Стандартизация. Метрология. Стандарты информационной безопасности. Практика применения

Введение

В документах, регламентирующих информационную безопасность Российской Федерации [1, 2], определены требования к системе менеджмента информационной безопасности. Основным требованием является соответствие системы международным и российским стандартам. Многие требования стандартов, к которым все привыкли и не замечают, кажутся частью нашей жизни. Например, стандартный размер дверных проёмов, открывание дверей в сторону выхода, не являясь обязательным, прочно вошли в быт. Можно подумать, что такие нормы были всегда, все понимают, что без них невозможно установить порядок, сосуществовать в гармонии. Однако, даже такие привычные требования стандартов могут вызывать множество проблем.

По проблемам, связанным со стандартами, написано много книг и научных статей. К сожалению, большинство источников, проанализированных автором, связанных со стандартами, используют значительное количество выписок из стандартов и официальных документов. Такой подход в описании материала, по мнению автора, затрудняет понимание, не даёт возможности сконцентрироваться на практиках. Зачем в книге перепечатывать большие блоки стандартов и регламентирующих документов? Учитывая, что стандарты и все что связано с ними, достаточно быстро меняются.

Эта книга написана в другом стиле, «сухой» текст стандартов автор попытался переработать в «весёлые картинки». Такой формат, также как и описание стандартов, не даёт высокой эффективности при изучении, но способствует «вызыванию интереса» и лучшему «зрительному» восприятию. По той же причине и исторические аналогии процессов, связанные со стандартизацией, имеют иллюстративное сопровождение. С историей у молодёжи «не очень», поэтому автор решил, что представленный исторический материал может сподвигнуть молодого читателя к дальнейшему погружению в историю.

Особенностью книги является демонстрация преимуществ стандартов, используемых в СССР, над аналогичными стандартами других стран. Автор убеждён, что именно поэтому первое, что сделали при развале страны, отменили Советские стандарты. Следует ли сегодня в новых реалиях сделать возврат в прошлое? Нет. Надо постепенно от либеральной, западной модели стандартизации переходить к восточной, в которой главным принципом является: «Брать от всех все самое лучшее». В такой парадигме много положительного можно найти и в системе международной (Британской) стандартизации. Практика появления революционных, новых технологий преимущественно в западной цивилизации подтверждает эту гипотезу.

Интеграция в мировое пространство, глобализация экономических процессов является объективной реальностью, без этого нет возможности для прорывного технологического развития. Мир вошёл в соревнование по цифровой трансформации. Лидер в этом процессе получает все: снижение издержек, получение прибылей и, как следствие, повышение уровня жизни для своих граждан. Проигравший впадает в зависимость от лидеров и новые колониальные отношения. У Российской Федерации с её бесконечным научным потенциалом опять появился шанс стать одним из лидеров. Время мировой бензоколонки может быть позади.

Сегодня монетизация торгового знака Гугл (Google) больше, чем цена всего Газпрома вместе с трубами и имуществом, создаваемых десятилетиями. Да и компания Яндекс, изначально работающая в системе мировых стандартов, превзошла отсталые предприятия оборонки, работающие в устаревших национальных стандартах.

Историю стандартов и метрологии можно вести с любого исторического события, где люди стали считать себя людьми. Понимание удобства от однообразия, удобство единых, общих для всех измерений очевидно. Поэтому примеры из эпохи Шумеров, Римской империи, века Ивана Грозного можно легко перенести в более ранние периоды, но стандартизация в современном понимании с высокими требованиями к измерениям, с едиными принципами для всего мира насчитывает не более двух столетий. В формировании нового уровня процессов стандартизации значительную роль сыграло наше государство, руководство которого после окончания Второй мировой войны решило объединить весь мир, сделать его единым общечеловеческим достоянием, одинаково принадлежащим всем жителям планеты. Для достижения такого эффекта было предложено создать единый координирующий орган «Международную организацию по стандартизации». Следующим этапом было создание новых единых метрик и единого общепланетарного языка. Апогеем этих планов было построение единой большой семьи без границ и вооружений, где все заботятся о других, стараются всем помогать. От каждого по возможностям, каждому по труду. К сожалению, данный план закончился с развалом СССР, мир стал однополярным с полным доминированием одной страны, а международным языком стал английский. Закончим рассуждения о политике, стандартах и их роли в позитиве. Всё, что ни делается – всё к лучшему.

