Перечень нормативных документов, регламентирующих деятельность в области защиты информации
Конституция Российской Федерации
Гражданский Кодекс Российской Федерации
Уголовный Кодекс Российской Федерации
Декларация прав и свобод человека и гражданина Российской Федерации
Законы Российской Федерации:
«Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ;
«О безопасности» от 5 марта 1992 г. № 2446-1;
«О связи» от 16 февраля 1995 г. №15-ФЗ;
«О государственной тайне» от 21 июля 1993 г. № 5485-1;
«О защите прав потребителей» от 7 февраля 1992 г. № 2300-1 в редакции Федерального закона от 9 января 1996 г. № 2-ФЗ;
«О сертификации продукции и услуг» от 10 июня 1993 г. № 5151-1;
«О федеральных органах правительственной связи и информации» от 19 февраля 1993 г. № 4524-1;
«Об участии в международном информационном обмене» от 4 июля 1996 г. № 85-ФЗ;
Указы Президента Российской Федерации:
«О создании Государственной технической комиссии при Президенте Российской Федерации» от 5 января 1992 г. № 9;
«О защите государственных секретов Российской Федерации» от 14 января 1992 г. № 20;
«Об утверждении перечня сведений, отнесенных к государственной тайне» от 30 ноября 1995 г. № 1203;
«О Межведомственной комиссии по защите государственной тайны» от 8 ноября 1995 г. № 1108;
«Вопросы Межведомственной комиссии по защите государственной тайны» от 20 января 1996 г. № 71 с изменениями, внесенными Указами Президента Российской Федерации от 21 апреля 1996 г. № 573, от 6 июня 1996 г. № 815, от 14 июня 1997 г. № 594;
«О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 г. № 334;
«О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам» от 8 мая 1993 г. № 644;
«Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188;
«О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9 января 1996 г. № 21;
«Об утверждении Государственной программы обеспечения защиты государственной тайны в Российской Федерации на 1996-1997 годы» от 9 марта 1996 г. № 346;
«Об основах государственной политики в сфере информатизации» от 20 января 1994 г. № 170.
Распоряжения Президента Российской Федерации:
«Положение о Государственной технической комиссии при Президенте Российской Федерации» от 28 декабря 1992г. № 829-рпс и от 05 июля 1993г. № 483-рпс;
Постановления Правительства Российской Федерации:
Инструкция № - 0126-87;
«О лицензировании отдельных видов деятельности» № 1418, 1994 г.;
«О лицензировании деятельности предприятий, учреждений и организации по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 15 апреля 1995г. № 333;
«О внесении дополнения в Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 30 апреля 1997г. № 513;
«Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности» от 01 июля 1996г. № 770;
«Вопросы организации защиты государственных секретов Российской Федерации» от 02 апреля 1992г. № 20;
«Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15 сентября 1993г. № 912-51;
«Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности» от 04 сентября 1995г. № 870;
«Об утверждении Положения о подготовке к передаче сведений, составляющих государственную тайну, другим государствам» от 02 августа 1997г. № 973;
«О сертификации средств защиты информации» от 26 июня 1995г. № 608;
«Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» от 03 ноября 1994г. № 1233;
«Об утверждении Положения о выпуске и обращении ценных бумаг и фондовых биржах в РСФСР» от 28 декабря 1991г. № 78
«О перечне сведений, которые не могут составлять коммерческую тайну» от 05 декабря 1991г. № 35.
Решения Гостехкомиссии России:
«Основы концепции защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам» от 16 ноября 1993г. № 6;
«О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте» от 03 октября 1995г. № 42;
Совместные решения Гостехкомиссии России и ФАПСИ:
«Положение о государственном лицензировании деятельности в области защиты информации» от 24 апреля 1994г. № 10 с дополнениями и изменениями, внесенными решением Гостехкомиссии России и ФАПСИ от 24 июня 1997г. № 60;
«Система сертификации средств криптографической защиты информации» (N РОСС RU.0001.03001);
Руководящие документы Гостехкомиссии России:
«Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);
«Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);
«Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);
«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);
«Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 25 июля 1997г.)
