Основные документы в области информационной безопасности и технической защиты информации

1.

Основные документы в
области
информационной
безопасности и
технической защиты
информации
Владимир Палагушин

2.

Виды документов в области ИБ и ТЗИ
Нормативные
правовые
акты
Российской
Федерации:
- Федеральные законы;
- Указы Президента РФ;
- Постановления Правительства РФ;
Нормативные документы
Регуляторов в области
защиты информации конфиденциального характера
Государственные стандарты
Организационно - распорядительные документы
Организации

3.

Федеральные законы
Об информации, информационных технологиях и о защите
информации (от 27 июля 2006 г. N 149-ФЗ);
О персональных данных (от 27 июля 2006 г. N 152-ФЗ);
О коммерческой тайне (от 29 июля 2004 г. N 98-ФЗ);
О безопасности критической информационной инфраструктуры
Российской Федерации (от 26 июля 2017 г. N 187-ФЗ);
О техническом регулировании (от 27 декабря 2002 г. N 184-ФЗ);
О безопасности (от 28 декабря 2010 г. N 390-ФЗ);
О лицензировании отдельных видов деятельности (от 4 мая 2011 г.
N 99-ФЗ);
Об электронной подписи (от 6 апреля 2011 г. N 63-ФЗ);
О
защите
прав
юридических
лиц
и
индивидуальных
предпринимателей при осуществлении государственного контроля
(надзора) и муниципального контроля (от 26 декабря 2008 г. N 294-ФЗ).
КОДЕКСЫ РФ (Трудовой, Уголовный, Об административных
правонарушениях);

4.

Указы Президента РФ
Об утверждении Перечня сведений конфиденциального характера
(от 6 марта 1997 г. N 188 ).
Вопросы Федеральной службы по техническому и экспортному
контролю (от 16 августа 2004 г. N 1085);
О мерах по обеспечению информационной безопасности Российской
Федерации при использовании информационно-телекоммуникационных
сетей международного информационного обмена
(от 17 марта 2008 г. N 351);
О Стратегии национальной безопасности Российской Федерации
(от 31 декабря 2015 года N 683 );
Об утверждении Доктрины информационной безопасности Российской
Федерации (от 05.12.2016 N 646);
О совершенствовании государственной системы обнаружения,
предупреждения и ликвидации последствий компьютерных атак на
информационные ресурсы Российской Федерации (от 22.12.2017 N 620)

5.

Постановления Правительства РФ (Пдн)
Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных (от 1
ноября 2012 г. № 1119) ;
Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом "О
персональных данных" и принятыми в соответствии с ним
нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами (от 21.03.2012 № 211);
Об утверждении требований к материальным носителям
биометрических персональных данных и технологиям хранения таких
данных вне информационных систем персональных данных (от 6 июля
2008 года № 512 );
Об
утверждении
Положения
об
особенностях
обработки
персональных данных, осуществляемой без использования средств
автоматизации (от 15 сентября 2008 г. № 687);

6.

Постановления Правительства РФ (КИИ)
Об утверждении Правил категорирования объектов
критической информационной инфраструктуры Российской
Федерации, а также перечня показателей критериев значимости
объектов
критической
информационной
инфраструктуры
Российской Федерации и их значений (от 8 февраля 2018 г. N 127 ) ;
Об утверждении Правил осуществления государственного
контроля в области обеспечения безопасности значимых объектов
критической информационной инфраструктуры Российской
Федерации (от от 17 февраля 2018 г. N 162);
Об утверждении Правил подготовки и использования
ресурсов единой сети электросвязи Российской Федерации для
обеспечения функционирования значимых объектов критической
информационной инфраструктуры (от 8 июня 2019 г. N 743);

7.

Постановления Правительства РФ
Об организации лицензирования отдельных видов деятельности (от
21 ноября 2011 г. № 957);
О
лицензировании
деятельности
по
технической
защите
конфиденциальной информации (от 3 февраля 2012 г. № 79);
О лицензировании деятельности по разработке и производству
средств защиты конфиденциальной информации (от 3 марта 2012 г. №
171);
Об особенностях подключения федеральных государственных
информационных систем к информационно-телекоммуникационным
сетям (от 218 мая 2009 г. № 424);
Об утверждении Положения о сертификации средств защиты
информации (от 26.06.1995 г. № 608 ).

