Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Новые ГОСТы по ИБ или как ФСТЭК меняет методологическую базу

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
Не так часто бывает, что я упускаю из ввиду какую-то российскую нормативку по информационной безопасности. Но тут это произошло ;-( Оправдывает только то, что упущенное носит рекомендательный характер - речь идет о ГОСТах по защите информации. Среди новых ГОСТов, с которыми я раньше не сталкивался были обнаружены:
  • ГОСТ Р 53110-2008. Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
  • ГОСТ Р 53111-2008. Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
  • ГОСТ Р 53109-2008. Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности 
  • ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения 
  • ГОСТ Р 53113.1-2008. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения 
  • ГОСТ Р 53112-2008. Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний 
  • ГОСТ Р 53115-2008. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства 
  • ГОСТ Р 53113.2-2009. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов 
  • ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем 
  • ГОСТ Р ИСО/МЭК 21827-2010. Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса 
  • ГОСТ Р 53131-2008. Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения.
  • ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы 
  • ГОСТ Р 54583-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия 
  • ГОСТ Р 54582-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия.
Почти все эти ГОСТы доступны на сайте Ростехрегулирования в открытом доступе.
    Также были разработано и принято несколько стандартов по биометрии (часть еще в разработке), а также ранее упоминаемые (тут и тут) мной ГОСТы 18028 по менеджменту сетевой безопасности, 27006 по требованиям к аудиторам СМИБ, 27004 по измерениям СМИБ, 27005 по оценке рисков ИБ и 27033-1 по сетевой безопасности.

    Из планов на 2013-й год можно назвать разработку очень интересных и достойных ГОСТов (часть работ уже начата):
    • "Уязвимости информационных систем. Классификация уязвимостей информационных систем",
      "Уязвимости информационных систем. Правила описания уязвимостей",
    • "Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем",
    • "Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (взамен текущей версии ГОСТ 51583-2000),
    • "Документация по технической защите информации на объекте информатизации. Общие положения",
    • "Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения",
    • "Техника защиты информации. Номенклатура показателей качества" (взамен текущего ГОСТ Р 52447-2005)",
    • "Основные термины и определения" (взамен текущей версии ГОСТ Р 50922-2006), 
    • "Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения",
    • "Требования по защите информации, обрабатываемой с использованием технологий "облачных вычислений". Общие положения",
    • "Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид - технологий"
    • ну и ряд стандартов по информационным войнам.
    Также планируется разработка/адаптация/гармонизация ГОСТ Р ИСО/МЭК 27007 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по аудиту системы менеджмента информационной безопасности".

    Планы очень амбициозные и достойные. ФСТЭК немного переориентируется - от разработки сугубо внутренних нормативных документов в сторону общегосударственной методической базы. Можно только приветствовать такой подход.
    Total votes: 0
    Тэги: 
     
    Комментарии в Facebook
     

    Вы сообщаете об ошибке в следующем тексте:
    Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.