Информационная безопасность. Национальные стандарты Российской Федерации. 2-е изд. Учебное пособие
В учебном пособии рассмотрено более 230 действующих открытых документов национальной системы стандартизации Российской Федерации, включая международные и межгосударственные стандарты в области информационной безопасности.
Учебное пособие предназначено для студентов высших учебных заведений, обучающихся по специальностям в области информационной безопасности, слушателей курсов повышения квалификации по проблемам защиты информации, а также специалистов и руководителей в области разработки и эксплуатации информационно-телекоммуникационных систем и обеспечения информационной безопасности.
«Рекомендовано к изданию редакционно-издательским советом федерального государственного автономного образовательного учреждения высшего образования «Самарский национальный исследовательский университет имени академика С.П. Королева» в качестве учебного пособия для студентов, обучающихся по программам высшего образования укрупненной группы специальностей и направлений подготовки 10.00.00 Информационная безопасность»
Перечень сокращений....................................................................................................8
Введение........................................................................................................................9
Благодарности..............................................................................................................13
Глава 1. Основы технического регулирования и стандартизации в Российской Федерации........14
1.1. Общие замечания.....................................................................................................................................15
1.2. Федеральный закон Российской Федерации «О стандартизации в Российской Федерации»...16
1.3. Основы стандартизации в Российской Федерации.....................................................................19
1.3.1. Основополагающие стандарты Российской Федерации................................................19
1.3.2. Основные положения системы стандартизации в Российской Федерации (ГОСТ Р 1.0–2012)....22
1.3.3. Правила разработки национальных стандартов (ГОСТ Р 1.2–2016)........................23
1.3.4. Стандарты организаций (ГОСТ Р 1.4-2004).......................................................................24
1.3.5. Основные положения межгосударственной системы стандартизации
(ГОСТ 1.0–2015)..........................................................................................................................25
1.4. Основы стандартизации в области защиты информации..........................................................26
1.4.1. Основополагающие стандарты в сфере защиты информации......................................26
1.4.2. Основные термины в сфере защиты информации............................................................27
1.4.3. Система стандартов по защите информации (ГОСТ Р 52069.0–2013).....................32
1.4.4. Факторы, воздействующие на информацию (ГОСТ Р 51275–2006).........................35
1.4.5. Государственный стандарт по защите информации от НСД
(ГОСТ Р 50739–95).....................................................................................................................37
Контрольные вопросы к главе 1..................................................................................................................39
Глава 2. Национальные стандарты по менеджменту
информационной безопасности..........................................................................40
2.1. Перечень стандартов...............................................................................................................................41
2.2. Национальный стандарт по менеджменту инцидентов
ИБ ГОСТ Р ИСО/МЭК ТО 18044–2007.......................................................................................42
2.3. Национальный стандарт по менеджменту безопасности информационных и телекоммуникационных технологий ГОСТ Р ИСО/МЭК 13335-1–2006......................45
2.4. Национальный стандарт по менеджменту безопасности сетей
ГОСТ Р ИСО/МЭК 13335-5–2006...................................................................................................52
2.5. Семейство стандартов системы менеджмента ИБ серии 27000..............................................53
2.5.1. История создания и состав семейства стандартов серии 27000 по СМИБ..............53
2.5.2. Национальный стандарт ГОСТ Р ИСО/МЭК 27000 — общий обзор и терминология в СМИБ.......57
2.5.3. Национальный стандарт ГОСТ Р ИСО/МЭК 27001 — требования к СМИБ.......59
2.5.4. Национальный стандарт ГОСТ Р ИСО/МЭК 27002 — свод норм и правил
СМИБ...............................................................................................................................................61
2.5.5. Национальный стандарт ГОСТ Р ИСО/МЭК 27003 — реализация СМИБ..........65
2.5.6. Национальный стандарт ГОСТ Р ИСО/МЭК 27004 — измерения в СМИБ.........69
2.5.7. Национальный стандарт ГОСТ Р ИСО/МЭК 27005 — менеджмент риска ИБ.......70
2.5.8. Национальные стандарты в области аудита СМИБ
(ГОСТ Р ИСО/МЭК 27006, 27007)......................................................................................73
2.5.9. Национальный стандарт по СМИБ в телекоммуникационных организациях
(ГОСТ Р ИСО/МЭК 27011–2014)........................................................................................75
2.5.10. Национальный стандарт по СМИБ в здравоохранении
(ГОСТ Р ИСО 27799).................................................................................................................77
2.5.11. Руководство по готовности ИКТ к обеспечению непрерывности бизнеса
(ГОСТ Р ИСО/МЭК 27031)....................................................................................................79
2.5.12. Стандарт по безопасности приложений (ГОСТ Р ИСО/МЭК 27034)...................81
2.5.13. Рекомендации для аудиторов СМИБ (ГОСТ Р 56045)...............................................84
2.5.14. Краткая информация о других стандартах........................................................................84