8.

Постановления Правительства РФ
Об особенностях оценки соответствия продукции (работ, услуг),
используемой в целях защиты сведений, составляющих государственную
тайну или относимых к охраняемой в соответствии с законодательством
российской федерации иной информации ограниченного доступа, и
продукции (работ, услуг), сведения о которой составляют государственную
тайну, предназначенной для эксплуатации в загранучреждениях
Российской Федерации, а также процессов ее проектирования (включая
изыскания),
производства,
строительства,
монтажа,
наладки,
эксплуатации, хранения, перевозки, реализации, утилизации и
захоронения и о внесении изменения в положение о сертификации средств
защиты информации (от 21 апреля 2010 г. N 266);
Об утверждении Положения о порядке обращения со служебной
информацией ограниченного распространения в федеральных органах
исполнительной власти (от 3 ноября 1994 г. № 1233);

9.

Основные ФОИВ, регулирующие вопросы
информационной безопасности Российской Федерации

10.

Основные направления деятельности
ФСТЭК России
Центральный Комитет КПСС и Совет Министров СССР
ПОСТАНОВЛЕНИЕ
от 18 декабря 1973 г, № 903-303
Москва,Кремль
О мерах противодействия иностранным техническим разведкам
Центральный Комитет КПСС и Совет Министров СССР ПОСТАНОВЛЯЮТ:
Для организации комплексных работ в стране по противодействию
иностранным техническим разведкам, контроля в этой области и принятия
в необходимых случаях оперативных мер образовать Государственную
комиссию СССР по противодействию иностранным техническим разведкам.

11.

Основные направления деятельности
ФСТЭК России
Постановление ЦК
КПСС и СМ СССР
от
18 декабря 1973 г.
№ 903-303
Противодействие
иностранным
техническим
разведкам
(ПД ИТР)
Техническая
защита
информации
(ТЗИ)
Технический
контроль
состояния
работ
по ПД ИТР и
ТЗИ

12.

Основные направления деятельности
ФСТЭК России
Постановление ЦК
КПСС и СМ СССР
от
18 декабря 1973 г.
№ 903-303
Указы Президента
Российской
Федерации от
5 января 1992 г.
№ 9,
от 30 марта 1994 г.
№ 614,
от 23 апреля 2001 г.
№ 458
Противодействие
иностранным
техническим
разведкам
(ПД ИТР)
Техническая
защита
информации
(ТЗИ)
Технический
контроль
состояния
работ
по ПД ИТР и
ТЗИ
Защита
государственной
тайны
Регулирование
размещения
и использования
ИТСНК

13.

Основные направления деятельности
ФСТЭК России
УКАЗ
ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ
9 марта 2004 года
№ 314
О системе и структуре федеральных органов
исполнительной власти
В целях формирования эффективной системы и структуры
федеральных органов исполнительной власти …
п о с т а н о в л я ю:
…….
15. Преобразовать:
Государственную техническую комиссию при Президенте
Российской Федерации в Федеральную службу по техническому и
экспортному контролю, передав ей функции по экспортному
контролю Министерства экономического развития и торговли
Российской Федерации.

14.

Основные направления деятельности
ФСТЭК России
Постановление ЦК
КПСС и СМ СССР
от
18 декабря 1973 г.
№ 903-303
Указы Президента
РФ от
5 января 1992 г.
№ 9,
от 30 марта 1994 г.
№ 614,
от 23 апреля 2001 г.
№ 458
Указы Президента
Российской
Федерации от
9 марта 2004 г.
№ 314,
16 августа 2004 г.
№ 1085
Указ Президента
РФ от
25 ноября 2017
N 569
Противодействие
иностранным
техническим
разведкам
(ПД ИТР)
Противодействие
иностранным
техническим
разведкам
(ПД ИТР)
Техническая
защита
информации
(ТЗИ)
Технический
контроль
состояния
работ
по ПД ИТР и
ТЗИ
Техническая
защита
информации
(ТЗИ)
Технический
контроль
Технический
состояния
контроль
работ
состояния
по ПД ИТР,
работ
ТЗИ и ОБИ в
по ПД ИТР и
КСИИ)
ТЗИ
Защита
государственной
тайны)
тайны
Регулирование
размещения
и использования
ИТСНК
Защита
ключевых
систем
информационной
инфраструктуры
Экспортный
контроль
Обеспечение
безопасности
значимых
объектов
критической
информационной
инфраструктуры

