Главная » Безопасность » Защита6 » Развитие и совершенствование отечественной нормативной базы на средства и методы противодействия угрозам в информационной сфере

Развитие и совершенствование отечественной нормативной базы на средства и методы противодействия угрозам в информационной сфере

Одним из важных направлений обеспечения информационной безопасности Российской Федерации является развитие и совершенствование отечественной нормативной базы на средства и методы противодействия угрозам информационной сфере. При реализации государственной политики в этой области учитывается решимость России стать полноправным участником глобального информационного сообщества, что нашло отражение в подписанной Президентом Российской Федерации Окинавской хартии 2000 года, а также стремление России вступить во Всемирную Торговую Организацию (ВТО). Одним из главных условий интеграции России в мировое информационное сообщество и вступления в ВТО является гармонизация отечественных и международных стандартов, что также распространяется и на область информационной безопасности. В настоящее время в стране создана и действует нормативная база в области информационной безопасности:

— 26 государственных и межгосударственных стандартов (ГОСТ и ГОСТ Р);
— 8 руководящих документов (РД) Гостехкомиссии России;
— более 40 отраслевых стандартов в оборонных отраслях промышленности и Министерстве обороны России.

Действующая отечественная нормативная база в области информационной безопасности позволяет в целом решать проблемы защиты информации в автоматизированных системах управления, информационных системах, вычислительных и телекоммуникационных сетях, позволяет обеспечивать проведение сертификации средств и систем информационных технологий на соответствие требованиям информационной безопасности. Однако анализ состояния отечественной и международной нормативной базы в области информационной безопасности показывает, что отечественная нормативная база:

— отстает от современного уровня развития информационных технологий и требуемого нормативного обеспечения;
— не отвечает современному уровню развития международной нормативной базы, не учитывает зарубежный опыт и методологию разработки нормативных документов в области безопасности информационных технологий.

С целью ликвидации отставания отечественной нормативной базы от международного и зарубежного уровня Гостехкомиссия России и Госстандарт России совместно с другими заинтересованными министерствами и ведомствами предприняли ряд серьезных шагов по развитию и совершенствованию нормативной базы в данной области:

1. Утверждены три государственных стандарта ГОСТ Р ИСО/МЭК 15408-2002 (части 1, 2, 3), определяющие критерии оценки безопасности информационных технологий, которые позволяют определить требования по формированию заданий по безопасности в соответствии с положениями международных стандартов (прямое внедрение стандарта ИСО/ МЭК 15408-2000 (части 1, 2, 3), называемого «Общие критерии»).

2. Сформированы, зарегистрированы в Госстандарте России в установленном порядке и функционируют 6 Систем сертификации в области информационной безопасности, в том числе:

— система сертификации средств защиты информации по требованиям безопасности информации;
— система сертификации средств криптографической защиты информации;
— система сертификации средств и систем информатизации.

3. В развитие государственных стандартов разработаны руководящие документы Гостехкомиссии России:

— руководство по разработке профилей защиты и заданий безопасности;
— руководство по регистрации профилей защиты.
— методология оценки безопасности информационных технологий;
— автоматизированный комплекс разработки профилей защиты и заданий по безопасности.

Указанные 4 руководящих документа представляют собой прямое внедрение международных стандартов ИСО/МЭК.

— 6 профилей защиты информации на операционные системы, межсетевые экраны, системы управления базами данных, автоматизированные системы учета и контроля ядерных материалов и другие. Профили защиты разработаны с учетом профилей защиты, разработанных в США и других странах.

4. Утвержден государственный стандарт Российской Федерации, определяющий процессы формирования и проверки электронной цифровой подписи.

5. Разработаны:

— Классификатор техники защиты информации (средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления — razgovorodele.ru);
— Государственный стандарт, определяющий общие положения по формированию системы управления качеством при разработке, изготовлении, внедрении и эксплуатации техники защиты информации.

Это обеспечивает единую классификацию и кодирование техники защиты информации, основные характеристики систем качества техники защиты информации, что уменьшит разобщенность разработчиков и изготовителей, позволит скоординировать их работу по разработке систем качества.

6. Для обеспечения системного подхода в решении проблемы нормативного обеспечения информационной безопасности разработаны специальные целевые программы:

а). Была утверждена «Программа комплексной стандартизации в области защиты информации», направленная на создание в стране Государственной системы защиты информации. При разработке данной программы были использованы основные принципы стандартизации:

— системность разработки государственных стандартов;
— гармонизация стандартов с международными;
— централизованное планирование и финансирование разработки стандартов.

б). «Программа комплексной стандартизации в области защиты информации, составляющей государственную тайну», — национальные стандарты и другие нормативные документы, направленные на регламентацию общих норм, требований по защите объектов информатизации и защите образцов вооружений и военной техники — razgovorodele.ru. Это совершенствование системы защиты государственной тайны Российской Федерации на основе законодательства о техническом регулировании и внедрения технических регламентов, национальных стандартов и других документов по стандартизации, установленных в ФЗ «О техническом регулировании». Включает и технические регламенты в области защиты информации:

— общий технический регламент «Безопасность информационных технологий»;
— общий технический регламент «Требования к средствам и системам безопасности информационных технологий»;
— общий технический регламент «Требования по защите информации, обрабатываемой на объектах информатизации».

Оставить комментарий