Вот за что мне нравится NIST, так это за их динамичность в области разработки нормативных документов по ИБ. Есть у них SP 800-53 по безопасности федеральных информационных систем, первая версия которого была выпущена в начале 2000-х годов, примерно в одно и тоже время с СТР-К. Правда, документы, разработанные по разные стороны океана, также отличаются как небо и земля. Но дело не в этом. За эти 9 лет, NIST выпустил уже 3 редакции SP 800-53, пополняя его новыми рекомендациями по защите облаков, виртуализации, АСУ ТП и т.д. (к концу 2011 года планируется анонсировать 4-ю версию). И вот вчера NIST выпустил проект (и ведь не скрывают они проекты своих документов, приглашая всех к обсуждению) нового приложения к SP 800-53 - Appendix J - Privacy Control Catalog.
Данный каталог защитных мер для ПДн аккумулирует последние наработки в этой области как в самих США , так по всему миру. Причем каталог составлен грамотно - перечислены решаемые задачи и меры и описаны рекомендации по их реализации; причем совсем необязательно техническими мерами.
А у нас что? НИЧЕГО! Необновляемый уже 10 лет СТР-К (хотя в этом году обещали)... Базовая модель угроз, списанная с чьей-то диссертации 90-х годов... Приказ 58, скопированный с требований по гостайне... Колоссальный прогресс.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.