СРАВНЕНИЕ ПОДХОДОВ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: СТАНДАРТЫ ТЕХНИЧЕСКОГО КОМИТЕТА ТК362 И NIST

COMPARISON OF APPROACHES TO INFORMATION SECURITY: TECHNICAL COMMITTEE TC362 AND NIST STANDARDS

Alexsey Eremenko

student, Department of Security and Information Technology, National Research University " Moscow Power Engineering Institute",

Russia, Moscow

АННОТАЦИЯ

В статье сравниваются структурные, правовые особенности стандартов, разработанных Техническим комитетов ТК362 и NIST в области информационной безопасности, а также регулярность их обновления, с целью определения векторов развития и совершенствования Отечественной системы стандартов в области информационной безопасности.

ABSTRACT

The article compares the structural and legal features of the standards developed by the Technical Committees TC362 and NIST in the field of information security, as well as the regularity of their updating, in order to determine the vectors of development and improvement of the National system of standards in the field of information security.

Ключевые слова: информационная безопасность; ТК362; NIST; подход

Keywords: Information Security; TC362; NIST; approach.

В условиях активно продолжающейся в Российской Федерации цифровизации, необходимой для оптимизации процессов и конкурентоспособности государственных и частных организаций, роста угроз в сфере информационной безопасности, вызванных мировыми тенденциями и нестабильностью на международном треке, а также развитием в области искусственного интеллекта, построение результативной и эффективной системы информационной безопасности (далее – СИБ) становится критически важным элементом общей системы безопасности организаций.

Подходы к построению информационной безопасности и развитию СИБ в целом описываются в различных стандартах, разрабатываемых как в Российской Федерации, так и за рубежом. В рамках настоящей статьи будет проведен сравнительный анализ национальных стандартов, разработанных техническим комитетом по стандартизации «Защита информации», принятых Ростехрегулированием (далее – ТК362), и руководств Национального института стандартов и технологий США в области информационной безопасности (далее – NIST CSF/SP) направлений оптимизации Отечественной системы стандартов в области защиты информации.

Российские стандарты информационной безопасности, разрабатываемые ТК362, и американские рекомендации NIST отражают принципиально разные философии защиты данных, обусловленные историческими, регуляторными и технологическими особенностями развития и уровня зрелости информационных технологий в этих странах. Отечественная система стандартов, представленная, в частности, такими документами, как ГОСТ Р 56939-2016 «Защита информации. Разработка программного обеспечения. Общие требования» [1] или ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие требования» [2] строится на предписывающем подходе, где четко определены обязательные к выполнению требования. Это обеспечивает строгую унификацию и единообразие, но ограничивает гибкость, что отрицательно влияет на результирующую эффективность информационной безопасности, что может привести к избыточным финансовым и временным затратам, что особенно негативно сказывается на малом бизнесе. В то же время, в рекомендациях NIST CSF/SP, используется риск-ориентированный подход, позволяющий организациям самостоятельно выбирать меры защиты на основе оценки угроз. Например, организации, использующие NIST SP 800-37 Rev.2 «Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy» [3, с. 428] при построении информационной безопасности, имеют право адаптировать меры защиты информации на основе анализа угроз и вероятности реализации уязвимостей и проведения атак со стороны злоумышленников, что особенно актуально для новых проектов или малого бизнеса.

Правовой подход в вопросах применения рассматриваемых в настоящей статье стандартов и рекомендаций в Российской Федерации и США не имеет принципиальных отличий. Так, в Российской Федерации стандарты ТК362 обязательны для государственных информационных систем (далее – ГИС) и организаций, относящимся к критической информационной инфраструктуре (далее – КИИ) и, в ряде случаев, в информационных системах персональных данных (далее – ИСПДн). В США документы NIST CSF/SP обязательны для федеральных агентств и работающими с ними компаниями, и носят рекомендательный характер для негосударственных организаций. В частном секторе их внедрение часто обусловлено рыночными требованиями, например, контрактами с Минобороны США, что приводит к неравномерному уровню безопасности: крупные корпорации следуют рекомендациям, а малый бизнес может их игнорировать. При этом, фактически, аналогичная картина наблюдается и на Отечественном рынке.

Важным критерием сравнения подходов можно считать подход к обновлению стандартов. Стандарты, разработанные ТК362 практически не актуализируются, когда как рекомендации NIST напротив, получают регулярные обновления: NIST SP 800-53 «Security and Privacy Controls for Information Systmes and Organizations» [4, с. i] с момента выпуска в 2005 году пережил 5 редакций, последняя из которых в 2020 году включила требования по управлению рисками в цепочках поставок.

Эти различия порождают последствия для бизнеса и государства. Российские организации получают унификационные, но нередко устаревшие инструкции, повышающие вероятность реазизации современных атак со стороны злоумышленников, например, на основе искусственного интеллекта. В системе NIST частая смена стандартов требует постоянного мониторинга, но обеспечивает актуальность. Однако добровольный статус документов приводит к фрагментации: крупные компании внедряют передовые практики, а малый бизнес остаётся в зоне риска.

Таблица 1.

Сравнение подходов стандартов ТК 362 и NIST CSF/SP

При этом, очевидно, что с учетом геополитической нестабильности,  регулярных вызовов со стороны недружественных стран и исторических особенностей Российской Федерации, часть требований, не являющихся

на первый взгляд оптимальными в разрезе мировых тенденций развития информационной безопасности, имеют объективные причины для существования и дают определенное преимущество перед гибким подходом.

С учетом вышеописанного, для совершенствования российской системы информационной безопасности, необходимо предпринять следующие шаги:

1. Рассмотреть вопрос внедрения в уже существующий строгий иерархический метод разработки стандартов модульного подхода;
2. Оптимизировать процесс разработки и обновления стандартов
   
   при возникновении новых угроз безопасности, в том числе путем привлечения открытых рабочих групп, с целью поддержания эффективной системы информационной безопасности, способной противостоять современным угрозам безопасности.
3. Способствовать и поощрять развитие вышеуказанных открытых рабочих групп, состоящих из специалистов и руководителей в области информационной безопасности, из различных направлений и типов организаций (государственные организации, малый, средний, крупный бизнесы) с целью создания полноценного конкурентоспособного аналога системы стандартов.

Список литературы:

1. ГОСТ Р 56939-2016 «Защита информации. Разработка программного обеспечения. Общие требования». – Введ. 01.03.2017. – М. : Стандартинформ, 2016.
2. ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие требования». – Введ. 01.03.2022. – М. : Стандартинформ, 2021.
3. NIST SP 800-37 Rev.2 «Структура управления рисками для информационных систем и организаций: подход к безопасности и конфиденциальности на протяжении всего жизненного цикла системы» / Национальный институт стандартов и технологий. — Гейтерсберг, Мэриленд : NIST, 2018. — 428 с. — URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r2.pdf (дата обращения: 10.10.2023).
4. NIST SP 800-53 «Средства обеспечения безопасности и конфиденциальности для информационных систем и организаций» / Национальный институт стандартов и технологий. — Гейтерсберг, Мэриленд : NIST, 2020. — i с. — URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf (дата обращения: 10.10.2023).