Главная страница
Навигация по странице:

  • Методы

  • Ключевые слова

  • Нормативно методические документы в области

  • Контрольные

  • Содержание

  • Информационные

    		•

    ПР3 ОПОИБ. Практическая работа 3 нормативные методические документы в области защиты информации. Цель


    Скачать 45.49 Kb.
    НазваниеПрактическая работа 3 нормативные методические документы в области защиты информации. Цель
    Дата13.03.2023
    Размер45.49 Kb.
    Формат файлаdocx
    Имя файлаПР3 ОПОИБ.docx
    ТипПрактическая работа
    #985803

    ПРАКТИЧЕСКАЯ РАБОТА №3: НОРМАТИВНЫЕ МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ.
    Цель: ознакомиться с нормативными методическими документами в области защиты информации, систематизировать сведения о нормативно- методических документах, приобрести опыт самостоятельного поиска и анализа.

    Методы и приемы: лабораторная работа с использованием информационно-коммуникационных технологий, поисковая работа, анализ источников.

    Ключевые слова: информационная безопасность, правовые акты, система нормативно-методических документов.

    Порядок выполнения работы.


    1. Используя любую правовую справочную систему, найти нормативно- методические документы из представленного перечня.

    2. Вставить недостающие реквизиты в перечень нормативных методических документов. Сделать к каждому документу мини-аннотацию.

    3. Оформить отчет по лабораторной работе.



    Нормативно методические документы в области информационной безопасности РФ

    1. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К). Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282. 27

    Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

    1. «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам». Гостехкомиссия России. - М., 2002.

    Основными элементами описания угроз утечки информации по техническим каналам (ТКУИ) являются: источник угрозы, среда (путь) распространения информативного сигнала и носитель защищаемой информации. Источниками угроз утечки информации по техническим каналам являются физические лица, не имеющие доступа к ИСПДн, а также зарубежные спецслужбы или организации (в том числе конкурирующие или террористические), криминальные группировки, осуществляющие перехват (съем) информации с использованием технических средств ее регистрации, приема или фотографирования

    1. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России. - М., 1995.

    Настоящий стандарт устанавливает единые функциональные требования к защите средств вычислительной техники (СВТ) от несанкционированного доступа (НСД) к информации; к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защищенности от НСД к информации.

    1. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положение. Госстандарт России. - М., 2006.

    Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации.

    1. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения - М., 2006.

    Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.

    1. ГОСТ Р ИСО/МЭК 15408-1-2012. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Bведение и общая модель.

    Настоящая часть ИСО/МЭК 15408 обеспечивает сопоставимость результатов независимых оценок безопасности. В ИСО/МЭК 15408 это достигается предоставлением единого набора требований к функциональным возможностям безопасности продуктов ИТ и к мерам доверия, применяемым к этим продуктам ИТ при оценке безопасности. Данные продукты ИТ могут быть реализованы в виде аппаратного, программно-аппаратного или программного обеспечения.

    1. ГОСТ Р ИСО/МЭК 15408-2-2013. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности. Росстандарт России. - М., 2013.

    Настоящий стандарт устанавливает структуру и содержание компонентов функциональных требований безопасности для оценки безопасности. Он также включает в себя каталог функциональных компонентов, отвечающих общим требованиям к функциональным возможностям безопасности многих продуктов ИТ.

    1. ГОСТ Р ИСО/МЭК 15408-3-2013. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности.

    Данная часть ИСО/МЭК 15408 определяет требования доверия ИСО/МЭК 15408 и включает оценочные уровни доверия (ОУД), определяющие шкалу для измерения доверия для ОО-компонентов, составные пакеты доверия (СоПД), определяющие шкалу для измерения доверия для составных ОО, отдельные компоненты доверия, из которых составлены уровни и пакеты доверия, а также критерии для оценки ПЗ и ЗБ.

