирована в таблице А.1.

Таблица А.1

Основные объекты и аспекты стандартизации в системе стандартов по защите информации

Объекты стандартизации	Аспекты стандартизации
ТЗИ, как область деятельности	Общие положения по ТЗИ, термины и определения, принципы, методы классификации и кодирования информации, структура системы документов, содержание, требования к содержанию, порядку разработки, согласования, утверждения, отмены
ОЗИ	Общие положения, классификация, общие требования, виды защищаемых ресурсов, методы обоснования требований, критерии оценки безопасности
Угрозы безопасности информации и уязвимости на 03И	Общие положения, классификация, характеристики угроз безопасности информации и уязвимостей информационных систем
Организация и содержание работ по ЗИ	Общие положения, порядок и содержание работ по защите информационных систем от различных видов угроз безопасности информации, по созданию систем обеспечения безопасности информации и управлению ими, основные функции должностных лиц, органов и организаций, требования к документам
Методы (процессы, работы, технологии) ЗИ и контроля состояния 3И	Общие положения, классификация, порядок, правила, методы оценки безопасности, критерии, методы ЗИ и контроля, требования к должностным лицам, порядок выполнения работ подразделениями и специалистами, требования к документам
Техника ЗИ, в том числе СЗИ и СКЭЗИ	Общие положения, классификация, общие требования, номенклатура СЗИ, СКЭЗИ, требования к средствам, методам испытаний, методы обоснования требований, методы контроля (проверки) выполнения требований, методы измерений, показатели качества, методы определения показателей качества техники ЗИ
Услуги по ЗИ	Общие положения, порядок предоставления услуг, требования к организации, содержанию работ, методам оценки соответствия СЗИ, СКЭЗИ, аттестации объектов информатизации на соответствие требованиям безопасности информации

Приложение Б
(обязательное)

СТРУКТУРА СИСТЕМЫ СТАНДАРТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Рисунок Б.1 - Структура системы стандартов по защите информации

Приложение В
(рекомендуемое)

ТЕХНОЛОГИЧЕСКИЕ СХЕМЫ ПРОВЕДЕНИЯ РАБОТ ПО ВКЛЮЧЕНИЮ ОТДЕЛЬНЫХ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ В ДОКУМЕНТЫ ДРУГИХ СИСТЕМ СТАНДАРТИЗАЦИИ

Рисунок В.2. - Технологические схемы проведения работ по включению отдельных требований по защите информации в действующие документы в области стандартизации

БИБЛИОГРАФИЯ

[1] Постановление Правительства Российской Федерации от 19.11.2008 N 858

О порядке разработки и утверждения сводов правил