Контрольные вопросы и задания к главе 2.............................................................................................87
Глава 3. Национальные стандарты по безопасности информационно-
телекоммуникационных систем.......................................................................... 89
3.1. Список стандартов...................................................................................................................................90
3.2. Стандарты серии 27033 по безопасности сетей.............................................................................92
3.2.1. Общие замечания..........................................................................................................................92
3.2.2. Национальный стандарт ГОСТ Р ИСО/МЭК 27033-1 — обзор и концепции
безопасности сетей.......................................................................................................................95
3.2.3. Национальный стандарт ГОСТ Р ИСО/МЭК 27033-3 — эталонные сетевые
сценарии.........................................................................................................................................102
3.3. Стандарты по безопасности сетей электросвязи и сетей связи общего пользования....107
3.4. Защита от угроз, реализуемых через скрытые каналы
(ГОСТ Р 53113.1, ГОСТ Р 53113.2)................................................................................................115
3.5. Стандарты по уязвимостям информационных систем
(ГОСТ Р 56545, ГОСТ Р 56546).......................................................................................................118
3.6. Комплекс стандартов по автоматизированным системам
в защищенном исполнении................................................................................................................121
3.7. Восстановление функций безопасности ИКТ после чрезвычайных ситуаций
(ГОСТ Р 53131)......................................................................................................................................129
3.8. Использование охраняемых результатов интеллектуальной деятельности
в сети Интернет (ГОСТ Р 56824)....................................................................................................131
3.9. Защита информации при использовании среды виртуализации (ГОСТ Р 56938)........133
3.10. Безопасность промышленных сетей (серия ГОСТ 62443)....................................................136
3.11. Краткая информация о других стандартах.................................................................................143
Контрольные вопросы и задания к главе 3...........................................................................................147
Глава 4. Оценочные национальные стандарты Российской Федерации....... 149
4.1. Список стандартов по оценке соответствия.................................................................................150
4.2. Национальный стандарт по оценке соответствия ГОСТ ISO/IEC 1700 —
общие принципы....................................................................................................................................152
4.3. История создания «Общих критериев» и национальных стандартов на их основе.......156
4.4. Национальный стандарт по оценке безопасности
ИТ ГОСТ Р ИСО/МЭК 15408-1–2012.........................................................................................161
4.5. Национальный стандарт по оценке безопасности
ИТ ГОСТ Р ИСО/МЭК 15408-2–2013.........................................................................................167
4.6. Национальный стандарт по оценке безопасности
ИТ ГОСТ Р ИСО/МЭК 15408-3–2013.........................................................................................170
4.7. Национальный стандарт по методологии оценки безопасности
ИТ ГОСТ Р ИСО/МЭК 18045–2013.............................................................................................178
4.8. Национальный стандарт по оценке безопасности
АС ГОСТ Р ИСО/МЭК 19791–2008..............................................................................................182
4.9. Национальный стандарт по разработке профилей защиты и заданий
по безопасности ГОСТ Р 57628–2017............................................................................................189
4.10. Требования к органам по аттестации (ГОСТ Р 58189–2018)...............................................190
4.11. Стандарты по оценке систем управления и автоматизации
промышленных процессов.................................................................................................................191
4.12. Краткая информация о других оценочных стандартах..........................................................194
Контрольные вопросы и задания к главе 4...........................................................................................199
Глава 5. Стандарты по безопасности финансовых операций......................... 201
5.1. Список стандартов.................................................................................................................................202
5.2. Национальный стандарт ГОСТ Р 13569–2007 — рекомендации по ИБ............................204
5.3. Национальный стандарт по безопасности финансовых операций
ГОСТ Р 57580.1 — базовый набор организационных и технических мер.........................206
5.4. Национальный стандарт по методике оценки соответствия защиты финансовых
организаций ГОСТ Р 57580.2............................................................................................................211
5.5. Комплекс стандартов Банка России................................................................................................213
Контрольные вопросы и задания к главе 5...........................................................................................227
Глава 6. Национальные стандарты в области биометрии............................... 228
6.1. Список национальных стандартов...................................................................................................229
