Основные Российские акты и стандарты в Информационной безопасности. Основные Российские акты и стандарты в Информационной безопаснос. Задание 1 Федеральный орган исполнительной власти в сфере стандартизации

Название	Задание 1 Федеральный орган исполнительной власти в сфере стандартизации
Анкор	Основные Российские акты и стандарты в Информационной безопасности
Дата	03.10.2022
Размер	21.92 Kb.
Формат файла
Имя файла	Основные Российские акты и стандарты в Информационной безопаснос.docx
Тип	Документы #711437

Задание 1

Федеральный орган исполнительной власти в сфере стандартизации

Федеральный орган исполнительной власти в сфере стандартизации:

1) осуществляет подготовку предложений о формировании государственной политики Российской Федерации в сфере стандартизации и представляет их в федеральный орган исполнительной власти, осуществляющий функции по выработке государственной политики и нормативно-правовому регулированию в сфере стандартизации;

2) реализует государственную политику Российской Федерации в сфере стандартизации;

3) разрабатывает и утверждает программы по стандартизации, а также вносит в них изменения;

4) организует работы по стандартизации в национальной системе стандартизации, международной стандартизации и региональной стандартизации, а также по межгосударственной стандартизации;

5) организует взаимодействие федеральных органов исполнительной власти, Государственной корпорации по атомной энергии "Росатом", иных государственных корпораций, технических комитетов по стандартизации, проектных технических комитетов по стандартизации, совещательных органов по стандартизации в части разработки документов национальной системы стандартизации и осуществляет организационное и методическое руководство в этой сфере;

6) организует проведение научных исследований в области стандартизации с привлечением в установленном порядке научных организаций, в том числе осуществляющих деятельность в сфере стандартизации, технических комитетов по стандартизации, проектных технических комитетов по стандартизации;

7) организует формирование, ведение и опубликование перечня национальных стандартов и информационно-технических справочников, ссылки на которые содержатся в нормативных правовых актах;

8) утверждает правила достижения консенсуса при разработке национальных стандартов;

9) устанавливает порядок проведения работ по стандартизации, определяет формы и методы взаимодействия участников работ по стандартизации, включая порядок учета предложений о разработке национальных стандартов, предварительных национальных стандартов;

10) определяет порядок проведения экспертизы проектов документов национальной системы стандартизации;

11) организует разработку документов национальной системы стандартизации;

12) утверждает, изменяет (актуализирует), отменяет документы национальной системы стандартизации, устанавливает дату введения их в действие, а также разрабатывает и регистрирует основополагающие национальные стандарты и правила стандартизации, устанавливает дату введения их в действие;

13) вводит в действие межгосударственные стандарты, отменяет действие межгосударственных стандартов и приостанавливает действие межгосударственных стандартов;

14) регистрирует в Федеральном информационном фонде стандартов документы национальной системы стандартизации, своды правил, международные стандарты, региональные стандарты и региональные своды правил, стандарты иностранных государств и своды правил иностранных государств;

15) организует официальное опубликование документов национальной системы стандартизации и общероссийских классификаторов;

16) организует издание и распространение документов национальной системы стандартизации, общероссийских классификаторов, международных стандартов и региональных стандартов, региональных сводов правил, стандартов иностранных государств и сводов правил иностранных государств, документов международных организаций по стандартизации и региональных организаций по стандартизации, а также организует размещение в информационно-телекоммуникационной сети "Интернет" сведений о размере платы за их предоставление и порядка их распространения;

17) организует проведение работ по оценке соответствия документов национальной системы стандартизации современному уровню научно-технического развития, а также по внесению в них изменений (актуализации) или их отмене с учетом результата таких работ;

18) утверждает изображение и описание знака национальной системы стандартизации;

19) организует размещение в свободном доступе на своем официальном сайте в информационно-телекоммуникационной сети "Интернет" информации о продукции с маркировкой знаком национальной системы стандартизации;

20) заключает в порядке, установленном законодательством Российской Федерации, международные договоры Российской Федерации межведомственного характера в установленной сфере деятельности, в том числе по информационному обмену, применению и распространению международных стандартов, региональных стандартов и региональных сводов правил, стандартов иностранных государств и сводов правил иностранных государств, иных документов по стандартизации иностранных государств на территории Российской Федерации;

21) представляет Российскую Федерацию в международных и региональных организациях по стандартизации;

22) определяет порядок и условия применения международных стандартов, межгосударственных стандартов, региональных стандартов, а также стандартов иностранных государств;

