Ни для кого не секрет, что многие действующие российские государственные стандарты (ГОСТ) по информационной безопасности в настоящее время устарели.
Это очевидно, поскольку большинство из них были разработаны в 80-е и 90-е годы, когда большинство современных информационных технологий не использовались так широко, как сейчас, или просто не существовало.
В последнее время российские государственные регуляторы начали обновлять нормативную базу, что само по себе является хорошей новостью.
На этом пути было и есть много ловушек; Ярким примером является эпопея с Федеральный закон № 152-ФЗ «О персональных данных» и сопутствующие приказы ФСТЭК и ФСБ.
Многие копии были сломаны, несколько итераций заказов ФСТЭК были приняты, а затем заменены новыми версиями.
И буквально на днях, а именно 14 мая 2013 года, Минюст зарегистрировал новый Приказ Федеральной службы по тарифам от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» , что профессиональное сообщество в целом приняло с одобрением.
Стоит отдельно отметить, что при разработке этого документа регулятор также обратился к независимым экспертам отрасли.
Положительная тенденция ФСТЭК А случилось то, что теперь при разработке новых норм регулятор спрашивает мнение общественности относительно разрабатываемых документов.
И самый свежий пример — запросы, которые недавно поступили к нам.
Технический комитет 362 «Информационная безопасность» , входящая в состав ФСТЭК, разрабатывает проекты новых российских ГОСТов по защите информации.
В организации-члены ТК 362 были направлены письма с просьбой рассмотреть и дать комментарии по следующим проектам будущих государственных стандартов России:
- ГОСТ Р «Защита информации.
Уязвимости информационных систем.
Правила описания уязвимостей"
; - ГОСТ Р «Защита информации.
Уязвимости информационных систем.
Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем»
; - ГОСТ Р «Защита информации.
Информационные системы и объекты информатизации.
Угрозы информационной безопасности.
Основные положения"
; - ГОСТ Р «Защита информации.
Документация по технической защите информации на объекте информационных технологий.
Основные положения"
.
Приглашаю всех, кого интересует и волнует судьба будущих российских ГОСТов по информационной безопасности, ознакомиться с проектами документов и написать свои комментарии.
Мы добавим практические комментарии и советы к нашим собственным и отправим их в ТК 362 как членскую организацию этого технического комитета.
Убедительно просим вас писать комментарии по существу рассматриваемых проектов документов и воздерживаться от предложений типа «давайте выкинем все это и возьмем ISO, NIST, CIS, проверенные всем миром…».
Нет никакой гарантии, что наши предложения будут учтены в полном объеме, поскольку мы можем только предлагать.
Окончательное решение все равно будет принимать регулятор.
Однако практика показала, что они умеют выслушивать комментарии по делу.
Теги: #гост #фстэк #уязвимости #угрозы #стандарты #информационная безопасность
-
Встречайте Devopsconf Russia
19 Oct, 24 -
Исследуйте Океан С Помощью Google Maps
19 Oct, 24 -
Безопасный Удаленный Терминал
19 Oct, 24 -
Gtalkclient.apk
19 Oct, 24 -
Конвертация Hex->Dec - Ищем Красивые Решения
19 Oct, 24
