Изменения в ГОСТ по ИБ и АС в 2022 году

Дата: 01.02.2022 г.
Автор статьи: Мария Моисеева — Специалист по защите информации в Альтирикс Групп

В начале 2022 года вступили в силу изменения в комплексе стандартов на автоматизированные системы (далее – АС) и ряде стандартов в области информационной безопасности (далее – ИБ), утвержденных Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт).

Скачать ГОСТы ↓

С 01.01.2022 действуют ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» и ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (взамен стандартов ГОСТ 34.201-89 и ГОСТ 34.602-89 соответственно).

С 30.04.2022 вступят в силу:

• ГОСТ Р 59795-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» (вводится впервые, являясь аналогом отмененного Росстандартом в 2019 году РД 50-34.698-90);
• ГОСТ Р 59792-2021  «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем» (вводится впервые, являясь аналогом ГОСТ 34.603-92).

ГОСТ 34.201-2020

ГОСТ 34.201-2020, по сравнению с редакцией ГОСТ 34.201-89, претерпел изменения в части комплектности документов на стадии рабочей документации на АС: из разработки исключены «Ведомость машинных носителей информации», «Массив входных данных», «Каталог базы данных», «Состав выходных данных» и добавлены «Описание информационного массива», «Описание базы данных».

ГОСТ 34.602-2020

В ГОСТ 34.602-2020 основные изменения отмечены в расширении состава обязательных разделов, включаемых в техническое задание на АС: добавлен «Порядок разработки автоматизированной системы». Также внесен ряд изменений в указываемые в обязательных разделах и соответствующих им подразделах технического задания сведения:

• в раздел «Требования к АС» добавлен новый подраздел «Общие технические требования к АС»;
• в подразделе «Требования к видам обеспечения АС» для организационного обеспечения АС дополнительно приводятся требования к порядку обеспечения нормативными документами, необходимыми для разработки АС;
• требования (к надежности, безопасности, показателям назначения, численности и квалификации персонала и пользователей АС, эргономике и технической эстетике и т.д.), которые в редакции ГОСТ 34.602-89 были представлены в подразделе «Требования к системе в целом», вынесены в новый подраздел «Общие технические требования к АС». Согласно новой редакции в подразделе «Требования к структуре АС в целом» необходимо указывать следующие данные: перечень подсистем (при их наличии), их назначение и основные характеристики; требования к способам и средствам обеспечения информационного взаимодействия компонентов АС; требования к характеристикам взаимосвязей создаваемой АС со смежными АС, требования к интероперабельности, требования к ее совместимости, в том числе указания о способах обмена информацией; требования к режимам функционирования АС; требования по диагностированию АС; перспективы развития, модернизации АС;
• сокращено содержание раздела «Состав и содержание работ по созданию АС» –  достаточно приведения перечня этапов работ по созданию АС и сроков их выполнения;
• из перечня мероприятий, приводимых в разделе «Требования к составу и содержанию работ по подготовке объекта информатизации к вводу АС в действие», исключены «приведение поступающей в систему информации (в соответствии с требованиями к информационному и лингвистическому обеспечению) к виду, пригодному для обработки с помощью ЭВМ» и «изменения, которые необходимо осуществить в объекте автоматизации».

ГОСТ Р 59795-2021

Структура ГОСТ Р 59795-2021 идентична структуре его прекратившего действие предшественника – РД 50-34.698-90. Отмечаются небольшие изменения в требованиях к содержанию некоторых разделов документов:

• В разделе «Входная информация» документа «Описание постановки задачи (комплекса задач)» в описании по каждой структурной единице информации входных сообщений добавились указания идентификатора входного сообщения, содержащего структурную единицу информации, и допустимого формата данных. В разделе «Выходная информация» данного документа также следует указывать допустимый формат данных для описания каждого выходного сообщения и каждой структурной единицы информации выходных сообщений.
• «Описание регламента связей» и «Описание взаимосвязей АС с подразделениями объекта автоматизации» объединены в «Описание информационного взаимообмена» в разделе «Описание взаимосвязей АС с другими АС» документа «Общее описание системы».
• Упразднены требования к содержанию документов «Ведомость держателей подлинников», «Чертеж общего вида», «Ведомость потребности в материалах», «Чертеж формы документа (видеокадра)».
• Документ «Описание технологического процесса обработки данных» более не состоит из двух разделов, как было ранее в РД 50-34.698-90, и должен содержать описание технологического процесса сбора и обработки данных при различных режимах с приведением состава и последовательности выполнения технологических операций по сбору, регистрации, подготовке, контролю, передаче, обработке, отображению, хранению, выдаче информации и других выполняемых операций, а также перечня документации, сопровождающей каждую операцию в данном технологическом процессе.
• В требованиях к содержанию документации с решениями по информационному обеспечению вместо документов «Каталог базы данных», «Состав выходных данных (сообщений)», «Инструкция по формированию и ведению базы данных (набора данных)» введен документ «Описание базы данных», в содержание которого включены: перечень объектов предметной области АС, информация о которых включена в базу данных; перечень сущностей, включенных в базу данных, и их атрибутивный состав с описанием основных характеристик атрибутов; описание связей между сущностями на уровне атрибутов.

