Сборник нормативно-правовых, организационно-распорядительных и н. Сборник нормативноправовых, организационно распорядительных и нормативнотехнических
Скачать 305.2 Kb.
|
ДЕПАРТАМЕНТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ГОРОДА МОСКВЫ Сборник нормативно-правовых, организационно- распорядительных и нормативно-технических документов в области информационной безопасности и защиты информации автоматизированных систем. Москва 2 3 Аннотация Сборник документов содержит действующие нормативно-правовые, организационно-распорядительные и нормативно-технические документы в области информационной безопасности и защиты информации автоматизированных систем. Сборник документов рекомендуется использовать для организации работы по обеспечению информационной безопасности в Правительства Москвы и органах исполнительной власти города Москвы. 4 Содержание 1. ДОКУМЕНТЫ ФЕДЕРАЛЬНОГО УРОВНЯ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ................................................................ 5 1.1.Н ОРМАТИВНО - ПРАВОВЫЕ ДОКУМЕНТЫ ....................................................................... 5 1.2.О РГАНИЗАЦИОННО - РАСПОРЯДИТЕЛЬНЫЕ ДОКУМЕНТЫ .............................................. 6 1.3. Н ОРМАТИВНО - ТЕХНИЧЕСКИЕ ДОКУМЕНТЫ .............................................................. 10 2. ДОКУМЕНТЫ ПРАВИТЕЛЬСТВА МОСКВЫ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ .............................................................. 16 2.1.Н ОРМАТИВНО - ПРАВОВЫЕ ДОКУМЕНТЫ ..................................................................... 16 2.2.О РГАНИЗАЦИОННО - РАСПОРЯДИТЕЛЬНЫЕ ДОКУМЕНТЫ ............................................ 16 2.3. Н ОРМАТИВНО - ТЕХНИЧЕСКИЕ ДОКУМЕНТЫ .............................................................. 17 5 1. Документы федерального уровня в области информационной безопасности 1.1.Нормативно-правовые документы О безопасности. Закон Российской Федерации от 5 марта 1992 года № 2446-I. О государственной тайне. Закон Российской Федерации от 21 июля 1993 года № 5485-I. О коммерческой тайне. Федеральный закон Российской Федерации от 29 июля 2004 года № 98-ФЗ. О связи. Федеральный закон от 7 июля 2003 года № 126-ФЗ. Об информации, информационных технологиях и о защите информации. Федеральный закон от 27 июля 2006 года № 149-ФЗ. О лицензировании отдельных видов деятельности. Федеральный закон от 8 августа 2001 года № 128-ФЗ. Об электронной подписи Федеральный закон от 6 апреля 2011 года № 63-ФЗ. Об электронной цифровой подписи. Федеральный закон от 10 января 2002 года № 1-ФЗ. О техническом регулировании. Федеральный закон от 27 декабря 2002 года № 184-ФЗ. О персональных данных. Федеральный закон от 27 июля 2007 года № 152-ФЗ. Трудовой кодекс Российской Федерации, в части персональных данных. Федеральный закон от 30 декабря 2001 года № 197-ФЗ. 6 Вопросы Федеральной службы по техническому и экспортному контролю. Указ Президента Российской Федерации от 16 августа 2004 года № 1085. Вопросы Межведомственной комиссии по защите государственной тайны. Указ Президента Российской Федерации от 6 октября 2004 года № 1286. 1.2.Организационно-распорядительные документы Доктрина информационной безопасности Российской Федерации. Утверждена Президентом Российской Федерации 9 сентября 2000 года № Пр-1895. Перечень сведений конфиденциального характера. Указ Президента Российской Федерации от 6 марта 1997 года № 188. Перечень сведений, отнесенных к государственной тайне. Указ Президента Российской Федерации от 30 ноября 1995 года № 1203. Положение о Федеральной службе по техническому и экспортному контролю. Указ Президента Российской Федерации от 16 августа 2004 года № 1085. Положение о Межведомственной комиссии по защите государственной тайны. Указ Президента Российской Федерации от 6 октября 2004 года № 1286. Стратегия национальной безопасности Российской Федерации до 2020 года. Указ Президента Российской Федерации от 12 мая 2009 года № 537. О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно- телекоммуникационных сетей международного информационного обмена. Указ Президента Российской Федерации от 17 марта 2008 года № 351. Об утверждении положения о персональных данных государственного гражданского служащего российской федерации и ведении его личного дела. Указ Президента Российской Федерации от 30 мая 2005 года № 609. 7 Перечень должностных лиц органов государственной власти Российской Федерации, наделенных полномочиями по отнесению сведений к государственной тайне. Распоряжение Президента Российской Федерации от 16 апреля 2005 года № 151-РП. О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Постановление Правительства Российской Федерации от 15 апреля 1995 года № 333. Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти. Постановление Правительства Российской Федерации от 03 ноября 1994 года №1233. Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации. Постановление Правительства Российской Федерации от 31 августа 2006 года № 532. Положение о лицензировании деятельности по технической защите конфиденциальной информации. Постановление Правительства Российской Федерации от 15 августа 2006 года № 504. Положение о порядке получения, использования и предоставления геопространственной информации. Постановление Правительства Российской Федерации от 28 мая 2007 года № 326. Положение о лицензировании образовательной деятельности. Постановление Правительства Российской Федерации от 31 марта 2009 года № 277. Положение о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами. Постановление Правительства Российской Федерации от 29 декабря 2007 года № 957. 