    1. ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

    Настоящий стандарт содержит:

    - обзор семейства стандартов СМИБ;

    - введение в систему менеджмента информационной безопасности (СМИБ);

    - краткое описание процесса "План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA);

    - термины и определения для использования в семействе стандартов СМИБ.

    Настоящий стандарт применим ко всем типам организаций (например, коммерческие предприятия, правительственные учреждения, некоммерческие организации).

    1. ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

    Настоящий стандарт устанавливает общие требования по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности в контексте деятельности организации. Настоящий стандарт также содержит требования по оценке и обработке рисков информационной безопасности с учетом потребностей организации. Изложенные в настоящем стандарте требования являются обобщенными и предназначены для применения во всех организациях независимо от их типа, размера, структуры и сферы деятельности. Исключение любого из требований, указанных в разделах 4-10, не допускается, если организация заявляет о соответствии данному стандарту.

    1. ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности», введен в действие с 01.01.2014

    Настоящий национальный стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения менеджмента информационной безопасности в организации. Цели, изложенные в данном национальном стандарте, обеспечивают полное руководство по общепринятым целям менеджмента информационной безопасности.

    Реализация целей управления, а также мер и средств контроля и управления настоящего национального стандарта направлена на удовлетворение требований, определенных оценкой рисков. Настоящий национальный стандарт может служить практическим руководством по разработке стандартов безопасности организации, для эффективной практики менеджмента безопасности организаций и способствует укреплению доверия в отношениях между организациями.

    1. ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности».

    В настоящем стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ (упоминается в данном международном стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ, в результате которого получается окончательный план внедрения СМИБ.

    1. ГОСТ Р ИСО/МЭК 27004-2011 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения».

    Настоящий стандарт устанавливает рекомендации по разработке и использованию измерений и мер измерений для оценки эффективности реализованной системы менеджмента информационной безопасности, мер и средств контроля и управления, и их групп в соответствии с ИСО/МЭК 27001.

    1. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».

    Настоящий стандарт представляет руководство по менеджменту риска информационной безопасности.

    Настоящий стандарт поддерживает общие концепции, определенные в ИСО/МЭК 27001, и предназначен для содействия адекватного обеспечения информационной безопасности на основе подхода, связанного с менеджментом риска.

    Знание концепций, моделей, процессов и терминологии, изложенных в ИСО/МЭК 27001 и ИСО/МЭК 27002, важно для полного понимания настоящего стандарта.

    Настоящий стандарт применим для организаций всех типов (например, коммерческих предприятий, государственных учреждений, некоммерческих организаций), планирующих осуществлять менеджмент рисков, которые могут скомпрометировать информационную безопасность организации.

    1. ГОСТ Р ИСО/МЭК 27006-2008 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности».

    Настоящий стандарт на основе стандартов ИСО/МЭК 17021 и ИСО/МЭК 27001 устанавливает требования к органам, осуществляющим аудит и сертификацию системы менеджмента информационной безопасности (СМИБ), и способствует проведению аккредитации органов сертификации.

    1. ГОСТ Р ИСО/МЭК 27011-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002».

    Настоящий стандарт определяет рекомендации, поддерживающие реализацию менеджмента информационной безопасности в телекоммуникационных организациях.

    Применение данного национального стандарта позволит телекоммуникационным организациям выполнять базовые требования менеджмента информационной безопасности в отношении конфиденциальности, целостности, доступности и любых других аспектов безопасности.

    1. ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса».

    В настоящем стандарте описываются концепции и принципы готовности информационно-коммуникационных технологий (ИКТ) к обеспечению непрерывности бизнеса (ОНБ) и предоставляется система методов и процессов определения и точного изложения всех аспектов (таких как критерии эффективности, проектирование и реализация) для совершенствования готовности ИКТ организации к обеспечению непрерывности бизнеса. Он применим для любой организации (частной, государственной, негосударственной, независимо от ее размера), разрабатывающей программу готовности ИКТ к обеспечению непрерывности бизнеса (ГИКТОНБ) и требующей от своих услуг/инфраструктур ИКТ готовности к поддержке операций бизнеса в случае возникновения событий, инцидентов и связанных с ними нарушений, которые могут оказывать влияние на непрерывность (включая безопасность) критических функций бизнеса. Он также дает возможность организации измерять параметры эффективности, связанные с ГИКТОНБ, согласованным и признанным способом.

