Новые ГОСТы по ИБ или как ФСТЭК меняет методологическую базу

ФСТЭК стандарты
Новые ГОСТы по ИБ или как ФСТЭК меняет методологическую базу
Не так часто бывает, что я упускаю из ввиду какую-то российскую нормативку по информационной безопасности. Но тут это произошло ;-( Оправдывает только то, что упущенное носит рекомендательный характер - речь идет о ГОСТах по защите информации. Среди новых ГОСТов, с которыми я раньше не сталкивался были обнаружены:
  • ГОСТ Р 53110-2008. Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
  • ГОСТ Р 53111-2008. Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
  • ГОСТ Р 53109-2008. Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности 
  • ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения 
  • ГОСТ Р 53113.1-2008. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения 
  • ГОСТ Р 53112-2008. Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний 
  • ГОСТ Р 53115-2008. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства 
  • ГОСТ Р 53113.2-2009. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов 
  • ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем 
  • ГОСТ Р ИСО/МЭК 21827-2010. Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса 
  • ГОСТ Р 53131-2008. Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения.
  • ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы 
  • ГОСТ Р 54583-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия 
  • ГОСТ Р 54582-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия.
Почти все эти ГОСТы доступны на сайте Ростехрегулирования в открытом доступе.
    Также были разработано и принято несколько стандартов по биометрии (часть еще в разработке), а также ранее упоминаемые ( тут и тут ) мной ГОСТы 18028 по менеджменту сетевой безопасности, 27006 по требованиям к аудиторам СМИБ, 27004 по измерениям СМИБ, 27005 по оценке рисков ИБ и 27033-1 по сетевой безопасности.

    Из планов на 2013-й год можно назвать разработку очень интересных и достойных ГОСТов (часть работ уже начата):
    • "Уязвимости информационных систем. Классификация уязвимостей информационных систем",
      "Уязвимости информационных систем. Правила описания уязвимостей",
    • "Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем",
    • "Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (взамен текущей версии ГОСТ 51583-2000),
    • "Документация по технической защите информации на объекте информатизации. Общие положения",
    • "Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения",
    • "Техника защиты информации. Номенклатура показателей качества" (взамен текущего ГОСТ Р 52447-2005)",
    • "Основные термины и определения" (взамен текущей версии ГОСТ Р 50922-2006), 
    • "Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения",
    • "Требования по защите информации, обрабатываемой с использованием технологий "облачных вычислений". Общие положения",
    • "Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид - технологий"
    • ну и ряд стандартов по информационным войнам.
    Также планируется разработка/адаптация/гармонизация ГОСТ Р ИСО/МЭК 27007 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по аудиту системы менеджмента информационной безопасности".

    Планы очень амбициозные и достойные. ФСТЭК немного переориентируется - от разработки сугубо внутренних нормативных документов в сторону общегосударственной методической базы. Можно только приветствовать такой подход.
    ФСТЭК стандарты
    Alt text
    Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

    Наш канал защищен лучше, чем ваш компьютер!

    Но доступ к знаниям открыт для всех

    Получите root-права на безопасность — подпишитесь
    article-title

    Алексей Лукацкий