8 Положение о сертификации средств защиты информации. Постановление Правительства Российской Федерации от 26 июня 1995 года № 608. Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781. Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687. Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Постановление Правительства Российской Федерации от 6 июля 2008 года № 512. О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций. Постановление Правительства Российской Федерации от 16 марта 2009 года № 228. Об особенностях подключения федеральных государственных информационных систем к информационно- телекоммуникационным сетям. Постановление Правительства Российской Федерации от 18 мая 2009 года № 424. Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 25 августа 2009 года № 104. 9 Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных. Приказ Директора ФСТЭК России от 5 февраля 2010 года № 58. Об утверждении порядка проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России №20 от 13 февраля 2008 года. Об утверждении образца формы уведомления об обработке персональных данных. Приказ Россвязькомнадзора от 17 июля 2008 года № 08. Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных. Приказ Россвязькомнадзора от 28 марта 2008 года № 154. Типовое положение об испытательной лаборатории. Приказ председателя Гостехкомиссии России от 5 января 1996 года № 3. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации. Приказ председателя Гостехкомиссии России от 5 января 1996 года № 3. Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации. Приказ председателя Гостехкомиссии России от 5 января 1996 года № 3. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации. Решение председателя Гостехкомиссии России от 25 ноября 1994 года. Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено председателем Гостехкомиссии России от 25 ноября 1994 года. 10 Типовое положение о подразделении по защите информации от иностранных технических разве док и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации Решение Гостехкомиссии России от 14.03.95 г. № 32. Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации). Решение Гостехкомиссии России от 14.03.95 г. № 32. О неприменении нормативных документов в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». Решение ФСТЭК России от5 марта 2010 года. Об утверждении административного регламента проведения проверок федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Приказ Роскомнадзора от 1 декабря 2009 года № 630 1.3. Нормативно-технические документы Государственные стандарты ГОСТ 2.111-68* Нормоконтроль. ГОСТ 2.114- 95* Единая система конструкторской документации. Технические условия. 11 ГОСТ 2.601- 95* Единая система конструкторской документации. Эксплуатационные документы. ГОСТ В 15.101-95* Тактико-техническое (техническое) задание на выполнение НИР. ГОСТ В 15.103-04* Порядок выполнения аванпроекта. Основные положения. ГОСТ В 15.201-83* Тактико-техническое (техническое) задание на выполнение ОКР. ГОСТ В 15.203-96* Порядок выполнения ОКР. Основные положения Приложения к ГОСТ. ГОСТ 24.104-85* Автоматизированные системы управления. Общие требования. ГОСТ 24.202-80* Требования к содержанию документа «технико- экономическое обоснование создания АСУ». ГОСТ Р 34.10-94* Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. ГОСТ Р 34.11-94* Информационная технология. Криптографическая защита информации. Функция хеширования. ГОСТ 34.201- 89* Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем. ГОСТ 34.601- 90* Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания. ГОСТ 34.602- 89* Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создании автоматизированных систем. 12 ГОСТ 34.603-92* Информационная технология. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем. ГОСТ Р 50739-95* Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. ГОСТ Р 50922-96* Защита информации. Основные термины и определения. ГОСТ Р 51188-98* Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51241-98* Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний. ГОСТ Р 51275-99* Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51583-00* Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. ГОСТ Р 51624-00* Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования. ГОСТ Р 50543-93* Конструкции базовые несущие средств вычислительной техники. Требования по обеспечению защиты информации и электромагнитной совместимости методом экранирования. ГОСТ Р ИСО/МЭК 17999* Информационная технология. Практические правила управления информационной безопасностью. 13 РД 50-34.698-90* Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов. * тексты приведенных стандартов, предназначены для ознакомления и не подлежат копированию, тиражированию и дальнейшему распространению. Нормативы Федеральной службы по техническому и экспортному контролю России (Гостехкомисии России) Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Решение председателя Гостехкомиссии России от 30 марта 1992 года. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Решение председателя Гостехкомиссии России от 30 марта 1992 года. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Решение председателя Гостехкомиссии России от 30 марта 1992 года. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Решение председателя Гостехкомиссии России от 30 марта 1992 года. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Решение председателя Гостехкомиссии России от 30 марта 1992 года. 14 Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации. Решение председателя Гостехкомиссии России от 25 июля 1997 года. Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования. Решение председателя Гостехкомиссии России от 25 июля 1997 года. Руководящий документ. Средства защиты информации. Защита информации в контрольно- кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации. Сборник руководящих документов по защите информации от несанкционированного доступа. Гостехкомиссия России, 1998 год. Руководящий документ. Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам. Гостехкомиссия России, 1998 год. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Приказ председателя Гостехкомиссии России от 4 июня 1999 года № 114. Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003 год. 15 Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты. Гостехкомиссия России, 2003 год. Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты. Гостехкомиссия России, 2003 год. Руководство по разработке профилей защиты и заданий по безопасности. Гостехкомиссия России, 2003 год. Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте. Решение Гостехкомиссии России от 03 октября 1995 года № 42. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 1. Приказ Гостехкомиссии России от 19 июня 2002 года № 187. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 2. Приказ Гостехкомиссии России от 19 июня 2002 года № 187. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 3. Приказ Гостехкомиссии России от 19 июня 2002 года № 187. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Решение ФСТЭК России от 14 февраля 2008 года. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Решение ФСТЭК России от 14 февраля 2008 года. 16 2. Документы Правительства Москвы в области информационной безопасности 2.1.Нормативно-правовые документы Об информационных ресурсах и информатизации города Москвы. Закон города Москвы от 24 октября 2001 года № 52. 2.2.Организационно-распорядительные документы Концепция безопасности Москвы. Постановление Правительства Москвы от 22 августа 2000 года № 654-ПП. Регламент Правительства Москвы. Постановление Правительства Москвы от 21 февраля 2006 года № 112-ПП. Положение по защите информации в информационных системах и ресурсах города Москвы. Утверждено Мэром Москвы 29 ноября 2006 года. Перечень сведений о деятельности Правительства Москвы и комплексов городского управления, подлежащих обязательному размещению в общедоступных информационных ресурсах в сети Интернет. Постановление Правительства Москвы от 7 октября 2003 года № 841-ПП. Положение о Едином реестре информационных ресурсов и систем города Москвы. Постановление Правительства Москвы от 24 июня 2003 года № 496-ПП. Положение о реестре конфиденциальной информации, содержащейся в информационных системах и ресурсах города Москвы. Утверждено Мэром Москвы 29 ноября 2006 года. 17 Положение о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы. Постановление Правительства Москвы от 11 мая 2004 года № 299-ПП. Положение о Системе уполномоченных удостоверяющих центров органов исполнительной власти города Москвы. Постановление Правительства Москвы от 26 июля 2005 года № 544-ПП. 2.3. Нормативно-технические документы Информационная безопасность информационных систем и ресурсов органов исполнительной власти и организаций города Москвы. Термины и определения. Утверждено Мэром Москвы 29 ноября 2006 года. Информационная безопасность информационных систем и ресурсов органов исполнительной власти и организаций города Москвы. Классификатор конфиденциальной информации, содержащейся в информационных системах и ресурсах города Москвы. Утверждено Мэром Москвы 29 ноября 2006 года. Методические рекомендации по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов города Москвы. Утверждено Мэром Москвы 29 ноября 2006 года. Положение о порядке проведения контроля защищенности информационных систем и ресурсов города Москвы. Утверждено Мэром Москвы 30 октября 2007 года. 18 Положение о порядке организации и проведения работ по защите конфиденциальной информации при ее автоматизированной обработке Утверждено Мэром Москвы 30 октября 2007 года. Положение о порядке разработки систем защиты информации в информационных системах города Москвы. Утверждено Мэром Москвы 30 октября 2007 года. Положение о порядке эксплуатации систем защиты информации в информационных системах города Москвы. Утверждено Мэром Москвы 30 октября 2007 года. Положение по аттестации информационных систем города Москвы по требованиям безопасности информации. Утверждено Мэром Москвы 30 октября 2007 года. ** рекомендуется перед применением нормативно-правовых и организационно-распорядительных документов проверить возможные изменения представленной редакции на текущий момент. |