Перечень разрабатываемых документов для ГИС

Условные обозначения

ФЗ-149 — Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информацию;

Указ-188 — Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

ППРФ-676 — постановление Правительства Российской Федерации от 6 июля 2015 г. № 676 «Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (в ред. постановления Правительства Российской Федерации от 14.11.2015 № 1235 и постановления Правительства Российской Федерации от 11 мая 2017 г. № 555);

Приказ-17 — приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

ISO-002 — ISO/МЭК 27002 «Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности»;

ГОСТ-201 — ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;

ГОСТ-583 — ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении»;

ГОСТ-601 — ГОСТ 34.601 «Автоматизированные системы. Стадии создания»;

ГОСТ-602 — ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;

ГОСТ-603 — ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем»;

ГОСТ-624 — ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»;


Формирование требований к защите информации, содержащейся в ГИС
МероприятияРазрабатываемый документОснование для разработки
Принятие решения о необходимости защиты информации, содержащейся в информационной системе ПА (Решение) организации о создании ГИС п.2 ч.2 ППРФ-676
Приказ Организации о проведении мероприятий по защите информации, содержащейся в ГИС п.9 чЛ, п.14 ч. 2 Приказ-17;

ГОСТ-624
Приказ о назначении оператора и уполномоченных лиц Указ-188;

п. 1.2 ч. 1 ППРФ-676
Приказ о назначении работника (структурного подразделения), ответственного за обеспечение защиты информации ГИС п. 9 чЛ, п.14 ч. 2 Приказ-17
Определение перечня сведений конфиденциального характера. Указ — 188;

п.1.2 ч. 1 ППРФ-676
Политики обеспечения информационной безопасности обладателя информации ISO-002
Политики обеспечения информационной безопасности оператора
Классификация государственной информационной системы по требованиям защиты информации Приказ о составе комиссии по классификации ГИС
Акт определения класса защищённости ГИС. п.14.2 ч. 2 Приказ-17
Определение угроз безопасности информации, реализация которых может привести к ‘ нарушению безопасности информации в государственной информационной системе, и разработка на их основе модели угроз безопасности информации Анализ угроз безопасности информации и выполнение предпроектного аудита (ТЭО, ТТЗ) п.1.2 ч.1 ППРФ-676; ГОСТ-601
Модель угроз и нарушителя безопасности информации п.1.2 ч.1, п.З ч.2 ППРФ-676;

п.9.4ч. 2 Приказ-17;

ГОСТ-624;

ГОСТ-601
Определение требований к системе защиты информации государственной информационной системы Техническое задание на создание ГИС п.З, п.4 ч.2 ППРФ-676;

ГОСТ-601;

ГОСТ-602
Частное техническое задание на создание системы защиты информации ГИС ГОСТ-583;

ГОСТ-601;

п.15 ч. 2 Приказ-17

Разработка системы защиты информации ГИС
МероприятияРазрабатываемый документОснование для разработки
Проектирование системы защиты информации ГИС Технический Проект (Технорабочий проект) с пояснительной запиской ГОСТ-583;

ГОСТ-601;

ГОСТ-201;

п.15 ч. 2 Приказ-17
Эксплуатационная (рабочая) документация на систему защиты информации ГИС Описание архитектуры подсистемы защиты ГИС ГОСТ-624;

ГОСТ-601;

ГОСТ-201;

РД 50-34;

п.15.2 ч. 2 Приказ-17
Ведомость эксплуатационной документации ГОСТ-601;

ГОСТ-201;

РД- 50-34
Перечень средств защиты информации, используемых в подсистеме защиты ГИС ГОСТ-583;

ГОСТ-201
Порядок настройки программных и программно-аппаратных средств защиты информации ГОСТ-624;

ГОСТ-601;

ГОСТ-201;

п.15.2 ч. 2 Приказ-17
Инструкция (правила) по эксплуатации средств защиты информации подсистемы защиты ГИС
Руководство пользователя по эксплуатации технических и программных средств защиты информации ГИС
Руководство администратора информационной безопасности ГИС
Руководство администратора ГИС п.16 Приказ-17;