15.

Нормативные документы ФСТЭК России
Руководящие документы Гостехкомисси (старые требования к СЗИ)
Средства
вычислительной
техники.
Защита
от
несанкционированного доступа к информации. Показатели
защищенности от несанкционированного доступа к информации
(1992 г.);
Автоматизированные системы. Защита от несанкционированного
доступа к информации. Классификация автоматизированных систем и
требования по защите информации (1992 г.);
Средства вычислительной техники. Межсетевые экраны. Защита от
несанкционированного
доступа.
Показатели
защищенности
от
несанкционированного доступа к информации (1997 г.);
Защита от несанкционированного доступа к информации. Часть 1.
Программное обеспечение средств защиты информации. Классификация по
уровню контроля отсутствия недекларированных возможностей (1999 г.);

16.

Нормативные документы ФСТЭК России
Нормативные документы ФСТЭК России (новые требования к СЗИ)
Требования к системам обнаружения вторжений (2012 г.);
Требования к средствам антивирусной защиты (2012 г.);
Требования к средствам доверенной загрузки (2014 г.);
Требования к средствам
информации (2014 г.);
контроля
съемных
машинных
носителей
Требования к межсетевым экранам (2016 г.);
Требования безопасности информации к операционным системам (2017 г.);
Требования по безопасности информации, устанавливающие уровни
доверия к средствам технической защиты информации
и средствам
обеспечения безопасности информационных технологий (2019 г.);
Методика выявления уязвимостей и недекларированных возможностей в
программном обеспечении (2019 г.);

17.

Нормативные документы ФСТЭК России
Нормативные документы ФСТЭК России по защите ПДн
Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных (2008 г.);
Методика определения актуальных угроз безопасности персональных
данных при их обработке в информационных системах персональных данных
(2008 г.);
Методика
оценки
угроз
безопасности
(Утверждена ФСТЭК России 5 февраля 2021 г.)
информации
Состав и содержание организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных (утвержден приказом
ФСТЭК России от 18 февраля 2013 г. N 21)

18.

Нормативные документы ФСТЭК России
Нормативные документы ФСТЭК России по защите объектов КИИ
Об утверждении порядка ведения реестра значимых объектов
критической информационной инфраструктуры российской федерации
(Приказ от 06.12.2017 N 227);
Об утверждении требований к созданию систем безопасности
значимых объектов критической информационной инфраструктуры
российской федерации и обеспечению их функционирования (Приказ от
21.12.2017 N 235);
Об утверждении формы направления сведений о результатах
присвоения объекту критической информационной инфраструктуры одной
из категорий значимости либо об отсутствии необходимости присвоения
ему одной из таких категорий (Приказ от 22.12.2017 N 236);
Об утверждении Требований по обеспечению безопасности
значимых объектов критической информационной инфраструктуры
Российской Федерации (Приказ от 25.12.2017 N 239);
Рекомендации по оценке показателей критериев экономической
значимости объектов критической информационной инфраструктуры
Российской Федерации (Проект).

19.

Нормативные документы ФСБ России
Нормативные документы ФСБ России по защите ПДн
Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств автоматизации (2008).
Типовые требования по организации и обеспечению функционирования
шифровальных (криптографических) средств, предназначенных для защиты
информации, не содержащей сведений, составляющих государственную тайну в
случае их использования для обеспечения безопасности персональных данных
при их обработке в информационных системах персональных данных (2008 г.).
Состав и содержание организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищенности (Приказ ФСБ
России от 10 июля 2014 г. N 378)

20.

