---

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Д

БЗ № 11-2004/626

окументація на технічну продукцію
АВТОМАТИЗОВАНЕ ОБРОБЛЕННЯ
ТЕХНІЧНОЇ ІНФОРМАЦІЇ
Частина 1. Вимоги конфіденційності
(ISO 11442-1:1993, IDT)

ДСТУ ISO 11442-1:2004

Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
200

6ПЕРЕДМОВА

1. ВНЕСЕНО: Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: В. Орлова (науковий керівник); К. Синиця, канд. техн, наук; А. Войченко, О. Поліщук

2. НАДАНО ЧИННОСТІ: наказ Держспоживстандарту України від 11 січня 2005 р. № 10

з 2006-05-01

З Стандарт відповідає ISO 11442-1:1993 Technical product documentation — Handling of computer­based technical information — Part 1: Security requirements (Документація на технічну продукцію. Автоматизоване оброблення технічної інформації. Частина 1. Вимоги конфіденційності)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еп)

4 УВЕДЕНО ВПЕРШЕ

Держспоживстандарт України, 2006

ЗМІСТ
с.

Національний вступ IV

Передмова до ISO 11442-1 IV

1. Сфера застосування 1

2. Нормативні посилання 1

3. Терміни та визначення понять 2

4. Структурні зв'язки комп'ютерної конфіденційності 2

5. Конфіденційність щодо інсталяції і функціювання 2

   1. Інсталяція 2

   2. Функціювання 2

6. Конфіденційність системи З

   1. Конфіденційність операційних систем З

   2. Конфіденційність прикладних систем З

7. Конфіденційність умісту документа З

   1. Авторизація З

   2. Авторське право З

8. Конфіденційність комунікацій З

   1. Перевіряння протоколу передавання даних З

Захист передавання даних ЗНАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є тотожний переклад ISO 11442-1:1993 Technical product documentation — Handling of computer-based technical information — Part 1: Security requirements (Документація на технічну продукцію. Автоматизоване оброблення технічної інформації. Частина 1. Вимоги конфіденційності).

Технічний комітет зі стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інфор­маційні технології».

Стандарт містить вимоги, які відповідають чинному законодавству.

До стандарту внесено такі редакційні зміни:

• термін «міжнародний стандарт», «ця частина ISO 11442» замінено на «цей стандарт»;

• структурні елементи цього стандарту: «Титульний аркуш», «Передмову», «Національний вступ», «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації;

• у розділі 2 наведено «Національне пояснення», виділене у тексті стандарту рамкою;

• назву першого розділу «Мета» подано як «СФЕРА ЗАСТОСУВАННЯ», згідно з вимогами національної стандартизації України.

Міжнародні стандарти ISO 10209-1:1992, ISO/TR 10623:1991 не прийнято як національні стан­дарти в Україні.

Міжнародний стандарт ISO 11442-3, на який є посилання в тексті, видання 1993 р., впро­ваджують в Україні з наданням йому добровільного статусу.

Копії міжнародних стандартів за потреби можна замовити в Головному фонді нормативних документів ДП «УкрНДНЦ».

ПЕРЕДМОВА ДО ISO 11442-1

ISO (Міжнародна організація зі стандартизації) — це всесвітня федерація національних органів зі стандартизації (комітетів-членів ISO).

Міжнародні стандарти розробляють зазвичай технічні комітети ISO. Кожний комітет-член, зацікавлений у предметній галузі діяльності, для якої було створено технічний комітет, має пра­во бути представлений у цьому технічному комітеті. Міжнародні урядові і неурядові організації, які взаємодіють з ISO, також беруть участь у роботі.

З усіх питань стандартизації у галузі електротехніки ISO тісно співпрацює з Міжнародною електротехнічною комісією (ІЕС).

Прийняті технічними комітетами проекти міжнародних стандартів розсилають комітетам- членам на голосування. Опублікувати їх як міжнародні стандарти можна за умов ухвалення що­найменше 75 % комітетів-членів, що беруть участь у голосуванні.

Міжнародний стандарт ISO 11442-1 розроблено Технічним комітетом ISO/TC 10 «Технічні кресленики, визначення продукту та відповідна документація».

ISO 11442 — багаточастинний стандарт під загальною назвою «Документація на технічну продукцію. Автоматизоване оброблення технічної інформації».

