Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю (ГНИИИ ПТЗИ ФСТЭК России) Первая межбанковская конференция «Вопросы обеспечения информационной безопасности организаций банковской системы РФ» Состояние работ по стандартизации в области информационной безопасности ГЕРАСИМЕНКО ВЛАДИМИР ГРИГОРЬЕВИ Председатель ТК-36 Член Координационного Совета Сообщества ABIS Начальник ГНИИИ ПТЗИ ФСТЭК Росс Республика Башкортостан, ДЦ «Юбилейный» 10 - 14 февраля 2009 года 2 Соотношение количества действующих международных и национальных стандартов в области ИТ и ОБИ Международные стандарты по ИБ (~170) Национальные стандарты по ИТ (~200) Международные стандарты по ИТ (~1300) Национальные стандарты по ИБ (~40) Особенности современного этапа стандартизации в области информационной безопасности характеризуется развитием существующих требований по защите информации от чисто технических аспектов в направлении специфики управления, аудита и оценки ИБ Организация, управление ИБ Автоматизированные системы (ИТКС, ИТ) ТСОИ, СЗИ Особенности современного этапа стандартизации в области информационной безопасности Государства , участники Организации потребители ВТО государств, участников ВТО Внешний рынок Международные стандарты в области ИБ Международные ТК МЭК ИСО ПК-27 СТК-1 РОСТЕХРЕГУЛИРОВАНИЕ Национальные стандарты в области ИБ на базе международных модифицированные идентичные Национальные ТК Национальные стандарты в области ИБ Организации (потребители) ТК-362 ТК-26 ТК-22 Внутренний рынок Динамика разработки международных стандартов в области обеспечения информационной безопасности 30 25 20 20 15 10 5 0 4 7 3 2 1 2003 2004 2005 2006 2007 2008 2009 2010 2011 годы 27 25 26 27 16 11 8 15 Динамика разработки гармонизированных национальных стандартов в области обеспечения информационной безопасности 8 8 6 4 2 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 годы 1998 1999 2000 2001 2002 6 5 6 4 6 3 1 Гармонизированные национальные стандарты, разработанные и утвержденные в 2007- 2008 г.г. • ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы обеспечения безопасности. Руководство по менеджменту безопасностью информации» ГОСТ Р ИСО ТО 13569 «Финансовые услуги. Рекомендации по информационной безопасности» ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Части 1, 2, 3 ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» ГОСТ Р ИСО/МЭК ТО 19791 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» • • • • Гармонизированные национальные стандарты, разработанные и утвержденные за 2007-2008 (продолжение) • ГОСТ Р ИСО/МЭК ТО 15446 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности» ГОСТ Р ИСО/МЭК 27006 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности» ГОСТ Р ИСО/МЭК 18028-1 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности» ГОСТ Р ИСО/МЭК ТО 24762 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения» • • • Гармонизированные национальные стандарты, планируемые к разработке в 2009 г. • • • • ГОСТ Р ИСО/МЭК 21827 «Информационная технология. Проектирование систем безопасности. Модель зрелости» ГОСТ Р ИСО/МЭК 27000 «Информационная технология. Методы и средства безопасности. Системы менеджмента информационной безопасности. Обзор и словарь» ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средства безопасности. Практические правила менеджмента информационной безопасности» ГОСТ Р ИСО/МЭК 27005 «Информационная технология. Измерения менеджмента информационной безопасности» Национальные стандарты, планируемые к разработке в 2009 г. • • • • ГОСТ Р «Защита информации. Автоматизированные системы и базы данных. Требования по обеспечению безопасности информации» ГОСТ Р «Защита информации. Оценка безопасности информации, циркулирующей в автоматизированных системах. Общие положения» ГОСТ Р «Защита информации. Техника защиты информации. Требования к формированию баз синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации» ГОСТ Р «Система обеспечения информационной безопасности сети связи общего пользования. Методика оценки риска причинения ущерба сетям и системам связи» ГЕРАСИМЕНКО ВЛАДИМИР ГРИГОРЬЕВИЧ Председатель ТК-362, Член Координационного Совета Сообщества ABISS, Начальник ГНИИИ ПТЗИ ФСТЭК России СПАСИБО ЗА ВНИМАНИЕ!