LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page

О Wiki

NextОпределения

Last updated 11 months ago

Данный проект* является попыткой создания единого информационного поля для всех специалистов, которые работают со стандартами серии ГОСТ Р 57580. Желающие просто пользоваться Вики могут делать это анонимно по адресу её размещения. Желающие вносить правки, предложения и участвовать в редактировании должны будут вступить в чат: и подтвердить свою квалификацию.

Это не законченная энциклопедия требований. Мы осознаем её неполноту и несовершенство. Прекрасно понимаем, что ей есть куда расти, и что не все требования имеют свои комментарии. Но сейчас наша задача как зачинателей проекта - запустить полноценный MVP и инициировать целенаправленную работу по сбору лучших практик и опыта на базе удобного движка. Вовлекая в это активистов сообщества, и меняя сложившийся формат работы в чатиках в духе парадигмы DocOps.

Почему этот проект может быть полезен? Сегодня мы сталкиваемся с огромным потоком информации в нашем предметном поле:

  • письмами и разъяснениями регуляторов;

  • маркетинговыми вебинарами интеграторов;

  • сообщениями в профильных чатах Телеграм;

  • статьями блогов;

  • онлайн-таблицами в гугл-документах;

  • материалами профильных конференций и журналов.

Этот поток создает постоянную фрустрацию от невозможности объять необъятное, а попытка справиться с ним в одиночку, даже в рамках крупной компании, порождает непрерывное "переизобретение велосипедов". Хорошо, если удается обменяться опытом на конференциях или через личные отношения. Но сколько энергии растрачивается впустую? И сколько полезной информации не доходит до своих потенциальных "клиентов"? Даже если кто-то находит интересное и разумное решение какого-то вопроса, не факт, что об этом решении узнают за пределами конкретной организации, проекта или закрытого чата. Наоборот, заблуждения и мифы, обычно достаточно простые в "освоении" могут иметь все шансы на массовое распространение, отвлекая внимание и силы специалистов на заведомо проигрышные и бесперспективные пути.

По мере роста объема нормативных требований, усложнения технологического стека, появления новых угроз безопасности и средств защиты, старые подходы к управлению и обмену знаниями, основанные на самообразовании и внутрикорпоративных базах знаний становятся все менее эффективными. Жизненно важным становится "пересборка" наших знаний на базе общей платформы, которая не будет являться корпоративной собственностью и ограничиваться соглашениями о неразглашении и конфиденциальности. Такая платформа непредставима без сообщества - активных участников, которые не просто пользуются чужим контентом, но становятся соавторами общественной энциклопедии, отражая в ней общие знания и практики, накапливаемые в процессе реализации проектов.

Таким образом, мы можем не просто создать сложный и запутанный файл с описаниями тысячи требований, который через месяц утратит свою актуальность. Но выстроить самоподдерживающийся процесс непрерывного формирования и актуализации СИСТЕМЫ ЗНАНИЙ, в котором будут реализованы:

  • удобная система поиска и индексации;

  • связь понятий и тем в единое целое;

  • эффективная обратная связь авторов и пользователей базы, на основе технологий типа Git.

И в итоге, помимо базы знаний, мы получим дополнительную ценность - сообщество профессионалов, которые имеют общий язык и инструменты для ведения продуктивного диалога друг с другом на базе платформы, которая отражает прирост нового знания, накапливаемого сообществом в результате практики. Что ещё более актуально, т.к. все то с чем мы столкнулись в рамках ГОСТ Р 57580.1.-2017 ждет нас со следующими сериями семейства: ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022.

Мы приглашаем всех желающих принять участие в создании, наполнении и оптимизации этой вики. И шире посмотреть на возможности применения парадигмы DocOps к самой тяжеловесной из всех документарных тематик - стандартизации и шаблонизации требований.

*Проект является некоммерческим с точки зрения возможности применения этой информации непосредственно специалистами (независимо от их места и формата работы). При этом использование этих материалов в продуктах, программном обеспечении или их непосредственная продажа будут ограничиваться во избежание недобросовестных практик и должна быть согласована с авторами. В связи с этим нами начата процедура защиты актива через авторское право.

ВИКИ | ГОСТ Р 57580