В рамках программы взаимодействия Комитета МТПП по проблемам качества и развития деловых услуг с Комитетом РСПП по техническому регулированию и Всероссийской организацией качества, экспертами Комитета МТПП по проблемам качества и развития деловых услуг проведена комплексная экспертиза нормативно-правовых актов и разработаны предложения по проекту ГОСТа по стандартизации в сфере информационной безопасности.
В соответствии с Программой национальной стандартизации в части деятельности ТК 012 «Методология стандартизации» в целях их дальнейшего применения совместно с новой редакцией ГОСТ Р 1.6 «Стандартизация в российской федерации. Проекты стандартов. Правила организации и проведения экспертизы» Федеральным агентством по техническому регулированию и метрологии совместно с Российским институтом стандартизации и техническими комитетами по стандартизации ТК 026, ТК 362 подготовлена первая редакция проекта правил стандартизации «Порядок проведения экспертизы проектов документов национальной системы стандартизации в области обеспечения информационной безопасности» (шифр темы по ПНС: 1.0.012-1.050.24).
С 2024 г. Федеральное агентство по техническому регулированию и метрологии предоставило открытый доступ к 89 документам национальной системы стандартизации в сфере информационной безопасности.
Для пользователей доступны действующие документы по стандартизации по следующим направлениям: информационные технологии в части криптографической защиты информации, методов и средств обеспечения безопасности; средства вычислительной техники для обеспечения информационной безопасности; защита информационных технологий и автоматизированных систем от угроз информационной безопасности, а также средства технической защиты информации. Указанная документация по стандартизации разработана в рамках технических комитетов по стандартизации:
- ТК 026 «Криптографическая защита информации» (https://tc26.ru/),
- ТК 362 «Защита информации»
С развитием цифровизации экономики и отраслей промышленности информационная безопасность становится приоритетным направлением работ для достижения первостепенных целей в части предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Активные работы по стандартизации в данной сфере ведутся в целях реализации профильного мероприятия федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации».
Обеспечение открытого доступа к документам по стандартизации в области информационной безопасности позволит решить важную задачу – обеспечить специалистов и экспертов в области обеспечения информационной безопасности и программного обеспечения актуальными данными о существующих нормативно-технических документах, которые целесообразно учитывать в своей работе.
Кроме того, это предоставит возможность получать обратную связь от представителей отечественного сообщества разработчиков систем информационной безопасности, а также о релевантности уже утвержденных документов по стандартизации и необходимости своевременной корректировки опубликованных документов в случае необходимости. Важно отметить, что работы по стандартизации в сфере информационной безопасности в значительной мере развиваются под влиянием широкого спектра законодательных и нормативно-правовых актов, которые регулируют способы доступа, обработки, хранения и передачи данных.
В рамках проекта правил стандартизации «Порядок проведения экспертизы проектов документов национальной системы стандартизации в области обеспечения информационной безопасности» (шифр ПНС: 1.0.012-1.050.24), Комитет МТПП по проблемам качества и развития деловых услуг разработал базовый аннотированный перечень законодательных и нормативно-правовых актов по направлению «Информационная безопасность».
* * *
ЗАКОНОДАТЕЛЬНАЯ И НОРМАТИВНО-ПРАВОВАЯ БАЗА ПО НАПРАВЛЕНИЮ «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
Федеральный закон от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации»;
Указ Президента Российской Федерации от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»;
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 26 июля 2017 г. № 187-ФЗ (ред. от 10.07.2023) «О безопасности критической информационной инфраструктуры Российской Федерации»;
Федеральный закон от 29 июля 2004 г. № 98-ФЗ (ред. от 08.08.2024) «О коммерческой тайне»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ (ред. от 06.02.2023) «О персональных данных»;
Федеральный закон от 6 апреля 2011 г. № 63-ФЗ (ред. от 14.07.2022) «Об электронной подписи»;
Приказ Федеральной службы по техническому и экспортному контролю от 2 июня 2020 г. № 76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
* * *
СИСТЕМА ГОСТов ПО НАПРАВЛЕНИЮ «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
1. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей Часть6. Обеспечение информационнойбезопасности при использовании беспроводных IP-сетей - ГОСТ Р 59162-2020
2. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи - ГОСТ Р 34.10-2012
3. Информационная технология. Криптографическая защита информации. Функция хэширования - ГОСТ Р 34.11-2012
4. Информационная технология. Криптографическая защита информации. Блочные шифры - ГОСТ Р 34.12-2015
5. Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров - ГОСТ Р 34.13-2015
6. Информационная технология. Криптографическая защита информации. Термины и определения - ПНСТ 799
7. Информационная технология. Криптографическая защита информации. Контейнер хранения ключей - Р 50.1.110-2016
8. Информационная технология. Криптографическая защита информации. Транспортный ключевой контейнер - Р 50.1.112-2016
9. Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования - Р 50.1.113-2016
10. Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов - Р 50.1.114-2016
11. Информационная технология. Криптографическая защита информации. Протокол выработки общего ключа с аутентификацией на основе пароля - Р 50.1.115-2016