ГОСТ Р 59792-2021

В ГОСТ Р 59792-2021 основные виды испытаний АС остались прежними (предварительные, опытная эксплуатация, приемочные). Незначительные изменения затронули объем сведений, указываемых в программе и методике предварительных испытаний для автономных и комплексных испытаний: добавились материально-техническое обеспечение испытаний, перечень подлежащих проверке функций, порядок, методики и условия проведения проверок функционирования частей АС, обеспечение безопасности при проведении испытаний. Для проведения комплексных испытаний дополнительно должны быть представлены ТЗ на АС и ТЗ на части АС (при наличии).

Изменения в системе менеджмента ИБ

Изменения также затронули и системы менеджмента ИБ (далее – СМИБ). С 01.01.2022 взамен ГОСТ Р ИСО/МЭК 27001-2006 вступила в силу обновленная редакция одного из основополагающих стандартов в области риск-ориентированного управления информационной безопасностью – ГОСТ Р ИСО/МЭК 27001-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», утвержденный Приказом Росстандарта № 1653-ст от 30.11.2021.

Все положения, изложенные в стандарте 2006 года, пересмотрены. Устанавливаемые требования по созданию, внедрению, поддержке и постоянному улучшению СМИБ организации представлены в 7-и нижеследующих разделах (тогда как в предшествующей редакции представлялись в пяти):

• контекст деятельности организации;
• руководство;
• планирование;
• обеспечение и поддержка;
• функционирование;
• оценивание исполнения;
• улучшение.

С учетом актуальных и используемых на практике технологий управления ИБ и средств защиты информации полному пересмотру подвергся и состав мер обеспечения ИБ, которые изложены в Приложении А ГОСТ Р ИСО/МЭК 27001-2021. В новой редакции содержится 114 конкретных мер, сгруппированных в 35 основных категорий, объединенных в 14 основных разделов (в предшествующей редакции все меры были сгруппированы в 11 разделов):

• политики ИБ;
• организация деятельности по ИБ;
• безопасность, связанная с персоналом;
• менеджмент активов;
• управление доступом;
• криптография;
• физическая безопасность и защита от воздействия окружающей среды;
• безопасность при эксплуатации;
• безопасность коммуникаций;
• приобретение, разработка и поддержка систем;
• взаимоотношения с поставщиками;
• менеджмент инцидентов ИБ;
• аспекты ИБ в рамках менеджмента непрерывности деятельности организации;
• соответствие.

Более подробно представленные меры обеспечения ИБ и их применение раскрываются в связанном ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности», который был введен в действие 30.11.2021 года, заменив ГОСТ Р ИСО/МЭК 27002-2012.

Также следует отметить, что с 30.11.2021 года действуют еще 12 обновленных редакций адаптированных стандартов серии 270хх. Среди них, в частности, впервые введенный ГОСТ ISO/IEC 27014-2021 «Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности», определяющий цели и процессы руководства деятельностью по обеспечению ИБ организации в рамках СМИБ, выстраиваемой в соответствии с требованиями вышерассмотренного  ГОСТ Р ИСО/МЭК 27001-2021. Стандартом определены 4 ключевых процесса, в которых внутри организации может структурироваться СМИБ:

• оценка;
• координация;
• мониторинг;
• обмен информацией.

Также описаны взаимосвязи между управлением организацией, управлением информационными технологиями и управлением ИБ и представлены 3 типа организаций СМИБ в зависимости от границ охвата организационной структуры.

Стандарты по идентификации, аутентификации и управлению доступом

Группа стандартов ИБ по идентификации, аутентификации и управлению доступом с 30.11.2021 года пополнилась нижеследующими вступившими в силу документами:

1. ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции»  – является адаптацией международного стандарта ISO/IEC 24760-1:2019. Документ содержит терминологический аппарат, относящийся к управлению идентичностью (в частности, под идентичностью понимается представление (образ) сущности в виде одного или нескольких атрибутов, которые позволяют сущностям быть различимыми в домене), основные концепции идентичности и управления идентичностью, а также их взаимосвязь.

