ГОСТы по безопасности, вступающие в силу в 2015 году

Продолжается процесс перевода международных стандартов на русский язык и введения их в эксплуатацию в России. В декабре прошлого года на сайте Федерального агентства по техническому регулированию и метрологии были опубликованы несколько стандартов, связанных с обеспечением информационной безопасности и вошедших в серию ГОСТ ИСО/МЭК 27000:

• 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» – вступает в силу 1 сентября 2015 г.;
• 27033-3-2014 «Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» – вступает в силу 1 ноября 2015 г.;
• 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» – вступает в силу 1 ноября 2015 г.

Таким образом, российская база стандартов, связанных с обеспечением информационной безопасности, постепенно приходит в соответствие с международной практикой. Андрей Прозоров, ведущий эксперт по ИБ компании InfoWatch, отмечает: «Не может не радовать регулярное пополнение ГОСТов переводными стандартами 27-й серии (по управлению информационной безопасностью). На данный момент мы имеем 13 довольно интересных ГОСТов, а международных стандартов серии ISO 27, с учетом финальных проектов, уже насчитывается больше 50. Это – положительная динамика, так как исконно отечественные рекомендации и требования к информационной безопасности существенно отстают от западных. Приятным исключением является, пожалуй, только серия СТО БР ИББС». Правда, хотя стандарты активно переводятся, принимать по три документа в год – все же очень мало. «Опечаливает то, что два базовых стандарта серии 27, а именно 27001 и 27002, чьи новые версии появились в 2013 г., до сих пор не обновлены в России», – сетует Андрей Прозоров.

Сейчас к стандартам отношение – уже не такое настороженное, как прежде, поскольку большинство из них имеют рекомендательный характер. «В России ГОСТ перестал быть обязательным с начала двухтысячных годов, – говорит Евгений Родыгин, глава ИБ-департамента компании  «Транзас». – Обязательными являются лишь стандарты, касающиеся безопасности жизни и других серьёзных вещей. Даже пищевые ГОСТы перестали быть обязательными. Если заказчик или госзаказчик в техническом задании пропишет обязательность стандарта, тогда – да, но не более того. Действует только закон о техническом регулировании, но в области ИБ ветку зарубили – нет техрегламентов по ИБ, которые должны были заменить ГОСТы.»

В результате подобные стандарты, которые к тому же являются не российскими, теперь воспринимаются лишь как лучшие практики. «Я вообще стандарты из серии рекомендательных практик сильно адаптирую к своим потребностям. По сути, все так делают. Никто не мешает смотреть, что там рекомендуют коллеги, – почему бы нет? Но при внедрении все равно адаптируешь под себя», – поясняет Евгений Родыгин. Однако уже есть, как минимум, возможность использовать данные стандарты в проектных технических заданиях, поэтому специалистам по информационной безопасности придётся их изучать и осмысливать.