    1. ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции».

    Настоящий стандарт содержит обзор сетевой безопасности и связанных с ней определений. Стандарт определяет и описывает концепции, связанные с сетевой безопасностью, и предоставляет рекомендации по менеджменту сетевой безопасности. (В дополнение к безопасности информации, передаваемой по линиям связи, сетевая безопасность затрагивает безопасность устройств, безопасность деятельности по менеджменту данных устройств, приложений/услуг, а также безопасность конечных пользователей).

    1. ГОСТ 28147-89. Государственный стандарт Российской Федерации. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

    Настоящий стандарт устанавливает единый алгоритм криптографического преобразования для систем обработки информации в сетях электронных вычислительных машин (ЭВМ), отдельных вычислительных комплексах и ЭВМ, который определяет правила шифрования данных и выработки имитовставки.

    1. ГОСТ Р 34.10-2001. Государственный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

    Настоящий стандарт определяет схему электронной цифровой подписи (ЭЦП) (далее по тексту - цифровая подпись), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения.

    1. ГОСТ Р 34.10-2018. Государственный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

    Настоящий стандарт определяет схему электронной цифровой подписи (ЭЦП) (далее - цифровая подпись), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения.

    1. ГОСТ Р 34.11-94. Государственный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Функция хэширование.

    Настоящий стандарт определяет алгоритм и процедуру вычисления хэш-функции для любой последовательности двоичных символов, которые применяются в криптографических методах обработки и защиты информации, в том числе для реализации процедур электронной цифровой подписи (ЭЦП) при передаче, обработке и хранении информации в автоматизированных системах.

    1. ГОСТ Р 34.11-2012. Государственный стандарт Российской Федерации. Информационная технология. Криптографическая защита информации. Функция хэширования.

    Настоящий стандарт содержит описание алгоритма и процедуры вычисления хэш-функции для любой последовательности двоичных символов, которые применяются в криптографических методах защиты информации, в том числе в процессах формирования и проверки электронной цифровой подписи.

    1. Приказ ФАПСИ при Президенте Российской Федерации от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

    Настоящая Инструкция определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

    1. Приказ ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации».

    Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

    1. Приказ ФСБ России от 30 августа 2012 г. № 440 «Об утверждении административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

    Утвердить прилагаемый Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

    1. Приказ ФСБ России от 08 августа 2009 г. № 149/7/2/6-1173 «Об утверждении типового регламента проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    Мероприятие по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных проводится на основании распоряжения или приказа начальника 8 Центра ФСБ России либо лица его замещающего. Проверка может проводиться только должностным лицом или должностными лицами, уполномоченными на проведение проверки, которые указаны в распоряжении или приказе начальника 8 Центра ФСБ России либо лица его замещающего.

    1. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/54- 144.

    Рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в системах персональных данных с использованием средств автоматизации.

    1. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/6/6-622.

    Настоящие Требования определяют порядок организации и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну (далее - криптосредство), в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационная система).

    1. Приказ ФСБ России от 27 декабря 2011 г. № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи».

    Настоящие Требования разработаны в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи"

    1. Приказ ФСБ России от 27 декабря 2011 г. № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра».

    Утверждает требования к средствам электронной подписи и удостоверяющего центра.

    1. Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

    Утверждает прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

    1. Приказ ФСТЭК России от 20 марта 2012 г. № 28 «Об утверждении требований к средствам антивирусной защиты».

    В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 20 марта 2012 г. N 28 (зарегистрирован Минюстом России 3 мая 2012 г., рег. N 24045) утверждены Требования к средствам антивирусной защиты (далее – Требования), которые вступают в действие с 1 августа 2012 г.

