Приказ Росстандарта №740-ст от 07.06.2024 «Об утверждении ГОСТ Р 71440-2024»

Приказ Федерального агентства по техническому регулированию и метрологии от 07.06.2024 № 740-ст «Об утверждении национального стандарта Российской Федерации ГОСТ Р 71440-2024 “Информационные технологии. Оценка процессов. Руководство по определению рисков в процессах”»

Ссылки

• Электронный фонд нормативно-технической и нормативно-правовой информации Консорциума «Кодекс»
• Официальный текст на сайте в формате постраничного просмотра
• Сохранённый текст в формате PDF
• Гарант

Справка

ГОСТ Р 71440-2024 «Информационные технологии. Оценка процессов. Руководство по определению рисков в процессах» содержит обзор универсальных рекомендаций по определению рисков, связанных с реализацией различных процессов в области системной и программной инженерии.

В состав универсальных рекомендаций, связанных с определением рисков в процессах, входят:

• постановка задачи на определение рисков в процессе;
• определение исходных данных, подлежащих анализу;
• порядок проведения работ по выявлению и оценке рисков, связанных с процессами.

В качестве отдельных требований по ЗИ в приложении А «Пример классификации типов рисков» приведена характеристика возможных причин возникновения риска в процессах, реализуемых в организации, и его последствий в зависимости от уровня его возникновения. Приводится три категории типа риска:

• тип «А» – риск в отношении качества продукции, возникающий в следствии отсутствия или недостаточности информационного обеспечения о продукции и неэффективной работы поставщика, и влекущий за собой неприемлемое качество продукции, а также возникновение инцидентов, связанные с безопасностью информации и нарушения функционирования системы защиты;
• тип «В» – риск организации, возникающий в следствии отсутствия описания стандартных процессов и влекущий за собой снижение эффективности выполнения процессов, нарушения взаимодействия между подразделениями организации, выполняющими отдельные работы по производству продукции;
• тип «С» – потенциальный риск организации, возникающий в следствии отсутствия принципа постоянного улучшения стандартных процессов организации и влекущий за собой отсутствие возможности своевременного обнаружения проблем в функционировании стандартных процессов и реагирования на технологические изменения, необходимые для задания актуальных требований по безопасности реализации данных процессов.

Стандарт предназначен для использования организациями, участвующими в создании (модернизации, развитии), эксплуатации систем различного функционального назначения и программных средств, а также при выведении их из эксплуатации.

Стандарт разработан с учетом основных нормативных положений международного документа ISO/IEC TR 33015:2019 «Информационные технологии. Оценка процессов. Руководство по определению риска в процессах» («Information technology – Process assessment – Guidance for process risk determination»).

Национальный стандарт ГОСТ Р 71440-2024 разработан Обществом с ограниченной ответственностью «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) и Комиссией Российской академии наук по техногенной безопасности, внесен техническим комитетом по стандартизации «Информационные технологии» (ТК 22) и утвержден приказом руководителя Росстандарта № 740-ст от 7 июня 2024 г. Дата введения в действие 30 сентября 2024 г.

• • TR (Technical Report, технический отчет) – международный документ, не являющийся международным стандартом, опубликованный ИСО или МЭК и содержащий различного рода данные, которые не включаются в международные стандарты.

Источник: ТК 362: Сведения о принятых национальных и международных стандартах за III квартал 2024 года

Обзоры документа

Аналитический центр УЦСБ

Стандарты, принятые в 3 квартале 2024 года

На официальном сайте ФСТЭК России опубликованы Сведения о принятых национальных и международных стандартах за 3 квартал 2024 года.

С июля по сентябрь 2024 года стандарты в области защиты информации не утверждались, однако, на официальном сайте Федерального агентства по техническому регулированию и метрологии (далее – Росстандарт) были официально опубликованы стандарты, утвержденные в июне 2024 года:

• ГОСТ Р 71303-2024 «Системная и программная инженерия. Возможности программных инструментариев для организационного управления инцидентами. Общие положения», разработанный на основе положений международного стандарта ISO/IEC 23531:2020 «Системная и программная инженерия. Возможности инструментов управления инцидентами» («Systems and software engineering – Capabilities of issue management tools»);
• ГОСТ Р 71440-2024 «Информационные технологии. Оценка процессов. Руководство по определению рисков в процессах», разработанный на основе международного документа ISO/IEC TR 33015:2019 «Информационные технологии. Оценка процессов. Руководство по определению риска в процессах» («Information technology – Process assessment – Guidance for process risk determination»);
• ГОСТ Р 71452-2024 «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла», разработанный на основе положений международного документа IEC/PAS 63325:2020 «Требования жизненного цикла функциональной безопасности и защиты для IACS» («Lifecycle requirements for functional safety and security for IACS»).

Текст документа

Быстрый просмотр сохранённой копии