«Перечень средств защиты информации, подлежащих сертификации в системе сертификации Гостехкомиссии России» (N РОСС RU.0001.01БИ00)
«Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям по безопасности информации»;
«Положение по аттестации объектов информатизации по требованиям безопасности информации»;
Концепция безопасности информации Российской Федерации, 1996.
Концепция единого информационного пространства России.
Документы по созданию автоматизированных систем и систем защиты информации:
«Терминология в области защиты информации. Справочник» (ВНИИcтандарт, 1993);
ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на АС. Техническое задание на создание АС»;
РД. 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на АС. АС. Требования к содержанию документов»;
ГОСТ 24.202-80 «Система технической документации на АСУ»;
Требования к содержанию документа «Технико-экономическое обоснование создания АСУ»;
ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов»;
ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники»;
ЕСКД. «Эксплуатационная и ремонтная документация»;
ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС»;
ГОСТ 28195-89. «Оценка качества программных средств. Общие положения»;
ГОСТ 28806-90. «Качество программных средств. Термины и определения»;
ГОСТ Р ИСО/МЭК 9126-93. «Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению»;
ГОСТ 2.111-68. «Нормоконтроль»;
ГОСТ РВ 50170-92. «Противодействие ИТР. Термины и определения».
Стандарты по защите от НСД к информации:
ГОСТ Р 50922-96. «Защита информации. Основные термины и определения»№
ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от НСД к информации. ОТТ»;
ГОСТ ВД 16325-88. «Машины вычислительные электронные цифровые общего назначения. ОТТ. Дополнения».
Стандарты по криптографической защите и ЭЦП:
ГОСТ 28147-89. «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
ГОСТ Р 34.10-94. «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;
ГОСТ Р 34.11-94. «Функция хеширования».
Стандарты, применяемые при оценке качества объектов информатизации:
ГОСТ 40.9001-88. «Системы качества. Модель обеспечения качества при проектировании и(или) разработке, производстве, монтаже и обслуживании»;
ГОСТ 40.9003-88. «Системы качества. Модель для обеспечения качества при окончательном контроле и испытаниях»;
«Порядок проведения Госстандартом России государственного контроля и надзора за соблюдением обязательных требований государственных стандартов, правил обязательной сертификации и за сертифицированной продукцией (работами, услугами)» от 30 декабря 1993 г. № 239;
ГОСТ 28906-91. «Системы обработки информации. Взаимосвязь открытых систем. Базовая ЭТАЛОННАЯ модель»;
ГОСТ 16504-81. «Испытания и контроль качества продукции»;
ГОСТ 28195-89. «Оценка качества программных изделий. Общие положения».
Нормативные документы, регламентирующие сохранность информации на объекте информатизации:
«Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники» (Инструктивные указания Государственного Арбитража СССР от 29 июня 1979 г. № И-1-4);
«Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике» Раздел IV. Могут ли подтверждаться обстоятельства дела доказательствами, изготовленными и подписанными с помощью средств электронно-вычислительной техники, в которых использована система цифровой (электронной) подписи? (Письмо Высшего Арбитражного суда Российской Федерации от 19 августа 1994 г. № C1-7/ОП-587 в редакции от 12сентября 1996 г.);
«О Федеральном законе «Об информации, информатизации и защите информации»» (Письмо Высшего Арбитражного суда Российской Федерации от 07июня 1995 г. № C1-7/03-316).
