Защита информации

ПОЛИТИКА
информационной безопасности
Министерства труда, социального развития и занятости населения Республики Алтай

1. Перечень используемых определений, обозначений и сокращений

АИБ – Администратор информационной безопасности.

АРМ – Автоматизированное рабочее место.

АС – Автоматизированная система.

ИБ – Информационная безопасность.

ИР – Информационные ресурсы.

ИС – Информационная система.

МЭ – Межсетевой экран.

НСД – Несанкционированный доступ.

ОС – Операционная система.

ПБ – Политики безопасности.

ПДн – Персональные данные.

ПО – Программное обеспечение.

СЗИ – Средство защиты информации.

ЭВМ – Электронная – вычислительная машина, персональный компьютер.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Доступ к информации – возможность получения информации и ее использования.

Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация – это актив, который, подобно другим активам общества, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.

Информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач подразделений Минтруда РА.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.

Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность – доступ к информации только авторизованных пользователей.

Критичная информация – информация, нарушение доступности, целостности, либо конфиденциальности которой, может оказать негативное влияние на функционирование подразделений Минтруда РА или иного вида ущерба.

Локальная вычислительная сеть – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.

Межсетевой экран – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав сети, а также между сетью Минтруда РА и внешними сетями (сетью Интернет).

Несанкционированный доступ к информации – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Политика информационной безопасности – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в Министерстве труда, социального развития и занятости населения Республики Алтай для обеспечения его информационной безопасности.

Пользователь локальной вычислительной сети – сотрудник организации (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями.

Программное обеспечение – совокупность прикладных программ, установленных на сервере или ЭВМ.

Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.

Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т.п.

Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.

Ответственный за техническое обеспечение – сотрудник организации, занимающийся сопровождением автоматизированных систем, отвечающий за функционирование локальной сети Министерства труда, социального развития и занятости населения Республики Алтай и ПК.

Угрозы информации – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности Общества при реализации угроз в информационной сфере.

Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

2. Вводные положения

2.1. Введение

Политика ИБ Министерства труда, социального развития и занятости населения Республики Алтай (далее – Минтруд РА) определяет цели и задачи системы обеспечения ИБ и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется Минтруд РА в своей деятельности.

2.2. Цели

Основными целями политики ИБ являются защита информации Минтруда РА от возможного нанесения материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в Положении о деятельности Минтруда РА.

Общее руководство обеспечением ИБ осуществляется Минтрудом РА. Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет АИБ. Ответственность за функционирование информационных систем Минтруда РА несет администратор информационной системы.

Должностные обязанности АИБа и системного администратора закрепляются в соответствующих инструкциях.

Руководители структурных подразделений Минтруда РА ответственны за обеспечение выполнения требований ИБ в своих подразделениях.

Сотрудники Минтруда РА обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящей Политики и других документов внутренних документов Минтруда РА по вопросам обеспечения ИБ.

2.3. Задачи

Политика ИБ направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Наибольшими возможностями для нанесения ущерба Минтруда РА обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне Минтруда РА), либо иметь непреднамеренный ошибочный характер.

На основе вероятностной оценки определяется перечень актуальных угроз безопасности, который отражается в «Модели угроз».

Для противодействия угрозам ИБ в Минтруде РА на основе имеющегося опыта составляется прогностическая модель предполагаемых угроз и модель нарушителя. Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ при минимальных ресурсных затратах.

Разработанная на основе прогноза политика ИБ и в соответствии с ней построенная СУИБ является наиболее правильным и эффективным способом добиться минимизации рисков нарушения ИБ для Минтруда РА. Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.

Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.

Задачами настоящей политики являются:

- описание организации СУИБ;

- определение Политик ИБ, а именно: политика реализации антивирусной защиты; политика учетных записей; политика предоставления доступа к ИР; политика использования паролей; политика защиты АРМ; политика конфиденциального делопроизводства;

- определение порядка сопровождения ИС Минтруда РА.

2.4. Область действия

Настоящая Политика распространяется на все структурные подразделения Минтруда РА и обязательна для исполнения всеми его сотрудниками и должностными лицами. Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах, а также в договорах.