Нормативные документы ФСБ России
Нормативные документы ФСБ России по защите объектов КИИ
О
национальном
инцидентам
координационном
центре
по
компьютерным
(Приказ от 24 июля 2018 г. N 366).
Об утверждении перечня информации, представляемой в ГосСОПКА
и порядка ее представления (Приказ от 24 июля 2018 г. N 367).
Об утверждении порядка информирования ФСБ России о
компьютерных инцидентах, реагирования на них, принятия мер по
ликвидации последствий компьютерных атак, проведенных в отношении
значимых объектов критической информационной инфраструктуры
Российской Федерации (от 19 июня 2019 г. N282 ).
Об утверждении требований к средствам предназначенным для
обнаружения, предупреждения и ликвидации последствий компьютерных
атак и реагирования на компьютерные инциденты (Приказ от 6 мая 2019 г.
N 196).

21.

Нормативные документы ФСБ России
Нормативные документы ФСБ России по защите объектов КИИ
Об утверждении Порядка обмена информацией о компьютерных
инцидентах
между
субъектами
критической
информационной
инфраструктуры Российской Федерации, между субъектами критической
информационной
инфраструктуры
Российской
Федерации
и
уполномоченными органами иностранных государств, международными,
международными неправительственными организациями и иностранными
организациями, осуществляющими деятельность в области реагирования
на компьютерные инциденты, и Порядка получения субъектами КИИ
Российской Федерации (Приказ от 24 июля 2018 г. № 368 ).
Об утверждении порядка, технических условий установки и
эксплуатации
средств,
предназначенных
для
обнаружения,
предупреждения и ликвидации последствий компьютерных атак и
реагирования на компьютерные инциденты, за исключением средств,
предназначенных для поиска признаков компьютерных атак в сетях
электросвязи, используемых для организации взаимодействия объектов
КИИ Российской Федерации (Приказ от 19 июня 2019 г. № 281).

22.

Нормативные документы Минкомсвязи России
Модель угроз и нарушителя безопасности персональных данных,
обрабатываемых в типовых информационных системах персональных
данных отрасли (одобрено решением секции N 1 Научно-технического совета
Министерства связи и массовых коммуникаций РФ "Научно-техническое и
стратегическое развитие отрасли" от 21 апреля 2010 г. N 2);
Модель угроз и нарушителя безопасности персональных данных,
обрабатываемых в специальных информационных системах персональных
данных отрасли (одобрено решением секции N 1 Научно-технического совета
Министерства связи и массовых коммуникаций РФ "Научно-техническое и
стратегическое развитие отрасли" от 21 апреля 2010 г. N 2);
Об утверждении Порядка и Технических условий установки и
эксплуатации средств, предназначенных для поиска признаков
компьютерных атак в сетях электросвязи, используемых для организации
взаимодействия объектов критической информационной инфраструктуры
Российской Федерации (Приказ от 17 марта 2020 года N 114);

23.

Нормативные документы Минкомсвязи России
Требования
к
информационным
системам
электронного
документооборота федеральных органов исполнительной власти, учитывающие
в том числе необходимость обработки посредством данных систем служебной
информации ограниченного распространения (Приказ от 2 сентября 2011 г.
N 221 )
Требования по защите сетей связи от несанкционированного доступа к
ним и передаваемой посредством их информации (Приказ от 9 января 2008 г.
N 1)

24.

