Решение для управления процессами
производственной безопасности


ГОСТ Р 58545-2019



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ ЗНАНИЙ

Руководящие указания по сбору, классификации, маркировке и обработке информации

Knowledge management. Guide for information collection, classification, marking and handling

ОКС 01.140.20; 03.100.99

Дата введения 2020-01-01



Предисловие

     

1 РАЗРАБОТАН Обществом с ограниченной ответственностью "НИИ экономики связи и информатики "Интерэкомс" (ООО "НИИ "Интерэкомс") совместно с Акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (АО "ВНИИС")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 "Стратегический и инновационный менеджмент"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 сентября 2019 г. N 733-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


В настоящее время практически во всех сферах бизнеса уже существуют организации, внедрившие у себя качественно новые принципы и процедуры работы с информацией, а именно процессы идентификации, сбора, классификации (назначения категории секретности) и обработки информации, а также процессы ее получения и передачи посредством информационно-телекоммуникационных технологий по регламентированным правилам организации. При этом стало возможным ориентировать сотрудников и партнеров организации на принятие предварительно согласованных мер по использованию, защите и обмену информацией с учетом ее ценности.

Тем не менее эквивалентность процессов классификации, маркировки и обработки информации, согласованная между организациями частного сектора (В2В), организациями государственного сектора (G2G), а также между организациями частного и государственного секторов (B2G) отсутствует, несмотря на существующие попытки создать унифицированные форматы и правила передачи информации между организациями В2В, G2G и B2G. Последнее приводит к возникновению противоречий в способах распределения информации как между организациями в целом, так и ее структурными подразделениями.

Настоящий стандарт предназначен для стимулирования организаций любого типа и размера к использованию контролируемого и более логичного подхода к обработке информационных активов, основанного на принципах классификации и маркировки, что позволит повысить пользователям настоящего стандарта качество контроля конфиденциальной информации как в рамках собственной организации, так и при совместном использовании и обмене информацией между организациями. Настоящий стандарт также может способствовать защите инвестиций, доходов, репутации и развития любой организации, например ИТ-компаний, занимающихся созданием новой информации или программного обеспечения, внедривших и использующих в своих решениях принципы настоящего стандарта, а также создающих автоматизированные средства обработки документации (включая системы мониторинга), способные обнаруживать и работать с ней при передаче классифицированных и маркированных информационных активов.

Настоящий стандарт предназначен для поддержки организаций в части:

- решения ими своих стратегических задач, выполнения обязательств по управлению рисками на предприятии;

- соблюдения ими юридических, нормативно-правовых и технических обязательств, например по защите данных (см. ГОСТ Р ИСО/МЭК 27001);

- надлежащей защиты и обмена конфиденциальной информацией и

- повышения степени восприятия пользователями ценности и значимости информационных активов и ознакомления с методами их обработки.

Классификация, маркировка и обработка информации (ICMH) требуют системного подхода, который соответствует циклу PDCA ("планируй-делай-проверяй-действуй"), приведенному в ГОСТ Р ИСО 9001. На рисунке 1 показано, как пункты 4-10 настоящего стандарта связаны с PDCA-циклом.

Терминология, используемая в настоящем стандарте, соответствует терминологии, установленной в ГОСТ Р 53894, а общий подход, в рамках которого рассматривается внедрение системы менеджмента знаний на малых и средних предприятиях, соответствует ГОСТ Р 57127, ГОСТ Р 57133 и ГОСТ Р 54877.


Примечание 1 - Рисунок заимствован из ГОСТ Р ИСО 9001 (рисунок 2).

Примечание 2 - Цифры в скобках на рисунке относятся к разделам настоящего стандарта.

     Рисунок 1 - Связь между ICMH-подходом и PDCA-циклом



     1 Область применения


В настоящем стандарте определены требования к созданию, внедрению, оценке и доработке систем, применяемых для сбора, классификации, маркировки и обработки информации (ICMH-систем), а также установлены требования к процессу классификации информации, правам и правилам доступа к информации как для внутренних, так и внешних пользователей.

Пользователями настоящего стандарта могут быть (но не ограничиваться перечисленными ниже):

а) организации любого типа и размера (юридические лица), которые создают, хранят, обрабатывают и/или обмениваются информацией;

б) физические лица, которые создают, хранят, обрабатывают и/или обмениваются информацией;

в) физические лица, ответственные за учет документации, управление системой документационного обеспечения, управление информацией, защиту информации/данных и/или за их конфиденциальность, и

г) организации, которые создают, предоставляют или поддерживают инструментальные и программные средства, позволяющие реализовывать перечисленное в а)-в).

