Для обеспечения безопасности информации в современном мире необходимо реализовать множество мер защиты и, к сожалению, не только технических. Организационная часть занимает все больше времени и сил, и мы плачем над этим, но продолжаем жрать кактус.
1. Федеральные законы:
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
- Федеральный закон от 26.07.2017 N 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”
- Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»
- Федеральный закон от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности»
- Федеральный закон от 07 июля 2003 г. № 126-ФЗ «О связи»
2. Указы Президента:
- Указ от 1 мая 2022 № 250 “О дополнительных мерах по обеспечению информационной безопасности Российской Федерации”, обязующий организации сформировать отдельные структурные подразделения, отвечающие за соблюдение ИБ. Также этим указом был введен запрет на использование средств защиты информации, странами происхождения которых являются недружественные иностранные государства – с 1 января 2025 года.
- Указ от 30 марта 2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации”, запрещающий закупку иностранного ПО для использования на значимых объектах КИИ РФ без согласования с уполномоченным органом.
- Указ Президента РФ от 17.03.2008 N 351 (ред. от 22.05.2015) “О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”
- Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) “Об утверждении Перечня сведений конфиденциального характера”
- Доктрина ИБ РФ
3. Постановления Правительства:
- Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”
4. Приказы регуляторов:
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)
- Приказ ФСТЭК № 21
5. Национальные стандарты в области информационной безопасности
6. Нормативно-методические и руководящие документы:
Методический документ ФСТЭК России «Методика оценки угроз безопасности информации» от 05.02.2021г.
Для объектов критической информационной инфраструктуры:
- Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» N 187-ФЗ от 12.07.2017г.
- Указ Президента РФ от 15.01.2013 N 31с (ред. от 22.12.2017) “О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации” (Выписка).
- Постановление от 8 февраля 2018 г. N 127 об утверждении Правил категорирования объектов критической информационной инфраструктуры российской федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры российской федерации и их значений.
- Постановление от 17 февраля 2018 г. N 162 об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры российской федерации.
- Постановление Правительства РФ от 8 июня 2019 г. № 743 Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры.
- Приказ ФСБ России от 19 июня 2019 г. N 281 Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации.
- Приказ ФСБ России от 19 июня 2019 г. № 282 Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации.
- Приказ ФСБ России от 24 июля 2018 г. № 367 Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
- Приказ ФСБ России от 24 июля 2018 г. N 368 Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения
- Приказ ФСБ России от 6 мая 2019 г. N 196 Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
- Приказ ФСБ России от 24 июля 2018 г. N 366 О Национальном координационном центре по компьютерным инцидентам.
- Приказ ФСТЭК от 6 декабря 2017 г. N 227 об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры российской федерации.
- Приказ ФСТЭК России от 25 декабря 2017 г. N 239 Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.
- Приказ ФСТЭК России от 22 декабря 2017 г. N 236 Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.
- Приказ ФСТЭК России от 21 декабря 2017 г. N 235 Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования.
- Приказ ФСТЭК России от 14 марта 2014 г. N 31 Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
- Приказ Минцифры № 779 Об утверждении организационно-технических мер по обеспечению информационной безопасности ресурсов сети связи общего пользования, используемых значимыми объектами критической информационной инфраструктуры.
- Методический документ ФСТЭК России «Методика оценки угроз безопасности информации» от 05.02.2021г.
- Приказ ФСТЭК России от 29.04.2021 № 77 Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.
Типовой комплект документации для объекта информатизации:
- Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”
- Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”
- Федеральный закон от 29.07.2004 № 98-ФЗ “О коммерческой тайне”
- Федеральный закон от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры”
- Указ Президента Российской Федерации № 188 от 06.03.1997 “Об утверждении перечня сведений конфиденциального характера”
- Указ Президента Российской Федерации № 250 от 01.05.2022 “О дополнительных мерах по обеспечению информационной безопасности Российской Федерации”
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”
- РД “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации” (утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г.)
- Приказ ФСТЭК России от 18.02.2013 № 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”
Источники:
https://www.msu.ru/info/is/isdocs.php#1
https://www.comnews.ru/content/225204/2023-04-04/2023-w14/za-2022-god-prinyato-257-normativnykh-aktov-sfere-it