Нормативные документы по защите
информации конфиденциального характера
«Требования к обеспечению защиты информации в автоматизированных системах управления
производственными и технологическими процессами на критически важных объектах, потенциально
опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья
людей и для окружающей природной среды» утверждены приказом ФСТЭК от 14 марта 2014 г. N 31)
Специальные
требования
и
рекомендации
информации (СТР-К)
(Приказ Гостехкомиссии России от 30.08.2002 N 282).
по
технической
защите
конфиденциальной
«Меры защиты информации в государственных информационных системах»
(утверждены ФСТЭК России 11 февраля 2014 года);
Требования о защите информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах
(утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17);
Требования о защите информации, содержащейся в информационных системах общего пользования
(утверждены приказом ФСБ России и ФСТЭК России от 31.08.2010 N 416/489);
Порядок организации и проведения работ по аттестации объектов информатизации на соответствие
требованиям о защите информации, содержащей сведения, составляющие государственную тайну
(утвержден приказом ФСТЭК России от 28.09.2020 N 110).
Порядок организации и проведения работ по аттестации объектов информатизации на соответствие
требованиям о защите информации ограниченного доступа, не составляющей государственную тайну
(утвержден приказом ФСТЭК России от 29.04.2021 N 77).
Положение о системе сертификации средств защиты информации
(утверждено приказом ФСТЭК России от 3 апреля 2018 г. N 55).

25.

Стандарты в области
информационной безопасности
Роль стандартов зафиксирована в основных понятиях закона РФ «О
техническом регулировании» от 27 декабря 2002 года под номером 184ФЗ (принят Государственной Думой 15 декабря 2002 года):
• стандарт – документ, в котором в целях добровольного
многократного использования устанавливаются характеристики
продукции, правила осуществления и характеристики процессов
производства, эксплуатации, хранения, перевозки, реализации и
утилизации, выполнения работ или оказания услуг. Стандарт также
может содержать требования к терминологии, символике, упаковке,
маркировке или этикеткам и правилам их нанесения.
Система стандартов по защите информации - совокупность
взаимосвязанных
стандартов,
устанавливающих
характеристики
продукции, правила осуществления и характеристики процессов,
выполнения работ или оказания услуг в области защиты информации.
В области информационной безопасности различают:
Международные стандарты;
Государственные (национальные) стандарты РФ.

26.

Международные стандарты
Стандарт МО США «Критерии оценки доверенных
компьютерных сетей» (Department of Defense Trusted Computer System
Evaliation Criteria, TCSEC),
ISO IES 15408:1999 «Критерии оценки
информационных технологий» («Общие критерии»)
безопасности
Британский стандарт BS 7799 «Управление информационной
безопасностью. Практические правила» (Code of Practice for
Information Security Management )
ISO/IEC 17799 «Информационные технологии — Технологии
безопасности
—
Практические
правила
менеджмента
информационной безопасности» ( Information technology - Security
techniques - Code of practice for information security management).

27.

Международные стандарты
Стандарты ISO/IEC 2700х:2005
Разработанная организациями ISO (International Organization for
Standartization) и IEC (International Electrotechnical Commission) серия
международных стандартов по управлению безопасностью описывает
требования по созданию, внедрению, эксплуатации, мониторингу, анализу,
поддержке и совершенствованию документально оформленной СУИБ в контексте
общих бизнес-рисков организации.
ISO/IEC 27000 "СМИБ - Обзор и терминология" (Information security
management systems - Overview and vocabulary).
ISO/IEC 27001 "СМИБ - Требования" (Information security management
systems - Requirements).
ISO/IEC 27002 "Свод практик по информационной безопасности" (Code of
practice for information security management).
ISO/IEC 27003 "Руководство по реализации СМИБ" (Information security
management systems implementation guidance).
ISO/IEC 27004 "Измерения" (Information security management measurements).

28.

Международные стандарты
Стандарты ISO/IEC 2700х:2005
ISO/IEC 27005 "Менеджмент рисков информационной безопасности"
(Information security risk management).
ISO/IEC 27006 "Требования для организаций, осуществляющих аудит
и сертификацию СМИБ" (Requirements for bodies providing audit and
certification of information security management systems).
ISO/IEC 27007 "Руководство для аудита СМИБ" (Guidelines for
information security management systems auditing).
ISO/IEC 27008 "Руководство для аудиторов по аудиту средств контроля
СМИБ" (Guidance for Auditors on ISMS Controls).
ISO/IEC 27010 "Менеджмент информационной безопасности для
межотраслевого взаимодействия и взаимодействия между организациями"
(Information security management guidelines for inter-sector communications).
ISO/IEC 27011 "Руководство по менеджменту информационной
безопасности для телекоммуникаций" (Information security management
guidelines for telecommunications).

