ОБЩИЙ ТЕХНИЧЕСКИЙ РЕГЛАМЕНТ

 Обеспечение
безопасности государства, общества и личности при использовании систем
(продукции) с компьютерной обработкой информации

Принят Федеральным законом от__

1. Цель Общего технического регламента

Целью Общего технического регламента «Обеспечение
безопасности государства, общества и личности при использовании систем
(продукции) с компьютерной обработкой информации» является в соответствии с
пунктом 1 статьи 6 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О
техническом регулировании» создание законодательной (правовой) основы для
обеспечения защиты жизни или здоровья граждан, имущества физических или
юридических лиц, государственного или муниципального имущества, охраны
окружающей среды, жизни или здоровья животных и растений и предупреждения
действий, вводящих в заблуждение приобретателей при использовании систем
(продукции) с компьютерной обработкой информации.

Выполнение требований предлагаемого Общего технического
регламента позволит в соответствии с пунктом 1 статьи 7 и пунктами 2 и 4 статьи
8 Федерального закона обеспечить с учетом степени риска причинения вреда:
безопасность излучений; биологическую безопасность: взрывобезопасность;
механическую безопасность; пожарную безопасность; промышленную безопасность;
термическую безопасность; химическую безопасность; электрическую безопасность;
электромагнитную совместимость в части обеспечения безопасности работы приборов
и оборудования; единство измерений; безопасную эксплуатацию и утилизацию машин
и оборудования; безопасную эксплуатацию зданий, строений, сооружений и
безопасное использование прилегающий к ним территорий; пожарную безопасность;
экологическую безопасность; ядерную и радиационную безопасность в части
применения систем (продукции) с компьютерной обработкой информации.

2. Терминология, используемая в Общем техническом регламенте

Для целей настоящего Общего технического регламента
используются следующие основные понятия:

— атрибут безопасности — информация, связанная с
субъектами, пользователями и/или объектами, которая используется для
осуществления политики безопасности организации;

— безопасность систем (продукции) — состояние, при
котором отсутствует недопустимый риск, связанный
с причинением вреда жизни или здоровью о граждан, имуществу физических или
юридических лиц, государственному или муниципальному имуществу, окружающей
среде, жизни или здоровью животных и растений;

— компьютерная инфосфера — компьютеризированным
образом (цифровом виде) организованный информационный ресурс (совокупность
общих и специальных программных средств создания, обработки и хранения
компьютерных данных, и собственно компьютеризированных данных на любых типах
носителей информации), являющихся достаточным и необходимым для
функционирования системы (продукции);

— компьютерная обработка информации — любые
манипуляции с информацией, производимые с применением компьютеров (цифровых
электронных вычислительных машин, включая универсальные, специализированные,
персональные, супер-ЭВМ, микроконтроллеры, микропроцессоры и иные ЭВМ, а также
составленные из них системы, структуры и вычислительные сети);

— критическая система (продукция) — система
(продукция), при использовании которой существуют угрозыобеспечению
защиты жизни или здоровья граждан, имущества физических или юридических лиц,
государственного или муниципального имущества, охраны окружающей среды, жизни
или здоровья животных и растений, включая угрозы обеспечения безопасности
излучений, биологической безопасности, взрывобезопасности, механической
безопасности, пожарной безопасности, промышленной безопасности, термической
безопасности, химической безопасности, электрической безопасности,
электромагнитной совместимости в части обеспечения безопасности работы приборов
и оборудования, единству измерений, безопасной эксплуатации и утилизации машин
и оборудования, безопасной эксплуатации зданий, строений, сооружений и
безопасному использованию прилегающих к ним территорий, ядерной и радиационной
безопасности, экологической и иной безопасности;

— надежность функционирования компьютерной инфосферы
(фрагментов компьютерной инфосферы) системы (продукции) — свойство
компьютерной инфосферы (фрагментов компьютерной инфосферы) при своем
функционировании получать результаты, требуемые потребителю и оцениваемое
вероятностью получения такого результата;

— обработка информации — процесс, включающий в себя
совокупность операций сбора, накопления, ввода, вывода, приема, передачи,
записи, хранения, регистрации, уничтожения, преобразования, отображения
информации;

