4 октября 2017 в 09:00
Вопрос по ГОСТ Р 53110-2008 "Система обеспечения информационной безопасности сети связи общего пользования. Общие положения" и связанными с ним документами. Проектная организация занимается проектированием нефтяных месторождений. Сейчас повсеместно в заданиях на проектирование присутствует требование разработки раздела «Информационная безопасность».
Любая ли организация может разрабатывать данный раздел? Или для этого необходимо наличие определённого сертификата или лицензии? Если эти требования действительно есть, в каком документе они детально приписаны?
В связи с чем сейчас повсеместно требуется разработка раздела «Информационная безопасность»? На какие нормативные документы необходимо опираться при разработке данного раздела?
Ответ
1. Необходимость всё более частого включения заказчиком в задание на проектирование объекта требования о разработке раздела «Информационная безопасность» вызвана ускоренным и более глубоким проникновением информационных технологий во все сферы деятельности человека, как следствие, повышением уязвимости информационных процессов и, соответственно, увеличением количества фактов несанкционированного доступа к конфиденциальной информации. Фальсификация, уничтожение или разглашение конфиденциальной информации, а также дезорганизация процессов ее обработки и передачи наносят серьезный материальный и моральный урон государству, юридическим и физическим лицам, участвующим в процессах автоматизированного информационного взаимодействия.
2. Специальных требований к разработке вышеуказанного раздела в Положении о составе разделов проектной документации и требованиях к их содержанию и в ГОСТ 21.001-2013 Система проектной документации для строительства. Общие положения не содержится.
В зависимости от объёма мероприятий по защите информации, предусмотренных в задании на проектирование с учётом особенностей конкретного объекта, организации, как правило, специализирующиеся на деятельности в области защиты информации, при разработке раздела «Информационная безопасность» руководствуются Федеральными Законами, Указами Президента РФ, Постановлениями Правительства РФ, приказами ФСБ России и приказами Федеральной службы по техническому и экспортному контролю (ФСТЭК России), национальными стандартами (перечень прилагается, в том числе и ГОСТ Р 53110-2008), стандартами организаций и другими руководящими и методическими документами, относящимися к защите информации.
Полный перечень действующих руководящих и нормативных документов по защите информации представлен на сайте ФСТЭК России по адресу: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty.
3. Деятельность по защите конфиденциальной информации, в том числе и разработка мероприятий раздела «Информационная безопасность», подлежит лицензированию в соответствии с пунктом 4 Постановления Правительства РФ от 03.02.2012 г. №79 "О лицензировании деятельности по защите конфиденциальной информации".
Также обратите внимание на следующие документы:
1. Действующие стандарты по защите информации, pdf
2. Исх. № 240/22/2222 от 30.05.2012 ФСТЭК России, pdf
3. Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, pdf
4. Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, pdf