2. ГОСТ ISO/IEC 24760-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования» – идентичен международному стандарту ISO/IEC 24760-2:2015. Стандартом определена базовая архитектура системы управления идентификационными данными, включающая основные элементы архитектуры с их взаимосвязями. Основные элементы архитектуры описаны по отношению к моделям реализации управления идентификационными данными. Также стандарт определяет требования к проектированию и реализации системы управления идентификационными данными.

3. ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы» – разработан с учетом положений ISO/IEC 24760-3:2016. Содержит практические приемы управления идентичностью, которые охватывают обеспечение доверия к структуре управления идентичностью, включающей в себя управление доступом к идентификационным данным и другим ресурсам на основе идентификационных данных, политикам доступа, сторонам взаимодействия и способам обмена идентификационными данными.

4. ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности» – разработан на основе международных технических спецификаций ISO/IEC TS 29003:2018. Содержит рекомендации по подтверждению идентичности субъектов (физических лиц), определяет 3 уровня (низкий, средний, высокий) подтверждения их идентификационных данных и требования для достижения этих уровней.

5. ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом» – в своей основе содержит адаптированные положения ISO/IEC 29146:2016. В стандарте представлены описание концепции, участников, компонентов, эталонной архитектуры, функциональных требований и практических приемов безопасного управления доступом. Приводится архитектура типовой системы управления доступом, реализация которой возможна на основе применения нескольких моделей разграничения доступа (на основе идентификационных данных, ролей, атрибутов, возможностей, псевдонимов). Предложения по управлению доступом приведены как для одной организации, так и для территориально-распределенных структур.

Стандарты по защите персональных данных

Нововведения затронули и область стандартов по защите персональных данных (далее – ПДн). С 30.11.2021 года введены в действие:

1. ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных» – стандарт содержит общую терминологию в области безопасности ПДн (в частности, используется термин «обработчик ПДн», не определенный в действующем федеральном законодательстве по защите ПДн), основные элементы защиты ПДн, к которым относятся:

1. субъекты (субъект ПДн, оператор ПДн, обработчик ПДн, третья сторона) и их роли в обработке ПДн;
2. взаимодействие между вовлеченными в обработку ПДн субъектами;
3. распознавание ПДн с целью определения факта того, что физическое лицо считается идентифицируемым (приводятся примеры возможных атрибутов, используемых для идентификации физических лиц);
4. требования к мерам обеспечения безопасности ПДн;
5. политики обеспечения ПДн;
6. меры обеспечения безопасности ПДн.

Также в стандарте сформированы 11 принципов защиты ПДн, которые не должны исключаться при проектировании, разработке и внедрении политики конфиденциальности и мер обеспечения безопасности ПДн.

2. ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных» – является техническим руководством для разработчиков информационных систем ПДн (далее – ИСПДн), содержит представление базовой архитектурны ИСПДн:

• с точки зрения компонентов (приводится описание этих компонентов, сгруппированных по уровням на основе функциональных возможностей, краткое руководство по реализации компонентов);
• с точки зрения действующих субъектов (сторон);
• с точки зрения  взаимодействия компонентов в ИСПДн различных сторон.

Стандарт подразумевает процессный подход к построению архитектуры ИСПДн, описывая этапы жизненного цикла ПДн при обработке (сбор, передача, использование, хранение, уничтожение) и реализуемые на каждом из них процессы.

3. ГОСТ ISO/IEC 19896-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетенции специалистов по тестированию и оценке безопасности информационных технологий. Часть 1. Введение, основные понятия и общие требования» (вступил в силу 30.11.2021 года, введен впервые). Стандарт определяет термины и устанавливает упорядоченный набор понятий и отношений с целью понимания требований к компетенции для специалистов по тестированию и оценке безопасности информационных технологий, также содержит:

• описание элементов компетенции, в число которых входят компетенции, знания, навыки, опыт, образование и эффективность;
• 4 уровня компетенции – помощник, профессионал, менеджер, руководитель;
• методы измерения для каждого из  элементов компетенции.

