Новый ГОСТ по обнаружению КА и реагированию на инциденты

Дата: 04.08.2020. Автор: Сергей Борисов. Категории: Блоги экспертов по информационной безопасности
Новый ГОСТ по обнаружению КА и реагированию на инциденты

Вчера на сайте ФСТЭК России для общественного обсуждения был выложен ГОСТ Р «Защита информации. Обнаружения, предупреждения и ликвидации последствий компьютерныхатак и реагирования на компьютерные инциденты. Термины и определения»

Как следует из названия, стандарт содержит: термины, определения, взаимосвязь терминов. Термины и определения разделены на разделы и подразделы.


Обнаружение компьютерных атак и реагирование на компьютерные инциденты – это тема в которой пересекаются интересы многих регулирующих и иных организаций. Разработчики стандарта так обосновывают его необходимость:

“Анализ национальных стандартов, нормативных правовых актов и методических документов показывает необходимость установления единой терминологии в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Отсутствие единой терминологии может привести к нарушению взаимопонимания между заказчиками, организаторами и исполнителями работ в данной области, что может повлечь за собой снижение эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и по реагированию на компьютерные инциденты. В связи с этим очевидна необходимость закрепления в документах по стандартизации единой терминологии, а также ее упорядочивания и систематизации.”

Текущий стандарт дополняет уже существующий ГОСТ Р 50922, не противоречит ему, а также основывается на многих других ГОСТ, содержащих термины и определения.

Также текущий стандарт активно ссылается на “ГОСТ Р Защита информации. Мониторинг информационной безопасности. Общие положения”, при этом не упоминается что проектэтого стандарта не был введен и возможно не стоило запутывать всех ссылками на него.  

Формулировки терминов, конечно, встречаются достаточно интересные и даже спорные. Так, например к субъектам ГосСОПКА в соответствии с текущим определениям относятся любые организации, осуществляющие обнаружение атак (нет привязки к наличию объектов КИИ).

Наконец официально будут введены такие термины как корреляция, агрегация, инсайдер, индикатор компрометации, троян, дампер, 0dayи т.п.

Но для того, чтобы быстро понять состав терминов и определений, охватываемых стандартом лучше всего взглянуть на схемы в конце стандарта. Они же показывают структуру взаимосвязи терминов.

  •  Подраздел — информационные ресурсы

  •  Подраздел — мониторинг ИБ
  •  Подраздел — компьютерная атака
  •  Подраздел — инцидент
  •  Подраздел — управление компьютерным инцидентом

В целом, видно, что большинство терминов перекочевали в стандарт из документов и регламентов ФСБ России. 

Как мне представляется, над формулировками некоторых терминов ещё стоит поработать. Особенно это касается таких важных терминов как субъект ГосСОПКА и средство защиты информации, аудит безопасности, уязвимость, обновление безопасности и т.п. После этого надо утверждать стандарт и продолжать работу над следующими стандартами в сфере ОПЛКА и РКИ. 


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов

Об авторе Сергей Борисов

Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Сергей Борисов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *