Перечень разрабатываемых документов для ГИС
ФЗ-149 — Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информацию;
Указ-188 — Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
ППРФ-676 — постановление Правительства Российской Федерации от 6 июля 2015 г. № 676 «Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (в ред. постановления Правительства Российской Федерации от 14.11.2015 № 1235 и постановления Правительства Российской Федерации от 11 мая 2017 г. № 555);
Приказ-17 — приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
ISO-002 — ISO/МЭК 27002 «Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности»;
ГОСТ-201 — ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
ГОСТ-583 — ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении»;
ГОСТ-601 — ГОСТ 34.601 «Автоматизированные системы. Стадии создания»;
ГОСТ-602 — ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;
ГОСТ-603 — ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем»;
ГОСТ-624 — ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»;
Формирование требований к защите информации, содержащейся в ГИС | ||
---|---|---|
Мероприятия | Разрабатываемый документ | Основание для разработки |
Принятие решения о необходимости защиты информации, содержащейся в информационной системе | ПА (Решение) организации о создании ГИС | п.2 ч.2 ППРФ-676 |
Приказ Организации о проведении мероприятий по защите информации, содержащейся в ГИС | п.9 чЛ, п.14 ч. 2 Приказ-17; ГОСТ-624 |
|
Приказ о назначении оператора и уполномоченных лиц | Указ-188; п. 1.2 ч. 1 ППРФ-676 |
|
Приказ о назначении работника (структурного подразделения), ответственного за обеспечение защиты информации ГИС | п. 9 чЛ, п.14 ч. 2 Приказ-17 | |
— | Определение перечня сведений конфиденциального характера. | Указ — 188; п.1.2 ч. 1 ППРФ-676 |
Политики обеспечения информационной безопасности обладателя информации | ISO-002 | |
Политики обеспечения информационной безопасности оператора | ||
Классификация государственной информационной системы по требованиям защиты информации | Приказ о составе комиссии по классификации ГИС | |
Акт определения класса защищённости ГИС. | п.14.2 ч. 2 Приказ-17 | |
Определение угроз безопасности информации, реализация которых может привести к ‘ нарушению безопасности информации в государственной информационной системе, и разработка на их основе модели угроз безопасности информации | Анализ угроз безопасности информации и выполнение предпроектного аудита (ТЭО, ТТЗ) | п.1.2 ч.1 ППРФ-676; ГОСТ-601 |
Модель угроз и нарушителя безопасности информации | п.1.2 ч.1, п.З ч.2 ППРФ-676; п.9.4ч. 2 Приказ-17; ГОСТ-624; ГОСТ-601 |
|
Определение требований к системе защиты информации государственной информационной системы | Техническое задание на создание ГИС | п.З, п.4 ч.2 ППРФ-676; ГОСТ-601; ГОСТ-602 |
Частное техническое задание на создание системы защиты информации ГИС | ГОСТ-583; ГОСТ-601; п.15 ч. 2 Приказ-17 |
Разработка системы защиты информации ГИС | ||
---|---|---|
Мероприятия | Разрабатываемый документ | Основание для разработки |
Проектирование системы защиты информации ГИС | Технический Проект (Технорабочий проект) с пояснительной запиской | ГОСТ-583; ГОСТ-601; ГОСТ-201; п.15 ч. 2 Приказ-17 |
Эксплуатационная (рабочая) документация на систему защиты информации ГИС | Описание архитектуры подсистемы защиты ГИС | ГОСТ-624; ГОСТ-601; ГОСТ-201; РД 50-34; п.15.2 ч. 2 Приказ-17 |
Ведомость эксплуатационной документации | ГОСТ-601; ГОСТ-201; РД- 50-34 |
|
Перечень средств защиты информации, используемых в подсистеме защиты ГИС | ГОСТ-583; ГОСТ-201 |
|
Порядок настройки программных и программно-аппаратных средств защиты информации | ГОСТ-624; ГОСТ-601; ГОСТ-201; п.15.2 ч. 2 Приказ-17 |
|
Инструкция (правила) по эксплуатации средств защиты информации подсистемы защиты ГИС | ||
Руководство пользователя по эксплуатации технических и программных средств защиты информации ГИС | ||
Руководство администратора информационной безопасности ГИС | ||