23) определяет с учетом потребностей экономики необходимость разработки национальных стандартов на основе международных стандартов, региональных стандартов, стандартов иностранных государств;

24) организует формирование и ведение Федерального информационного фонда стандартов;

25) принимает решения о создании и ликвидации технических комитетов по стандартизации, проектных технических комитетов по стандартизации, определяет порядок внесения изменений в решение о создании технических комитетов по стандартизации, проектных технических комитетов по стандартизации, утверждает положения о технических комитетах по стандартизации, о проектных технических комитетах по стандартизации, устанавливает форму заявки на участие в техническом комитете по стандартизации, утверждает форму уведомления о приеме заявок на участие в техническом комитете по стандартизации, формирует составы технических комитетов по стандартизации, проектных технических комитетов по стандартизации, устанавливает порядок создания, деятельности и ликвидации технических комитетов по стандартизации, проектных технических комитетов по стандартизации, утверждает типовое положение о техническом комитете по стандартизации;

26) формирует комиссию по апелляциям, утверждает положение о комиссии по апелляциям и ее состав;

27) осуществляет методическое руководство деятельностью технических комитетов по стандартизации, проектных технических комитетов по стандартизации, координацию их деятельности, контроль за их работой, мониторинг и оценку эффективности деятельности указанных технических комитетов, организует их участие в разработке международных стандартов, межгосударственных стандартов, региональных стандартов и других документов по стандартизации;

28) дает официальные разъяснения заинтересованным лицам по применению документов национальной системы стандартизации;

29) организует подготовку кадров и дополнительное профессиональное образование в сфере стандартизации;

30) обеспечивает научную и методическую поддержку проведения работ по стандартизации;

31) осуществляет иные полномочия в соответствии с законодательством Российской Федерации.

Статья 10. Полномочия федеральных органов исполнительной власти, Государственной корпорации по атомной энергии "Росатом" и иных государственных корпораций в сфере стандартизации

Федеральные органы исполнительной власти, Государственная корпорация по атомной энергии "Росатом" и иные государственные корпорации:

1) участвуют в подготовке предложений о формировании государственной политики Российской Федерации в сфере стандартизации и реализуют государственную политику Российской Федерации в сфере стандартизации в соответствии с установленными полномочиями;

2) формируют разделы по стандартизации при разработке документов стратегического планирования, в том числе государственных программ Российской Федерации и государственных программ субъектов Российской Федерации, а также федеральных целевых программ, ведомственных целевых программ, иных программ, предусматривающих разработку документов по стандартизации;

3) определяют потребности и направления развития стандартизации в установленной сфере деятельности и осуществляют подготовку предложений для включения их в программы по стандартизации с учетом положений настоящего Федерального закона;

4) разрабатывают и утверждают совместно с федеральным органом исполнительной власти в сфере стандартизации перспективные программы стандартизации по приоритетным направлениям;

5) организуют работы по стандартизации в соответствии с установленными полномочиями;

6) участвуют в работе технических комитетов по стандартизации и проектных технических комитетов по стандартизации;

7) осуществляют разработку, утверждение, изменение и отмену сводов правил в установленной сфере деятельности (за исключением иных государственных корпораций).

Задание 2

ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

Настоящий стандарт устанавливает термины и определения основных понятий в области автоматизированных систем (АС) и распространяется на АС, используемые в различных сферах деятельности (управление, исследования, проектирование и т.п., включая их сочетание), содержанием которых является переработка информации.

Настоящий стандарт не распространяется на системы, предназначенные для обработки (изготовления, сборки, транспортирования) любых изделий, материалов или энергии.

Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по автоматизированным системам, входящих в сферу работ по стандартизации и использующих результаты этих работ и рекомендуются для применения в научно-технической, справочной и учебной литературе.

Настоящий стандарт должен применяться совместно с ГОСТ 15971 и ГОСТ 16504.

1. Для каждого понятия установлен один стандартизованный термин. Недопустимые к применению термины-синонимы приведены в круглых скобках после стандартизованного термина и обозначены пометой "Ндп".

2. Для отдельных стандартизованных терминов приведены в качестве справочных краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования.

3. Приведенные определения можно, при необходимости, изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

В случаях, когда в термине содержатся все необходимые и достаточные признаки понятия, определение не приводится и вместо него ставится прочерк.

4. В стандарте приведены эквиваленты для ряда стандартизованных терминов на английском (en) языке.

5. В стандарте приведены алфавитные указатели терминов на русском языке и их английских эквивалентов.

6. Термины и определения общетехнических понятий, необходимые для понимания текста стандарта, приведены в приложении 1.

7. Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, - светлым, а синонимы - курсивом.

ГОСТ Р 22.0.02 Безопасность в чрезвычайных ситуациях. Термины и определения

Установленные в настоящем стандарте термины расположены в систематизированном порядке, отражающем систему понятий в данной области знаний.

Для каждого понятия установлен один стандартизованный термин.

Заключенная в скобки часть термина может быть опущена при использовании термина в документах по стандартизации.

В алфавитном указателе данные термины приведены отдельно с указанием номера статьи.

Приведенные определения можно, при необходимости, изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, - светлым.

1 Область применения
Настоящий стандарт устанавливает термины и определения основных понятий в области безопасности в чрезвычайных ситуациях.

Термины, установленные настоящим стандартом, рекомендуются для применения во всех видах документации и литературы в области безопасности в чрезвычайных ситуациях, входящих в сферу действия работ по стандартизации и (или) использующих результаты этих работ.

ГОСТ Р ИСО/МЭК 13335-1 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
ВНЕСЕНА поправка, опубликованная в ИУС N 7, 2007 год

Поправка внесена изготовителем базы данных

1 Область применения

Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. Настоящий стандарт не разрабатывает конкретных подходов к управлению безопасностью.

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.

Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.

0.2 Процессный подход

Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.

Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.

Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как "процессный подход".

Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:

a) понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности;

b) внедрение и использование мер управления для менеджмента рисков ИБ среди общих бизнес-рисков организации;

c) мониторинг и проверка производительности и эффективности СМИБ;

d) непрерывное улучшение СМИБ, основанное на результатах объективных измерений.

В настоящем стандарте представлена модель "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA), которая может быть применена при структурировании всех процессов СМИБ. На рисунке 1 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов выдает выходные данные по результатам обеспечения информационной безопасности, которые соответствуют этим требованиям и ожидаемым результатам. Рисунок 1 иллюстрирует также связи между процессами, описанными в разделах 4, 5, 6, 7 и 8.

Принятие модели PDCA также отражает принципы, установленные в директивах Организации экономического сотрудничества и развития (ОЭСР) и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.

ГОСТ Р 51897 Менеджмент риска. Термины и определения

Настоящий стандарт содержит определения основных терминов в области менеджмента риска.

Применение менеджмента риска имеет прикладную направленность. Поэтому целесообразно при подготовке и пересмотре нормативной документации и стандартов, включающих аспекты менеджмента риска, не устанавливать термины и их определения, дополняющие терминологический словарь разрабатываемого документа, а приводить ссылку на настоящий стандарт. Если в нормативной документации или стандарте использованы термины, относящиеся к менеджменту риска, установленные настоящим стандартом, то обязательным требованием является приведение этих терминов без изменения.

Для снижения количества последствий опасных событий и достижения поставленных целей организации все чаще применяют процессы менеджмента риска и внедряют интегрированный подход к менеджменту риска, направленный на расширение и улучшение перспектив организации. Термины и определения, установленные в настоящем стандарте, имеют более широкое значение и применение, чем термины, установленные в Руководстве ИСО/МЭК 51*, ограниченные аспектами безопасности, т.е. его негативными последствиями. Настоящий стандарт охватывает различные виды и направления деятельности, что позволяет организациям использовать более широкий подход к менеджменту риска.

ГОСТ Р 51898 Аспекты безопасности. Правила включения в стандарты

Настоящий стандарт устанавливает для разработчиков стандартов правила включения в стандарты аспектов безопасности. Стандарт может быть применен к любым аспектам безопасности, относящимся к людям или имуществу, или окружающей среде, или к сочетанию этих сторон.

Правила, устанавливаемые настоящим стандартом, основаны на уменьшении риска, возникающего при использовании продукции, процессов или услуг.

Стандарт рассматривает полный жизненный цикл продукции, процесса или услуги, включая как предназначенное использование, так и возможное предсказуемое неправильное использование.

ГОСТ Р 52069.0 Защита информации. Система стандартов. Основные положения

Настоящий стандарт устанавливает цель, задачи и структуру системы стандартов по защите (некриптографическими методами) информации, объекты и аспекты стандартизации в данной области.

Положения настоящего стандарта применяются при проведении работ по стандартизации в области противодействия техническим разведкам, технической защиты информации некриптографическими методами, обеспечения (некриптографическими методами) безопасности информации в ключевых системах информационной инфраструктуры.

Настоящий стандарт является основополагающим национальным стандартом Российской Федерации в области защиты (некриптографическими методами) информации.