Краудсорсинг при разработке государственных стандартов

Ни для кого не секрет, что многие действующие российские государственные стандарты (ГОСТ) по информационной безопасности на текущий момент морально устарели. Это очевидно по той причине, что большинство их них разрабатывались в 80–90 годы, когда большая часть современных информационных технологий не применялась так широко, как сейчас, или просто не существовала.

С недавнего времени российские государственные регуляторы начали обновлять нормативную базу, что само по себе не может не радовать. На этом пути было и есть много подводных камней, ярким примером служит эпопея с Федеральным Законом № 152-ФЗ «О персональных данных» ^[1] и сопровождающими его приказами ФСТЭК и ФСБ. Много копий было сломано, несколько итераций приказов ФСТЭК были приняты, а затем заменены новыми версиями. И вот на днях, а именно 14 мая 2013 года Министерством Юстиции был зарегистрирован свежий приказ ФСТЭК № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ^[2], который профессиональное сообщество приняло в целом с одобрением. Стоит отдельно сказать, что при разработке этого документа регулятор обращался в том числе к независимым экспертам отрасли.

Положительной тенденцией ФСТЭК ^[3] стало то, что теперь при разработке новых норм регулятор спрашивает общество его мнение относительно разрабатываемых документов. И самым свежим примером являются недавно пришедшие к нам запросы.

Технический комитет 362 «Информационная безопасность» ^[4], относящийся к ФСТЭК, разрабатывает проекты новых российских ГОСТов по защите информации. Организациям — членам ТК 362 были разосланы письма с просьбой рассмотреть и дать замечания по поводу следующих проектов будущих государственных стандартов России:

• ГОСТ Р «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» ^[5];
• ГОСТ Р «Защита информации. Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем» ^[6];
• ГОСТ Р «Защита информации. Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения» ^[7];
• ГОСТ Р «Защита информации. Документация по технической защите информации на объекте информатизации. Общие положения» ^[8].

Проекты документов открыты и доступны по ссылкам на сайте ТК 362. Замечания и предложения надо дать до 20 июня текущего года.

Предлагаю всем, кому интересна и небезразлична судьба будущих российских ГОСТов по информационной безопасности, ознакомиться с проектами документов и написать свои комментарии. Дельные комментарии и советы мы добавим к своим собственным и отправим в ТК 362 на правах организации-участника этого технического комитета.

Большая просьба писать комментарии по существу рассматриваемых проектов документов и воздерживаться от предложений типа «давайте все это выкинем и возьмем проверенные всем миром ISO, NIST, CIS…». Нет никакой гарантии, что наши предложения будут учтены в полном объеме, поскольку мы можем только предложить. Окончательное решение все равно будет принимать регулятор. Однако, практика показала, что слушать комментарии по делу там умеют.

Автор: sergeyshustikov

Источник ^[9]