История стандартов по информационной безопасности ведёт свой отчёт от «Оранжевой книги». Первыми поняли о необходимости стандартизации информационной безопасности в Пентагоне, они и стали заказчиками таких стандартов. От появления оранжевой книги и других цветных стандартов прошло более тридцати лет, но и сегодня головными инициаторами стандартов по информационной безопасности являются военные и другие силовые ведомства. Возможно, в ближайшие годы инициатива от армейцев в формировании стандартов по информационной безопасности перейдёт к кредитным организациям, которые с переводом основных активов в цифровой формат выявили множественные проблемы, а «армейские» стандарты не во всем подходят для современного бизнеса.

Убеждён, что книга может иметь ошибки или неточности из-за неопределённости современных стандартов, мнение автора может не совпадать с мнением читателей. Не ругайте пианиста, он играет как может. Автор в данной книге вынужден заимствовать множественный материал, представленный в открытом доступе, указывая ссылки на авторство. Извиняюсь, если источники в Интернет не соответствуют истинным авторам. Мир стал запутанным, а с появлением нейросетей, похоже, в авторстве запутаемся окончательно. Надеюсь на понимание в этом вопросе.

В этой книге автор впервые в своей практике использовал возможности нейросетей для получения нового мнения и научного материала. Вывод однозначный: нейросети сделали мир другим, игнорировать их возможности означает – стагнировать.

Как автор и владелец прав, разрешаю любое использование авторского материала во всех формах. Считаю, что чем больше данный труд пригодится другим, тем лучше. Удачи всем экспертам и создателям новых стандартов, уверен, что добрые цели, заложенные в первых стандартах, направленные на улучшении жизни людей, безопасности и экологии, будут главными, а ангажированность, лоббирование интересов крупного бизнеса, так и не приживутся в новых стандартах.

Часть 1. История развития стандартов

История – это наука? Современная история субъективна? Что даёт знание истории? По этим и другим вопросам можно спорить бесконечно. Но никто не собирается оспаривать факты, демонстрирующие, что люди, начиная с древних времён, стремились к однообразию, измерениям, согласованности своих действий, унификации орудий труда. Все это является подтверждением, что история стандартов насчитывает тысячелетия. В рамках изучения стандартов, связанных с информационной безопасностью, исторические факты имеют не большое значение, так как методология стандартов информационной безопасности в современном представлении началась несколько десятилетий назад. Первыми ощутили проблему нехватки единых требований к обеспечению информационной безопасности военные. Заказывая программное обеспечение в различных организациях, стало понятно, что без единых требований к «доверию» не обойтись.

Историю стандартов начнём с более ранних периодов, когда люди поняли, что в строительстве и коммуникациях, если изготовить стандартные элементы, то вся дальнейшая работа упрощается. Задолго до этого люди научились измерять шагами, зерном, сутками и годами. Так что если не профессионалы в стандартизации, то хотя бы метрологи могут гордиться своим прошлым, своей историей.

Начальные правила – стандарты появились на заре цивилизации, к ним можно отнести единицы измерения и упорядочение. Вехами в истории человечества стало появление новых единиц измерения. История не терпит сослагательного наклонения.

1.1. Зачем нужны стандарты

Предназначение современных стандартов заключается в обеспечении современной и надёжной основы для выработки общих ожиданий в отношении продуктов или услуг. Так было не всегда. Например, в СССР предназначение стандартов заключалось в чётких требованиях к сложным техническим изделиям, продуктам питания и другим предметам, имеющим прямое отношение к жизни и здоровью граждан.

Современные стандарты скорее сориентированы на снижение издержек, чем на граждан. Таковы реалии сегодняшнего времени.

Современные стандарты часто сориентированы на снижение издержек, потому что это помогает компаниям и организациям стать более конкурентоспособными на рынке. Уменьшение издержек может включать в себя сокращение расходов на материалы, улучшение процессов производства, повышение эффективности использования ресурсов и многие другие факторы. Однако, это не означает, что современные стандарты полностью игнорируют интересы граждан. Все нормативные документы, включая стандарты, разрабатываются с учётом требований безопасности, экологии и других важных факторов, которые непосредственно затрагивают интересы граждан.

А что будет завтра? Зависит от всех нас. Стандарты позволяют упростить производство, структурировать торговые площадки, формировать структуру для сокращения издержек. Все это, в свою очередь, повышает эффективность и способствует автоматизации процессов.

