Над стандартом работает технический комитет CEN/CLC/JTC 13 «Кибербезопасность и защита данных» (Cybersecurity and Data Protection),
Публичное обсуждение продлится до 13 декабря 2025 года. С текстом проекта можно ознакомиться на сайтах национальных органов по стандартизации стан Евросоюза, в т.ч. на эстонском сайте, см. https://komport.evs.ee/Default.aspx?s=standardCommenting&doc=19694
Веб-страница публичного обсуждения на сайте эстонского органа по стандартизации
Во вводной части стандарта отмечается:
«В настоящем документе специфицированы общие принципы кибербезопасности и общие меры управления рисками для всех продуктов, имеющих цифровые элементы (далее именуемых «продуктами»). Данный документ охватывает все этапы жизненного цикла продукта с целью обеспечения и поддержания надлежащего уровня кибербезопасности на основе учёта рисков.
В настоящем документе также представлены типовые компоненты, поддерживающие разработку согласованных между собой стандартов, специфических для отдельных категорий продуктов (вертикальных стандартов).
Настоящий документ:
- Устанавливает общие принципы кибербезопасности, применимые ко всем этапам жизненного цикла продукта;
- Специфицирует требования к оценке и обработке рисков кибербезопасности;
- Специфицирует требования в отношении мер и действий, которые могут применяться для обеспечения надлежащего уровня кибербезопасности на каждом этапе жизненного цикла продукта;
- Предоставляет компоненты и соображения для использования в стандартах, специфических для отдельных категорий продуктов, с целью обеспечения гармонизированного подхода.
В настоящем документе не рассматриваются меры и компоненты, специфические для отдельных вертикальных категорий продуктов.»
В стандарте сформулированы четыре принципа:
- Риск-ориентированный подход к кибербезопасности: Риск-ориентированный подход к кибербезопасности продуктов обеспечивает то, что меры кибербезопасности основаны на выявленных рисках и соразмерны им, принимая во внимание масштаб потерь или перебоев, а также вероятность их возникновения. Такой подход способствует принятию обоснованных решений относительно обработки рисков, в конечном итоге направленных на снижение рисков кибербезопасности продукта на протяжении всего его жизненного цикла посредством приятия целенаправленных и адекватных мер.
- Запроектированная безопасность (security by design): Принцип «запроектированной безопасности» в отношении кибербезопасности означает, что продукт проектируется, разрабатывается и производится таким образом, чтобы интегрировать меры кибербезопасности на протяжении всего жизненного цикла продукта, начиная с этапа разработки концепции. Подход «запроектированной безопасности» обеспечивает то, что кибербезопасность рассматривается как фундаментальный аспект проектирования на всех его этапах, и подчеркивает, что кибербезопасность не должна рассматриваться как добавляемый позже элемент.
- Обеспечение безопасности по умолчанию (secure by default): Принцип обеспечения безопасности по умолчанию в отношении кибербезопасности означает, что поведение продукта по умолчанию является безопасным для его предполагаемого назначения при разумно предсказуемом использовании и в условиях целевой среды эксплуатации. Сюда входит обеспечение безопасной настройки продукта при установке или развертывании, а также установку доступных обновлений кибербезопасности без неоправданных задержек в интересах поддержания безопасного по умолчанию состояния.
- Прозрачность: Принцип прозрачности подразумевает распространение и предоставление необходимой информации о кибербезопасности заинтересованным сторонам для поддержки усилий по достижению и поддержанию кибербезопасности продуктов.
Содержание документа следующее:
Европейское предисловие
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Введение
5. Принципы кибербезопасности
5.1. Общие положения
5.2. Риск-ориентированный подход к кибербезопасности
5.3. Запроектированная безопасность
5.4. Обеспечение безопасность по умолчанию
5.5. Прозрачность
6. Элементы менеджмента риска
7. Меры и действия по обеспечению кибербезопасности
Приложение A (справочное): Согласованность с вертикальными стандартами
Приложение B (справочное): Пример соглашения с поставщиком услуг кибербезопасности (Cybersecurity Supplier Agreement, CSSA)
Приложение C (справочное): Взаимосвязь настоящего европейского стандарта с ключевыми требованиями к обеспечению кибербезопасности Регламента №2024/2847
Приложение D (справочное): Доступная и инклюзивная кибербезопасность
Библиография
Одновременно проходит публичное обсуждение части 1-1 данного стандарта - prEN 40000-1-1 «Требования по кибербезопасности к продуктам с цифровыми элементами - Часть 1-2: Словарь» (Cybersecurity requirements for products with digital elements – Vocabulary) объёмом 8 страниц, см. https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:82349,2307986&cs=1233A32A252D91A47BFF714F1B8C1ED26
Во вводной части отмечается, что «в настоящем документе приведены термины и определения, обычно используемые в требованиях к кибербезопасности, включаемых в стандарты для продуктов с цифровыми элементами».
Документ содержит 16 терминов. Его содержание следующее:
Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
Библиография
Источники: сайт CEN / сайт эстонского органа по стандартизации
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:81335,2307986&cs=1D72BA048927BF4E6076BA309587EA01A
https://komport.evs.ee/Default.aspx?s=standardCommenting&doc=19694
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:82349,2307986&cs=1233A32A252D91A47BFF714F1B8C1ED26
https://komport.evs.ee/Default.aspx?s=standardCommenting&doc=19689
