Журнал "Information Security/ Информационная безопасность" #4, 2020

• 7 ПРАВО И НОРМАТИВЫ www.itsec.ru в сферах деятельности, нормативно-пра- вовое регулирование которых осуществ- ляется Министерством труда и социальной защиты Российской Федерации" 13 . Согласно справке к проекту, перечень актуальных угроз определен экспертным путем, в том числе по результатам обоб- щения и анализа моделей угроз без- опасности информации информацион- ных систем, сформированных и утвер- жденных руководителями операторов информационных систем, а также нор- мативных правовых актов органов госу- дарственной власти субъектов Россий- ской Федерации. Стандартизация терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты В начале августа на сайте ФСТЭК России опубликована первая редакция проекта национального стандарта ГОСТ Р "Защита информации. Обнаружение, предупреждение и ликвидация послед- ствий компьютерных атак и реагирова- ние на компьютерные инциденты" 14 . Стандарт дополняет уже существую- щий ГОСТ Р 50922, а также основывается на многих других стандартах, содержащих термины и определения. Схема ниже отображает структуру разделов ГОСТа и классификационную схему понятий, входящих в область действия стандарта. Проект предназначен для стандарти- зации терминологии в указанной области для ее дальнейшего использования при разработке национальных стандартов, нормативных правовых актов и методи- ческих документов. Согласно поясни- тельной записке 15 к опубликованному проекту, документ необходим для уста- новления единой терминологии в целях взаимопонимания между заказчиками, исполнителями и организаторами. Авто- рами стандарта предполагается, что реа- лизация проекта приведет к повышению эффективности мероприятий по обнару- жению, предупреждению и ликвидации последствий компьютерных атак и реа- гированию на компьютерные инциденты. Мониторинг информационной безопасности Опубликован проект ГОСТ Р "Защита информации. Мониторинг информацион- ной безопасности. Общие положения" 16 . Положения проекта применимы к меро- приятиям по мониторингу информацион- ной безопасности, осуществляемым опе- раторами по отношению к эксплуатируе- мым ими информационным (автомати- зированным) системам, а также к меро- приятиям, осуществляемым в рамках деятельности по оказанию услуг монито- ринга ИБ. Стандарт не устанавливает требования к средствам мониторинга ИБ и к меро- приятиям, связанным с выявлением ком- пьютерных инцидентов и реагированием на них. В проекте документа определены: 1. Требования к уровням мониторинга информационной безопасности: l к источникам данных мониторинга; l к сбору данных мониторинга; l хранению, агрегации и обработке дан- ных мониторинга; l к представлению данных о результатах мониторинга. 2. Порядок осуществления мониторин- га информационной безопасности при реализации мер защиты информации. 3. Требования к защите данных мони- торинга. Методические рекомендации для категорирования объектов КИИ в сфере здравоохранения Министерство здравоохранения Рос- сийской Федерации разработало и отпра- вило на согласование во ФСТЭК России Методические рекомендации по катего- рированию объектов КИИ сферы здраво- охранения. В настоящий момент проект документа 17 опубликован для обществен- ных обсуждений. Рекомендации содержат: 1. Подробный перечень организаций сферы здравоохранения, на которые распространяются методические реко- мендации: l органы управления системой здраво- охранения; l лечебные организации; l медицинские организации особого типа (медицинские центры, воинские формирования, лаборатории и т.д.); l медицинские организации по надзору в сфере защиты прав потребителей и благополучия человека; l организации, осуществляющие фар- мацевтическую деятельность; l частные организации в сфере здра- воохранения; 2. Примеры объектов КИИ, на которые распространяются методические реко- мендации. 3. Рекомендации для формирования комиссии по категорированию (а также для формы приказа о создании комиссии и пример положения о комиссии). Документ содержит также справочную информацию, в частности: l справочные материалы по оценке кри- тичности бизнес-процессов (примеры и разъяснения для оценки критичности при- менимых к сфере здравоохранения пока- зателей и примеры обоснования неприме- нимости показателей из Правил категори- рования 18 для сферы здравоохранения); l состав возможных событий (инциден- тов), которые могут возникнуть в резуль- тате реализации компьютерных атак (на основании перечня критериев значимо- сти объектов КИИ); l варианты обоснования неприменимо- сти критериев значимости, установлен- ных постановлением Правительства РФ от 08.02.2018 г. № 127; l справочные материалы по подготовке документов для отправки во ФСТЭК России (содержащие формы писем и документов для отправки регулятору и указания по их заполнению). В приложениях к методическим реко- мендациям разработчики приводят формы промежуточной отчетности, раз- 13 https://regulation.gov.ru/projects#npa=106656 14 https://fstec.ru/component/attachments/download/2770 15 https://fstec.ru/component/attachments/download/2772 16 https://fstec.ru/component/attachments/download/2774 17 http://portal.egisz.rosminzdrav.ru/files/%D0%9C%D0%A0%20%D0%9A%D0%98%D0%98.pdf 18 http://publication.pravo.gov.ru/Document/View/0001201802130006 Структура разделов ГОСТ