Здавалка
Главная | Обратная связь

Правовые средства обеспечения информационной безопасности предприятия.



Созданием законодательной (правовой) основы в области информационной безопасности занимается каждое государство, стремясь защитить свои информационные ресурсы и технологии. И Россия здесь не исключение. Нормативная правовая база по вопросам информационной безопасности включает в себя:

- Конституцию Российской Федерации (далее – РФ);

- Кодексы РФ;

- Международные договоры и соглашения;

- Федеральные законы РФ;

- Указы Президента РФ;

- Постановления Правительства РФ;

- Стандарты и технические регламенты;

- Руководящие документы и другие нормативно-методические документы уполномоченных государственных структур.

Подробный список актуальных на сегодняшний день законодательных актов по информационной безопасности (без учета защиты государственной тайны) для банков будет выглядеть так:

Конституция РФ

Кодексы РФ:

№ 63-ФЗ Уголовный кодекс РФ от 13.06.1996 г. (в части ответственности за незаконный доступ к информации, ее порчу, нарушение авторских и смежных прав, нарушение тайны переписки и телефонных переговоров, незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, нарушение неприкосновенности частной жизни).

№ 174-ФЗ Уголовно-процессуальный кодекс РФ от 18.12.2001 г. (в части безопасности информации и защиты данных конфиденциального характера).

№ 197-ФЗ Трудовой кодекс РФ от 30.12.2001 г. (в части защиты персональных данных работников).

№ 195-ФЗ Кодекс об административных правонарушениях РФ от 30.12.2001 г. (в части защиты информации и интеллектуальной собственности).

Международные договоры и соглашения:

Базель II и Базель III (в части информационной безопасности).

Федеральные законы РФ:

№ 98-ФЗ «О коммерческой тайне» от 29.07.2004 г.

№ 149-ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 г.

№ 152-ФЗ «О персональных данных» от 27.07.2006 г.

1. № 395-1 «О банках и банковской деятельности» от 02.12.1990 г.

2. № 63-ФЗ «Об электронной подписи» от 06.04.2011 г.

3. № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011 г.

4. № 184-ФЗ «О техническом регулировании» от 27.12.2002 г.

5. № 161-ФЗ «О национальной платежной системе» от 27.06.2011 г.

Стратегия и Доктрина:

1. № Пр-212 «Стратегия развития информационного общества в Российской Федерации» от 07.02.2008 г.

2. № Пр-1895 «Доктрина информационной безопасности» от 09.09.2000 г.

Указы Президента РФ:

1. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 03.04.1995 г.

2. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 09.01.1996 г.

3. № 188 «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 г.

Постановления Правительства РФ:

№ 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.

№ 584 «Об утверждении Положения о защите информации в платежной системе» от 13.06.2012 г.

№ 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г.

№ 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» от 03.03.2012 г.

1. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» от 03.02.2012 г.

№ 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, по оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных(криптографических) средств, информационных систем и телекоммуникационных систем, защищенных использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» от 16.04.2012 г.

№ 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию» от 10.03.2000 г.

№ 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 г.

Международные, британские стандарты и стандарты платежных систем:

PCI DSS 2.0. Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0.

PA DSS 2.0.Requirements and security assessment procedures.

ISO/IEC 27001:2005 – «Информационные технологии — Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования».

ISO/IEC 27005:2011 – «Информационные технологии — Методы обеспечения безопасности – Система управления рисками информационной безопасности».

ISO/IEC 17799:2005 – «Информационные технологии – Технологии безопасности – Практические правила менеджмента информационной безопасности».

BS 7799-1:2005 – Британский стандарт BS 7799 первая часть. Практические правила управления информационной безопасностью.

BS 7799-2:2005 – Британский стандарт BS 7799 вторая часть стандарта. Спецификация системы управления информационной безопасностью.

BS 7799-3:2006 – Британский стандарт BS 7799 третья часть стандарта. Руководство по менеджменту рисков ИБ.

BS 25999-1:2006 «Управление непрерывностью бизнеса».

CobiT 5.0 (ControlObjectivesforInformationandRelatedTechnology).

Стандарты и технические регламенты

ГОСТ Р 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».

ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процесс формирования и проверки электронной подписи».

ГОСТ 19.781-90. Обеспечение систем обработки информации программное. Термины и определения.

ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.

ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.

ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.

ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.

ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.

ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение.

ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний.

ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования.

ГОСТ 28195-89. Оценка качества программных средств. Общие положения.

