Стандартизация в информационной безопасности. Часть 2. Специфика требований и подходов по разработке и экспертизе стандартов в области ИБ
Владимир Голованов, заместитель начальника аналитического отдела, и Алексей Фатеев, специалист аналитического отдела, провели вебинар на тему стандартизации в информационной безопасности.
Целенаправленные инвестиции в цифровизацию экономики и ключевых отраслей промышленности неизбежно приводят к формированию требований информационной безопасности (ИБ) в предлагаемых решениях, что в условиях импортозамещения требует консолидации усилий всех заинтересованных сторон. Разработчикам отраслевых решений зачастую недостает соответствующих знаний для формирования востребованных требований ИБ. Как итог – принимаются стандарты на небезопасные технологии, то есть требования ИБ в них есть, но они нереализуемы или бесполезны. Выходом из сложившейся непростой ситуации является более плотное участие ИБ-специалистов в профильных для сферы ИБ технических комитетах (26 «Криптографическая защита информации» и 362 «Защита информации»).
В ходе вебинара эксперты рассказали про основные профильные площадки, на которых проводится работа по стандартизации в области ИБ – технические комитеты по стандартизации, основные правила деятельности этих ТК, специфику организации и проведения работ. Остановились на примерах и причинах ошибок в проектах стандартов, поступающих на экспертизу в профильные ТК, в части сформулированных в них требований ИБ, формировании института экспертизы проектов документов по стандартизации в части экспертизы требований ИБ. Было раскрыто содержание того, как сейчас планируется организация данной специализированной экспертизы ИБ и дополнительной специализированной экспертизы ИБ в соответствии с новой редакцией ГОСТ Р 1.6 по экспертизе проектов документов по стандартизации и положениями нового документа Правил стандартизации по порядку проведения экспертизы требований ИБ, вариантам организации этих работ, обсуждению ситуаций, когда имеется отрицательное экспертное заключение и что это означает.