Руководство администратора ГИС | п.16 Приказ-17; ГОСТ-201; ГОСТ-601 |
|
Руководство пользователя ГИС | ||
Инструкция по организации антивирусной защиты | ГОСТ-201; ГОСТ-601 |
|
Инструкция по организации парольной защиты |
Внедрение системы защиты информации ГИС | ||
---|---|---|
Мероприятия | Разрабатываемый документ | Основание для разработки |
Установка и настройка средств защиты информации в ГИС | В соответствии с ТЗ (ЧТЗ), ТП, Эксплуатационной документацией на подсистему защиты информации | ГОСТ-583; ГОСТ-601; ГОСТ-201; п.16.1ч. 2 Приказ-17 |
Разработка , организационно- распорядительных документов по защите информации | Описание конфигурации и топологии ГИС, физических, функциональных и технологических связей внутри этих систем, так и с другими системами различного уровня и назначения | ГОСТ-583; ГОСТ-201; ГОСТ-601 |
Условия расположения объекта информатизации относительно границы КЗ | ||
Перечень используемых сертифицированных технических средств защиты информации | ГОСТ -583; ГОСТ-201 |
|
— | Перечень эксплуатационной и технической документации, применяемых средств защиты информации | ГОСТ-201; ГОСТ-601 |
Описание технологического процесса обработки информации | ||
Описание порядка реализации отдельных мер по защите информации в ГИС | п.20 Приказ-17 | |
Технологическая инструкция | ГОСТ-201; ГОСТ-601; РД 50-34 |
|
Ведомость машинных носителей информации | ||
Приказ о назначении администратора (группы администраторов) безопасности | п.16.2 ч. 2 Приказ-17 | |
Положение (инструкция) о действиях работников (администраторов, пользователей) при возникновении нештатных ситуаций | ||
Технический паспорт ГИС | РД 50-34 | |
Внедрение организационных мер защиты информации | Матрица доступа персонала к защищаемым информационным ресурсам и разграничение доступа в соответствии с матрицей | ГОСТ-583; ГОСТ-601; ГОСТ-201 |
— | Положение о проведении внутреннего контроля полноты организационно- распорядительных документов по защите информации в части, касающейся действий пользователей и администраторов ГИС по реализации организационных мер защиты информации | п.16.3 ч. 2 Приказ-17 |
Предварительные испытания подсистемы защиты информации | Программа и методики предварительных испытаний. Протокол предварительных испытаний | ГОСТ-601; ГОСТ-201; ГОСТ-603; РД 50-34 |
Заключение о проведении предварительных испытаний | ||
Решение о готовности перехода к опытной эксплуатации | ||
Опытная эксплуатация подсистемы защиты информации | Программа и методики опытной эксплуатации | ГОСТ-601; ГОСТ-201; ГОСТ-603; РД 50-34 |
Протокол проведения опытной эксплуатации | ||
Приказ о создании комиссии по проведению опытной эксплуатации | ГОСТ-603; РД 50-34 |
|
Акт готовности (неготовности) о переходе к приемочным испытаниям | ||
Заключение о проведении опытной эксплуатации | ГОСТ-201; ГОСТ-603; РД 50-34 |
|
Журнал (отчет) о наличии уязвимостей и принимаемых мер по их устранению | п.16.6ч.2 Приказ-17 | |
Приемочные испытания подсистемы защиты информации | Приказ о проведении приёмочных испытаний ГИС | ГОСТ-.603; РД- 50-34. |
Программа и методики проведения приемочных испытаний | ГОСТ-601; ГОСТ-201; ГОСТ-603; РД-50-34 |
|
Протокол проведения приемочных испытаний | ||
Заключение о проведении приемочных испытаний | ||
Акт завершения приемочных испытаний |
Аттестация ГИС по требованиям защиты информации и ввод ее в действие | ||
---|---|---|
Мероприятия | Разрабатываемый документ | Основание для разработки |
Проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты ‘ информации ГИС требованиям о защите информации, не составляющей государственную тайну, содержащейся в ГИС | Программа и методики проведения государственной аттестации | ГОСТ-583; ГОСТ-601; ГОСТ-603; РД-50-34 ГОСТ-РО 0043-003; ГОСТ-РО 0043-004 п.17 Приказ-17 |
Протокол проведения государственной аттестации | ГОСТ-.603; ГОСТ-РО 0043-003; ГОСТ-РО 0043-004 РД- 50-34; п.17 Приказ-17 |
|