ГОСТ 28388-89. Системы обработки информации. Документы на магнитных носителях данных. Порядок выполнения и обращения.

ГОСТ 28806-90. Качество программных средств. Термины и определения.

ГОСТ 29216-91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний.

ГОСТ 30373-95/ГОСТ Р 50414-92 Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний.

ГОСТ ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

ГОСТ ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

ГОСТ ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.

ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности.

ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.

ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний.

ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств – источников индустриальных радиопомех.

ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.

ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.

ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.

ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению.

ГОСТ Р ИСО/МЭК ТО 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения.

МИ 1317-2004. Рекомендация. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроле их параметров.

МИ 2377-98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений.

Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения.

РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.

РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.

РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения.

СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы.

СНиП 23-03-2003. Защита от шума.

ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения.

ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической зашиты информации.

ГОСТ Р 51241-2008. Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.

ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения.

ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показа­телей качества.

ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.

ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.

ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.

ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.

ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспече­ния безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.

ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.

ГОСТ Р ИСО/МЭК 18028-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности.

ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.

ГОСТ Р ИСО/МЭК 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.

ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции.

Рекомендации по аккредитации. «Инспекционный контроль за деятельностью в системе сертификации ГОСТ Р аккредитованных органов по сертификации» Р 50.4.002-2000.

Рекомендации по аккредитации. «За деятельностью в системе сертификации ГОСТ Р аккредитованных испытательных лабораторий» Р 50.4.003-2000.

Гигиенические требования к персональным электронно-вычислительным машинам и организации работы. Санитарно-эпидемиологические правила и нормативы. СанПиН 2.2.2./2.4.1340-03.

Строительные нормы и правила Российской федерации. Защита от шума. СНиП 23-03-2003.

Государственная система обеспечения единства измерений. Результаты и характеристики качества измерений. ПМГ 96-2009.

Документы Банка России:

№ 382-П Положение «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении денежных переводов» от 09.06.2012 г.

№ 383-П Положение «О правилах перевода денежных средств» от 19.06.2012 г.

№ 379-П Положение «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах» от 31.05.2012 г.

Письмо о вводе комплекса документов (Письмо шестерых) от 28.06.2010 г.

СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».

СТО БР ИББС-1.2-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх».

РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС­-1.0».

РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».

РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности».

РС БР ИББС-2.3-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы российской федерации».

РС БР ИББС-2.4-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации».

Документы АРБ:

Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы РФ от 2010 г.

Стандарт «Система управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации». Версия 7.4 от 02.04.2012 г.

Документы Минкомсвязи РФ:

№ 320 Приказ Минкомсвязи России «Об аккредитации удостоверяющих центров» от 23.11.2011 г.

Документы ФСТЭК России:

№ 21 Приказ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 г.

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 15.02.2008 г.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 14.02.2008 г.

№ 55/86/20 Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации «Об утверждении порядка проведения классификации информационных систем персональных данных» от 13.02.2008 г.

№ 28 дсп Приказ «Требования к средствам антивирусной защиты» от 20.03.12 г.

№ 27 дсп Приказ «Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи» от 12.03.12 г.

№ 638 дсп Приказ «Требования к системам обнаружения вторжений» от 06.12.11.

«Методические рекомендации по технической защите информации, составляющей коммерческую тайну», утверждено Заместителем директора ФСТЭК России от 25.12.06 г. дсп.

№ 282 дсп Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержден приказом Гостехкомиссии России от 30.08.02.

«Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», Гостехкомиссия России, 2002 г. дсп.

№ 355 дсп Руководящий документ «Защита информации. Комплектующие помехоподавляющие изделия электронной техники, радиоэкранирующие и помехоподавляющие материалы. Общие технические требования», утвержден приказом Гостехкомиссии России от 31.08.2001 г.

Руководящий документ «Автоматизированные системы Защита от нессанкионированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержден решением Гостехкомиссии России от 20.03.1992 г.

Документы ФСБ России:

№152 Приказ ФАПСИ «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» от 13.06.2001 г.

№ 66 Приказ Федеральной службы безопасности Российской Федерации «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» от 9 февраля 2005 г.

№ 149/6/6-622 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 2008 г.

№ 149/54-144 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 2008 г.

№ 795 Приказ ФСБ «Об утверждении требований к форме квалификационного сертификата ключа проверки электронной подписи» от 27.12.11 г.

№ 796 Приказ ФСБ «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра» от 27.12.11 г.

 







©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.