Перечень разрабатываемых документов для ГИС
ФЗ-149 — Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информацию;
Указ-188 — Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
ППРФ-676 — постановление Правительства Российской Федерации от 6 июля 2015 г. № 676 «Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (в ред. постановления Правительства Российской Федерации от 14.11.2015 № 1235 и постановления Правительства Российской Федерации от 11 мая 2017 г. № 555);
Приказ-17 — приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
ISO-002 — ISO/МЭК 27002 «Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности»;
ГОСТ-201 — ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
ГОСТ-583 — ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении»;
ГОСТ-601 — ГОСТ 34.601 «Автоматизированные системы. Стадии создания»;
ГОСТ-602 — ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;
ГОСТ-603 — ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем»;
ГОСТ-624 — ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»;
| Формирование требований к защите информации, содержащейся в ГИС | ||
|---|---|---|
| Мероприятия | Разрабатываемый документ | Основание для разработки |
| Принятие решения о необходимости защиты информации, содержащейся в информационной системе | ПА (Решение) организации о создании ГИС | п.2 ч.2 ППРФ-676 |
| Приказ Организации о проведении мероприятий по защите информации, содержащейся в ГИС | п.9 чЛ, п.14 ч. 2 Приказ-17; ГОСТ-624 |
|
| Приказ о назначении оператора и уполномоченных лиц | Указ-188; п. 1.2 ч. 1 ППРФ-676 |
|
| Приказ о назначении работника (структурного подразделения), ответственного за обеспечение защиты информации ГИС | п. 9 чЛ, п.14 ч. 2 Приказ-17 | |
| — | Определение перечня сведений конфиденциального характера. | Указ — 188; п.1.2 ч. 1 ППРФ-676 |
| Политики обеспечения информационной безопасности обладателя информации | ISO-002 | |
| Политики обеспечения информационной безопасности оператора | ||
| Классификация государственной информационной системы по требованиям защиты информации | Приказ о составе комиссии по классификации ГИС | |
| Акт определения класса защищённости ГИС. | п.14.2 ч. 2 Приказ-17 | |
| Определение угроз безопасности информации, реализация которых может привести к ‘ нарушению безопасности информации в государственной информационной системе, и разработка на их основе модели угроз безопасности информации | Анализ угроз безопасности информации и выполнение предпроектного аудита (ТЭО, ТТЗ) | п.1.2 ч.1 ППРФ-676; ГОСТ-601 |
| Модель угроз и нарушителя безопасности информации | п.1.2 ч.1, п.З ч.2 ППРФ-676; п.9.4ч. 2 Приказ-17; ГОСТ-624; ГОСТ-601 |
|
| Определение требований к системе защиты информации государственной информационной системы | Техническое задание на создание ГИС | п.З, п.4 ч.2 ППРФ-676; ГОСТ-601; ГОСТ-602 |
| Частное техническое задание на создание системы защиты информации ГИС | ГОСТ-583; ГОСТ-601; п.15 ч. 2 Приказ-17 |
|
| Разработка системы защиты информации ГИС | ||
|---|---|---|
| Мероприятия | Разрабатываемый документ | Основание для разработки |
| Проектирование системы защиты информации ГИС | Технический Проект (Технорабочий проект) с пояснительной запиской | ГОСТ-583; ГОСТ-601; ГОСТ-201; п.15 ч. 2 Приказ-17 |
| Эксплуатационная (рабочая) документация на систему защиты информации ГИС | Описание архитектуры подсистемы защиты ГИС | ГОСТ-624; ГОСТ-601; ГОСТ-201; РД 50-34; п.15.2 ч. 2 Приказ-17 |
| Ведомость эксплуатационной документации | ГОСТ-601; ГОСТ-201; РД- 50-34 |
|
| Перечень средств защиты информации, используемых в подсистеме защиты ГИС | ГОСТ-583; ГОСТ-201 |
|
| Порядок настройки программных и программно-аппаратных средств защиты информации | ГОСТ-624; ГОСТ-601; ГОСТ-201; п.15.2 ч. 2 Приказ-17 |
|
| Инструкция (правила) по эксплуатации средств защиты информации подсистемы защиты ГИС | ||
| Руководство пользователя по эксплуатации технических и программных средств защиты информации ГИС | ||
| Руководство администратора информационной безопасности ГИС | ||
| Руководство администратора ГИС | п.16 Приказ-17; ГОСТ-201; ГОСТ-601 |
|
| Руководство пользователя ГИС | ||
| Инструкция по организации антивирусной защиты | ГОСТ-201; ГОСТ-601 |
|
| Инструкция по организации парольной защиты | ||
| Внедрение системы защиты информации ГИС | ||
|---|---|---|
| Мероприятия | Разрабатываемый документ | Основание для разработки |
| Установка и настройка средств защиты информации в ГИС | В соответствии с ТЗ (ЧТЗ), ТП, Эксплуатационной документацией на подсистему защиты информации | ГОСТ-583; ГОСТ-601; ГОСТ-201; п.16.1ч. 2 Приказ-17 |
| Разработка , организационно- распорядительных документов по защите информации | Описание конфигурации и топологии ГИС, физических, функциональных и технологических связей внутри этих систем, так и с другими системами различного уровня и назначения | ГОСТ-583; ГОСТ-201; ГОСТ-601 |
| Условия расположения объекта информатизации относительно границы КЗ | ||
| Перечень используемых сертифицированных технических средств защиты информации | ГОСТ -583; ГОСТ-201 |
|
| — | Перечень эксплуатационной и технической документации, применяемых средств защиты информации | ГОСТ-201; ГОСТ-601 |
| Описание технологического процесса обработки информации | ||
| Описание порядка реализации отдельных мер по защите информации в ГИС | п.20 Приказ-17 | |
| Технологическая инструкция | ГОСТ-201; ГОСТ-601; РД 50-34 |
|
| Ведомость машинных носителей информации | ||
| Приказ о назначении администратора (группы администраторов) безопасности | п.16.2 ч. 2 Приказ-17 | |
| Положение (инструкция) о действиях работников (администраторов, пользователей) при возникновении нештатных ситуаций | ||
| Технический паспорт ГИС | РД 50-34 | |
| Внедрение организационных мер защиты информации | Матрица доступа персонала к защищаемым информационным ресурсам и разграничение доступа в соответствии с матрицей | ГОСТ-583; ГОСТ-601; ГОСТ-201 |
| — | Положение о проведении внутреннего контроля полноты организационно- распорядительных документов по защите информации в части, касающейся действий пользователей и администраторов ГИС по реализации организационных мер защиты информации | п.16.3 ч. 2 Приказ-17 |
| Предварительные испытания подсистемы защиты информации | Программа и методики предварительных испытаний. Протокол предварительных испытаний | ГОСТ-601; ГОСТ-201; ГОСТ-603; РД 50-34 |
| Заключение о проведении предварительных испытаний | ||
| Решение о готовности перехода к опытной эксплуатации | ||
| Опытная эксплуатация подсистемы защиты информации | Программа и методики опытной эксплуатации | ГОСТ-601; ГОСТ-201; ГОСТ-603; РД 50-34 |
| Протокол проведения опытной эксплуатации | ||
| Приказ о создании комиссии по проведению опытной эксплуатации | ГОСТ-603; РД 50-34 |
|
| Акт готовности (неготовности) о переходе к приемочным испытаниям | ||
| Заключение о проведении опытной эксплуатации | ГОСТ-201; ГОСТ-603; РД 50-34 |
|
| Журнал (отчет) о наличии уязвимостей и принимаемых мер по их устранению | п.16.6ч.2 Приказ-17 | |
| Приемочные испытания подсистемы защиты информации | Приказ о проведении приёмочных испытаний ГИС | ГОСТ-.603; РД- 50-34. |
| Программа и методики проведения приемочных испытаний | ГОСТ-601; ГОСТ-201; ГОСТ-603; РД-50-34 |
|
| Протокол проведения приемочных испытаний | ||
| Заключение о проведении приемочных испытаний | ||
| Акт завершения приемочных испытаний | ||
| Аттестация ГИС по требованиям защиты информации и ввод ее в действие | ||
|---|---|---|
| Мероприятия | Разрабатываемый документ | Основание для разработки |
| Проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты ‘ информации ГИС требованиям о защите информации, не составляющей государственную тайну, содержащейся в ГИС | Программа и методики проведения государственной аттестации | ГОСТ-583; ГОСТ-601; ГОСТ-603; РД-50-34 ГОСТ-РО 0043-003; ГОСТ-РО 0043-004 п.17 Приказ-17 |
| Протокол проведения государственной аттестации | ГОСТ-.603; ГОСТ-РО 0043-003; ГОСТ-РО 0043-004 РД- 50-34; п.17 Приказ-17 |
|