ГОСТ-201;

ГОСТ-601
Руководство пользователя ГИС
Инструкция по организации антивирусной защиты ГОСТ-201;

ГОСТ-601
Инструкция по организации парольной защиты

Внедрение системы защиты информации ГИС
МероприятияРазрабатываемый документОснование для разработки
Установка и настройка средств защиты информации в ГИС В соответствии с ТЗ (ЧТЗ), ТП, Эксплуатационной документацией на подсистему защиты информации ГОСТ-583;

ГОСТ-601;

ГОСТ-201;

п.16.1ч. 2 Приказ-17
Разработка , организационно- распорядительных документов по защите информации Описание конфигурации и топологии ГИС, физических, функциональных и технологических связей внутри этих систем, так и с другими системами различного уровня и назначения ГОСТ-583;

ГОСТ-201;

ГОСТ-601
Условия расположения объекта информатизации относительно границы КЗ
Перечень используемых сертифицированных технических средств защиты информации ГОСТ -583;

ГОСТ-201
Перечень эксплуатационной и технической документации, применяемых средств защиты информации ГОСТ-201;

ГОСТ-601
Описание технологического процесса обработки информации
Описание порядка реализации отдельных мер по защите информации в ГИС п.20 Приказ-17
Технологическая инструкция ГОСТ-201;

ГОСТ-601;

РД 50-34
Ведомость машинных носителей информации
Приказ о назначении администратора (группы администраторов) безопасности п.16.2 ч. 2 Приказ-17
Положение (инструкция) о действиях работников (администраторов, пользователей) при возникновении нештатных ситуаций
Технический паспорт ГИС РД 50-34
Внедрение организационных мер защиты информации Матрица доступа персонала к защищаемым информационным ресурсам и разграничение доступа в соответствии с матрицей ГОСТ-583;

ГОСТ-601;

ГОСТ-201
Положение о проведении внутреннего контроля полноты организационно- распорядительных документов по защите информации в части, касающейся действий пользователей и администраторов ГИС по реализации организационных мер защиты информации п.16.3 ч. 2 Приказ-17
Предварительные испытания подсистемы защиты информации Программа и методики предварительных испытаний. Протокол предварительных испытаний ГОСТ-601;

ГОСТ-201;

ГОСТ-603;

РД 50-34
Заключение о проведении предварительных испытаний
Решение о готовности перехода к опытной эксплуатации
Опытная эксплуатация подсистемы защиты информации Программа и методики опытной эксплуатации ГОСТ-601;

ГОСТ-201;

ГОСТ-603;

РД 50-34
Протокол проведения опытной эксплуатации
Приказ о создании комиссии по проведению опытной эксплуатации ГОСТ-603;

РД 50-34
Акт готовности (неготовности) о переходе к приемочным испытаниям
Заключение о проведении опытной эксплуатации ГОСТ-201;

ГОСТ-603;

РД 50-34
Журнал (отчет) о наличии уязвимостей и принимаемых мер по их устранению п.16.6ч.2 Приказ-17
Приемочные испытания подсистемы защиты информации Приказ о проведении приёмочных испытаний ГИС ГОСТ-.603;

РД- 50-34.
Программа и методики проведения приемочных испытаний ГОСТ-601;

ГОСТ-201;

ГОСТ-603;

РД-50-34
Протокол проведения приемочных испытаний
Заключение о проведении приемочных испытаний
Акт завершения приемочных испытаний

Аттестация ГИС по требованиям защиты информации и ввод ее в действие
МероприятияРазрабатываемый документОснование для разработки
Проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты ‘ информации ГИС требованиям о защите информации, не составляющей государственную тайну, содержащейся в ГИС Программа и методики проведения государственной аттестации ГОСТ-583;

ГОСТ-601;

ГОСТ-603;

РД-50-34 ГОСТ-РО 0043-003;

ГОСТ-РО 0043-004 п.17 Приказ-17
Протокол проведения государственной аттестации ГОСТ-.603;

