Новый ГОСТ по обнаружению КА и реагированию на инциденты

Вчера на сайте ФСТЭК России для общественного обсуждения был выложен ГОСТ Р «Защита информации. Обнаружения, предупреждения и ликвидации последствий компьютерныхатак и реагирования на компьютерные инциденты. Термины и определения»

Как следует из названия, стандарт содержит: термины, определения, взаимосвязь терминов. Термины и определения разделены на разделы и подразделы.


Обнаружение компьютерных атак и реагирование на компьютерные инциденты – это тема в которой пересекаются интересы многих регулирующих и иных организаций. Разработчики стандарта так обосновывают его необходимость:

“Анализ национальных стандартов, нормативных правовых актов и методических документов показывает необходимость установления единой терминологии в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Отсутствие единой терминологии может привести к нарушению взаимопонимания между заказчиками, организаторами и исполнителями работ в данной области, что может повлечь за собой снижение эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и по реагированию на компьютерные инциденты. В связи с этим очевидна необходимость закрепления в документах по стандартизации единой терминологии, а также ее упорядочивания и систематизации.”

Текущий стандарт дополняет уже существующий ГОСТ Р 50922, не противоречит ему, а также основывается на многих других ГОСТ, содержащих термины и определения.

Также текущий стандарт активно ссылается на “ГОСТ Р Защита информации. Мониторинг информационной безопасности. Общие положения”, при этом не упоминается что проектэтого стандарта не был введен и возможно не стоило запутывать всех ссылками на него.  

Формулировки терминов, конечно, встречаются достаточно интересные и даже спорные. Так, например к субъектам ГосСОПКА в соответствии с текущим определениям относятся любые организации, осуществляющие обнаружение атак (нет привязки к наличию объектов КИИ).



Наконец официально будут введены такие термины как корреляция, агрегация, инсайдер, индикатор компрометации, троян, дампер, 0day и т.п.

Но для того, чтобы быстро понять состав терминов и определений, охватываемых стандартом лучше всего взглянуть на схемы в конце стандарта. Они же показывают структуру взаимосвязи терминов.

  •  Подраздел - информационные ресурсы

  •  Подраздел - мониторинг ИБ

  •  Подраздел - компьютерная атака
  •  Подраздел - инцидент
  •  Подраздел - управление компьютерным инцидентом

В целом, видно, что большинство терминов перекочевали в стандарт из документов и регламентов ФСБ России. 

Как мне представляется, над формулировками некоторых терминов ещё стоит поработать. Особенно это касается таких важных терминов как субъект ГосСОПКА и средство защиты информации, аудит безопасности, уязвимость, обновление безопасности и т.п. После этого надо утверждать стандарт и продолжать работу над следующими стандартами в сфере ОПЛКА и РКИ. 



Комментарии

Максим Малиновский написал(а)…
Не понимаю претензии к определению субъекта ГосСОПКА. По идее это может быть и не субъект КИИ, а организация по типу интегратора, которая предоставляет услуги центра ГосСОПКА (или оповещение ГосСОПКА (естественно с лицензией на мониторинг ИБ)).
Сергей Борисов написал(а)…
претензии, а том что в определении нет уточнения, указывающего на сферу 187-ФЗ (надо было добавить -субъект КИИ, объект КИИ, значимый объект КИИ и т.п.)
иначе субъектами ГосСОПКА становятся все организации в РФ.


Сергей Борисов написал(а)…
Пожалуй напишу суть проблемы подробнее и с примерами.
Данный стандарт потенциально может быть интересен широкому кругу лиц, не имеющему никакого отношения к ГосСОПКА. В наименовании стандарта и вводной части стандарта нет каких либо ограничений к применению.
Например, ИТ администратор в какой-нибудь школе или админ интернет сайта, занимается реагированием на компьютерные атаки. И в соответствии с данным в ГОСТ определением эта организация относится к субъектам ГосСОПКА, администратор к силам ГосСОПКА, а его технические средства к средствам ГосСОПКА.
Слишком круто все организации включать в ГосСОПКА. Тут надо ограничивать либо областью действия ГосСОПКА, либо случаями когда такая обязанность установлена ФЗ...
Олег написал(а)…
Этот комментарий был удален автором.
Алексей Лукацкий написал(а)…
Сергей, ты делаешь классическую ошибку - ГосСОПКА не является частью законодательства по КИИ. ГосСОПКА появилась раньше и регулируется другими НПА. В части КИИ она только лишь немного соприкасается с ней, но не более того. Поэтому субъект ГосСОПКИ - это совсем не тоже самое, что и субъект КИИ. У ГосСОПКИ спектр субъектов шире
Комаров Валерий написал(а)…
А какие другие НПА по ГосСопка? Основа госсопки - нкцки, создан только в рамках 187-фз.И все полномочия нкцки ограничены законодательством КИИ, так как это подзаконный акт. Другое дело, что это ГОСТ под будущие НПА, которых ещё нет. Но тогда непонятно что делать субъектам КИИ.

Популярные сообщения из этого блога

Методика моделирования угроз БИ от ФСТЭК России

Новый классификатор средств ИБ

(UPDATE 2) Готовы ли ГИС к уровням доверия СЗИ?