— политика безопасности организации — одно и совокупность
правил, процедур, практических приемов или руководящих принципов в области
безопасности, которыми руководствуется организация в своей деятельности;

— продукция — результат деятельности,
представленный в форме предназначенной для дальнейшего использования в
хозяйственных и иных целях;

— риск — вероятность причинения вреда жизни или
здоровью граждан, имуществу физических или юридических лиц, государственному
или муниципальному имуществу, окружающей среде; жизни или здоровью животных и
растений с учетом тяжести этого вреда;

— система — специальным образом организованная
функционально взаимосвязанная совокупность продукции;

— система обработки информации —
совокупность технических средств и программного обеспечения, а также методов и
алгоритмов обработки информации и действий персонала, обеспечивающая выполнение
автоматизированной обработки информации;

— фрагмент компьютерной
инфосферы — функционально самостоятельная часть компьютерной инфосферы,
предназначенная для решения одной или нескольких задач для обеспечения
функционирования системы (продукции).

3. Место Общего технического регламента в системе
действующего законодательства

Общий технический регламент
относится к отрасли хозяйственного права. Его действие распространяется на
федеральные органы государственной власти Российской Федерации, органы власти
субъектов Российской Федерации и местного самоуправления и на деятельность всех
физических и юридических лиц на территории Российской Федерации.

Содержащиеся в Общем
техническом регламенте обязательные требования к продукции, процессам
производства, эксплуатации, правилам и формам оценки соответствия, правила
идентификации, требования к терминологии, маркировке или этикеткам и правилам
их нанесения являются исчерпывающими, имеют прямое действие на всей территории
Российской Федерации и могут быть изменены только путем внесения изменений и
дополнений в общий технический регламент.

Общий технический регламент
направлен на реализацию Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О
техническом регулировании» с учетом положений Федерального закона от 21 июля
1997 г. № 116-ФЗ «О промышленной безопасности опасных производственных
объектов», Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации,
информатизации и защите информации», Федерального закона от 23 сентября 1992 г.
№ 3523-ФЗ «О правовой охране программ для электронных вычислительных машин и
баз данных», Федерального закона от 5 марта 1992 г. № 2446-1 «О безопасности» и
Федерального закона от 4 июля 1996 г. № 85-ФЗ «Об участии в международном
информационном обмене» и соответствует положениям международного стандарта
ИСО/МЭК. 15408-1-99 «Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. — Часть
1. Введение и общая модель. / Часть 2. Функциональные требования безопасности.
/ Часть 3. Требования доверия к безопасности».

4. Объект технического
регулирования

Объектом технического
регулирования для целей применения Общего технического регламента является
компьютерная инфосфера (либо отдельные фрагменты ее компьютерной инфосферы)
критической системы (продукции), а также компьютерная инфосфера (либо отдельные
фрагменты ее компьютерной инфосферы) системы (продукции), результаты
функционирования которой могут вводить в заблуждение приобретателей.

5. Системы (продукция), в
отношении которых устанавливаются требования Общим техническим регламентом

Требования Общего технического
регламента устанавливаются в отношении критических систем (продукции), а также
тех систем (продукции), у которых результаты функционирования компьютерной
инфосферы (либо отдельных фрагментов инфосферы) могут вводить в заблуждение
приобретателей.

6. Правила идентификации
объекта технического регулирования для целей применения Общего технического
регламента

6.1 Принадлежность системы
(продукции) к. критическим системам (продукции) идентифицируются их прямым
упоминанием в нормативных правовых актах Российской Федерации, действующих на
момент принятия Общего технического регламента, а равно и вводимых в действие в
последующем, а именно и Федеральных законах, Указах Президента Российской
Федерации, Постановлениях Правительства Российской Федерации, включая все общие
и специальные технические регламенты:

6.1.1 статусе критических
систем (продукции) и им соответствующим;

6.1.2 при указании
происходящей от них угроз обеспечению защиты жизни или здоровья граждан,
имущества физических или юридических лиц, государственного или муниципального
имущества, охраны окружающей среды, жизни или здоровья животных и растений;

6.1.3 при указании хотя бы
одной из угрозы обеспечению безопасности излучении; биологической безопасности;
взрывобезопасности; механической безопасности; пожарной безопасности;
промышленной безопасности; термической безопасности; химической безопасности; электрической
безопасности: электромагнитной совместимости в части обеспечения безопасности
работы приборов и оборудования; единству измерений; безопасной эксплуатации и
утилизации машин и оборудования; безопасной эксплуатации зданий, строений,
сооружений и безопасному использованию прилегающих к ним территорий; ядерной и
радиационной безопасности; экологической и иной безопасности.