29.

Международные стандарты
Стандарты ISO/IEC 2700х:2005
ISO/IEC 27013 "Руководство по совместному использованию стандартов
ИСО/МЭК 20000-1 и ИСО/МЭК 27001" (Guidance on the integrated
implementation of 20000-1 and 27001).
ISO/IEC 27014 "Корпоративное управление информационной
безопасностью" (Information security governance framework).
ISO/IEC 27015 "Руководство по менеджменту информационной
безопасности для финансового сектора" (Information security management
guidelines for financial services).
ISO/IEC 27016 "Экономика СМИБ" (Information security management Organizational economics).
ISO/IEC 27799 "Информатика в здравоохранении - управление
безопасностью в здравоохранении с использованием стандарта ISO/IEC
27002" (Health informatics - Information security management in health using
ISO/IEC 27002).

30.

Международные стандарты
Стандарты ISO/IEC 2700х:2005
ISO/IEC
27031
"Руководство
по
обеспечению
готовности
информационных и коммуникационных технологий к процессу
обеспечения непрерывности бизнеса" (Guidelines for ICT readiness for
business continuity).
ISO/IEC 27033 "Безопасность сетей" (Network Security)
ISO/IEC 27034 "Безопасность приложений" (Application Security).
ISO/IEC 27035 "Менеджмент инцидентов
безопасности" (Information security incident management).
информационной
ISO/IEC 27036 "Информационная безопасность при взаимодействии с
поставщиками" (Guidelines for security of outsourcing).
ISO/IEC 27037 "Руководство по идентификации, сбору и (или)
получению и хранению юридически значимых свидетельств,
представленных в цифровой форме" (Guidelines for identification, collection
and/or acquisition and preservation of digital evidence).

31.

Национальные стандарты
Национальные стандарты (ГОСТы) в общем случае являются
рекомендательными. Однако в ряде случаев обязательность следования
стандартам и спецификациям закреплена законодательно. В соответствии со
ст.6 ФЗ №162 "О стандартизации в Российской Федерации" в том случае, если
речь идет о "стандартизации в отношении оборонной продукции (товаров,
работ, услуг) по государственному оборонному заказу, продукции,
используемой в целях защиты сведений, составляющих государственную
тайну или относимых к охраняемой в соответствии с законодательством
Российской Федерации иной информации ограниченного доступа,
продукции, сведения о которой составляют государственную тайну,
продукции, для которой устанавливаются требования, связанные с
обеспечением безопасности в области использования атомной энергии, а
также в отношении процессов и иных объектов стандартизации,
связанных с такой продукцией", стандарты являются обязательными к
применению.
ГОСТ 34.003—90 Информационная технология. Комплекс стандартов на
автоматизированные системы. Автоматизированные системы. Термины и
определения

32.

Национальные стандарты
Национальные стандарты (ГОСТы) в общем случае являются
рекомендательными. Однако в ряде случаев обязательность
следования стандартам и спецификациям закреплена законодательно. В
соответствии со ст.6 ФЗ №162 "О стандартизации в Российской
Федерации" в том случае, если речь идет о "стандартизации в
отношении оборонной продукции (товаров, работ, услуг) по
государственному оборонному заказу, продукции, используемой в
целях защиты сведений, составляющих государственную тайну или
относимых к охраняемой в соответствии с законодательством
Российской Федерации иной информации ограниченного доступа,
продукции, сведения о которой составляют государственную тайну,
продукции, для которой устанавливаются требования, связанные с
обеспечением безопасности в области использования атомной
энергии, а также в отношении процессов и иных объектов
стандартизации, связанных с такой продукцией", стандарты
являются обязательными к применению.

33.

Национальные стандарты

34.

