Любые технические работы имеют стандарты, согласно которым они должны осуществляться. И сфера информационной безопасности – не исключение.
Мы решили познакомить вас со стандартами по которым работаем сами. Возможно, кто-то из читателей планирует начать работу в сфере инфобеза, тогда эта статья будет суперполезной для вас.
Немного истории
Информация – один из самых ценных товаров в мире. Поэтому вопрос ее защиты всегда был самым важным. В мире цифровизации, в котором мы живем, защита информации и информационных ресурсов – первостепенная задача для любой компании.
Построение системы управления информационной безопасностью началось в 1980-х годах в Великобритании. Тогда была организована первая группа по разработке правил по обеспечению ИБ.
Только в 1989 году Министерством торговли и промышленности Великобритании был опубликован первый стандарт PD 0003 «Практические правила управления ИБ». В нем представлен перечень средств управления безопасностью, подходящих для того времени с учетом имеющихся технологий.
Стандартом-прародителем всех международных стандартов для систем управления информационной безопасностью стал BS 7799-1 «Практические правила управления ИБ», принятый в 1995 году также в Великобритании. Уже на основе этого стандарта был создан ISO/IEC 17799:2000 Международной организацией по стандартизации и Международной электротехнической комиссией. В России этот стандарт введен только в 2007 году.
Стандарты ИБ в России
Все стандарты информационной безопасности в России основаны на международных. Первые документы, регулирующие этот вопрос появились в 90-х годах. Стандарты были направлены на защиту гостайны, что категорически не подходило бизнес-сегменту.
Защита информации для всех начала как-то регулироваться лишь в 1996 году. Тогда были введены три статьи в уголовный кодекс в отношении несанкционированного доступа к информации, разработки вредоносного кода и нарушения правил обслуживания компьютерных систем.
Первым шагом в направлении ИБ бизнеса стал ГОСТ 15408, что показало ориентированность на лучшие мировые практики по защите информации.
Наша нормативная база
Естественно, развитие стандартизации ИБ не остановилось на одном ГОСТе. Актуальных стандартов для ИБ насчитывается более 20-ти. Также стандарты ИБ регламентируют приказы ФСТЭК.
Расскажем о тех, с которыми работаем мы. Согласно ним регулируется не только документационная работа, но и технические вопросы.
Госстандарты по защите информации
- ГОСТ 15971-90 «Системы обработки информации. Термины и определения».
- ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».
- ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения».
- ГОСТ 34.601. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».
- ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».
- ГОСТ Р 51624-2000. «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования».
- ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
- ГОСТ Р 59792-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем».
- ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
- ГОСТ Р 56545-2015. «Защита информации. Уязвимости информационных систем. Правила описания уязвимости».
- ГОСТ Р 56546-2015. «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем».
- ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
- ГОСТ Р 34.11-2012 Информационная технология. Криптографическая защита информации. Функция хеширования.
- ГОСТ 36.603-92 «Информационная технология. Виды испытаний автоматизированных систем».
Приказы, регулирующие требования к системам защиты информации
- Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК от 25.12.2017 № 239 «Об утверждении требований безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования».
- Приказ ФСБ России от 14.07.2014г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности»
- Приказ ФСБ России от 24.10.2022 г. № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств». Вступает в силу в октябре 2023 года, но регуляторы уже рекомендуют опираться и на него.
Что из мировых практик используем в работе
Конечно, в работе используются не только отечественные стандарты и методологии. Например, для пентеста мы ориентируемся на стандарты:
- OWASP (Open Web Application Security Project), который предлагает руководства и методологии для внешнего тестирования;
- OSSTMM (The Open Source Security Testing Methodology Manual) — методология для внутреннего тестирования.
Вообще, сложно себе представить любого специалиста, который не знает правовых основ своей работы. Мы строго соблюдаем нормативно-правовую и методологическую базу, активно взаимодействуем с регуляторами в сфере информационной безопасности, чтобы системы наших заказчиков были под надежной защитой.