    Требования к средствам антивирусной защиты применяются к программным средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом.

    Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

    1. Приказ ФСБ России от 6 декабря 2011 г. № 795 «Об утверждении требований к системам обнаружения вторжений».

    2. Приказ Минкомсвязи России от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по персональных данных».

    Требования и методы по персональным данным.

    1. Приказ Минкомсвязи России от 29 сентября 2011 г. № 242 «Об утверждении порядка передачи реестров квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи в случае прекращения деятельности аккредитованного удостоверяющего центра».

    Настоящий Порядок в соответствии с пунктом 1 части 4 статьи 8 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880) устанавливает порядок передачи реестров квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи (далее - уполномоченный федеральный орган) в случае прекращения деятельности аккредитованного удостоверяющего центра.

    1. Приказ Минкомсвязи России от 23 ноября 2011 г. № 321 «Об утверждении Административного регламента предоставления Министерством связи и массовых коммуникаций Российской Федерации государственной услуги по организации ведения единого государственного реестра сертификатов ключей подписей удостоверяющих центров, обеспечению доступа к нему и к реестру сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти, физических лиц и организаций».

    Административный регламент предоставления Министерством связи и массовых коммуникаций Российской Федерации государственной услуги по организации ведения единого государственного реестра сертификатов ключей подписей удостоверяющих центров, обеспечению доступа к нему и к реестру сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти (далее – при совместном упоминании - реестры), физических лиц и организаций (далее - Регламент) определяет сроки и последовательность действий (административных процедур) при предоставлении государственной услуги по организации ведения единого государственного реестра сертификатов ключей подписей удостоверяющих центров (далее - ЕГР) и порядок обеспечения доступа заинтересованных лиц к сведениям реестров.

    1. Приказ Минкомсвязи России от 27 октября 2011 г. № 282 «Об утверждении Положения о Департаменте государственной политики в области создания и развития электронного правительства Министерства связи и массовых коммуникаций Российской Федерации».

    Утвердить прилагаемое Положение о Департаменте государственной политики в области создания и развития электронного правительства Министерства связи и массовых коммуникаций Российской Федерации.

    1. Приказ Минкомсвязи России от 05 октября 2011 г. № 250 «Об утверждении порядка формирования и ведения реестров квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров».

    Утвердить прилагаемый Порядок формирования и ведения реестров квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров.

    1. Приказ Минкомсвязи России от 23 ноября 2011 г. № 320 «Об аккредитации удостоверяющих центров».

    Утверждает правила аккредитации удостоверяющих центров.

    1. Приказ Минкомсвязи России от 13 апреля 2012 г. № 108 «Об обеспечении осуществления Министерством связи и массовых коммуникаций РФ функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров».

    Установить, что в рамках осуществления Министерством связи и массовых коммуникаций Российской Федерации, как уполномоченным федеральным органом исполнительной власти в сфере использования электронной подписи, функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров осуществляются следующие мероприятия:

    1) создание квалифицированных сертификатов ключей проверки электронных подписей удостоверяющим центрам, получившим аккредитацию в соответствии с действующим законодательством Российской Федерации;

    2) обеспечение осуществления подтверждения подлинности квалифицированных электронных подписей, в том числе квалифицированных электронных подписей, ключи проверки которых указаны в выданных аккредитованными удостоверяющими центрами квалифицированных сертификатах ключей проверки электронных подписей;

    3) ведение реестров квалифицированных сертификатов ключей проверки электронных подписей, выданных и аннулированных Министерством связи и массовых коммуникаций Российской Федерации;

    4) создание и выдача квалифицированных сертификатов ключей проверки электронных подписей, а также ключей усиленной квалифицированной электронной подписи и ключей проверки усиленной квалифицированной электронной подписи для нужд федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, иных органов государственной власти, органам местного самоуправления в случаях, предусмотренных федеральными законами, актами Правительства Российской Федерации и Президента Российской Федерации;

