6.9.12

Новые ГОСТы по ИБ или как ФСТЭК меняет методологическую базу

Не так часто бывает, что я упускаю из ввиду какую-то российскую нормативку по информационной безопасности. Но тут это произошло ;-( Оправдывает только то, что упущенное носит рекомендательный характер - речь идет о ГОСТах по защите информации. Среди новых ГОСТов, с которыми я раньше не сталкивался были обнаружены:
  • ГОСТ Р 53110-2008. Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
  • ГОСТ Р 53111-2008. Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
  • ГОСТ Р 53109-2008. Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности 
  • ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения 
  • ГОСТ Р 53113.1-2008. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения 
  • ГОСТ Р 53112-2008. Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний 
  • ГОСТ Р 53115-2008. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства 
  • ГОСТ Р 53113.2-2009. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов 
  • ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем 
  • ГОСТ Р ИСО/МЭК 21827-2010. Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса 
  • ГОСТ Р 53131-2008. Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения.
  • ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы 
  • ГОСТ Р 54583-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия 
  • ГОСТ Р 54582-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия.
Почти все эти ГОСТы доступны на сайте Ростехрегулирования в открытом доступе.
Также были разработано и принято несколько стандартов по биометрии (часть еще в разработке), а также ранее упоминаемые (тут и тут) мной ГОСТы 18028 по менеджменту сетевой безопасности, 27006 по требованиям к аудиторам СМИБ, 27004 по измерениям СМИБ, 27005 по оценке рисков ИБ и 27033-1 по сетевой безопасности.

Из планов на 2013-й год можно назвать разработку очень интересных и достойных ГОСТов (часть работ уже начата):
  • "Уязвимости информационных систем. Классификация уязвимостей информационных систем",
    "Уязвимости информационных систем. Правила описания уязвимостей",
  • "Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем",
  • "Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (взамен текущей версии ГОСТ 51583-2000),
  • "Документация по технической защите информации на объекте информатизации. Общие положения",
  • "Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения",
  • "Техника защиты информации. Номенклатура показателей качества" (взамен текущего ГОСТ Р 52447-2005)",
  • "Основные термины и определения" (взамен текущей версии ГОСТ Р 50922-2006), 
  • "Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения",
  • "Требования по защите информации, обрабатываемой с использованием технологий "облачных вычислений". Общие положения",
  • "Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид - технологий"
  • ну и ряд стандартов по информационным войнам.
Также планируется разработка/адаптация/гармонизация ГОСТ Р ИСО/МЭК 27007 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по аудиту системы менеджмента информационной безопасности".

Планы очень амбициозные и достойные. ФСТЭК немного переориентируется - от разработки сугубо внутренних нормативных документов в сторону общегосударственной методической базы. Можно только приветствовать такой подход.

9 коммент.:

Игорь комментирует...

Алексей, а что, указанные ГОСТы на 2013 год разве ФСТЭК разрабатывает? Слабо верится, что они вносят какой-то заметный вклад в это дело.

Алексей Лукацкий комментирует...

Ну ФСТЭК это все инициирует. ГНИИ ПТЗИ активно ведет работы. Платит по иногим ГОСТам именно ФСТЭК. По некоторым работам есть иные головники, но без ФСТЭК работу все равно не утвердят. Так что их роль значительна

Анонимный комментирует...

Понятно, что спонсор ФСТЭК и налогоплательщики. А заказчики-то кто? Кто клиент? Кто будет это использовать? Кому это адресовано?
Пока что налицо бюджетоориентированность этой работы вместо клиентоориентированности.

Алексей Т. комментирует...

Все конечно красиво, Гостов много. Но если попытаться их использовать будут проблемы
а)из-за различий в терминологиии в разных стандартах;
б)неясности с целями их применения.
Отсутствует четкое понимание структуры и содержания ГОСТов, отсюда и разбериха.
Но "на безрыбьи и рак рыба", как говорится...

Алексей Лукацкий комментирует...

А для этого и меняется ГОСТ 50922 по терминологии, а также разработан ГОСТ по стандартизации в области ИБ, который и определяет структуру и содержание ГОСТа по ИБ.

Алексей Т. комментирует...

Лично меня это только радует, нужно просвящать людей. Например, хотя Гостами и занимается ГНИИИ ПТЗИ ФСТЭК России (точнее ТК конечно), ФСТЭК почему-то никому о них не сообщает. А стоило бы популяризировать эти Госты, а еще лучше широко использовать при формировании "обязательных" требований по защите (не хочется упоминать набившие оскомину ПДн ;-)) Статус ГОСТа ИМХо звучит лучше, чем непонятных ведомственных РД.

Алексей Т. комментирует...

Я так понимаю этот пост заседание ТК-362 навеяло? :-)

Алексей Лукацкий комментирует...

Они и будут использоваться. Пост от 30-го августа не просто так появился ;-)

Алексей Лукацкий комментирует...

Нет, заседания ТК-362 еще не было. Это на сайте ТК в планах работ записано