Стандарты являются фундаментом для проведения новых научных исследований, ориентированных на практическое использование. Стандарты «живут», т.е. постоянно изменяются, подстраиваясь под новые технологии и процессы. При этом развитие стандартов идёт, пошагово давая каждому поколению действующих стандартов стабильные условия для создания технологий и систем с оптимальным сочетанием эксплуатационных качеств и характеристик.

Термин «стандарт» вошёл в русский язык от английского слова «standard», что дословно можно перевести как норма или образец, и в широком смысле слова используется для обозначения различных образцов, эталонов, моделей, принимаемых в качестве исходных. Такие эталоны в дальнейшем используются для сопоставления с ними вновь созданных подобных объектов. Людям так удобнее, для оценки и выявления изменений мы постоянно что-то с чем-то сравниваем. Например, для определения роста и веса ребёнка его периодически измеряют и взвешивают, сравнивая с предыдущими измерениями. Без стандартов определяющих размер, таких как метр и килограмм это было бы сделать сложнее. Определение «стандарта» было введено в энциклопедию более сорока лет тому назад, и с тех пор практически не изменилось.

Стандарт – нормативный технический документ, устанавливающий нормы, правила, требования к объекту стандартизации. Может содержать правовые нормы, не имеющие технического содержания, но не содержит санкций [32].

Один из видов стандарта: технические условия – содержит только требования [31]. На рисунке 1.1 представлена визуализация термина «Стандарт». Аналогично визуализации данного термина, автор возьмёт на себя ответственность, предложить графическое представление других терминов, используемых в процессе стандартизации. Будет ли это востребовано решать другим.

Рисунок 1.1 – Визуализация термина «Стандарт»

(Источник: выполнено автором)

В иностранной научной и технической литературе чаще используется термин «технический стандарт» (Technical standard).

Технический стандарт – это установленная норма или требование для повторяемой технической задачи, которая применяется к общему и многократному использованию правил, условий, руководств или характеристик для продуктов или связанных процессов и методов производства, а также соответствующих практик систем управления [33]. В любом случае, стандарты следует всегда рассматривать как систему требований к производству (возможно, более правильно, к управлению) и качественным показателям изделий и услуг. В такой трактовке соблюдение требований стандартов должно гарантировать пригодность изделий и услуг к использованию (в рамках требований) и безопасность. Возможно следует безопасность поставить на первое место, а гарантии использования на втрое.

Стандарт – это документ, определяющий правила, рекомендации или критерии для использования в различных областях деятельности. Он может быть разработан организацией, государственным учреждением или международной организацией [34].

Функции стандартов. Функции стандартов можно рассмотреть, как повышение эффективности, полученной в результате действий стандартов. Другими словами, организация, использующая в своей деятельности стандарты, должна получить положительные эффекты. Собственно, определив функции стандартов, можно ответить на вопрос: «А зачем использовать стандарты в своей деятельности?». Основные функции стандартов представлены на рисунке 1.2.

Рисунок 1.2 – Основные функции стандартов

(Источник: Выполнено автором)

Из всех функций можно выделить безопасность, включающую здоровье и жизнь граждан.

Цели стандартов, заложенные в функции, могут быть достигнуты путём реализации следующих задач [2]:

– повышение уровня безопасности граждан;

– обеспечение конкурентоспособности;

– соблюдение требований технических регламентов;

– создание систем классификации.

Повышение уровня безопасности жизни, здоровья и имущества граждан является главной задачей стандартов. Современные стандарты должны обеспечивать сохранность не только имущества граждан, но и государства. Стандарты должны минимизировать риски, связанные с чрезвычайными ситуациями природного и техногенного характера. Стандарты должны постоянно повышать уровни экологической безопасности. Это может быть достигнуто склонением к использованию более современных технологий, например, переходу к электротранспорту. Что может быть важнее безопасности жизни и здоровья людей, животных и растений? Даже одна задача, повышающая уровень безопасности, показывает высокую значимость стандартов.

