+ 1
- 0
Оценить:

УТВЕРЖДАЮ

Председатель технического комитета по стандартизации

«Защита информации» (ТК 362)

В.Лютиков

 

РЕШЕНИЕ

заседания подкомитетов технического комитета по стандартизации «Защита информации» (ТК 362)

17 мая 2018 года

 

На заседании подкомитетов ТК 362 присутствовали представители от 43 организаций.

Заслушаны и обсуждены доклады:

1) предложения ФАУ «ГНИИИ ПТЗИ ФСТЭК России» по основным направлениям пересмотра проекта национального стандарта ГОСТ Р 51624-20ХХ «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (докладчик - ФАУ «ГНИИИ ПТЗИ ФСТЭК России» Смолин А.В.);

2) сводка отзывов и результаты голосования по проекту национального стандарта ГОСТ Р «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента безопасности информации. Требования» (докладчик - ФАУ «ГНИИИ ПТЗИ ФСТЭК России» Донцов Г.Ю.);

3) вопросы актуальности и целесообразности разработки национальных стандартов по направлениям:

требования к подсистемам регистрации средств защиты информации, общесистемного и прикладного программного обеспечения в части минимально необходимых данных по типам событий, размещаемых в файлах регистрации;

реализация процессов и систем (средств) мониторинга безопасности;

выявление инцидентов информационной безопасности и реагирование на них (докладчик - ООО «ЦБИ» Сидак А.А., ООО «НПФ «Кристалл» Голованов В.Б.);

5) о стандартизации терминологии в области защиты информации (докладчик - ФАУ «ГНИИИ ПТЗИ ФСТЭК России» Королев А.А.);

5) основные направления совершенствования деятельности ТК 362 (докладчик - ФСТЭК России Лютиков В.С.);

6) организационные вопросы деятельности ТК 362:

перерегистрация членов ТК 362;

подготовка предложений по тематике заседаний подкомитетов (ПК), рабочих групп (РГ) ТК 362 и составу РГ по проблемным вопросам (докладчик - ФАУ «ГНИИИ ПТЗИ ФСТЭК России» Войналович В.Ю.).

 

I. По вопросу рассмотрения предложений ФАУ «ГНИИИ ПТЗИ ФСТЭК России» по основным направлениям пересмотра проекта национального стандарта ГОСТ Р 51624-20ХХ «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»

 

Заслушав и обсудив предложения ФАУ «ГНИИИ ПТЗИ ФСТЭК России» по основным направлениям пересмотра проекта национального стандарта ГОСТ Р 51624-20ХХ «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» заседание ПК ТК 362 отмечает, что указанный проект национального стандарта должен быть направлен на установление свойств, которыми обладает автоматизированная система в защищенном исполнении и использоваться разработчиками и заказчиками автоматизированных систем в защищенном исполнении, в том числе в ходе работ по разработке технического задания на их создание.

По результатам обсуждения предложений ФАУ «ГНИИИ ПТЗИ ФСТЭК России» заседание ПК ТК 362 рекомендует следующее.

1. Председателю ПК 3 сформировать РГ по разработке проекта национального стандарта ГОСТ Р 51624-20ХХ «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» в составе представителей от:

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»;

ООО «ЦБИ»;

ФГУП «НПП «Гамма»;

ЗАО «Аладдин Р.Д.»;

ООО «НПФ «Кристалл»;

АО «НПО «Инфобезопасность»;

ЗАО НИП «Информзащита»;

ФГАНУ НИИ «Спецвузавтоматика».

Назначить руководителем РГ представителя от ФАУ «ГНИИИ ПТЗИ
ФСТЭК России».

2. Рабочей группе в срок до 1 августа 2018 года разработать первую редакцию проекта национального стандарта ГОСТ Р 51624-20ХХ «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования», направленную на установление свойств, которыми должна обладать автоматизированная система в защищенном исполнении, обсудить на заседании РГ и разослать на отзыв организациям-членам ТК 362.