6.2. Национальные стандарты серии ГОСТ Р 52633 по биометрической
аутентификации.....................................................................................................................................232
6.3. Национальные стандарты серии ГОСТ Р ИСО/МЭК 19794 — форматы обмена
биометрическими данными...............................................................................................................237
6.4. Национальные стандарты серии ГОСТ Р 29109 — методология испытаний
на соответствие форматам обмена биометрическими данными по ГОСТ 19794...........243
6.5. Национальные стандарты серии ГОСТ Р 19795 — биометрическая идентификация......246
6.6. Национальные стандарты серии ГОСТ 19784 — биометрический программный
интерфейс.................................................................................................................................................249
6.7. Национальные стандарты серии ГОСТ Р 19785 — единая структура форматов
обмена биометрическими данными................................................................................................250
Контрольные вопросы и задания к главе 6...........................................................................................253
Глава 7. Система стандартов по криптографии............................................... 254
7.1. Список стандартов.................................................................................................................................255
7.2. Национальный стандарт ГОСТ 28147-89 — алгоритм криптографического
преобразования......................................................................................................................................256
7.3. Национальный стандарт ГОСТ 34.10–2012 — процессы формирования
и проверки ЭЦП.....................................................................................................................................256
7.4. Национальный стандарт ГОСТ Р 34.11–2012 — функция хеширования..........................260
7.5. Национальный стандарт ГОСТ Р 34.12–2015 — блочные шифры.......................................260
7.6. Национальный стандарт ГОСТ Р 34.13–2015 — режимы работы блочных шифров.....261
7.7. Рекомендации по стандартизации Р 50.1.111–2016 — парольная защита
ключевой информации........................................................................................................................262
7.8. Рекомендации по стандартизации Р 50.1.113–2016 — сопутствующие
криптографические алгоритмы........................................................................................................262
Контрольные вопросы и задания к главе 7...........................................................................................263
Глава 8. Интегрированные системы безопасности.......................................... 264
8.1. Общие замечания...................................................................................................................................265
8.2. Национальный стандарт ГОСТ Р 52551–2016 — термины системы охраны
и безопасности........................................................................................................................................268
8.3. Национальный стандарт ГОСТ Р 53704–2009 — комплексные
системы безопасности..........................................................................................................................269
8.4. Национальный стандарт ГОСТ Р 57674–2017 — интегрированные системы
безопасности............................................................................................................................................271
8.5. Национальный стандарт ГОСТ Р 56875–2016 — интеллектуальные системы
безопасности............................................................................................................................................274
8.6. Стандарты серии 61508 по безопасности электрических и электронных систем...........276
8.7. Краткая информация о других стандартах...................................................................................277
Контрольные вопросы к главе 8................................................................................................................280
Проекты и планы................................................................................................ 281
Список национальных стандартов.................................................................... 284
Основополагающие стандарты, правила и рекомендации национальной системы
стандартизации Российской Федерации...............................................................................................284
Основополагающие документы межгосударственной системы стандартизации...................285
Основополагающие национальные стандарты в области защиты информации.....................286
Стандарты системы менеджмента информационной безопасности............................................286
Стандарты по защите информационно-телекоммуникационных систем и сетей..................288
Стандарты по оценке соответствия требованиям безопасности...................................................290
Стандарты по безопасности финансовых операций..........................................................................293
Стандарты в области биометрии..............................................................................................................295
Стандарты в области криптографической защиты информации.................................................298
Стандарты по интегрированным системам безопасности...............................................................299
Проекты стандартов......................................................................................................................................301
План разработки стандартов в 2019 г......................................................................................................301
Список литературы............................................................................................. 302