Новый ГОСТ по обнаружению КА и реагированию на инциденты

Вчера на сайте ФСТЭК России для общественного обсуждения был выложен ГОСТ Р «Защита информации. Обнаружения, предупреждения и ликвидации последствий компьютерныхатак и реагирования на компьютерные инциденты. Термины и определения»

Как следует из названия, стандарт содержит: термины, определения, взаимосвязь терминов. Термины и определения разделены на разделы и подразделы.


Обнаружение компьютерных атак и реагирование на компьютерные инциденты – это тема в которой пересекаются интересы многих регулирующих и иных организаций. Разработчики стандарта так обосновывают его необходимость:

“Анализ национальных стандартов, нормативных правовых актов и методических документов показывает необходимость установления единой терминологии в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Отсутствие единой терминологии может привести к нарушению взаимопонимания между заказчиками, организаторами и исполнителями работ в данной области, что может повлечь за собой снижение эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и по реагированию на компьютерные инциденты. В связи с этим очевидна необходимость закрепления в документах по стандартизации единой терминологии, а также ее упорядочивания и систематизации.”

Текущий стандарт дополняет уже существующий ГОСТ Р 50922, не противоречит ему, а также основывается на многих других ГОСТ, содержащих термины и определения.

Также текущий стандарт активно ссылается на “ГОСТ Р Защита информации. Мониторинг информационной безопасности. Общие положения”, при этом не упоминается что проектэтого стандарта не был введен и возможно не стоило запутывать всех ссылками на него.  

Формулировки терминов, конечно, встречаются достаточно интересные и даже спорные. Так, например к субъектам ГосСОПКА в соответствии с текущим определениям относятся любые организации, осуществляющие обнаружение атак (нет привязки к наличию объектов КИИ).



Наконец официально будут введены такие термины как корреляция, агрегация, инсайдер, индикатор компрометации, троян, дампер, 0day и т.п.

Но для того, чтобы быстро понять состав терминов и определений, охватываемых стандартом лучше всего взглянуть на схемы в конце стандарта. Они же показывают структуру взаимосвязи терминов.

  •  Подраздел - информационные ресурсы

  •  Подраздел - мониторинг ИБ

  •  Подраздел - компьютерная атака
  •  Подраздел - инцидент
  •  Подраздел - управление компьютерным инцидентом

В целом, видно, что большинство терминов перекочевали в стандарт из документов и регламентов ФСБ России. 

Как мне представляется, над формулировками некоторых терминов ещё стоит поработать. Особенно это касается таких важных терминов как субъект ГосСОПКА и средство защиты информации, аудит безопасности, уязвимость, обновление безопасности и т.п. После этого надо утверждать стандарт и продолжать работу над следующими стандартами в сфере ОПЛКА и РКИ. 



Комментарии

Максим Малиновский написал(а)…
Не понимаю претензии к определению субъекта ГосСОПКА. По идее это может быть и не субъект КИИ, а организация по типу интегратора, которая предоставляет услуги центра ГосСОПКА (или оповещение ГосСОПКА (естественно с лицензией на мониторинг ИБ)).
4 августа 2020 г. в 07:30
Сергей Борисов написал(а)…
претензии, а том что в определении нет уточнения, указывающего на сферу 187-ФЗ (надо было добавить -субъект КИИ, объект КИИ, значимый объект КИИ и т.п.)
иначе субъектами ГосСОПКА становятся все организации в РФ.


4 августа 2020 г. в 07:56
Сергей Борисов написал(а)…
Пожалуй напишу суть проблемы подробнее и с примерами.
Данный стандарт потенциально может быть интересен широкому кругу лиц, не имеющему никакого отношения к ГосСОПКА. В наименовании стандарта и вводной части стандарта нет каких либо ограничений к применению.
Например, ИТ администратор в какой-нибудь школе или админ интернет сайта, занимается реагированием на компьютерные атаки. И в соответствии с данным в ГОСТ определением эта организация относится к субъектам ГосСОПКА, администратор к силам ГосСОПКА, а его технические средства к средствам ГосСОПКА.
Слишком круто все организации включать в ГосСОПКА. Тут надо ограничивать либо областью действия ГосСОПКА, либо случаями когда такая обязанность установлена ФЗ...
4 августа 2020 г. в 23:58
Олег написал(а)…
Этот комментарий был удален автором.
5 августа 2020 г. в 00:36
Алексей Лукацкий написал(а)…
Сергей, ты делаешь классическую ошибку - ГосСОПКА не является частью законодательства по КИИ. ГосСОПКА появилась раньше и регулируется другими НПА. В части КИИ она только лишь немного соприкасается с ней, но не более того. Поэтому субъект ГосСОПКИ - это совсем не тоже самое, что и субъект КИИ. У ГосСОПКИ спектр субъектов шире
19 августа 2020 г. в 14:38
Комаров Валерий написал(а)…
А какие другие НПА по ГосСопка? Основа госсопки - нкцки, создан только в рамках 187-фз.И все полномочия нкцки ограничены законодательством КИИ, так как это подзаконный акт. Другое дело, что это ГОСТ под будущие НПА, которых ещё нет. Но тогда непонятно что делать субъектам КИИ.
24 августа 2020 г. в 11:53
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...