Продолжается процесс перевода международных стандартов на русский язык и введения их в эксплуатацию в России. В декабре прошлого года на сайте Федерального агентства по техническому регулированию и метрологии были опубликованы несколько стандартов, связанных с обеспечением информационной безопасности и вошедших в серию ГОСТ ИСО/МЭК 27000:
Таким образом, российская база стандартов, связанных с обеспечением информационной безопасности, постепенно приходит в соответствие с международной практикой. Андрей Прозоров, ведущий эксперт по ИБ компании InfoWatch, отмечает: «Не может не радовать регулярное пополнение ГОСТов переводными стандартами 27-й серии (по управлению информационной безопасностью). На данный момент мы имеем 13 довольно интересных ГОСТов, а международных стандартов серии ISO 27, с учетом финальных проектов, уже насчитывается больше 50. Это – положительная динамика, так как исконно отечественные рекомендации и требования к информационной безопасности существенно отстают от западных. Приятным исключением является, пожалуй, только серия СТО БР ИББС». Правда, хотя стандарты активно переводятся, принимать по три документа в год – все же очень мало. «Опечаливает то, что два базовых стандарта серии 27, а именно 27001 и 27002, чьи новые версии появились в 2013 г., до сих пор не обновлены в России», – сетует Андрей Прозоров.
Сейчас к стандартам отношение – уже не такое настороженное, как прежде, поскольку большинство из них имеют рекомендательный характер. «В России ГОСТ перестал быть обязательным с начала двухтысячных годов, – говорит Евгений Родыгин, глава ИБ-департамента компании «Транзас». – Обязательными являются лишь стандарты, касающиеся безопасности жизни и других серьёзных вещей. Даже пищевые ГОСТы перестали быть обязательными. Если заказчик или госзаказчик в техническом задании пропишет обязательность стандарта, тогда – да, но не более того. Действует только закон о техническом регулировании, но в области ИБ ветку зарубили – нет техрегламентов по ИБ, которые должны были заменить ГОСТы.»
В результате подобные стандарты, которые к тому же являются не российскими, теперь воспринимаются лишь как лучшие практики. «Я вообще стандарты из серии рекомендательных практик сильно адаптирую к своим потребностям. По сути, все так делают. Никто не мешает смотреть, что там рекомендуют коллеги, – почему бы нет? Но при внедрении все равно адаптируешь под себя», – поясняет Евгений Родыгин. Однако уже есть, как минимум, возможность использовать данные стандарты в проектных технических заданиях, поэтому специалистам по информационной безопасности придётся их изучать и осмысливать.
© Издание 12NEWS (ИП Маринин А.Л.) 12news.ru, 2015