| Заключение о проведении государственной аттестации | ||
| Акт о завершении государственной аттестации | ||
| Аттестат соответствия | п.17 Приказ-17; ГОСТ-РО 0043-003; ГОСТ-РО 0043-004 |
|
| Ввод в промышленную эксплуатацию | Заключение о готовности СЗИ к эксплуатации | ГОСТ-603 |
| Приказ о вводе в промышленную эксплуатацию | РД-50-34; ГОСТ-601; ГОСТ-583 |
|
| Эксплуатационная (рабочая) документация на систему защиты информации ГИС | Список помещений, в которых разрешена обработка информации ограниченного доступа | п.15.2 ч. 2 Приказ-17; ГОСТ-583; ГОСТ-201 |
| Утвержденный список лиц, допущенных в ЗП | ||
| Утвержденный список лиц, допущенных к работе в ГИС | ||
| Обеспечение защиты информации в ходе эксплуатации аттестованной ГИС | ||
|---|---|---|
| Мероприятия | Разрабатываемый документ | Основание для разработки |
| Управление (администрирование) подсистемой защиты информации | Ежегодный план мероприятий по обеспечению защиты информации ГИС | п.18.2 Приказ-17 |
| Положение (регламент) об управлении учетными записями пользователей ГИС | п.18.1 Приказ-17 | |
| Приказ о назначении лиц, ответственных за управление (сопровождение) конфигурацией системы защиты информации и внесение изменений в эксплуатационную и организационно-распорядительную документацию | п.18.1, п.18.2 Приказ-17; РД-50-34 |
|
| Инструкция по обеспечению обновлениями программных и программно-аппаратных средств подсистемы защиты ГИС и системы в целом | п.18.1, п.18.2 Приказ-17 | |
| Журнал (отчет) событий безопасности ГИС | п.18.2 Приказ-17 | |
| Приказ о назначении лиц, ответственных за выявление инцидентов и реагирование на них | ||
| Выявление инцидентов и реагирование на них | Положение (регламент) об информировании лиц, ответственных за выявление инцидентов и реагирования на них, о возникновении инцидентов в ГИС пользователями и администраторами | п.18.2 Приказ-17 |
| Положение (регламент) по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев | ||
| Положение (регламент) о принятии мер по устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов | ||
| Управление конфигурацией аттестованной ГИС и ее системы защиты информации | Приказ о назначении лиц, которым разрешены действия по внесению изменений в базовую конфигурацию информационной системы и ее системы защиты информации | п.18.3ч.2 Приказ-17 |
| — | Положение об управлении изменениями базовой конфигурации ГИС и ее системы защиты информации и внесении данных об изменениях базовой конфигурации ГИС и ее системы защиты информации в эксплуатационную документацию на систему защиты информации | п.18.3ч.2 Приказ-17 |
| Контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в ГИС | План внутренних проверок состояния защиты ГИС | п.18.4 ч. 2 Приказ-17 |
| Положение о проведении контроля (анализа) защищенности информации, содержащейся в ГИС | ||
| Положение о проведении контроля за событиями безопасности и действиями пользователей в ГИС | п. 4 статья 16 ФЗ-149; п. 18 ч. 2 Приказ-17 |
|
| Положение о принятии мер по результатам контроля (мониторинга) за обеспечением уровня защищенности информации в части доработки (модернизации) системы защиты информации ГИС, повторной аттестации ГИС или проведении дополнительных аттестационных испытаний | ||
| Обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации | ||
|---|---|---|
| Мероприятия | Разрабатываемый документ | Основание для разработки |
| Вывод из эксплуатации | Приказ о выводе из эксплуатации аттестованной ГИС | п. 20, 22 ч.б ППРФ- 676 |
| Приказ об окончании обработки информации в ГИС | п. 22 ч.б ППРФ-676 | |
| Архивирование информации, содержащейся в ГИС | Акт (журнал, отчет) о проведении архивирования информации, содержащейся в ГИС | п.22, 236, 24 ч.б ППРФ-676 |
| Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информаций | Акт об уничтожении (стирании) данных и остаточной информации с учтенных установленным порядком машинных носителей | п.22, 23в, ч.б ППРФ- 676; п.19ч.2 Приказ-17 |
| Акт об уничтожении учтенных установленным порядком машинных носителей информации | ||