 

II. По вопросу рассмотрения сводки отзывов и результатов голосования по проекту национального стандарта ГОСТ Р «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента безопасности информации. Требования»

 

Заслушав и обсудив результаты разработки проекта национального стандарта ГОСТ Р «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента безопасности информации. Требования», информацию о ходе работ по его разработке, основные отличия проекта национального стандарта от его международного аналога ISO/IEC 27001:2013, а также основные группы замечаний и предложений, высказанных организациями-членами ТК 362 при его рассмотрении, заседание ПК ТК 362 отмечает, что в интересах принятия решения о представлении разработанного проекта национального стандарта на утверждение необходимо:

провести анализ и уточнить возможность совместного применения данного проекта национального стандарта с новыми действующими нормативными правовыми актами в области защиты информации, и в целом применимость серии национальных стандартов, разработанных на основе международных стандартов серии ISO/IEC 27000;

по результатам анализа определить целесообразные формы применения положений международных стандартов при проведении дальнейших работ по разработке их национальных аналогов (подготовка и регистрация переводов международных стандартов для их добровольного применения и/или разработка национальных стандартов с учетом применимости в Российской Федерации положений, установленных в их международных аналогах).

По результатам обсуждения заседание ПК ТК 362 рекомендует следующее.

1. Организациям-членам ТК 362 провести анализ актуальности и необходимости разработки национальных стандартов на основе международных стандартов серии ISO/IEC 27000, а так же применимости в различных организациях разработанного проекта национального стандарта ГОСТ Р «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента безопасности информации. Требования».

Результаты анализа с сформулированной позицией по этим вопросам представить в секретариат ТК 362 до 20 июня 2018 года.

2. Секретариату ТК 362 обобщить результаты анализа, проведенного организациями-членами ТК 362, и доложить их председателю ТК 362.

 

III. По вопросу актуальности и целесообразности разработки национальных стандартов по направлениям: требования к подсистемам регистрации средств защиты информации, общесистемного и прикладного программного обеспечения в части минимально необходимых данных по типам событий, размещаемых в файлах регистрации; реализация процессов и систем (средств) мониторинга безопасности; выявление инцидентов информационной безопасности и реагирование на них

 

Заслушав и обсудив предложения ООО «ЦБИ» и ООО «НПФ «Кристалл»  о целесообразности разработки проектов новых национальных стандартов, заседание ПК ТК 362 отмечает, что в целях обеспечения деятельности субъектов критической информационной инфраструктуры Российской Федерации, операторов государственных информационных систем, иных информационных (автоматизированных) систем необходимо установление требований к подсистемам регистрации средств защиты информации, общесистемному и прикладному программному обеспечению в части минимально необходимых данных по типам событий, размещаемых в файлах регистрации, а также реализация процессов и систем (средств) мониторинга безопасности.

Указанные требования целесообразно установить в следующих национальных стандартах:

ГОСТ Р «Защита информации. Регистрация событий безопасности. Требования к составу регистрируемой информации»;

ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения».

Содержание разрабатываемых проектов национальных стандартов должно быть направлено на регламентацию требований, обеспечивающих совместимость и взаимодействие средств и механизмов обеспечения безопасности информации.

По результатам обсуждения заседание ПК ТК 362 рекомендует следующее.

1. Создать РГ по разработке на основе обобщения существующего отечественного и международного опыта, указанных проектов национальных стандартов.

В интересах создания РГ организациям-членам ТК 362 до 20 июня 2018 года направить в секретариат ТК 362 предложения по участию в составе РГ.

2. Председателю ПК 2 обобщить предложения организаций-членов ТК 362, определить состав РГ и ее руководителя.

3. Руководителю РГ подготовить планы-проспекты проектов национальных стандартов, а также план работ по их разработке, доложить их председателю ТК 362 до 1 августа 2018 года.

 

IV. По вопросу стандартизации терминологии в области защиты информации

 

Заслушав и обсудив сообщение ФАУ «ГНИИИ ПТЗИ ФСТЭК России» по вопросу стандартизации терминологии в области защиты информации, заседание ПК ТК 362 отмечает необходимость пересмотра действующего национального стандарта ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» с учетом последующего создания системы терминологических стандартов в области защиты информации, детализирующих базовую терминосистему (термины и определения в области защиты информации от несанкционированного доступа, от утечки по техническим каналам, от специальных воздействий на информации и др.).