• Частина 1. Вимоги конфіденційності;

• Частина 2. Документація оригіналів;

• Частина 3. Стадії процесу проектування продукції;

Частина 4. Системи керування та пошуку документів.ДСТУ ISO 11442-1:2004

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ДОКУМЕНТАЦІЯ НА ТЕХНІЧНУ ПРОДУКЦІЮ
АВТОМАТИЗОВАНЕ ОБРОБЛЕННЯ ТЕХНІЧНОЇ ІНФОРМАЦІЇ
Частина 1. Вимоги конфіденційності

ДОКУМЕНТАЦИЯ НА ТЕХНИЧЕСКУЮ ПРОДУКЦИЮ

АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ТЕХНИЧЕСКОЙ ИНФОРМАЦИИ

Часть 1. Требования конфиденциальности

TECHNICAL PRODUCT DOCUMENTATION

HANDLING OF COMPUTER-BASED TECHNICAL INFORMATION

Part 1. Security requirements

Чинний від 2006-05-01

1. СФЕРА ЗАСТОСУВАННЯ

У цьому стандарті описано основні аспекти конфіденційності, пов’язані з обробленням інфор­мації під час автоматизованого проектування (CAD).

Стандарт має чотири розділи:

1. конфіденційність щодо інсталяції та функціювання;

2. конфіденційність системи;

3. конфіденційність щодо вмісту документів;

4. конфіденційність комунікацій.

Розділи а) та Ь) встановлюють вимоги конфіденційності незалежно від задач, які вирішують за допомогою комп’ютера, і тому їх не розглянуто детально у цьому стандарті, за винятком резерв­ного копіювання, яке вимагає особливої уваги у технологіях автоматизованого проектування.

Використання цього стандарту призначено забезпечити:

• зв’язок з функціями якості автоматизованого проектування продукції в компанії та за її межами;

• розгляд різних аспектів безпеки в процесі автоматизованого проектування продукції;

• придбання відповідних систем та послуг.

2. НОРМАТИВНІ ПОСИЛАННЯ

Наведені нижче стандарти містять положення, які через посилання у цьому тексті ста­новлять положення цього стандарту. На час опублікування цього стандарту зазначені нормативні документи були чинні.

Усі стандарти підлягають перегляду, і учасникам угод, базованих на цьому стандарті, необ­хідно визначити можливість застосування найновіших видань стандартів, наведених нижче. Члени ІЕС та ISO впорядковують каталоги чинних міжнародних стандартів.

ISO 10209-1:1992 Technical product documentation — Vocabulary — Part 1: Terms relating to technical drawings: general and types of drawings

ISO/TR 10623:1991 Technical product documentation — Requirements for computer-aided design and draughting — Vocabulary.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO 10209-1:1992 Документація на технічну продукцію. Словник. Частина 1. Терміни з тех­нічного креслення: загальні терміни та типи креслеників

ISO/TR 10623:1991 Документація на технічну продукцію. Вимоги до автоматизованого про­ектування. Словник

2. ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті використані терміни, наведені в ISO 10209-1 та ISO/TR 10623

2. СТРУКТУРНІ ЗВ’ЯЗКИ КОМП’ЮТЕРНОЇ КОНФІДЕНЦІЙНОСТІ

Структурні зв’язки різних систем конфіденційності схематично подано на рисунку 1.

2. КОНФІДЕНЦІЙНІСТЬ ЩОДО ІНСТАЛЯЦІЇ І ФУНКЦІЮВАННЯ

Примітка 1. Вимоги щодо авторизації доступу див. 7.1.

Інсталяція комп’ютерного устатковання має відповідати вимогам специфікацій постачальника.

Крім відповідної напруги та сили струму, треба розглядати якість електричного постачання (захист від від’єднання та нестабільності електропостачання). Це стосується як основного, так і резервного електропостачання.

Адекватна вентиляція має забезпечувати відведення тепла, яке виробляє комп’ютер.

Розширене комп’ютерне устатковання може потребувати окремих засобів охолоджування.

Магнітні плівки, диски та інші магнітні носії треба захищати від впливу магнітних полів.

Устатковання треба захищати від статичної електрики, спричиненої, наприклад, синтетич­ним килимовим покриттям.

Розміщення комп’ютерів у робочій зоні може зумовити переглядання регламенту санкціо­нованого доступу, щоб знизити ризик несанкціонованого доступу.

