Правовые средства обеспечения информационной безопасности предприятия.
Созданием законодательной (правовой) основы в области информационной безопасности занимается каждое государство, стремясь защитить свои информационные ресурсы и технологии. И Россия здесь не исключение. Нормативная правовая база по вопросам информационной безопасности включает в себя: - Конституцию Российской Федерации (далее – РФ); - Кодексы РФ; - Международные договоры и соглашения; - Федеральные законы РФ; - Указы Президента РФ; - Постановления Правительства РФ; - Стандарты и технические регламенты; - Руководящие документы и другие нормативно-методические документы уполномоченных государственных структур. Подробный список актуальных на сегодняшний день законодательных актов по информационной безопасности (без учета защиты государственной тайны) для банков будет выглядеть так: Конституция РФ Кодексы РФ: № 63-ФЗ Уголовный кодекс РФ от 13.06.1996 г. (в части ответственности за незаконный доступ к информации, ее порчу, нарушение авторских и смежных прав, нарушение тайны переписки и телефонных переговоров, незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, нарушение неприкосновенности частной жизни). № 174-ФЗ Уголовно-процессуальный кодекс РФ от 18.12.2001 г. (в части безопасности информации и защиты данных конфиденциального характера). № 197-ФЗ Трудовой кодекс РФ от 30.12.2001 г. (в части защиты персональных данных работников). № 195-ФЗ Кодекс об административных правонарушениях РФ от 30.12.2001 г. (в части защиты информации и интеллектуальной собственности). Международные договоры и соглашения: Базель II и Базель III (в части информационной безопасности). Федеральные законы РФ: № 98-ФЗ «О коммерческой тайне» от 29.07.2004 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г. № 152-ФЗ «О персональных данных» от 27.07.2006 г. 1. № 395-1 «О банках и банковской деятельности» от 02.12.1990 г. 2. № 63-ФЗ «Об электронной подписи» от 06.04.2011 г. 3. № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011 г. 4. № 184-ФЗ «О техническом регулировании» от 27.12.2002 г. 5. № 161-ФЗ «О национальной платежной системе» от 27.06.2011 г. Стратегия и Доктрина: 1. № Пр-212 «Стратегия развития информационного общества в Российской Федерации» от 07.02.2008 г. 2. № Пр-1895 «Доктрина информационной безопасности» от 09.09.2000 г. Указы Президента РФ: 1. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03.04.1995 г. 2. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 09.01.1996 г. 3. № 188 «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 г. Постановления Правительства РФ: № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г. № 584 «Об утверждении Положения о защите информации в платежной системе» от 13.06.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г. № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» от 03.03.2012 г. 1. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» от 03.02.2012 г. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, по оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных(криптографических) средств, информационных систем и телекоммуникационных систем, защищенных использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» от 16.04.2012 г. № 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию» от 10.03.2000 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 г. Международные, британские стандарты и стандарты платежных систем: PCI DSS 2.0. Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0. PA DSS 2.0.Requirements and security assessment procedures. ISO/IEC 27001:2005 – «Информационные технологии — Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования». ISO/IEC 27005:2011 – «Информационные технологии — Методы обеспечения безопасности – Система управления рисками информационной безопасности». ISO/IEC 17799:2005 – «Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности». BS 7799-1:2005 – Британский стандарт BS 7799 первая часть. Практические правила управления информационной безопасностью. BS 7799-2:2005 – Британский стандарт BS 7799 вторая часть стандарта. Спецификация системы управления информационной безопасностью. BS 7799-3:2006 – Британский стандарт BS 7799 третья часть стандарта. Руководство по менеджменту рисков ИБ. BS 25999-1:2006 «Управление непрерывностью бизнеса». CobiT 5.0 (ControlObjectivesforInformationandRelatedTechnology). Стандарты и технические регламенты ГОСТ Р 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования». ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования». ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процесс формирования и проверки электронной подписи». ГОСТ 19.781-90. Обеспечение систем обработки информации программное. Термины и определения. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения. ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем. ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение. ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний. ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования. ГОСТ 28195-89. Оценка качества программных средств. Общие положения. ГОСТ 28388-89. Системы обработки информации. Документы на магнитных носителях данных. Порядок выполнения и обращения. ГОСТ 28806-90. Качество программных средств. Термины и определения. ГОСТ 29216-91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний. ГОСТ 30373-95/ГОСТ Р 50414-92 Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний. ГОСТ ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения. ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний. ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств – источников индустриальных радиопомех. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования. ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств. ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению. ГОСТ Р ИСО/МЭК ТО 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения. МИ 1317-2004. Рекомендация. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроле их параметров. МИ 2377-98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений. Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения. РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения. РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов. РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения. СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы. СНиП 23-03-2003. Защита от шума. ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения. ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической зашиты информации. ГОСТ Р 51241-2008. Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения. ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показателей качества. ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения. ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. ГОСТ Р ИСО/МЭК 18028-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. ГОСТ Р ИСО/МЭК 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции. Рекомендации по аккредитации. «Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных органов по сертификации» Р 50.4.002-2000. Рекомендации по аккредитации. «За деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий» Р 50.4.003-2000. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы. Санитарно-эпидемиологические правила и нормативы. СанПиН 2.2.2./2.4.1340-03. Строительные нормы и правила Российской федерации. Защита от шума. СНиП 23-03-2003. Государственная система обеспечения единства измерений. Результаты и характеристики качества измерений. ПМГ 96-2009. Документы Банка России: № 382-П Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении денежных переводов» от 09.06.2012 г. № 383-П Положение «О правилах перевода денежных средств» от 19.06.2012 г. № 379-П Положение «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах» от 31.05.2012 г. Письмо о вводе комплекса документов (Письмо шестерых) от 28.06.2010 г. СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности». СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх». РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности». РС БР ИББС-2.3-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы российской федерации». РС БР ИББС-2.4-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации». Документы АРБ: Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы РФ от 2010 г. Стандарт «Система управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации». Версия 7.4 от 02.04.2012 г. Документы Минкомсвязи РФ: № 320 Приказ Минкомсвязи России «Об аккредитации удостоверяющих центров» от 23.11.2011 г. Документы ФСТЭК России: № 21 Приказ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 г. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 15.02.2008 г. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 14.02.2008 г. № 55/86/20 Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации «Об утверждении порядка проведения классификации информационных систем персональных данных» от 13.02.2008 г. № 28 дсп Приказ «Требования к средствам антивирусной защиты» от 20.03.12 г. № 27 дсп Приказ «Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи» от 12.03.12 г. № 638 дсп Приказ «Требования к системам обнаружения вторжений» от 06.12.11. «Методические рекомендации по технической защите информации, составляющей коммерческую тайну», утверждено Заместителем директора ФСТЭК России от 25.12.06 г. дсп. № 282 дсп Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержден приказом Гостехкомиссии России от 30.08.02. «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», Гостехкомиссия России, 2002 г. дсп. № 355 дсп Руководящий документ «Защита информации. Комплектующие помехоподавляющие изделия электронной техники, радиоэкранирующие и помехоподавляющие материалы. Общие технические требования», утвержден приказом Гостехкомиссии России от 31.08.2001 г. Руководящий документ «Автоматизированные системы Защита от нессанкионированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержден решением Гостехкомиссии России от 20.03.1992 г. Документы ФСБ России: №152 Приказ ФАПСИ «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» от 13.06.2001 г. № 66 Приказ Федеральной службы безопасности Российской Федерации «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» от 9 февраля 2005 г. № 149/6/6-622 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 2008 г. № 149/54-144 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 2008 г. № 795 Приказ ФСБ «Об утверждении требований к форме квалификационного сертификата ключа проверки электронной подписи» от 27.12.11 г. № 796 Приказ ФСБ «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра» от 27.12.11 г.
©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|