Новый ГОСТ по обнаружению КА и реагированию на инциденты

Новый ГОСТ по обнаружению КА и реагированию на инциденты

Вчера на сайте ФСТЭК России для общественного обсуждения был выложен ГОСТ Р «Защита информации. Обнаружения, предупреждения и ликвидации последствий компьютерныхатак и реагирования на компьютерные инциденты. Термины и определения»

Как следует из названия, стандарт содержит: термины, определения, взаимосвязь терминов. Термины и определения разделены на разделы и подразделы.


Обнаружение компьютерных атак и реагирование на компьютерные инциденты – это тема в которой пересекаются интересы многих регулирующих и иных организаций. Разработчики стандарта так обосновывают его необходимость:

“Анализ национальных стандартов, нормативных правовых актов и методических документов показывает необходимость установления единой терминологии в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Отсутствие единой терминологии может привести к нарушению взаимопонимания между заказчиками, организаторами и исполнителями работ в данной области, что может повлечь за собой снижение эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и по реагированию на компьютерные инциденты. В связи с этим очевидна необходимость закрепления в документах по стандартизации единой терминологии, а также ее упорядочивания и систематизации.”

Текущий стандарт дополняет уже существующий ГОСТ Р 50922, не противоречит ему, а также основывается на многих других ГОСТ, содержащих термины и определения.

Также текущий стандарт активно ссылается на “ГОСТ Р Защита информации. Мониторинг информационной безопасности. Общие положения”, при этом не упоминается что проектэтого стандарта не был введен и возможно не стоило запутывать всех ссылками на него.  

Формулировки терминов, конечно, встречаются достаточно интересные и даже спорные. Так, например к субъектам ГосСОПКА в соответствии с текущим определениям относятся любые организации, осуществляющие обнаружение атак (нет привязки к наличию объектов КИИ).


Наконец официально будут введены такие термины как корреляция, агрегация, инсайдер, индикатор компрометации, троян, дампер, 0dayи т.п.

Но для того, чтобы быстро понять состав терминов и определений, охватываемых стандартом лучше всего взглянуть на схемы в конце стандарта. Они же показывают структуру взаимосвязи терминов.

  •  Подраздел - информационные ресурсы

  •  Подраздел - мониторинг ИБ

  •  Подраздел - компьютерная атака
  •  Подраздел - инцидент
  •  Подраздел - управление компьютерным инцидентом

В целом, видно, что большинство терминов перекочевали в стандарт из документов и регламентов ФСБ России. 

Как мне представляется, над формулировками некоторых терминов ещё стоит поработать. Особенно это касается таких важных терминов как субъект ГосСОПКА и средство защиты информации, аудит безопасности, уязвимость, обновление безопасности и т.п. После этого надо утверждать стандарт и продолжать работу над следующими стандартами в сфере ОПЛКА и РКИ. 



Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.