Для зменшення тривалості простоїв комп’ютерів рекомендовано укладати договори на їх обслуговування.

Для запобігання довгострокового простою комп’ютерів, спричиненого збоями устатковання, треба гарантувати доступ до відповідного резервного устатковання.

Резервне копіювання оригіналів треба проводити відповідно до затверджених та задокумен­тованих процедур. Це гарантує, що введені дані не будуть втрачені внаслідок, наприклад, збою в електричній системі чи роботі комп’ютера або помилки оператора. Процедура повинна визна­чати персональну відповідальність, часовий графік, засоби та місце зберігання резервної копії тощо. Для деяких носіїв необхідний контроль температури та вологості.

Резервне копіювання оригіналів рекомендовано здійснювати наприкінці кожного дня для опе­рацій, проведених протягом дня.

2. Щонайменше раз на тиждень резервне копіювання проводять для всієї бази даних. Основну резервну копію фізично зберігають у місці іншому, ніж місце зберігання оригінально­го документа.КОНФІДЕНЦІЙНІСТЬ СИСТЕМИ

   1. Конфіденційність операційних систем

Операційну систему треба регулярно перевіряти на відповідність оригіналу версії, призна­ченої для використання.

Комп'ютерну програму, яку фактично використовують для розв’язування прикладних задач, треба регулярно перевіряти на відповідність оригіналу версії, призначеної для використання.

2. КОНФІДЕНЦІЙНІСТЬ УМІСТУ ДОКУМЕНТА

   1. Авторизація

Щодо створювання чи розробляння, читання чи копіювання, перевіряння чи затверджу­вання, переглядання вмісту документа та передавання в архів мають бути встановлені відповідні правила.

Ці правила треба задокументувати зокрема для забезпечування якості.

Для авторизації доступу необхідно встановити ідентифікатори та паролі користувачів, ви­користання яких дозволяє доступ до:

• різних операцій комп’ютерного обробляння технічної інформації;

• даних для діапазону продукції чи частини діапазону продукції;

• різних типів документів (наприклад, позиції переліку (елементів), технічний кресленик).

Паролі та ідентифікатори користувачів не повинні повторюватися. Паролі треба тримати у таємниці та регулярно змінювати; старі паролі не можна використовувати повторно.

• таблиці 1 наведено приклад розподілу рівнів авторизації доступу.

Кожна уповноважена особа має унікальний ідентифікатор та пароль користувача. Ступінь авторизації для ідентифікатора користувача має затвердити керівник та забезпечити адмініст­ратор системи. Ідентифікатор користувача та пароль не повинні мати жодного зв’язку з ім’ям, персональним номером, ідентифікаційним кодом, датою народження або будь-якою іншою інфор­мацією, що може ідентифікувати особу. Паролі можуть містити не тільки літери абетки.

Подальшу інформацію щодо процедур комп’ютерного розробляння продукції наведено в ISO 11442-3.

Оскільки не у всіх країнах чинне законодавство забороняє несанкціоноване копіювання або використання документів, кожний зареєстрований документ, записаний на електронному носієві, має містити запис, який це забороняє. Ярлик, який містить цей запис, має бути фізично нанесе­ний на електронний носій. Той самий ярлик має бути на початку та наприкінці файлу даних у разі перенесення в системи зв’язку.

Ця процедура поширена в більшості країн. Для отримання захисту в інших країнах викори­стовують позначку авторського права. Ця позначка має таки складники: «© Назва компанії 19ХХ» (де 19ХХ — рік, з якого вміст документа доступний).

Коли символ © не можна використовувати, його треба замінити словом «COPYRIGHT».

Якщо у вмісті документа роблять важливі зміни, рік треба зберігати і зазначати таким чином, як наведено вище. У той же час можна долучати рік перегляду. Це не обов’язково, але у такий спосіб подовжують тривалість захисту авторського права.

2. КОНФІДЕНЦІЙНІСТЬ КОМУНІКАЦІЙ

   1. Перевіряння протоколу передавання даних

Для перевіряння протоколу передавання даних необхідно перевірити правила, відповідно до яких дані переміщують від одного прикладного пакета до іншого.

Дані треба подавати у формі визначеній у протоколі (введення/виведення).

Передавані дані мають бути захищені. Вихідні дані мають бути наведені у визначеній формі.Таблиця 1 — Приклад процесу авторизації, відображений окремими операціями комп'ютерного обробляння