Не так часто бывает, что я упускаю из ввиду какую-то российскую нормативку по информационной безопасности. Но тут это произошло ;-( Оправдывает только то, что упущенное носит рекомендательный характер - речь идет о ГОСТах по защите информации. Среди новых ГОСТов, с которыми я раньше не сталкивался были обнаружены:
Из планов на 2013-й год можно назвать разработку очень интересных и достойных ГОСТов (часть работ уже начата):
Планы очень амбициозные и достойные. ФСТЭК немного переориентируется - от разработки сугубо внутренних нормативных документов в сторону общегосударственной методической базы. Можно только приветствовать такой подход.
- ГОСТ Р 53110-2008. Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
- ГОСТ Р 53111-2008. Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
- ГОСТ Р 53109-2008. Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности
- ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
- ГОСТ Р 53113.1-2008. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения
- ГОСТ Р 53112-2008. Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний
- ГОСТ Р 53115-2008. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства
- ГОСТ Р 53113.2-2009. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов
- ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
- ГОСТ Р ИСО/МЭК 21827-2010. Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса
- ГОСТ Р 53131-2008. Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения.
- ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы
- ГОСТ Р 54583-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия
- ГОСТ Р 54582-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия.
Из планов на 2013-й год можно назвать разработку очень интересных и достойных ГОСТов (часть работ уже начата):
- "Уязвимости информационных систем. Классификация уязвимостей информационных систем",
"Уязвимости информационных систем. Правила описания уязвимостей", - "Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем",
- "Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (взамен текущей версии ГОСТ 51583-2000),
- "Документация по технической защите информации на объекте информатизации. Общие положения",
- "Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения",
- "Техника защиты информации. Номенклатура показателей качества" (взамен текущего ГОСТ Р 52447-2005)",
- "Основные термины и определения" (взамен текущей версии ГОСТ Р 50922-2006),
- "Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения",
- "Требования по защите информации, обрабатываемой с использованием технологий "облачных вычислений". Общие положения",
- "Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид - технологий"
- ну и ряд стандартов по информационным войнам.
Планы очень амбициозные и достойные. ФСТЭК немного переориентируется - от разработки сугубо внутренних нормативных документов в сторону общегосударственной методической базы. Можно только приветствовать такой подход.
Алексей, а что, указанные ГОСТы на 2013 год разве ФСТЭК разрабатывает? Слабо верится, что они вносят какой-то заметный вклад в это дело.
ОтветитьУдалитьНу ФСТЭК это все инициирует. ГНИИ ПТЗИ активно ведет работы. Платит по иногим ГОСТам именно ФСТЭК. По некоторым работам есть иные головники, но без ФСТЭК работу все равно не утвердят. Так что их роль значительна
ОтветитьУдалитьПонятно, что спонсор ФСТЭК и налогоплательщики. А заказчики-то кто? Кто клиент? Кто будет это использовать? Кому это адресовано?
ОтветитьУдалитьПока что налицо бюджетоориентированность этой работы вместо клиентоориентированности.
Все конечно красиво, Гостов много. Но если попытаться их использовать будут проблемы
ОтветитьУдалитьа)из-за различий в терминологиии в разных стандартах;
б)неясности с целями их применения.
Отсутствует четкое понимание структуры и содержания ГОСТов, отсюда и разбериха.
Но "на безрыбьи и рак рыба", как говорится...
А для этого и меняется ГОСТ 50922 по терминологии, а также разработан ГОСТ по стандартизации в области ИБ, который и определяет структуру и содержание ГОСТа по ИБ.
ОтветитьУдалитьЛично меня это только радует, нужно просвящать людей. Например, хотя Гостами и занимается ГНИИИ ПТЗИ ФСТЭК России (точнее ТК конечно), ФСТЭК почему-то никому о них не сообщает. А стоило бы популяризировать эти Госты, а еще лучше широко использовать при формировании "обязательных" требований по защите (не хочется упоминать набившие оскомину ПДн ;-)) Статус ГОСТа ИМХо звучит лучше, чем непонятных ведомственных РД.
ОтветитьУдалитьЯ так понимаю этот пост заседание ТК-362 навеяло? :-)
ОтветитьУдалитьОни и будут использоваться. Пост от 30-го августа не просто так появился ;-)
ОтветитьУдалитьНет, заседания ТК-362 еще не было. Это на сайте ТК в планах работ записано
ОтветитьУдалить