По результатам обсуждения заседание ПК ТК 362 рекомендует следующее.

1. Принять к сведению результаты работы ФАУ «ГНИИИ ПТЗИ ФСТЭК России» и организаций-членов ТК 362 по совершенствованию терминологии в области защиты информации.

2. Председателю ПК 1 сформировать РГ в интересах определения состава национальных терминологических стандартов в области защиты информации и проведения дальнейших работ по их разработке.

Результаты работ по формированию РГ и определению состава национальных терминологических стандартов в области защиты информации доложить на очередном заседании ПК ТК 362.

Организациям-членам ТК 362, в интересах создания РГ по разработке национальных терминологических стандартов, до 20 июня 2018 года направить в секретариат ТК 362 предложения по ее составу.

3. ФАУ «ГНИИИ ПТЗИ ФСТЭК России» в IV квартале 2018 г. представить председателю ТК 362 проект новой редакции национального стандарта ГОСТ Р 50922 «Защита информации. Основные термины и определения» для рассмотрения и принятия решения о его рассылке на отзыв в организации-члены ТК 362.

 

V. По вопросу основных направлений совершенствования деятельности ТК 362

 

Заслушав доклад председателя ТК 362 об основных направлениях совершенствования деятельности ТК 362, заседание ПК ТК 362 отмечает следующее:

основным направлением работ по стандартизации в области защиты информации является установление требований к архитектуре систем защиты информации, к номенклатурному ряду средств защиты информации, к их характеристикам и совместимости, к методологии испытания и применения, требований к безопасным информационным технологиям, а так же программным и техническим решениям в области защиты информации;

разработка таких стандартов должна вестись с учетом выявленных актуальных потребностей практики и разработки средств защиты информации;

национальные стандарты с требованиями к средствам защиты должны быть связующим элементом между требованиями регуляторов к защите информации в информационных системах и конкретной их реализацией на объектах различного класса;

анализ результатов работы по разработке национальных стандартов в рамках деятельности ТК 362 показывает низкую активность организаций-членов ТК 362, что требует проведения работ по их перерегистрации и совершенствование технологии разработки, рассмотрения и согласования проектов национальных стандартов в рамках деятельности ТК 362.

Заседание ПК ТК 362 рекомендует.

1. Основным направлением работ по стандартизации в области защиты информации считать установление требований к архитектуре систем защиты информации, к номенклатурному ряду средств защиты информации, к их характеристикам и совместимости, к методологии испытания и применения, требований к безопасным информационным технологиям, а так же программным и техническим решениям в области защиты информации.

2. Председателям ПК N 1, ПК N 2 и ПК N 3 провести анализ состояния работ по национальной и международной стандартизации по закрепленными за ними направлениями деятельности ТК 362 с учетом основных направлений работ по стандартизации в области защиты информации, сформулированных в п. 1.

3. По результатам проведенного анализа председателям ПК N 1, ПК N 2 и ПК N 3 сформировать предложения по:

уточнению основных направлений работ в интересах развития национальной системы стандартизации в области защиты информации, а также по уточнению номенклатуры (состава) национальных стандартов, подлежащих разработке (пересмотру), отмене в среднесрочной перспективе;

составу, тематике и руководителям рабочих групп из представителей организаций-членов ТК 362.

4. Результаты анализа и подготовленные предложения доложить на очередном заседании ПК ТК 362.

5. Ответственному секретарю ТК 362 обеспечить председателей ПК N 1, ПК N 2 и ПК N 3 необходимыми исходными данными в интересах анализа состояния работ по национальной и международной стандартизации и подготовки предложений по составу РГ.

6. ФАУ «ГНИИИ ПТЗИ ФСТЭК России» в целях совершенствования информационного обеспечения о деятельности ТК 362, принимаемых решенияхи разрабатываемых национальных стандартах, проработать вопрос о размещении такой информации на официальном сайте ФСТЭК России.