2.5. Период действия и порядок внесения изменений

Настоящая Политика вводится в действие приказом министра Минтруда РА

Политика признается утратившей силу на основании приказа министра Минтруда РА.

Изменения в политику вносятся приказом министра Минтруда РА.

Инициаторами внесения изменений в политику информационной безопасности являются:

- министр Минтруда РА;

- руководители отделов Минтруда РА;

- администратор информационной безопасности.

Плановая актуализация настоящей политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации.

Внеплановая актуализация политики ИБ и производится в обязательном порядке в следующих случаях:

- при изменении политики Российской Федерации в области ИБ, указов и законов Российской Федерации в области защиты информации;

- при изменении внутренних нормативных документов (инструкций, положений, руководств), касающихся ИБ Минтруда РА ;

- при происшествии и выявлении инцидента (инцидентов) по нарушению ИБ, влекущего ущерб Минтруда РА.

Ответственными за актуализацию политики ИБ (плановую и внеплановую) несет АИБ.

Контроль за исполнением требований настоящей политики и поддержанием ее в актуальном состоянии возлагается на АИБа.

3. Политики информационной безопасности Минтруда РА

3.1. Назначение политик информационной безопасности

Политики ИБ Минтруда РА – это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в Минтруде РА.

Политики ИБ относятся к административным мерам обеспечения ИБ и определяют стратегию Минтруда РА в области ИБ.

Политики ИБ регламентируют эффективную работу СЗИ. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политики ИБ реализуются посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.

Все документально оформленные решения, формирующие Политики, должны быть утверждены руководителем Минтруда РА.

3.2. Основные принципы обеспечения информационной безопасности

Основными принципами обеспечения ИБ являются следующие:

- постоянный и всесторонний анализ информационного пространства Минтруда РА с целью выявления уязвимостей информационных активов;

- своевременное обнаружение проблем, потенциально способных повлиять на ИБ Минтруда РА , корректировка моделей угроз и нарушителя;

- разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию. При этом меры, принимаемые для обеспечения ИБ, не должны усложнять достижение уставных целей Минтруда РА, а также повышать трудоемкость технологических процессов обработки информации;

- контроль эффективности принимаемых защитных мер;

- персонификация и адекватное разделение ролей и ответственности между сотрудниками Минтруда РА, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

3.3. Соответствие Политики безопасности действующему законодательству

Правовую основу политик составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

3.4. Ответственность за реализацию политик информационной безопасности

Ответственность за разработку мер и контроль обеспечения защиты информации несёт АИБ.

Ответственность за реализацию политик возлагается:

- в части, касающейся разработки и актуализации правил внешнего доступа и управления доступом, антивирусной защиты – на АИБа;

- в части, касающейся доведения правил политик до сотрудников Минтруда РА, а также иных лиц (см. область действия настоящей политики) – на АИБа;

- в части, касающейся исполнения правил политики, – на каждого сотрудника Минтруда РА, согласно их должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящей политики.

3.5. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

Организация обучения сотрудников Минтруда РА в области ИБ возлагается на АИБа. Обучение проводится согласно Плану, утвержденному руководителем Минтруда РА.

Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности».

Допуск персонала к работе с защищаемыми ИР Минтруда РА осуществляется только после его ознакомления с настоящими политиками, а также после ознакомления пользователей с «Инструкцией по работе пользователей» Минтруда РА, а так же иными инструкциями пользователей отдельных ИС. Согласие на соблюдение правил и требований настоящих политик подтверждается подписями сотрудников в «Журнале проведения инструктажа по информационной безопасности».

Допуск персонала к работе с КИ Минтруда РА осуществляется после ознакомления с «Инструкцией по организации работы с материальными носителями», «Инструкция по организации работы с электронными носителями». Правила допуска к работе с ИР лиц, не являющихся сотрудниками Минтруда РА, определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.

3.6. Защищаемые информационные ресурсы Минтруда РА

Защищаемые информационные ресурсы определяются в соответствии с «Перечнем защищаемых ресурсов», утверждаемым соответствующим приказом руководителя Минтруда РА.

4. Политики информационной безопасности

4.1. Политика предоставления доступа к информационному ресурсу

4.1.1. Назначение

Настоящая Политика определяет основные правила предоставления сотрудникам доступа к защищаемым ИР Минтруда РА.