Национальные стандарты
(https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/113-gosudarstvennye-standarty)
Обозначение
ГОСТ Р 50739-95
ГОСТ Р 50922-2006
ГОСТ Р 51188-98
ГОСТ Р 51275-2006
ГОСТ Р 51583-2014
ГОСТ Р 52069.0-2013
ГОСТ Р 52447-2005
ГОСТ Р 52448-2005
ГОСТ Р 52633.0-2006
ГОСТ Р 52633.1-2009
ГОСТ Р 52633.2-2010
ГОСТ Р 52633.3-2011
ГОСТ Р 52633.4-2011
ГОСТ Р 52633.5-2011
ГОСТ Р 52633.6-2012
Наименование на русском языке
Средства вычислительной техники. Защита от несанкционированного доступа к информации.
Общие технические требования
Защита информации. Основные термины и определения
Защита информации. Испытания программных средств на наличие компьютерных вирусов.
Типовое руководство
Защита информации. Объект информатизации. Факторы, воздействующие на информацию.
Общие положения
Защита информации. Порядок создания автоматизированных систем в защищенном
исполнении. Общие положения
Защита информации. Система стандартов. Основные положения
Защита информации. Техника защиты информации. Номенклатура показателей качества
Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения
Защита информации. Техника защиты информации. Требования к средствам высоконадежной
биометрической аутентификации
Защита информации. Техника защиты информации. Требования к формированию баз
естественных биометрических образов, предназначенных для тестирования средств
высоконадежной биометрической аутентификации
Защита информации. Техника защиты информации. Требования к формированию
синтетических биометрических образов, предназначенных для тестирования средств
высоконадежной биометрической аутентиф икации
Защита информации. Техника защиты информации. Тестирование стойкости средств
высоконадежной биометрической защиты к атакам подбора
Защита информации. Техника защиты информации. Интерфейсы взаимодействия с
нейросетевыми преобразователями биометрия - код доступа
Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых
преобразователей биометрия-код доступа
Защита информации. Техника защиты информации. Требования к индикации близости
предъявленных биометрических данных образу «Свой»

35.

Национальные стандарты
Обозначение
Наименование на русском языке
ГОСТ Р 52863-2007
Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на
устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования
ГОСТ Р 53109-2008
Система обеспечения информационной безопасности сети связи общего пользования. Паспорт
организации связи по информационной безопасности
Система обеспечения информационной безопасности сети связи общего пользования. Общие
положения
Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
ГОСТ Р 53110-2008
ГОСТ Р 53111-2008
ГОСТ Р 53112-2008
ГОСТ Р 53113.1-2008
ГОСТ Р 53113.2-2009
ГОСТ Р 53114-2008
ГОСТ Р 53115-2008
Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и
наводок. Технические требования и методы испытаний
Информационная технология. Защита информационных технологий и автоматизированных систем от
угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1.
Общие положения
Информационная технология. Защита информационных технологий и автоматизированных систем от
угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2.
Рекомендации по организации защиты информации, информационных технологий и
автоматизированных систем от атак с использованием скрытых каналов
Защита информации. Обеспечение информационной безопасности в организации. Основные термины и
определения
Защита информации. Испытание технических средств обработки информации на соответствие
требованиям защищенности от несанкционированного доступа. Методы и средства
ГОСТ Р 53131-2008
Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций
и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения
ГОСТ Р 54581-2011
ISO/IEC TR 15443-1:2005
ГОСТ Р 54582-2011
ISO/IEC TR 15443-2:2005
/ Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к
безопасности ИТ. Часть 1. Обзор и основы
/ Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к
безопасности информационных технологий. Часть 2. Методы доверия
ГОСТ Р 54583-2011
ISO/IEC TR 15443-3:2007
/ Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к
безопасности информационных технологий. Часть 3. Анализ методов доверия

36.