    5) обеспечение хранения следующей информации и круглосуточный беспрепятственный доступ к ней:

    а) наименования, адреса аккредитованных удостоверяющих центров;

    б) реестр выданных и аннулированных Министерством связи и массовых коммуникаций Российской Федерации квалифицированных сертификатов;

    в) перечень удостоверяющих центров, аккредитация которых аннулирована;

    г) перечень аккредитованных удостоверяющих центров, аккредитация которых приостановлена;

    д) перечень аккредитованных удостоверяющих центров, деятельность которых прекращена;

    е) реестры квалифицированных сертификатов, переданные в Министерство связи и массовых коммуникаций Российской Федерации в соответствии со статьей 15 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880) в порядке, установленном приказом Министерства связи и массовых коммуникаций Российской Федерации от 05.10.2011 N 250 "Об утверждении Порядка формирования и ведения реестров квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров" (зарегистрирован в Министерстве юстиции Российской Федерации 28 ноября 2011 г., регистрационный N 22406).

    1. Руководящий документ Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». - М., 1999.

    Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей.

    1. Руководящий документ Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения». - М, 1992.

    Настоящий руководящий документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

    1. Руководящий документ Гостехкомиссии России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». - М., 1992.

    Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.

    1. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». - М, 1992.

    Настоящий руководящий документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

    1. Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». -М., 1992.

    Настоящий руководящий документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

    1. Руководящий документ Гостехкомиссии России «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники». - M., 1992.

    Настоящее Положение устанавливает единый на территории Российской Федерации порядок исследований и разработок в области:

    - защиты информации, обрабатываемой автоматизированными системами различного уровня и назначения, от несанкционированного доступа;

    - создания средств вычислительной техники общего и специального назначения, защищенных от утечки, искажения или уничтожения информации за счет НСД, в том числе программных и технических средств защиты информации от НСД;

    - создания программных и технических средств защиты информации от НСД в составе систем защиты секретной информации в создаваемых АС.

    1. Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». - М., 1997.

    Данные показатели содержат требования к средствам защиты, обеспечивающим безопасное взаимодействие сетей ЭВМ, АС посредством управления межсетевыми потоками информации, и реализованных в виде МЭ.

    1. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». ФСТЭК России. - М., ФСТЭК.

    Настоящая «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которое ведет к ущербу жизненно важных интересов личности, общества и государства.

    1. «Методика определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных». ФСТЭК России. - М., 2008.

    Устанавливает методику определения угроз безопасности персональных данных.

    1. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    Настоящий документ разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

    Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

    1. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

    В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней (далее - защита информации) при обработке указанной информации в государственных информационных системах.

    1. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

    В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.

    1. Приказ ФСТЭК России от 12 июля 2012 г. № 83 «Об утверждении административного регламента федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации».

    Утвердить прилагаемый Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации.

    1. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2011 г. № 312 «Об утверждении административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

    Осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

    Контрольные вопросы


    1. В составленном перечне отметьте правовые документы, регламентирующие технические условия?

    2. В составленном перечне отметьте правовые документы, регламентирующие организационные условия?

    3. Какие документы из представленного перечня являются следствием ассоциирования правовых актов РФ с международным законодательством?

    4. Составьте классификацию исследованных документов по органу, принявшему тот или иной документ. Признак принадлежности к классу отметьте в перечне специальным значком.

    5. Какова доля документов, регламентирующих организацию работ по защите персональных данных?

    6. Какова доля документов, регламентирующих организацию работ по обороту средств технической защиты?


    Содержание отчета: Тема, цель, перечень нормативно-правовых документов с полными реквизитами, ответы на контрольные вопросы, аналитическая записка.

    Информационные источники:


      1. http://www.consultant.ru/

      2. http://www.garant.ru/

      3. http://www.e-nigma.ru/articles/

      4. http://fstec.ru/

      5. http://www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty- fstek-rossii

    написать администратору сайта