4.1.2. Положение политики

Положения данной политики определены в «Положении о разрешительной системе допуска», утверждаемом соответствующим приказом руководителя Минтруда РА.

4.2. Политика учетных записей

4.2.1. Назначение

Настоящая политика определяет основные правила присвоения учетных записей пользователям информационных активов Минтруда РА.

4.2.2. Положение политики

Регистрационные учетные записи подразделяются на:

- пользовательские – предназначенные для идентификации/аутентификации пользователей информационных активов Минтруда РА;

- системные – используемые для нужд операционной системы;

- служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений.

Каждому пользователю информационных активов Минтруда РА назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий).

В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.

Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.

Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.

Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.

4.3. Политика использования паролей

4.3.1. Назначение

Настоящая Политика определяет основные правила парольной защиты в Минтруде РА.

4.3.2. Положения политики

Положения политики закрепляются в «Инструкции по организации парольной защиты».

4.4. Политика реализации антивирусной защиты

4.4.1. Назначение

Настоящая Политика определяет основные правила для реализации антивирусной защиты в Минтруде РА.

4.4.2. Положения политики

Положения политики закрепляются в «Инструкции по проведению антивирусного контроля».

4.5. Политика защиты автоматизированного рабочего места

4.5.1. Назначение

Настоящая Политика определяет основные правила и требования по защите информации Минтруда РА от неавторизованного доступа, утраты или модификации.

4.5.2. Положения политики

Положения данной политики определяются в соответствии с используемым техническим решением.

5. Профилактика нарушений политик информационной безопасности

Под профилактикой нарушений политик ИБ понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений ИБ в Минтруде РА и проведение разъяснительной работы по ИБ среди пользователей.

Положения определены документами, утвержденными Приказом «Об обучении сотрудников правилам защиты информации», и «Инструкцией о порядке технического обслуживания средств вычислительной техники».

5.1. Ликвидация последствий нарушения политик информационной безопасности

АИБ, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения ИБ, факты осуществления НСД к защищаемым ИР и предпринимать меры по их локализации и устранению.

В случае обнаружения подсистемой защиты информации факта нарушения ИБ или осуществления НСД к защищаемым ИР ИС рекомендуется уведомить АИБа, и далее следовать их указаниям.

Действия АИБа и администратора информационной системы при признаках нарушения политик информационной безопасности регламентируются следующими внутренними документами:

- инструкцией пользователя;

- политикой информационной безопасности;

- инструкцией администратора информационной безопасности;

- инструкцией системного администратора.

После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

5.2. Ответственность за нарушение Политик безопасности

Ответственность за выполнение правил ПБ несет каждый сотрудник Минтруда РА в рамках своих служебных обязанностей и полномочий.

На основании ст. 192 Трудового кодекса Российской Федерации сотрудники, нарушающие требования ПБ Минтруда РА, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.

Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный Минтруда РА в результате нарушения ими правил политики ИБ (Ст. 238 Трудового кодекса Российской Федерации).

За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники Минтруда РА несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.

6. Регулирующие законодательные нормативные документы

При организации и обеспечении работ по ИБ сотрудники Минтруда РА должны руководствоваться следующими законодательными нормативными документами:

6.1. Основополагающие нормативные документы

К основополагающим нормативным документам относятся:

- конституция Российской Федерации (принята на всенародном голосовании 12.12.1993);

- концепция формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов (разработана во исполнение Указа Президента Российской Федерации № 1390 от 01.07.1994 «О совершенствовании информационно-телекоммуникационного обеспечения органов государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации»);

- концепция национальной безопасности Российской Федерации (утверждена Указом Президента Российской Федерации № 1300 от 17.12.1997, в редакции Указа Президента Российской Федерации № 24 от 10.01.2000);

- доктрина информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации № Пр-1895 от 09.09.2000).

6.2. Законы Российской Федерации

- Гражданский кодекс Российской Федерации.