6.2 Принадлежность системы
(продукции) к системам (продукции), результаты функционирования в которых
компьютерной инфосферы могут вводить в заблуждение приобретателей,
идентифицируются:

6.2.2 отсутствием в
документации па систему (продукцию) и ее компьютерную инфосферу (фрагменты
компьютерной инфосферы) гарантий на получение требуемых потребителю результатов
функционирования компьютерной инфосферы (либо отдельных фрагментов компьютерной
инфосферы);

6.2.3 отсутствием в
документации на систему (продукцию) и ее компьютерную инфосферу (фрагменты
компьютерной инфосферы) оценок вероятностей получения требуемых потребителю
результатов функционирования компьютерной инфосферы (либо отдельных фрагментов
компьютерной инфосферы).

6.3 Объектом технического
регулирования для целей применения Общего технического регламента является
компьютерная инфосфера системы (продукции), идентифицируемой в соответствии с
пунктами 6.1 и 6.2.

7. Перечень угроз
обеспечению безопасности при использовании систем (продукции), в отношении
которых устанавливаются требования Общим техническим регламентом

Компьютерная инфосфера систем
(продукции) является семантической основой обеспечения целевого
функционирования систем (продукции). Угрозы нормальному функционированию
компьютерной инфосферы критических систем (продукции) являются угрозами
обеспечению защиты жизни или здоровья граждан, имущества физических или
юридических лиц, государственного или муниципального имущества, охраны
окружающей среды, жизни или здоровья животных и растений, включая угрозы
обеспечения безопасности излучений, биологической безопасности,
взрывобезопасности, механической безопасности, пожарной безопасности,
промышленной безопасности, термической безопасности, химической безопасности,
электрической безопасности, электромагнитной совместимости в части обеспечения
безопасности работы приборов и оборудования, единству измерений; безопасной
эксплуатации и утилизации машин и оборудования; безопасной эксплуатации зданий,
строений, сооружений и безопасному использованию прилегающих к ним территорий,
ядерной и радиационной безопасности, экологической и иной безопасности.

Существуют следующие обстоятельства, способствующие
реализации угроз компьютерной инфосферы:

— нарушения технологии (правил) использования систем
(продукции);

— нарушения технологии обработки информации;

— внедрение в аппаратные и программные изделия
компонентов, реализующих функции, не предусмотренные документацией на эти
изделия;

— разработка и распространение программ, нарушающих
нормальное функционирование автоматизированных систем управления,
информационных и информационно-телекоммуникационных систем, в том числе систем
защиты информации;

— уничтожение, повреждение, радиоэлектронное подавление
или разрушение средств и систем обработки информации, телекоммуникации и связи;

— воздействие на парольно-ключевые системы защиты
автоматизированных систем управления, обработки и передачи информации;

— компрометация ключей и средств криптографической защиты
информации;

— утечка информации по техническим каналам;

— внедрение электронных устройств для перехвата информации
в технические средства обработки, хранения и передачи информации по каналам
связи, а также в служебные помещения органов государственной власти,
предприятий, учреждении и организаций независимо от формы собственности;

— уничтожение, повреждение, разрушение или хищение
машинных и других носителей информации;

— деятельность иностранных политических, экономических,
военных, разведывательных и информационных структур, направленная против
интересов Российской Федерации в информационной сфере;

— стремление ряда стран к доминированию и ущемлению
интересов России в мировом информационном пространстве, вытеснению ее с
внешнего и внутреннего информационных рынков;

— деятельность международных террористических организаций;

— деятельность космических, воздушных, морских и наземных
технических и иных средств (видов) разведки иностранных государств;

— разработка рядом государств концепций информационных
войн, предусматривающих создание средств опасного воздействия на информационные
сферы других стран мира, нарушение нормального функционирования информационных
и телекоммуникационных систем, сохранности информационных ресурсов, по