Заключение о проведении государственной аттестации | ||
Акт о завершении государственной аттестации | ||
Аттестат соответствия | п.17 Приказ-17; ГОСТ-РО 0043-003; ГОСТ-РО 0043-004 |
|
Ввод в промышленную эксплуатацию | Заключение о готовности СЗИ к эксплуатации | ГОСТ-603 |
Приказ о вводе в промышленную эксплуатацию | РД-50-34; ГОСТ-601; ГОСТ-583 |
|
Эксплуатационная (рабочая) документация на систему защиты информации ГИС | Список помещений, в которых разрешена обработка информации ограниченного доступа | п.15.2 ч. 2 Приказ-17; ГОСТ-583; ГОСТ-201 |
Утвержденный список лиц, допущенных в ЗП | ||
Утвержденный список лиц, допущенных к работе в ГИС |
Обеспечение защиты информации в ходе эксплуатации аттестованной ГИС | ||
---|---|---|
Мероприятия | Разрабатываемый документ | Основание для разработки |
Управление (администрирование) подсистемой защиты информации | Ежегодный план мероприятий по обеспечению защиты информации ГИС | п.18.2 Приказ-17 |
Положение (регламент) об управлении учетными записями пользователей ГИС | п.18.1 Приказ-17 | |
Приказ о назначении лиц, ответственных за управление (сопровождение) конфигурацией системы защиты информации и внесение изменений в эксплуатационную и организационно-распорядительную документацию | п.18.1, п.18.2 Приказ-17; РД-50-34 |
|
Инструкция по обеспечению обновлениями программных и программно-аппаратных средств подсистемы защиты ГИС и системы в целом | п.18.1, п.18.2 Приказ-17 | |
Журнал (отчет) событий безопасности ГИС | п.18.2 Приказ-17 | |
Приказ о назначении лиц, ответственных за выявление инцидентов и реагирование на них | ||
Выявление инцидентов и реагирование на них | Положение (регламент) об информировании лиц, ответственных за выявление инцидентов и реагирования на них, о возникновении инцидентов в ГИС пользователями и администраторами | п.18.2 Приказ-17 |
Положение (регламент) по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев | ||
Положение (регламент) о принятии мер по устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов | ||
Управление конфигурацией аттестованной ГИС и ее системы защиты информации | Приказ о назначении лиц, которым разрешены действия по внесению изменений в базовую конфигурацию информационной системы и ее системы защиты информации | п.18.3ч.2 Приказ-17 |
— | Положение об управлении изменениями базовой конфигурации ГИС и ее системы защиты информации и внесении данных об изменениях базовой конфигурации ГИС и ее системы защиты информации в эксплуатационную документацию на систему защиты информации | п.18.3ч.2 Приказ-17 |
Контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в ГИС | План внутренних проверок состояния защиты ГИС | п.18.4 ч. 2 Приказ-17 |
Положение о проведении контроля (анализа) защищенности информации, содержащейся в ГИС | ||
Положение о проведении контроля за событиями безопасности и действиями пользователей в ГИС | п. 4 статья 16 ФЗ-149; п. 18 ч. 2 Приказ-17 |
|
Положение о принятии мер по результатам контроля (мониторинга) за обеспечением уровня защищенности информации в части доработки (модернизации) системы защиты информации ГИС, повторной аттестации ГИС или проведении дополнительных аттестационных испытаний |
Обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации | ||
---|---|---|
Мероприятия | Разрабатываемый документ | Основание для разработки |
Вывод из эксплуатации | Приказ о выводе из эксплуатации аттестованной ГИС | п. 20, 22 ч.б ППРФ- 676 |
Приказ об окончании обработки информации в ГИС | п. 22 ч.б ППРФ-676 | |
Архивирование информации, содержащейся в ГИС | Акт (журнал, отчет) о проведении архивирования информации, содержащейся в ГИС | п.22, 236, 24 ч.б ППРФ-676 |
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информаций | Акт об уничтожении (стирании) данных и остаточной информации с учтенных установленным порядком машинных носителей | п.22, 23в, ч.б ППРФ- 676; п.19ч.2 Приказ-17 |
Акт об уничтожении учтенных установленным порядком машинных носителей информации |