В настоящем стандарте предполагается, что информация рассматривается в форме, понятной для пользователей и допускающей обмен между ними. Далее по тексту аналогичная информация будет именоваться "информационным активом (ресурсом)" независимо от ее носителя или формата.

Примечание - Информационные активы могут содержать как структурированную, так и неструктурированную информацию, тексты, изображения и аудиозаписи, т.е. все то, что может содержать какую-либо информацию.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 53894 Менеджмент знаний. Термины и определения

ГОСТ Р 57133 Менеджмент организационной культуры и знания. Руководство по наилучшей практике

ГОСТ Р 54877 Менеджмент знаний. Руководство для персонала при работе со знаниями. Измерение знаний

ГОСТ Р 57127 Менеджмент знаний. Руководство по наилучшей практике

ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования

ГОСТ Р ИСО 15489-1 Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27038 Информационные технологии. Методы обеспечения безопасности. Требования и методы электронного цензурирования

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения


В настоящем стандарте применены термины по ГОСТ Р 53894, а также следующие термины с соответствующими определениями.

3.1

классификация (classification): Систематическая идентификация и упорядочение деловой деятельности и (или) документов по категориям в соответствии с логически структурированными условиями, методами и процедурными правилами, представленными в классификационной системе.

[ГОСТ Р ИСО 15489-1-2007, пункт 3.6]


Примечание - В этих категориях во внимание принимаются такие факторы, как чувствительность информационных активов к потере или повреждению информации, т.е. к ее конфиденциальности, целостности и доступности.

3.2 средства хранения информации (storage media): Устройства, предназначенные для хранения цифровой информации.

3.3

отбор и передача (disposition): Процессы реализации управленческих решений, зафиксированных в перечнях документов или других инструментах управления документами и касающихся уничтожения документов или передачи их на последующее хранение.

[ГОСТ Р ИСО 15489-1-2007, пункт 3.13]

3.4

документ (document): Зафиксированная на материальном носителе идентифицируемая информация, созданная, полученная и сохраняемая организацией или физическим лицом в качестве доказательства при подтверждении правовых обязательств или деловой деятельности.

[ГОСТ Р ИСО 15489-1-2007, пункт 3.3]


Примечание - В качестве документа может рассматриваться материал, представленный в письменной, печатной, устной и визуальной формах, способный формировать, хранить, передавать или совместно использовать информацию.

3.5 обработка (handling): Операции, требующиеся для работы с информационными активами, которые промаркированы и обладают определенной классификацией.

3.6 ICMH-система (ICMH System): Совокупность взаимосвязанных и взаимодействующих элементов организации для установления политики и целей организации в отношении классификации, маркировки и обработки информации, а также процессов для их достижения.

3.7

информация (information): Значимые данные.

[ГОСТ Р ИСО 9000-2015, статья 3.8.2]


Примечание - Данные можно считать не содержащими собственного контекста, необходимого для интерпретации его смысла. Информация является точными, своевременными, конкретными и сформированными для определенной цели данными, представленными в контексте, который придает им смысл и актуальность, и может приводить к повышению степени их восприятия и снижению неопределенности этих данных. Информация обладает собственной ценностью, поскольку она может влиять на взаимоотношения, решения или результаты.

3.8 информационные активы (information asset): Совокупность информации, которая может разделяться и сохраняться в любой форме, например, в аналоговой или цифровой.

3.9 жизненный цикл информации (information lifecycle): Последовательность событий, которые отмечают этапы развития и использования информационных активов.

Примечание - Информационные активы в настоящем стандарте также называют информационными ресурсами.

3.10 маркировка (marking): Процесс, с помощью которого осуществляется регистрация и индикация классификации информационных активов (обычно - в самом информационном активе).

3.11 материальные носители информации (physical storage media): Реальное устройство (или средства), предназначенные для хранения информации.

Примечание - Информация может регистрироваться не в цифровой форме, например в виде печатного документа на бумажном носителе.

3.12 запись (record): Информация, сформированная, полученная и поддерживаемая в качестве доказательства и рассматриваемая организацией или физическим лицом как информационный актив в соответствии с юридическими обязательствами или при заключении сделок.

Примечания

1 Важной характеристикой записи является невозможность ее изменения.

2 Термин "доказательство" не ограничивается юридическим смыслом.

3 Записи могут существовать в разных формах и храниться на различных носителях (включая бумагу, диск, устройство хранения данных со съемным носителем/USB, CD, DVD, магнитную ленту для цифровой или аналоговой записи), включая документы и сообщения по электронной почте (тексты, приложения к электронным письмам), видео- и аудио-записи, изображения.