Обеспечение конкурентоспособности и качества различной продукции является следующей важной задачей стандартов. Стандарты должны быть построены на единстве измерений. Единством измерений занимается метрология, относящаяся к процессу стандартизации. Возможно, рациональное использование ресурсов и так определено экономикой, но стандарты, как международные, государственные или отраслевые регламенты, должны способствовать этому. Другим направлением повышения конкурентоспособности и качества является взаимозаменяемость различных изделий. Современные технические средства, машины и оборудование должны обладать совместимостью. Удобно, когда, выступая с презентацией есть уверенность, что она откроется на всех компьютерах. Так же удобно и быстро заменять коробку передач, если она будет универсальной для множества различных автомобилей. Для решения этой задачи стандарты способствуют сопоставимости различных научных исследований, единству измерений, проведению анализа различных характеристик, добровольности подтверждения соответствия заявленным требованиям.

Ещё одной задачей стандартов является содействие соблюдению требований технических регламентов. По мнению автора, жалко, что в современные стандарты заложен механизм содействия, а не правил инспекции, проверяющей соблюдение требований, но таковы реалии современной демократии.

Последней, но не по значимости, является задача создания систем классификации и кодирования технико-экономической и социальной информации. При понимании этой задачи надо учитывать, что стандарты разделены на категории и классы. Подробнее эта особенность раскрыта в разделе 1.5. Хорошей новостью является факт того, что российская Федерация синхронизировала классификацию и кодирование технико-экономической и социальной информации с международными организациями по стандартизации. Росстандарт оказывает существенное содействие в проведении работ по унификации.

Все функции и цели стандартов являются гуманными, повышающими социально-экономическое развитие, улучшающие качества жизни людей в Российской Федерации и мире в целом.

1.2. Кто разрабатывает стандарты

Международные стандарты, национальные стандарты и стандарты предприятий разрабатываются по схожим правилам. Все стандарты разрабатываются экспертами, которые являются частью более крупных групп, называемых техническими комитетами. Аналогично таким техническим комитетам, проекты стандартов организаций могут разрабатывать специализированные отделы и службы, а также конструкторские или научно-исследовательские отделы.

Во время работы эксперты обсуждают все уровни разрабатываемого стандарта, включая область применения, основные определения и содержание. Международные и национальные стандарты обсуждаются в публичной форме, а стандарты предприятий чаще всего обсуждаются с привлечением всех заинтересованных сторон.

Порядок разработки стандартов в Российской Федерации

Порядок разработки стандартов в Российской Федерации определён Федеральным законом № 162 от 29.06.2015 «О стандартизации в Российской Федерации» [2].

Порядок разработки и утверждения национальных стандартов представлен на рисунке 1.3. Как видно из рисунка все процессы носят уведомительный характер, т.е. у регулятора нет оснований для отказа в приёме уведомления. Уведомительный принцип часто используется в либерально-демократической системе управления, например, для организации митинга в Москве и других Российских городах, организаторы уведомляют, а не спрашивают разрешение у глав города. Аналогичные уведомления, а не разрешения, направляют специалисты информационной безопасности в Роскомнадзор для получения статуса оператора обработки персональных данных.

Рисунок 1.3 – Начало разработки и утверждения национальных стандартов

(Источник: выполнено автором по материалам ст.24 ФЗ-162 [2])

Разработчик стандарта направляет уведомление о разработке проекта национального стандарта в технический комитет, а при его отсутствии в Росстандарт [2]. Технический комитет направляет уведомление в Росстандарт для размещения на официальном сайте. Росстандарт в срок не позднее чем в течение семи дней со дня поступления уведомления о разработке проекта национального стандарта размещает такое уведомление на своём официальном сайте. Дальнейший порядок разработки и утверждения национальных стандартов представлен на рисунке 1.3. Уведомление должно содержать информацию о положениях, которые имеются в проекте стандарта и отличаются от положений соответствующих международных стандартов [2].

После размещения уведомления на официальном сайте Росстандарта разработчики стандарта обеспечивают доступность проекта стандарта всем заинтересованным лицам. Такое размещение может быть на любом общедоступном сайте. По требованию любых заинтересованных лиц разработчики стандарта обязаны представить копию проекта стандарта в электронной форме или на бумажном носителе.

Рисунок 1.4 – Окончание разработки и утверждения национальных стандартов

(Источник: выполнено автором по материалам ст.24 ФЗ-162 [2])

Обычно публичное обсуждение проходит в виде конференций, брифингов или других публичных мероприятий. Регламента публичных обсуждений нет, но в последние годы такие мероприятия принято транслировать через Интернет, для всех желающих обсуждать и давать предложения в новый стандарт. Этап обсуждения заканчивается «Уведомлением о завершении публичного обсуждения». Как и на ранних этапах по требованию любых заинтересованных лиц разработчики стандарта обязаны представить копию проекта стандарта в электронной форме или на бумажном носителе.