- Федеральный закон № 63-ФЗ от 06.04.2011 «Об электронной подписи»;

- Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;

- Закон Российской Федерации № 5485-1 от 21.07.1993 «О государственной тайне»;

- Федеральный закон № 126-ФЗ от 07.07.2003 «О связи»;

- Федеральный закон № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»;

- Уголовный кодекс Российской Федерации № 63-ФЗ от 13.06.1996;

- Федеральный закон № 184-ФЗ от 27.12.2002 «О техническом регулировании»;

- Федеральный закон № 99-ФЗ от 04.05.2011 «О лицензировании отдельных видов деятельности».

6.3. Указы и распоряжения президента Российской Федерации

- Указ Президента Российской Федерации № 20 от 14.01.1992 «О защите государственных секретов Российской Федерации»;

- указ Президента Российской Федерации № 1607 от 07.10.1993 «О государственной политике в области охраны авторского права и смежных прав»;

- указ Президента Российской Федерации № 2334 от 31.12.1993 «О дополнительных гарантиях прав граждан на информацию»;

- указ Президента Российской Федерации № 170 от 20.01.1994 «Об основах государственной политики в сфере информатизации»;

- указ Президента Российской Федерации № 334 от 03.04.1995 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;

- указ Президента Российской Федерации № 662 от 03.07.1995 «О мерах по формированию общероссийской телекоммуникационной системы и обеспечению прав собственников при хранении ценных бумаг и расчетах на фондовом рынке Российской Федерации»;

- указ Президента Российской Федерации № 1203 от 30.11.1995 «Об утверждении перечня сведений, отнесенных к государственной тайне»;

- указ Президента Российской Федерации № 21 от 09.01.1996 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации»;

- указ Президента Российской Федерации № 1085 от 16.08.2004 «Вопросы Федеральной службы по техническому и экспортному контролю»;

- указ Президента Российской Федерации № 1286 от 06.10.2004 «Вопросы Межведомственной комиссии по защите государственной тайны»;

- указ Президента Российской Федерации № 188 от 06.03.1997 «Об утверждении перечня сведений конфиденциального характера»;

- распоряжение Президента Российской Федерации № 151-рп от 16.04.2005 «О перечне должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне».

6.4. Постановления и распоряжения правительства Российской Федерации

- Постановление Правительства Российской Федерации № 1233 от 03.11.1994 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;

- постановление Правительства Российской Федерации № 45 от 26.01.2006 «Об организации лицензирования отдельных видов деятельности»;

- постановление Правительства Российской Федерации № 333 от 15.04.1995 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»;

- постановление Правительства Российской Федерации № 957 от 29.12.2007 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;

- постановление Правительства Российской Федерации № 532 от 31.08.2006 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

- постановление Правительства Российской Федерации № 608 от 26.06.1995 «О сертификации средств защиты информации»;

- постановление Правительства Российской Федерации № 870 от 04.09.1995 «Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности»;

- постановление Правительства Российской Федерации № 504 от 15.08.2006 «О лицензировании деятельности по технической защите конфиденциальной информации»;

- постановление Правительства Российской Федерации № 770 от 01.07.1996 «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности».

6.5. Нормативные и руководящие документы Федеральных служб Российской Федерации

- Приказ ФСБ Российской Федерации № 66 от 09.02.2005 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;

- Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации (утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992);

- Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992);

- Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992);

- Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

- Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения (утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г.);

- Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25.07.1997);

- Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.);

- Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации № 114 от 04.06.1999);

- Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (введен в действие приказом Гостехкомиссии России № 187 от 19.06.02 г.);

6.6. Государственные стандарты

- ГОСТ 21552-84 «Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортирование и хранение» (утвержден постановлением Госстандарта СССР № 2206 от 28.06.1984);

- ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (утвержден постановлением Госстандарта СССР № 661 от 24.03.1989);

- ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» (принят постановлением Госстандарта России № 49 от 09.02.1995);

- ГОСТ Р 50752-95 «Информационная технология. Защита информации от утечки за счёт побочных электромагнитных излучений при её обработке средствами вычислительной техники. Методы испытаний»;

- ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство» (введен в действие постановлением Госстандарта России № 295 от 14.07.1998);

- ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения»;

- ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования»;

- ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» (принят постановлением Госстандарта России № 447-ст от 29.12.2005).