Читать книгу Стандартизация. Метрология. Стандарты информационной безопасности. Практика применения - Николай Владимирович Семашко, Николай Владимирович Унижаев, Николай Владимирович Кашин - Страница 4
Часть 1. История развития стандартов
1.2. Кто разрабатывает стандарты
ОглавлениеМеждународные стандарты, национальные стандарты и стандарты предприятий разрабатываются по схожим правилам. Все стандарты разрабатываются экспертами, которые являются частью более крупных групп, называемых техническими комитетами. Аналогично таким техническим комитетам, проекты стандартов организаций могут разрабатывать специализированные отделы и службы, а также конструкторские или научно-исследовательские отделы.
Во время работы эксперты обсуждают все уровни разрабатываемого стандарта, включая область применения, основные определения и содержание. Международные и национальные стандарты обсуждаются в публичной форме, а стандарты предприятий чаще всего обсуждаются с привлечением всех заинтересованных сторон.
Порядок разработки стандартов в Российской Федерации
Порядок разработки стандартов в Российской Федерации определён Федеральным законом № 162 от 29.06.2015 «О стандартизации в Российской Федерации» [2].
Порядок разработки и утверждения национальных стандартов представлен на рисунке 1.3. Как видно из рисунка все процессы носят уведомительный характер, т.е. у регулятора нет оснований для отказа в приёме уведомления. Уведомительный принцип часто используется в либерально-демократической системе управления, например, для организации митинга в Москве и других Российских городах, организаторы уведомляют, а не спрашивают разрешение у глав города. Аналогичные уведомления, а не разрешения, направляют специалисты информационной безопасности в Роскомнадзор для получения статуса оператора обработки персональных данных.
Рисунок 1.3 – Начало разработки и утверждения национальных стандартов
(Источник: выполнено автором по материалам ст.24 ФЗ-162 [2])
Разработчик стандарта направляет уведомление о разработке проекта национального стандарта в технический комитет, а при его отсутствии в Росстандарт [2]. Технический комитет направляет уведомление в Росстандарт для размещения на официальном сайте. Росстандарт в срок не позднее чем в течение семи дней со дня поступления уведомления о разработке проекта национального стандарта размещает такое уведомление на своём официальном сайте. Дальнейший порядок разработки и утверждения национальных стандартов представлен на рисунке 1.3. Уведомление должно содержать информацию о положениях, которые имеются в проекте стандарта и отличаются от положений соответствующих международных стандартов [2].
После размещения уведомления на официальном сайте Росстандарта разработчики стандарта обеспечивают доступность проекта стандарта всем заинтересованным лицам. Такое размещение может быть на любом общедоступном сайте. По требованию любых заинтересованных лиц разработчики стандарта обязаны представить копию проекта стандарта в электронной форме или на бумажном носителе.
Рисунок 1.4 – Окончание разработки и утверждения национальных стандартов
(Источник: выполнено автором по материалам ст.24 ФЗ-162 [2])
Обычно публичное обсуждение проходит в виде конференций, брифингов или других публичных мероприятий. Регламента публичных обсуждений нет, но в последние годы такие мероприятия принято транслировать через Интернет, для всех желающих обсуждать и давать предложения в новый стандарт. Этап обсуждения заканчивается «Уведомлением о завершении публичного обсуждения». Как и на ранних этапах по требованию любых заинтересованных лиц разработчики стандарта обязаны представить копию проекта стандарта в электронной форме или на бумажном носителе.
Далее проект представляется в соответствующий направлению стандарта технический комитет, которому ранее разработчики стандарта направляли уведомление. Профильный технический комитет назначает экспертизу. Сроки экспертизы ограничены тремя месяцами (90 дней). При положительном заключении экспертизы технический комитет готовит мотивированное предложение об утверждении национального стандарта, при утверждении данного решения требуется большинство голосов членов технического комитета.
Окончанием разработки и утверждения стандартов является утверждение или отклонение Росстандартом решения технического комитета.
Федеральное законодательство [2] разрешает обжаловать решение Росстандарта в суде, но автору такие преценденты неизвестны. Можно только предположить, что суду для вынесения вердикта потребуется мнение экспертной комиссии по уровню подготовки и статусу не ниже, чем экспертный совет, привлекаемый к обсуждению и формированию нового стандарта. Хотя может быть отклонение по формальным признакам, например, неправильное оформление документов или нарушение процедуры обсуждения, тогда, вероятно, будет достаточно исправить замечания Росстандарта и начать с первого этапа.
Порядок разработки стандартов с использованием информационной системы определяет Росстандарт с учётом описанного алгоритма.
Порядок разработки стандартов международными организациями
Международные организации, занимающиеся разработкой, утверждением и продвижением стандартов, используют модель, аналогичную модели разработки стандартов в Российской Федерации, точнее наоборот: Россия использует модель, проверенную мировой практикой. Например, Международная организация по стандартизации ИСО (ISO International Organization for Standardization) с 1947 года сформировала множество групп экспертов в разных областях. В ИСО разрабатываются стандарты от производства шампуня до стыкового узла космического аппарата.
В Международной организации по стандартизации более трёхсот технических комитетов и количество их постоянно возрастает. В большинстве технических комитетов участвуют эксперты из Российской Федерации.
Основные технические комитеты, имеющие отношение к информационной безопасности [29]:
– ИСО/МЭК СТК 1 (ISO/IEC JTC 1): Информационные технологии (Information technology);
– ИСО/ТК 48 – Лабораторное оборудование;
– ИСО/ТК 92 – Пожарная безопасность;
– ИСО/ТК 184 – Системы автоматизации и интеграция;
– ИСО/ТК 199 – Безопасность техники;
– ИСО/ТК 229 – Нанотехнологии;
– ИСО/ТК 299 – Робототехника.
Самым востребованным является технический комитет ИСО/МЭК СТК 1 (ISO/IEC JTC 1): Информационные технологии, который опубликовал более 3000 стандартов. В настоящий момент в разработке данного технического комитета находится более 400 новых стандартов [29].
Все члены ИСО самостоятельно выбирают принадлежность к любому техническому комитету. Все члены-наблюдатели, зарегистрированные в ИСО, могут следить за разработкой стандартов, предлагая свои комментарии и советы, а члены профильных технических комитетов могут активно участвовать, голосуя по стандарту на различных стадиях его разработки. При формировании членов технических комитетов стараются учитывать представителей стран с быстроразвивающейся экономикой, таких как Китайская народная республика, Индия, Российская Федерация, Бразилия, Аргентина и др. Больше половины членов ИСО являются представителями таких стран.
Конечно, при разработке стандартов в ИСО учитываются мнения потребителей. Именно в интересах потребителей в конечном результате будет создан тот или иной стандарт. Потребители имеют право голоса при разработке международных стандартов ИСО посредством участия в общественной организации «Всемирная организация потребителей» и участия представителей от потребительской стороны в технических комитетах. Стандарты регламентируют основные характеристики продукта и услуги. При активной роли в разработке стандартов потребителей такие характеристики будут учтены. Производители подстраиваются под требования потребителей. Добавив в эту схему безопасность можно получить смысл и потребность во всех стандартах. В такой схеме формирования и использования стандартов в выигрыше все. Именно такой порядок разработки стандартов позволяет производителям и пользователям осуществлять эволюционное развитие технологий с учетом безопасности.
Выводом по разделу может быть выделение особенностей разработки стандартов. Стандарты разрабатывают профильные технические комитеты, инициаторы и любые желающие. Основное обсуждение стандартов по информационной безопасности проходит в профильных учебных заведениях и крупных организациях, заинтересованных в обеспечении информационной безопасности.