Ни для кого не секрет, что многие действующие российские государственные стандарты (ГОСТ) по информационной безопасности на текущий момент морально устарели. Это очевидно по той причине, что большинство их них разрабатывались в 80–90 годы, когда большая часть современных информационных технологий не применялась так широко, как сейчас, или просто не существовала.
С недавнего времени российские государственные регуляторы начали обновлять нормативную базу, что само по себе не может не радовать. На этом пути было и есть много подводных камней, ярким примером служит эпопея с Федеральным Законом № 152-ФЗ «О персональных данных» и сопровождающими его приказами ФСТЭК и ФСБ. Много копий было сломано, несколько итераций приказов ФСТЭК были приняты, а затем заменены новыми версиями. И вот на днях, а именно 14 мая 2013 года Министерством Юстиции был зарегистрирован свежий приказ ФСТЭК № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», который профессиональное сообщество приняло в целом с одобрением. Стоит отдельно сказать, что при разработке этого документа регулятор обращался в том числе к независимым экспертам отрасли.
Положительной тенденцией ФСТЭК стало то, что теперь при разработке новых норм регулятор спрашивает общество его мнение относительно разрабатываемых документов. И самым свежим примером являются недавно пришедшие к нам запросы.
Технический комитет 362 «Информационная безопасность», относящийся к ФСТЭК, разрабатывает проекты новых российских ГОСТов по защите информации. Организациям — членам ТК 362 были разосланы письма с просьбой рассмотреть и дать замечания по поводу следующих проектов будущих государственных стандартов России:
- ГОСТ Р «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей»;
- ГОСТ Р «Защита информации. Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем»;
- ГОСТ Р «Защита информации. Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения»;
- ГОСТ Р «Защита информации. Документация по технической защите информации на объекте информатизации. Общие положения».
Проекты документов открыты и доступны по ссылкам на сайте ТК 362. Замечания и предложения надо дать до 20 июня текущего года.
Предлагаю всем, кому интересна и небезразлична судьба будущих российских ГОСТов по информационной безопасности, ознакомиться с проектами документов и написать свои комментарии. Дельные комментарии и советы мы добавим к своим собственным и отправим в ТК 362 на правах организации-участника этого технического комитета.
Большая просьба писать комментарии по существу рассматриваемых проектов документов и воздерживаться от предложений типа «давайте все это выкинем и возьмем проверенные всем миром ISO, NIST, CIS…». Нет никакой гарантии, что наши предложения будут учтены в полном объеме, поскольку мы можем только предложить. Окончательное решение все равно будет принимать регулятор. Однако, практика показала, что слушать комментарии по делу там умеют.
Автор: sergeyshustikov