ГОСТ-РО 0043-003;

ГОСТ-РО 0043-004 РД- 50-34;

п.17 Приказ-17
Заключение о проведении государственной аттестации
Акт о завершении государственной аттестации
Аттестат соответствия п.17 Приказ-17;

ГОСТ-РО 0043-003;

ГОСТ-РО 0043-004
Ввод в промышленную эксплуатацию Заключение о готовности СЗИ к эксплуатации ГОСТ-603
Приказ о вводе в промышленную эксплуатацию РД-50-34;

ГОСТ-601;

ГОСТ-583
Эксплуатационная (рабочая) документация на систему защиты информации ГИС Список помещений, в которых разрешена обработка информации ограниченного доступа п.15.2 ч. 2 Приказ-17;

ГОСТ-583;

ГОСТ-201
Утвержденный список лиц, допущенных в ЗП
Утвержденный список лиц, допущенных к работе в ГИС

Обеспечение защиты информации в ходе эксплуатации аттестованной ГИС
МероприятияРазрабатываемый документОснование для разработки
Управление (администрирование) подсистемой защиты информации Ежегодный план мероприятий по обеспечению защиты информации ГИС п.18.2 Приказ-17
Положение (регламент) об управлении учетными записями пользователей ГИС п.18.1 Приказ-17
Приказ о назначении лиц, ответственных за управление (сопровождение) конфигурацией системы защиты информации и внесение изменений в эксплуатационную и организационно-распорядительную документацию п.18.1, п.18.2 Приказ-17;

РД-50-34
Инструкция по обеспечению обновлениями программных и программно-аппаратных средств подсистемы защиты ГИС и системы в целом п.18.1, п.18.2 Приказ-17
Журнал (отчет) событий безопасности ГИС п.18.2 Приказ-17
Приказ о назначении лиц, ответственных за выявление инцидентов и реагирование на них
Выявление инцидентов и реагирование на них Положение (регламент) об информировании лиц, ответственных за выявление инцидентов и реагирования на них, о возникновении инцидентов в ГИС пользователями и администраторами п.18.2 Приказ-17
Положение (регламент) по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев
Положение (регламент) о принятии мер по устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов
Управление конфигурацией аттестованной ГИС и ее системы защиты информации Приказ о назначении лиц, которым разрешены действия по внесению изменений в базовую конфигурацию информационной системы и ее системы защиты информации п.18.3ч.2 Приказ-17
Положение об управлении изменениями базовой конфигурации ГИС и ее системы защиты информации и внесении данных об изменениях базовой конфигурации ГИС и ее системы защиты информации в эксплуатационную документацию на систему защиты информации п.18.3ч.2 Приказ-17
Контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в ГИС План внутренних проверок состояния защиты ГИС п.18.4 ч. 2 Приказ-17
Положение о проведении контроля (анализа) защищенности информации, содержащейся в ГИС
Положение о проведении контроля за событиями безопасности и действиями пользователей в ГИС п. 4 статья 16 ФЗ-149;

п. 18 ч. 2 Приказ-17
Положение о принятии мер по результатам контроля (мониторинга) за обеспечением уровня защищенности информации в части доработки (модернизации) системы защиты информации ГИС, повторной аттестации ГИС или проведении дополнительных аттестационных испытаний

Обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации
МероприятияРазрабатываемый документОснование для разработки
Вывод из эксплуатации Приказ о выводе из эксплуатации аттестованной ГИС п. 20, 22 ч.б ППРФ- 676
Приказ об окончании обработки информации в ГИС п. 22 ч.б ППРФ-676
Архивирование информации, содержащейся в ГИС Акт (журнал, отчет) о проведении архивирования информации, содержащейся в ГИС п.22, 236, 24 ч.б ППРФ-676
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информаций Акт об уничтожении (стирании) данных и остаточной информации с учтенных установленным порядком машинных носителей п.22, 23в, ч.б ППРФ- 676;

п.19ч.2 Приказ-17
Акт об уничтожении учтенных установленным порядком машинных носителей информации



Другие разделы по теме