Вчера на сайте ФСТЭК России для общественного обсуждения был выложен ГОСТ Р «Защита информации. Обнаружения, предупреждения и ликвидации последствий компьютерныхатак и реагирования на компьютерные инциденты. Термины и определения»
Как следует из названия, стандарт содержит: термины, определения, взаимосвязь терминов. Термины и определения разделены на разделы и подразделы.
Обнаружение компьютерных атак и реагирование на компьютерные инциденты – это тема в которой пересекаются интересы многих регулирующих и иных организаций. Разработчики стандарта так обосновывают его необходимость:
“Анализ национальных стандартов, нормативных правовых актов и методических документов показывает необходимость установления единой терминологии в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Отсутствие единой терминологии может привести к нарушению взаимопонимания между заказчиками, организаторами и исполнителями работ в данной области, что может повлечь за собой снижение эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и по реагированию на компьютерные инциденты. В связи с этим очевидна необходимость закрепления в документах по стандартизации единой терминологии, а также ее упорядочивания и систематизации.”
Текущий стандарт дополняет уже существующий ГОСТ Р 50922, не противоречит ему, а также основывается на многих других ГОСТ, содержащих термины и определения.
Также текущий стандарт активно ссылается на “ГОСТ Р Защита информации. Мониторинг информационной безопасности. Общие положения”, при этом не упоминается что проектэтого стандарта не был введен и возможно не стоило запутывать всех ссылками на него.
Формулировки терминов, конечно, встречаются достаточно интересные и даже спорные. Так, например к субъектам ГосСОПКА в соответствии с текущим определениям относятся любые организации, осуществляющие обнаружение атак (нет привязки к наличию объектов КИИ).
Наконец официально будут введены такие термины как корреляция, агрегация, инсайдер, индикатор компрометации, троян, дампер, 0day и т.п.
Но для того, чтобы быстро понять состав терминов и определений, охватываемых стандартом лучше всего взглянуть на схемы в конце стандарта. Они же показывают структуру взаимосвязи терминов.
- Подраздел - информационные ресурсы
- Подраздел - мониторинг ИБ
- Подраздел - компьютерная атака
- Подраздел - инцидент
- Подраздел - управление компьютерным инцидентом
В целом, видно, что большинство терминов перекочевали в стандарт из документов и регламентов ФСБ России.
Как мне представляется, над формулировками некоторых терминов ещё стоит поработать. Особенно это касается таких важных терминов как субъект ГосСОПКА и средство защиты информации, аудит безопасности, уязвимость, обновление безопасности и т.п. После этого надо утверждать стандарт и продолжать работу над следующими стандартами в сфере ОПЛКА и РКИ.