2.5. Защита информации. Контроль и надзор в сфере защиты информации | ||||||
160. | Руководящие документы (руководства по разработке профилей защиты и заданий по безопасности, по регистрации профилей защиты, методики, критерии оценки угроз безопасности информационных технологий и другие) по защите информации | До замены новыми | До замены новыми | Постоянно | До замены новыми |
|
161. | Модели угроз информационной безопасности и нарушителя безопасности информации, не вошедшие в состав технического задания | Постоянно (1) | Постоянно (1) | Постоянно | До ликвидации организации (1) | (1) Присланные для сведения, типовые - До замены новыми |
162. | Концепции информационной безопасности организации и документы к ней (регламенты, правила и процедуры обеспечения информационной безопасности при создании, развитии, модернизации и эксплуатации систем и информационно-телекоммуникационной инфраструктуры организации) | Постоянно | Постоянно | Постоянно | Постоянно |
|
163. | Документы (решения, акты, порядки, инструкции) об обеспечении защиты информации в процессе вывода информационной системы из эксплуатации, утилизации программы для ЭВМ, архивирования, уничтожения (стирания) данных | Постоянно | До ликвидации организации | Постоянно | До ликвидации организации |
|
164. | Регламенты реагирования на инциденты информационной безопасности | 5 лет (1) | 5 лет (1) | Постоянно | 5 лет (1) | (1) После замены новыми |
165. | Отчеты о событиях и инцидентах информационной безопасности | - | 5 лет ЭПК | - | 5 лет ЭПК |
|
166. | Политика в области обработки и защиты персональных данных в организации | Постоянно | Постоянно | - | Постоянно |
|
167. | Документы (планы действий и работ по защите информации, планы непрерывности работы и восстановления информационных систем, порядки доступа к информационным ресурсам и системам, списки должностных лиц, имеющих доступ к информации ограниченного доступа, защищаемых помещений, информационных ресурсов и информационных систем, перечни защищаемой информации (данных) по обеспечению информационной безопасности и порядку разграничения прав доступа к информационным ресурсам в организации | До замены новыми | 5 лет | - | 5 лет |
|
168. | Перечни персональных данных, списки автоматизированных и неавтоматизированных систем обработки персональных данных | - | 5 лет | - | 5 лет |
|
169. | Заявки на проведение аттестации объекта информатизации, предоставление доступа к информационным ресурсам, предоставление работнику мобильного устройства или носителя информации | 1 год | 1 год | 1 год | - |
|
170. | Журналы (книги, картотеки, базы данных): |
|
|
|
|
|
| а) учета допуска работников к обработке персональных данных | - | 5 лет ЭПК | - | 5 лет ЭПК |
|
| б) регистрации и учета заявок на предоставление доступа к информационным ресурсам | - | - | - | 1 год |
|
| в) инструктажа пользователей с правилами доступа к информационным ресурсам | - | - | - | 1 год |
|
| г) инцидентов информационной безопасности | - | 5 лет ЭПК | - | 5 лет ЭПК |
|
171. | Документы (аттестаты соответствия требованиям безопасности информации, паспорта (технические паспорта) об аттестации и обеспечении защиты информационных систем, средств защиты информации, объектов информатизации и помещений | - | 5 лет ЭПК | - | 5 лет ЭПК |
|
172. | Государственные реестры: |
|
|
|
| (1) После аннулирования сертификата |
| а) значимых объектов критической информационной инфраструктуры Российской Федерации | - | - | Постоянно | - |
|
| б) органов по сертификации и испытательных лабораторий | - | - | 5 лет | - |
|
| в) сертифицированных средств защиты информации | - | - | 5 лет (1) | - |
|
173. | Реестр операторов, осуществляющих обработку персональных данных | - | - | Постоянно | - |
|
174. | Сведения о внесении изменений в реестр операторов, осуществляющих обработку персональных данных | 3 года | 3 года | Постоянно | 3 года |
|
175. | Профили защиты (спецификации профилей защиты) | До замены новыми | До замены новыми | Постоянно | До замены новыми |
|
176. | Задания по безопасности (спецификации заданий по безопасности) | Постоянно | Постоянно | - | Постоянно |
|
177. | Функциональные спецификации | 5 лет (1) | 5 лет (1) | - | 5 лет (1) | (1) После окончания использования средств обеспечения защиты |
178. | Описания архитектуры безопасности | До замены новыми | До замены новыми | - | До замены новыми |
|
179. | Базы данных об информационных объектах, удовлетворяющих требованиям безопасности | 5 лет (1) | 5 лет (1) | - | 5 лет (1) | (1) После завершения срока эксплуатации объекта |
180. | Документы (списки и планы управления конфигурацией, протоколы системы, описание технологии обновления средства защиты) по управлению конфигурацией информационных объектов | До замены новыми | До замены новыми | - | До замены новыми |
|
181. | Регламенты обновления программных средств обеспечения безопасности информационных технологий | До замены новыми | До замены новыми | - | До замены новыми |
|
182. | Документы (модель жизненного цикла, используемая при разработке и сопровождении объекта оценки) определения жизненного цикла | До замены новыми | Постоянно | - | До замены новыми |
|
183. | Планы размещения основных и вспомогательных технических средств | 10 лет ЭПК | 10 лет ЭПК | - | 5 лет |
|
184. | Тестовая документация (план тестирования, процедуры (сценарии) тестирования, процедуры (сценарии), руководства) средств технической защиты и средств обеспечения безопасности информационных технологий | До минования надобности | Постоянно | - | До замены новыми |
|
185. | Протоколы тестирования (испытаний) средств технической защиты и средств обеспечения безопасности информационных технологий | 3 года | 3 года | - | 3 года |
|
186. | Свидетельства о покрытии тестами средств технической защиты и средств обеспечения безопасности информационных технологий | 3 года | 3 года | - | 3 года |
|
187. | Отчеты об анализе (оценке) уязвимостей | 5 лет ЭПК (1) | 5 лет ЭПК (1) | - | До минования надобности | (1) После устранения уязвимостей |
188. | Ключи электронных подписей, ключи проверки электронных подписей | - | 5 лет (1) | - | 1 год (1) | (1) После замены новыми |