Безопасная разработка программного обеспечения (SSDLC — Secure Software Development Lifecycle)

С 30.11.2021 года впервые введен ГОСТ ISO/IEC TS 19249-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений», представляющий руководство по эффективному использованию следующих принципов, используемых при построении архитектуры безопасных  продуктов, систем и приложений:

• разделение на домены с целью инкапсуляции компонентов, данных, программ в отдельные объекты с возможностью независимого управления ими;
• применение многоуровневой архитектуры, представляющей иерархию функций;
• инкапсуляция функций, используемых для доступа к объектам и управления ими;
• резервирование элементов (каналов связи, устройств, данных, функций и т.д.);
• виртуализация для эмуляции функциональности реального или гипотетического устройства, процессора, системы и т.д. на другом устройстве.

Приводится описание мероприятий по оценке вышеприведенных архитектурных принципов, наряду с которыми стандартом описаны 5 принципов проектирования:

• принцип наименьших привилегий;
• минимизация поверхности атаки;
• централизованная проверка параметров;
• централизованные общие службы безопасности;
• подготовка к обработке ошибок и исключительных ситуаций.

Расширен комплекс национальных стандартов системной инженерии по защите информации при планировании и реализации процессов в жизненном цикле различных систем. С 30.11.2021 года вступили в силу 23 стандарта:

1. ГОСТ Р 59329-2021 «Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы»;

2. ГОСТ Р 59330-2021 «Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы»;

3. ГОСТ Р 59331-2021 «Системная инженерия. Защита информации в процессе управления инфраструктурой системы»;

4. ГОСТ Р 59332-2021 «Системная инженерия. Защита информации в процессе управления портфелем проектов»;

5. ГОСТ Р 59333-2021 «Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы»;

6. ГОСТ Р 59334-2021 «Системная инженерия. Защита информации в процессе управления качеством системы»;

7. ГОСТ Р 59335-2021 «Системная инженерия. Защита информации в процессе управления знаниями о системе»;

8. ГОСТ Р 59336-2021 «Системная инженерия. Защита информации в процессе планирования проекта»;

9. ГОСТ Р 59337-2021 «Системная инженерия. Защита информации в процессе оценки и контроля проекта»;

10. ГОСТ Р 59338-2021 «Системная инженерия. Защита информации в процессе управления решениями»;

11. ГОСТ Р 59339-2021 «Системная инженерия. Защита информации в процессе управления рисками для системы»;

12. ГОСТ Р 59340-2021 «Системная инженерия. Защита информации в процессе управления конфигурацией системы»;

13. ГОСТ Р 59342-2021 «Системная инженерия. Защита информации в процессе измерений системы»;

14. ГОСТ Р 59344-2021 «Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы»;

15. ГОСТ Р 59345-2021 «Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы»;

16. ГОСТ Р 59347-2021 «Системная инженерия. Защита информации в процессе определения архитектуры системы»;

17. ГОСТ Р 59348-2021 «Системная инженерия. Защита информации в процессе определения проекта»;

18. ГОСТ Р 59350-2021 «Системная инженерия. Защита информации в процессе реализации системы»;

19. ГОСТ Р 59351-2021 «Системная инженерия. Защита информации в процессе комплексирования системы»;

20. ГОСТ Р 59353-2021 «Системная инженерия. Защита информации в процессе передачи системы»;

21. ГОСТ Р 59354-2021 «Системная инженерия. Защита информации в процессе аттестации системы»;

22. ГОСТ Р 59355-2021 «Системная инженерия. Защита информации в процессе функционирования системы»;

23. ГОСТ Р 59357-2021 «Системная инженерия. Защита информации в процессе изъятия и списания системы».

Все вышеназванные стандарты имеют идентичную структуру, устанавливают для соответствующего процесса (управления моделью жизненного цикла системы, определения архитектуры системы, функционирования системы и т.п.) общие требования системной инженерии по защите информации в этом процессе, включающие:

• требования к составам выходных результатов, выполняемых действий и используемых при этом активов, требующих защиты информации;
• требования к определению потенциальных угроз для выходных результатов и выполняемых действий процесса, а также возможных сценариев возникновения и развития этих угроз;
• требования к прогнозированию рисков при планировании и реализации процесса, обоснованию эффективных предупреждающих действий по снижению рисков или их удержанию в допустимых пределах.

Установлены специальные требования к используемым количественным показателям, к которым относятся:

• риск нарушения надежности реализации процесса без учета требований по защите информации
• риск нарушения требований по защите информации в процессе;
• интегральный риск нарушения реализации процесса с учетом требований по защите информации.

Для практического применения в стандартах комплекса приведены примеры перечней, подлежащих защите активов и угроз, типовые модели и методы прогнозирования рисков, типовые допустимые значения для показателей рисков и перечень методик системного анализа для характерного процесса.

В начало статьи ↑