12. Информационная технология. Криптографическая защита информации. Криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенные для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи - Р 1323565.1.003-2017
13. Информационная технология. Криптографическая защита информации. Схемы выработки общего ключа с аутентификацией на основе открытого ключа - Р 1323565.1.004-2017
14. Информационная технология. Криптографическая защита информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с ГОСТ Р 34.13-2015 - Р 1323565.1.005-2017
15. Информационная технология. Криптографическая защита информации. Механизмы выработки псевдослучайных последовательностей - Р 1323565.1.006-2017
16. Информационная технология. Криптографическая защита информации. Использование алгоритмов блочного шифрования при формировании проверочного параметра платежной карты и проверочного значения PIN - Р 1323565.1.007-2017
17. Информационная технология. Криптографическая защита информации. Использование режимов алгоритма блочного шифрования в защищенном обмене сообщениями между эмитентом и платежным приложением - Р 1323565.1.008-2017
18. Информационная технология. Криптографическая защита информации. Использование алгоритмов блочного шифрования при формировании прикладных криптограмм в платежных системах - Р 1323565.1.009-2017
19. Информационная технология. Криптографическая защита информации. Использование функции диверсификации для формирования производных ключей платежного приложения - Р 1323565.1.010-2017
20. Информационная технология. Криптографическая защита информации. Использование алгоритмов согласования ключа и блочного шифрования при офлайновой проверке PIN - Р 1323565.1.011-2017
21. Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации - Р 1323565.1.012-2017
22. Информационная технология. Криптографическая защита информации. Использование режимов алгоритма блочного шифрования в протоколе защищенного обмена сообщениями в процессе эмиссии платёжных карт - Р 1323565.1.013-2017
23. Информационная технология. Криптографическая защита информации. Задание параметров алгоритмов электронной подписи и функции хэширования в профиле EMV сертификатов открытых ключей платежных систем - Р 1323565.1.015-2018
24. Информационная технология. Криптографическая защита информации. Использование режимов алгоритма блочного шифрования, алгоритмов электронной подписи и функции хэширования в процедуре оффлайновой аутентификации платежного приложения - Р 1323565.1.016-2018
25. Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифрования - Р 1323565.1.017-2018
26. Информационная технология. Криптографическая защита информации. Криптографические механизмы аутентификации в контрольных устройствах для автотранспорта - Р 1323565.1.018-2018
27. Информационная технология. Криптографическая защита информации. Криптографические механизмы аутентификации и выработки ключа фискального признака для применения в средствах формирования и проверки фискальных признаков, обеспечивающих работу контрольно-кассовой техники, операторов и уполномоченных органов обработки фискальных данных - Р 1323565.1.019-2018
28. Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.2) - Р 1323565.1.020-2020
29. Информационная технология. Криптографическая защита информации. Функции выработки производного ключа - Р 1323565.1.022-2018
30. Использование алгоритмов ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 в сертификате, списке аннулированных сертификатов (CRL) и запросе на сертификат PKCS#10 инфраструктуры открытых ключей X.509 - Р 1323565.1.023-2022
31. Информационная технология.Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов - Р 1323565.1.024-2019
32. Информационная технология. Криптографическая защита информации. Форматы сообщений, защищенных криптографическими методами - Р 1323565.1.025-2019
33. Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование - Р 1323565.1.026-2019
34. Информационная технология. Криптографическая защита информации. Криптографические механизмы защищенного взаимодействия контрольных и измерительных устройств - Р 1323565.1.028-2019
35. Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем - Р 1323565.1.029-2019
36. Информационная технология. Криптографическая защита информации. Использование криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3) - Р 1323565.1.030-2020
37. Информационная технология. Криптографическая защита информации. Использование российских криптографических механизмов для реализации обмена данными по протоколу DLMS - Р 1323565.1.032-2020
38. Информационная технология. Криптографическая защита информации. Использование российских алгоритмов электронной подписи в протоколах и форматах сообщений на основе XML - Р 1323565.1.033-2020
39. Информационная технология. Криптографическая защита информации. Протокол безопасности сетевого уровня - Р 1323565.1.034-2020
40. Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе защиты информации ESP - Р 1323565.1.035-2021
41. Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации - Р 1323565.1.040-2022
42. Информационная технология. Криптографическая защита информации. Транспортный ключевой контейнер - Р 1323565.1.041-2022
43. Информационная технология. Криптографическая защита информации. Режим работы блочных шифров, предназначенный для защиты носителей информации с блочно-ориентированной структурой - Р 1323565.1.042-2022
44. Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3) - Р 1323565.1.043-2022
45. Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе штампов времени (TSP) - Р 1323565.1.044-2022
46. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования - ГОСТ Р 50739-95
47. Защита информации. Основные термины и определения - ГОСТ Р 50922-2006
48. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения - ГОСТ Р 51275-2006
49. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения - ГОСТ Р 51583-2014
50. Защита информации. Система стандартов. Основные положения - ГОСТ Р 52069.0-2013
51. Защита информации. Техника защиты информации. Номенклатура показателей качества - ГОСТ Р 52447-2005
52. Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения - ГОСТ Р 52448-2005
53. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации - ГОСТ Р 52633.0-2006
54. Защита информации. Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации - ГОСТ Р 52633.1-2009
55. Защита информации. Техника защиты информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации - ГОСТ Р 52633.2-2010
56. Защита информации. Техника защита информации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора - ГОСТ Р 52633.3-2011
57. Защита информации. Техника защиты информации. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия-код доступа - ГОСТ Р 52633.4-2011
58. Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа - ГОСТ Р 52633.5-2011
59. Защита информации. Техника защиты информации. Требования к индикации близости предъявленных биометрических данных образу «Свой» - ГОСТ Р 52633.6-2012
60. Защита информации. Автоматизированные системы в защищённом исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования - ГОСТ Р 52863-2007
61. Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности - ГОСТ Р 53109-2008
62. Система обеспечения информационной безопасности сети связи общего пользования. Общие положения - ГОСТ Р 53110-2008
63. Устойчивость функционирования сети связи общего пользования. Требования и методы проверки - ГОСТ Р 53111-2008
64. Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний - ГОСТ Р 53112-2008
65. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения - ГОСТ Р 53113.1-2008
66. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов - ГОСТ Р 53113.2-2009
67. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения - ГОСТ Р 53114-2008
68. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства - ГОСТ Р 53115-2008
69. Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования - ГОСТ Р 56093-2014
70. Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения - ГОСТ Р 56103-2014
71. Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования - ГОСТ Р 56115-2014
72. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей - ГОСТ Р 56545-2015
73. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем - ГОСТ Р 56546-2015
74. Защита информации. Защита информации при использовании технологий виртуализации. Общие положения - ГОСТ Р 56938-2016
75. Защита информации. Разработка безопасного программного обеспечения. Общие требования - ГОСТ Р 56939-2016
76. Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток - ГОСТ Р 58256-2018
77. Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения - ГОСТ Р 58412-2019
78. Защита информации. Идентификация и аутентификация. Общие положения - ГОСТ Р 58833-2020
79. Защита информации. Формальная модель управления доступом. Часть 1. Общие положения - ГОСТ Р 59453.1-2021
80. Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификации формальной модели управления доступом - ГОСТ Р 59453.2-2021
81. Защита информации. Мониторинг информационной безопасности. Общие положения - ГОСТ Р 59547-2021
82. Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации - ГОСТ Р 59548-2022
83. Защита информации. Управление компьютерными инцидентами. Термины и определения - ГОСТ Р 59709-2022
84. Защита информации. Управление компьютерными инцидентами. Общие положения - ГОСТ Р 59710-2022
85. Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами - ГОСТ Р 59711-2022
86. Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты - ГОСТ Р 59712-2022
87. Защита информации. Идентификация и аутентификация. Уровни доверия идентификации - ГОСТ Р 70262.1-2022
88. Информационные технологии. Основные термины и определения в области технической защиты информации - Р 50.1.053-2005
89. Техническая защита информации. Основные термины и определения - Р 50.1.056-2005
* * *
ПРОГРАММА НАЦИОНАЛЬНОЙ СТАНДАРТИЗАЦИИ
Формирование Программы национальной стандартизации на 2025 год осуществляется в соответствии с Федеральным законом от 29.06.2015 г. № 162-ФЗ (ред. от 30.12.2020 г.) «О стандартизации в Российской Федерации», основополагающим национальным стандартом Российской Федерации ГОСТ Р 1.14-2017 «Стандартизация в Российской Федерации. Программа национальной стандартизации. Требования к структуре, правила формирования, утверждения и контроля за реализацией» (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 17.08.2017 г. № 918-ст) и приказом Росстандарта от 15.04.2016 г. № 447 «Об утверждении Порядка представления и учета предложений о разработке национальных стандартов Российской Федерации, предварительных национальных стандартов Российской Федерации».
Программа национальной стандартизации является постоянно действующим документом, содержащим перечень проводимых и намеченных к выполнению работ по стандартизации, обеспеченных необходимым финансированием. Формирование программы национальной стандартизации осуществляется на основе установленных целевых индикаторов и показателей, с учетом основных положений стратегии социально-экономического развития Российской Федерации и иных документов стратегического планирования, а также на основе перспективных программ стандартизации по приоритетным направлениям. ПНС-2025 разрабатывается на основе предложений технических комитетов и утверждается Росстандартом ежегодно в соответствии с ГОСТ Р 1.14. Перспективная программа работ технических комитетов должна быть увязана с документами стратегического планирования и формируется на срок не менее трех лет в соответствии с ГОСТ Р 1.1.-2020 «Стандартизация в Российской Федерации. Технические комитеты по стандартизации и проектные технические комитеты по стандартизации. Правила создания и деятельности».
* * *
ПРИГЛАШЕНИЕ
Комитет МТПП по проблемам качества и развития деловых услуг, декларируя свои цели и задачи, приглашает к участию в совместных проектах и программах экспертов, представляющих комитеты и гильдии МТПП, готовых к общественно-деловому взаимодействию, с подписанием соглашения о стратегическом партнерстве и сотрудничестве.
* * *