Стандарты ЕСПД, ЕСКД, СРПП:
ЕСКД. «Эксплуатационная и ремонтная документация»;
ГОСТ 34.603-92. «Виды испытаний АС»;
ГОСТ 23773-88. Машины вычислительные электронные цифровые общего назначения. Методы испытаний»;
ГОСТ 27201-87. «Машины вычислительные электронные персональные. Типы, основные параметры, ОТТ»;
ГОСТ 21964-76. «Внешние воздействующие факторы. Номенклатура и характеристики»;
ГОСТ В 15.210-78. «Испытания опытных образцов изделий. Основные положения»;
ГОСТ В 15.211-78. «СРПП ВТ. Порядок разработки программ и методик испытаний опытных образцов изделий»;
ГОСТ В 15.110-81. «Документация отчетная научно - техническая на НИР и ОКР. Основные положения»;
ГОСТ Р 34.951-92. «Информационная технология. Взаимосвязь открытых систем. Услуги сетевого уровня»;
Стандарты в области терминов и определений:
ГОСТ 34.003-90. «Информационная технология. Комплекс стандартов на АС. Термины и определения»;
ГОСТ Р В 50170-92. «Противодействие ИТР. Термины и определения»
ГОСТ 15971-90. «СОИ. Термины и определения»;
ГОСТ 22348-77. «Единые автоматизированные системы связи. Термины и определения»;
ГОСТ 29099-91. «Сети вычислительные локальные. Термины и определения»;
ГОСТ 28806-90. «Качество программных средств. Термины и определения»;
Приложение 2
- Наименование организации
- Концепция обеспечения безопасности информации в автоматизированной системе организации
- Содержание
- 1. Общие положения 5
- 2. Объекты защиты 6
- 3. Цели и задачи обеспечения безопасности информации 12
- 4. Основные угрозы безопасности информации ас организации 16
- 5. Основные положения технической политики в области обеспечения безопасности информации ас организации 28
- 6. Основные принципы построения системы комплексной защиты информации 34
- 7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов 38
- 8. Первоочередные мероприятия по обеспечению безопасности информации ас организации 59
- Введение
- 1.Общие положения
- 1.1.Назначение и правовая основа документа
- 2.Объекты защиты
- 2.1.Назначение, цели создания и эксплуатации ас организации как объекта информатизации
- 2.2.Структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами
- 2.3.Категории информационных ресурсов, подлежащих защите
- 2.4.Категории пользователей ас организации, режимы использования и уровни доступа к информации
- 2.5.Уязвимость основных компонентов ас организации
- 3.Цели и задачи обеспечения безопасности информации
- 3.1.Интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений
- 3.2.Цели защиты
- 3.3.Основные задачи системы обеспечения безопасности информации ас организации
- 3.4.Основные пути достижения целей защиты (решения задач системы защиты)
- 4.Основные угрозы безопасности информации ас организации
- 4.1.Угрозы безопасности информации и их источники
- 4.2.Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в ас организации
- 4.3.Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала
- 4.4.Утечка информации по техническим каналам
- 4.5.Неформальная модель возможных нарушителей
- 5.Основные положения технической политики в области обеспечения безопасности информации ас организации
- 5.1.Техническая политика в области обеспечения безопасности информации
- 5.2.Формирование режима безопасности информации
- 5.3.Оснащение техническими средствами хранения и обработки информации
- 6.Основные принципы построения системы комплексной защиты информации
- 7.Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- 7.1.Меры обеспечения безопасности
- 7.1.1.Законодательные (правовые) меры защиты
- 7.1.2.Морально-этические меры защиты
- 7.1.3.Организационные (административные) меры защиты
- Формирование политики безопасности
- Регламентация доступа в помещения ас организации
- Регламентация допуска сотрудников к использованию ресурсов ас организации
- Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов
- Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов ас организации
- Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов ас организации
- Подразделения технической защиты информации
- Ответственность за нарушения установленного порядка использования ас организации. Расследование нарушений.
- 7.2.Физические средства защиты
- 7.2.1.Разграничение доступа на территорию и в помещения
- 7.3.Технические (программно-аппаратные) средства защиты
- 7.3.1.Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей
- 7.3.2.Средства разграничения доступа зарегистрированных пользователей системы к ресурсам ас
- 7.3.3.Средства обеспечения и контроля целостности программных и информационных ресурсов
- 7.3.4.Средства оперативного контроля и регистрации событий безопасности
- 7.3.5.Криптографические средства защиты информации
- 7.4.Защита информации от утечки по техническим каналам
- Техническая политика в области использования импортных технических средств информатизации
- 7.5.Защита речевой информации при проведении закрытых переговоров
- 7.6.Управление системой обеспечения безопасности информации
- 7.7.Контроль эффективности системы защиты
- 8.Первоочередные мероприятия по обеспечению безопасности информации ас организации
- Перечень нормативных документов, регламентирующих деятельность в области защиты информации
- Список использованных сокращений
- Термины и определения