Карта. Карта_взаимосвязей_базовых_нормативных_актов_в_области_защиты_ин. Закон от 27 июля 2006 г. 149 фз Об информации, информационных технологиях и о защите информации

Федеральный Закон от 27 июля 2006 г. № 149-
ФЗ «Об информации, информационных технологиях и о защите информации»
Конфиденциальная информация, не составляющая государственную тайну
Статья 9. Ограничение доступа к информации
Коммерческая тайна, тайна связи и иная тайна
Персональные данные
П.5 Требования ЗИ в ГИС
П.6 Сертификация и лицензирование
Статья 16. Защита информации
Закон Российской Федерации от 21 июля 1993 г.
№ 5485-1 «О государственной тайне»
Федеральный закон от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности»
Положение
О системе сертификации средств защиты информации
Утверждено приказом ФСТЭК России от 3 апреля
2018 г. N 55
Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации,
Гостехкомиссия России, 1992 г.
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждены приказом ФСТЭК России от 11 февраля 2013 г. № 17
Методический документ
Методика оценки угроз безопасности информации
Утвержден ФСТЭК России
5 февраля 2021 г.
Руководящий документ
Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации
Классификация по уровню контроля отсутствия недекларированных возможностей
Утверждено 4 июня 1999 г. N 114
Уровень контроля отсутствия НДВ
Руководящий документ
Средства вычислительной техники
Защита от несанкционированного доступа к информации
Показатели защищенности от несанкционированного доступа к информации
Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
Класс защищенности СВТ
Информационное сообщение
Об утверждении требований к межсетевым экранам от 28 апреля 2016 г. N 240/24/1986
Профили защиты систем обнаружения вторжений уровня сети/узла ФСТЭК
МЭ
СОВ
Информационное сообщение
Об утверждении требований к средствам антивирусной защиты
АВЗ
Информационное сообщение
Об утверждении Требований к средствам доверенной загрузки от 6 февраля 2014 г. N 240/24/405
СДЗ
Информационное сообщение
Об утверждении требований к средствам контроля съемных машинных носителей информации от 24 декабря 2014 г. N 240/24/4918
СКН
Информационное сообщение
Об утверждении методических документов, содержащих профили защиты операционных систем
ОС
Применимо ко всем
Федеральный закон от 27.07.2006 г. № 152-ФЗ
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждено постановлением
Правительства Российской Федерации от 1 ноября 2012 г. № 1119
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены приказом ФСТЭК России от 18 февраля 2013 г. № 21
Государственный реестр сертифицированных средств защиты информации
Выписка из перечня средств защиты информации, сертифицированных ФСБ России
Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской
Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
Статья 15. Использование информационно- телекоммуникационных сетей
ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы
ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания
ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначения документов при создании автоматизированных систем
 Виды документов на программные средства, используемые при создании АС (ее частей),― по
ГОСТ 19.101.
 Виды документов на технические средства, используемые при создании АС (ее частей), ― по
ГОСТ 2.102 и по ГОСТ 2.601 в части эксплуатационных документов.
 Комплектность документации, обеспечивающей разработку, изготовление, приемку и монтаж технических средств, ― по ГОСТ 2.102.
