Нормативная правовая база в сфере информационной безопасности

Нормативная правовая база в сфере информационной безопасности

Концептуальные документы Российской Федерации в области информационной безопасности

1. Конституция Российской Федерации.

2. Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 09.09.2000 № Пр-1895.

3. Стратегия развития информационного общества в Российской Федерации, утверждённая Президентом Российской Федерации 07.02.2008 № Пр-212.

4. Стратегия национальной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 31.12.2015 № 683.

5. Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года, утверждены Президентом Российской Федерации 24.07.2013 № Пр-1753.

6. Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденная Президентом Российской Федерации 12.12.2014 № К 1274 (выписка).

7. Указ Президента Российской Федерации от 15.01.2013 № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (Выписка).

8. Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

9. Указ Президента Российской Федерации от 22.05.2015 № 260 «О некоторых вопросах информационной безопасности Российской Федерации».

10. Концепция перевода обработки и хранения государственных информационных ресурсов, не содержащих сведения, составляющие государственную тайну, в систему федеральных и региональных центров обработки данных, утвержденная распоряжением Правительства Российской Федерации от 07.10.2015. № 1995-р.

11. Концепция региональной информатизации, утвержденная распоряжением Правительства Российской Федерации от 29.12.2014 № 2769-р.

12*. Основы организации защиты информации в Приволжском федеральном округе (Одобрены Решением Координационного Совета по защите информации при полномочном представителе Президента Российской Федерации в Приволжском федеральном округе от 12.11.2009).

13*. Концепция защиты информации ограниченного доступа в Самарской области, утвержденная Губернатором Самарской области 14.12.2010.

Основные общие нормативные правовые акты

1. Федеральный закон от 28.12.2010 № 390-ФЗ «О безопасности».

2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите и информации».

3. «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утверждено постановлением Совета Министров – Правительства Российской Федерации от 15.09.1993 № 912-51.

4. Постановление Правительства РФ от 06.05.2016 № 399 «Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса».

По вопросам защиты информации ограниченного доступа,

Не содержащей сведения государственной тайны (конфиденциальность информации, доступ к которой ограничен федеральными законами)

1. Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера».

2. Постановление Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».

3.* Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282 (имеют ограниченное применение, см. информационное сообщение ФСТЭК России от 15.07.2013 № 240/22/2637).

4. Приказ Минкомсвязи РФ от 02.09.2011 № 221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих, в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения».

По вопросам безопасности

По безопасности информации

1. Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании».

2. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

3. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи».

4. Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»

5. Постановление Правительства Российской Федерации от 21.11.2011 № 957 «Об организации лицензирования отдельных видов деятельности».

Положения

1. Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16.08. 2004 № 1085.

2. Положение о государственном лицензировании деятельности в области защиты информации. Решение Гостехкомиссии России и ФАПСИ от 27.04.1994 № 10.

3. Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 03.02.2012 № 79.

4. Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 03.03.2012 № 171.

5. Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утвержденное постановлением Правительства Российской Федерации от 16.04.2012 № 313.

6. Положение о сертификации средств защиты информации, утвержденное постановлением Правительства Российской Федерации от 26.06.1995 № 608.

7. Положение о сертификации средств защиты информации по требованиям безопасности информации, утвержденное приказом Гостехкомиссии России от 27.10.1995 № 199.

8. Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25.11.1994.

9. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25.11.1994.

10. Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации, утвержденное приказом председателя Гостехкомиссии России от 05.01.1996 № 3.

11. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное приказом председателя Гостехкомиссии России от 05.01.1996 № 3.

12. Типовое положение об испытательной лаборатории, утвержденное председателем Гостехкомиссии России 25.11.1994.

13. Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам. Решение Гостехкомиссии при Президенте Российской Федерации от 14.03.1995 № 32.

14. Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации. Решение Гостехкомиссии при Президенте Российской Федерации от 14.03.1995 № 32.

15. Правила предоставления документов по вопросам лицензирования в форме электронных документов, Утверждены постановлением Правительства Российской Федерации от 16.07.2012 № 722.

Административные регламенты

1. Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Утвержден приказом Минкомсвязи от 14.11.2011 № 312.

2. Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных». Утвержден приказом Минкомсвязи России от 21.12.2011 № 346.

3. Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации. Утвержден приказом ФСТЭК России от 12.07.2012 № 83.

4. Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации. Утвержден приказом ФСТЭК России от 12.07.2012 № 84.

5. Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации. Утвержден приказом ФСТЭК России от 20.07.2012 № 89.

6. Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации. Утвержден приказом ФСТЭК России от 20.07.2012 № 90.

7. Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Утвержден приказом ФСБ России от 30.08.2012 № 440.

8. Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержден руководством 8 Центра ФСБ России 08.08.2009 № 149/7/2/6-1173.

Государственные стандарты

1. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России.

2. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России.

3. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России.

4. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России.

5. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России.

6. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.

7. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении.

8. ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

9. ГОСТ Р ИСО/МЭК 15408-2-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности.

10. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности.

11. ГОСТ РО 0043-001-2010 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения.

12. ГОСТ РО 0043-002-2012 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов. Общие положения Для служебного пользования.

13. ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения. Национальный стандарт Российской Федерации, ограниченного распространения.

14. ГОСТ РО 0043–004–2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний.

Нормативная правовая база в сфере информационной безопасности

Наши рекомендации