Национальные стандарты
Обозначени
Наименование на русском языке
е
Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов
ГОСТ Р 56045-2014
в отношении мер и средств контроля и управления информационной безопасностью
ГОСТ Р 56093-2014
Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения
преднамеренных силовых электромагнитных воздействий. Общие требования
ГОСТ Р 56103-2014
Защита информации. Автоматизированные системы в защищенном исполнении. Организация и
содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие
положения
Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от
преднамеренных силовых электромагнитных воздействий. Общие требования
ГОСТ Р 56115-2014
ГОСТ Р ИСО/МЭК
13335-1-2006
Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели
менеджмента безопасности информационных и телекоммуникационных технологий
ГОСТ Р ИСО 7498-1-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая
модель
ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2.
Архитектура защиты информации
ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по
менеджменту безопасности сети
13335-5-2006
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки
ГОСТ Р ИСО/МЭК
безопасности информационных технологий. Часть 1. Введение и общая модель
15408-1-2012
ГОСТ Р ИСО/МЭК
15408-2-2013
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности
ГОСТ Р ИСО/МЭК
15408-3-2013
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности
ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке
профилей защиты и заданий по безопасности
15446-2008
ГОСТ Р ИСО/МЭК ТО Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов
информационной безопасности
18044-2007

37.

Национальные стандарты
Обозначение
Наименование на русском языке
ГОСТ Р ИСО/МЭК
18045-2013
ГОСТ Р ИСО/МЭК ТО
19791-2008
ГОСТ Р ИСО/МЭК
21827-2010
ГОСТ Р ИСО/МЭК
27000-2012
Информационная технология. Методы и средства обеспечения безопасности. Методология оценки
безопасности информационных технологий
Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности
автоматизированных систем
Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем
безопасности. Модель зрелости процесса
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Общий обзор и терминология
ГОСТ Р ИСО/МЭК
27001-2006
ГОСТ Р ИСО/МЭК
27002-2012
ГОСТ Р ИСО/МЭК
27003-2012
ГОСТ Р ИСО/МЭК
27004-2011
ГОСТ Р ИСО/МЭК
27005-2010
ГОСТ Р ИСО/МЭК
27006-2008
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Требования
Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил
менеджмента безопасности
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Руководство по реализации системы менеджмента информационной
безопасности
Информационная технология. Методы и средства обеспечения безопасности. Менеджмент
информационной безопасности. Измерения
Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска
информационной безопасности
Информационная технология. Методы и средства обеспечения безопасности. Требования к органам,
осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК
27007-2014
ГОСТ Р ИСО/МЭК
27013-2014
Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем
менеджмента информационной безопасности
Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному
использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1
ГОСТ Р ИСО/МЭК
27033-1-2011
ГОСТ Р ИСО/МЭК
27033-3-2014
Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1.
Обзор и концепции
Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3.
Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления

38.

Национальные стандарты
Обозначение
Наименование на русском языке
ГОСТ Р ИСО/МЭК 27034-1-2014
Информационная технология. Методы и средства обеспечения безопасности.
Безопасность приложений. Часть 1. Обзор и общие понятия
ГОСТ Р ИСО/МЭК 27037-2014
Информационная технология. Методы и средства обеспечения безопасности.
Руководства по идентификации, сбору, получению и хранению свидетельств,
представленных в цифровой форме
ГОСТ Р ИСО/МЭК 29100-2013
Информационная технология. Методы и средства обеспечения безопасности.
Основы обеспечения приватности
Рекомендации по стандартизации Р 50.1.050-2004
Защита информации. Система обеспечения качества техники защиты
информации. Общие положения
Информационные технологии. Основные термины и определения в области
технической защиты информации
Техническая защита информации. Основные термины и определения
Рекомендации по стандартизации Р 50.1.053-2005
Рекомендации по стандартизации Р 50.1.056-2005

39.

Организационно - распорядительные документы
организации
ОРД должны быть разработаны на основе действующей
нормативно-правовой базы и учитывать специфику проведения
работ в Организации.
В ОРД Организации должен быть отражен состав и содержание
организационных и технических мер для защиты информации
конфиденциального характера.
ОРД Организации должны поддерживаться в
состоянии.
актуальном
Оформление ОРД: ГОСТ Р 7.0.97-2016. Национальный стандарт
Российской Федерации. Система стандартов по информации, библиотечному и
издательскому делу. Организационно-распорядительная документация.
Требования к оформлению документов
(утв. Приказом Росстандарта от 08.12.2016 N 2004-ст) (ред. от 14.05.2018)

40.

Спасибо за внимание!
Вопросы ?
Владимир Палагушин