Стадии создания
Разработка и структура ТЗ
Разработка проектной документации
Где искать сертифицированные СЗИ/СКЗИ
Криптографические
Некриптографические
В РФ законодательно определено более 50 видов различных тайн и сведений конфиденциального характера. В части каждого вида тайн действует свой НПА
(пример: Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»)
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Категории персональных данных
Постановление Правительства РФ от 06.07.2008 N 512 (ред. от 27.12.2012) «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
»
Глава 4 Обязанности Оператора
Оценка соответствия
Виды ИСПДн, требования по ЗИ, типы угроз, уровень защищенности ПДн
Меры, направленные на ЗИ ПДн
Пункт 6: помимо всех мер необходима
Ч.2 п.11. «необходимы сертифицированные СЗИ»
Класс защищенности, требования УБИ,
проектирование системы ЗИ
Банк данных угроз безопасности информации
(bdu.fstec.ru)
Разработка системы защиты информации информационной системы осуществляется с учетом ГОСТ 34.601, ГОСТ Р
51583
ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении
Порядок создания АСЗИ
ГОСТ 34.603 Информационная технология. Виды испытаний автоматизированных систем
Постановление Правительства РФ от 03.02.2012
N 79 (ред. от 30.11.2020) «О лицензировании деятельности по технической защите конфиденциальной информации»
Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 «Об утверждении требований и методов по обезличиванию персональных данных
»
(утв. Роскомнадзором 13.12.2013)
Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством
Российской Федерации требований к защите персональных данных для каждого из уровней защищенности
»
Постановление Правительства Российской
Федерации от 16 апреля 2012 г. N 313 г. Москва
«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных
(криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»
Общедоступная информация
Статья 5. Информация как объект правовых отношений
Информация ограниченного доступа
Решение Коллегии Гостехкомиссии России № 7.2/02.03.2001 г.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)
Соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами, обязательно
Постановление Правительства РФ от 21 марта 2012 г. N 211
«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
»
Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении
Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
»
Приказ РКН от 30 мая 2017 г. N 94
«Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения
»
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год
Пока не отменена
Методы обезличивания
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
Статья 22. Уведомление об обработке персональных данных
Без средств автоматизации
А также НМД ФСБ в части СКЗИ
При использовании материальных носителей, на которые осуществляется запись биометрических персональных данных
Актуальная методика оценки угроз безопасности информации
Также необходима для ГИС
Приказ ФСТЭК России от 29 апреля 2021 г. N 77
«Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну»

Кто может проводить?
Постановление Правительства Российской
Федерации от 6 июля 2015 г. N 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»
ПДн в ГИС
При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской
Федерации от 1 ноября 2012 г. N 1119
Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утверждено постановлением
Правительства Российской Федерации от 15 апреля 1995 г. № 333
При проектировании систем ЗИ для ИС, обрабатывающих информацию ограниченного доступа применимы:
Предварительные и оценочные испытания
С учетом
Для лицензиата
Федеральный закон от 6 апреля 2011 г. N 63-ФЗ
«Об электронной подписи»
ТКЗИ
СКЗИ
СКЗИ с учетом МУ
Карта взаимосвязей базовых нормативных актов в области защиты
информации
Также выделяют:
Постановление Правительства РФ от 9 февраля 2012 г.
№111
«Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи»
Выписка из Требований по безопасности информации, утвержденных приказом
ФСТЭК России от 2 июня 2020 г. N 76
ОУД
Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации (Положение ПКЗ-2005)»
«Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152
«Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/
6-432 от 31.03.2015)
Приказ Федеральной службы безопасности
Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 «Об утверждении
Требований о защите информации, содержащейся в информационных системах общего пользования»
Информация, составляющая государственную тайну bastion-tech.ru
Указ Президента РФ от 6 марта 1997 г. N 188
«Об утверждении перечня сведений конфиденциального характера»
Аттестация
Пункт 16.4
Приказ ФСТЭК России от 28 сентября 2020 г. N
110 «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну»
ГОСТ РО 0043-004-2013 «Защита информации.
Аттестация объектов информатизации.
Программа и методики аттестационных испытаний»
Ст.19 п.2.1 «Определение угроз безопасности персональных данных при их обработке...»
Приказ РКН от 24 февраля 2021 г. N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»
Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
Аттестация ИС
ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных»
Базовая архитектура защиты персональных данных
С 01.01.2022 вводится в действие ГОСТ 34.602-2020
(приказ Росстандарта от 19.11.2021 N 1522-ст)
С 01.01.2022 вводится в действие ГОСТ 34.201-2020
(приказ Росстандарта от 19.11.2021 N 1521-ст)
С 30.04.2022 вводится в действие ГОСТ Р 59792-2021
(приказ Росстандарта от 25.10.2021 N 1284-ст)