Далее проект представляется в соответствующий направлению стандарта технический комитет, которому ранее разработчики стандарта направляли уведомление. Профильный технический комитет назначает экспертизу. Сроки экспертизы ограничены тремя месяцами (90 дней). При положительном заключении экспертизы технический комитет готовит мотивированное предложение об утверждении национального стандарта, при утверждении данного решения требуется большинство голосов членов технического комитета.

Окончанием разработки и утверждения стандартов является утверждение или отклонение Росстандартом решения технического комитета.

Федеральное законодательство [2] разрешает обжаловать решение Росстандарта в суде, но автору такие преценденты неизвестны. Можно только предположить, что суду для вынесения вердикта потребуется мнение экспертной комиссии по уровню подготовки и статусу не ниже, чем экспертный совет, привлекаемый к обсуждению и формированию нового стандарта. Хотя может быть отклонение по формальным признакам, например, неправильное оформление документов или нарушение процедуры обсуждения, тогда, вероятно, будет достаточно исправить замечания Росстандарта и начать с первого этапа.

Порядок разработки стандартов с использованием информационной системы определяет Росстандарт с учётом описанного алгоритма.

Порядок разработки стандартов международными организациями

Международные организации, занимающиеся разработкой, утверждением и продвижением стандартов, используют модель, аналогичную модели разработки стандартов в Российской Федерации, точнее наоборот: Россия использует модель, проверенную мировой практикой. Например, Международная организация по стандартизации ИСО (ISO International Organization for Standardization) с 1947 года сформировала множество групп экспертов в разных областях. В ИСО разрабатываются стандарты от производства шампуня до стыкового узла космического аппарата.

В Международной организации по стандартизации более трёхсот технических комитетов и количество их постоянно возрастает. В большинстве технических комитетов участвуют эксперты из Российской Федерации.

Основные технические комитеты, имеющие отношение к информационной безопасности [29]:

– ИСО/МЭК СТК 1 (ISO/IEC JTC 1): Информационные технологии (Information technology);

– ИСО/ТК 48 – Лабораторное оборудование;

– ИСО/ТК 92 – Пожарная безопасность;

– ИСО/ТК 184 – Системы автоматизации и интеграция;

– ИСО/ТК 199 – Безопасность техники;

– ИСО/ТК 229 – Нанотехнологии;

– ИСО/ТК 299 – Робототехника.

Самым востребованным является технический комитет ИСО/МЭК СТК 1 (ISO/IEC JTC 1): Информационные технологии, который опубликовал более 3000 стандартов. В настоящий момент в разработке данного технического комитета находится более 400 новых стандартов [29].

Все члены ИСО самостоятельно выбирают принадлежность к любому техническому комитету. Все члены-наблюдатели, зарегистрированные в ИСО, могут следить за разработкой стандартов, предлагая свои комментарии и советы, а члены профильных технических комитетов могут активно участвовать, голосуя по стандарту на различных стадиях его разработки. При формировании членов технических комитетов стараются учитывать представителей стран с быстроразвивающейся экономикой, таких как Китайская народная республика, Индия, Российская Федерация, Бразилия, Аргентина и др. Больше половины членов ИСО являются представителями таких стран.

Конечно, при разработке стандартов в ИСО учитываются мнения потребителей. Именно в интересах потребителей в конечном результате будет создан тот или иной стандарт. Потребители имеют право голоса при разработке международных стандартов ИСО посредством участия в общественной организации «Всемирная организация потребителей» и участия представителей от потребительской стороны в технических комитетах. Стандарты регламентируют основные характеристики продукта и услуги. При активной роли в разработке стандартов потребителей такие характеристики будут учтены. Производители подстраиваются под требования потребителей. Добавив в эту схему безопасность можно получить смысл и потребность во всех стандартах. В такой схеме формирования и использования стандартов в выигрыше все. Именно такой порядок разработки стандартов позволяет производителям и пользователям осуществлять эволюционное развитие технологий с учетом безопасности.

Выводом по разделу может быть выделение особенностей разработки стандартов. Стандарты разрабатывают профильные технические комитеты, инициаторы и любые желающие. Основное обсуждение стандартов по информационной безопасности проходит в профильных учебных заведениях и крупных организациях, заинтересованных в обеспечении информационной безопасности.