7. Организациям-членам ТК 362 в срок до 1 августа 2018 года представить ответственному секретарю ТК 362, председателю ПК N 4 предложения об участии их представителей в работе РГ ПК 27 СТК 1 ИСО/МЭК в качестве полномочных представителей ТК 362.

Ответственному секретарю ТК 362 обобщить указанные предложения и доложить их на очередном заседании ПК ТК 362.

 

VI. По организационным вопросам деятельности ТК 362:

перерегистрация членов ТК 362;

подготовка предложений по тематике заседаний ПК (РГ) ТК 362 и составу РГ по проблемным вопросам

 

Заслушав и обсудив доклад по организационным вопросам деятельности ТК 362, заседание ПК ТК 362 отмечает необходимость проведения комплекса организационных мероприятий по совершенствованию деятельности ТК 362 в соответствии с основными направлениями, определенными председателем ТК 362 и современными требованиями Росстандарта к реформированию технических комитетов по стандартизации.

По результатам обсуждения заседание ПК ТК 362 рекомендует следующее.

1. Ответственному секретарю ТК 362 направить в организации-члены ТК 362 информационное сообщение о проведении перерегистрации членов ТК 362.

2. Организациям-членам ТК 362 при принятии решения о целесообразности перерегистрации учитывать следующие рекомендации:

принятие организацией решения об участии в работе ТК 362 должно осуществляться с учетом современных требований к организациям-членам ТК 362 по активному участию представителей организации в работе ТК 362 (в составе РГ по разработке проектов документов по стандартизации, проведении их экспертизы), участии в заседаниях ТК 362 (ПК, РГ), а также планировании их деятельности;

ответственными за работу в составе ТК 362 от организации должны быть определены руководитель либо заместитель руководителя организации;

в организации должны быть назначены ответственные лица (представители организации в ТК 362) которые непосредственно выполняют работы по стандартизации в области защиты информации;

для ведения переписки по вопросам деятельности ТК 362 должен быть определен официальный электронный адрес организации либо ее руководителя;

ведение делопроизводства в организации по вопросам деятельности ТК 362 должно осуществляться в соответствии с требованиями, действующими в этой организации, позволяющими обеспечить своевременность доведения документов по вопросам деятельности ТК 362 до руководства организации и контроль своевременности и качества их исполнения;

принятие организацией обязательств присутствия на заседаниях ТК (ПК, РГ) представителей организаций, осуществляющих непосредственное проведение работ по разработке документов по стандартизации, либо их экспертизе;

участие в выработке обоснованных предложений в планы работ по стандартизации и активное участие в их реализации.

3. Секретариату ТК 362 провести анализ активности организаций-членов ТК 362 в 2016, 2017 и 2018 гг. и на основе проведенного анализа подготовить предложения об изменении статуса организаций-членов ТК 362 на «Наблюдатель» (исключении из состава технического комитета организаций, не принимавших участие в его работе).

Результаты проведенного анализа и предложения по изменению статуса (исключению) организаций-членов ТК 362 из состава технического комитета доложить на очередном заседании ПК ТК 362.

4. Председателям ПК N 1, ПК N 2 и ПК N 3 подготовить и представить до 20 июня 2018 г. ответственному секретарю ТК 362 предложения по тематике очередного заседания ПК ТК 362.

5. Секретариату ТК 362 подготовить для представления в Росстандарт предложения по внесению изменений в структуру ТК 362 (с учетом действующих нормативных правовых актов и ФЗ-187 от 26.07.2017.

6. Секретариату ТК 362 осуществлять своевременное информирование ТК 26 о проводимых ТК 362 работах по стандартизации в области защиты информации.

7. Организациям-членам ТК 362 до 20 июня 2018 года представить в секретариат ТК 362 информацию о своей готовности представлять интересы ТК 362 в смежных технических комитетах.

Ответственному секретарю ТК 362 обобщить указанную информацию, результаты обобщения доложить на очередном заседании ПК ТК 362.

 

Ответственный секретарь ТК 362

В.Войналович

17 мая 2018 г.