2.5. Защита информации. Контроль и надзор в сфере защиты информации
|
160.
|
Руководящие документы (руководства по разработке профилей защиты и заданий по безопасности, по регистрации профилей защиты, методики, критерии оценки угроз безопасности информационных технологий и другие) по защите информации
|
До замены новыми
|
До замены новыми
|
Постоянно
|
До замены новыми
|
|
161.
|
Модели угроз информационной безопасности и нарушителя безопасности информации, не вошедшие в состав технического задания
|
Постоянно
(1)
|
Постоянно (1)
|
Постоянно
|
До ликвидации организации
(1)
|
(1) Присланные для сведения, типовые - До замены новыми
|
162.
|
Концепции информационной безопасности организации и документы к ней (регламенты, правила и процедуры обеспечения информационной безопасности при создании, развитии, модернизации и эксплуатации систем и информационно-телекоммуникационной инфраструктуры организации)
|
Постоянно
|
Постоянно
|
Постоянно
|
Постоянно
|
|
163.
|
Документы (решения, акты, порядки, инструкции) об обеспечении защиты информации в процессе вывода информационной системы из эксплуатации, утилизации программы для ЭВМ, архивирования, уничтожения (стирания) данных
|
Постоянно
|
До ликвидации организации
|
Постоянно
|
До ликвидации организации
|
|
164.
|
Регламенты реагирования на инциденты информационной безопасности
|
5 лет (1)
|
5 лет (1)
|
Постоянно
|
5 лет (1)
|
(1) После замены новыми
|
165.
|
Отчеты о событиях и инцидентах информационной безопасности
|
-
|
5 лет ЭПК
|
-
|
5 лет ЭПК
|
|
166.
|
Политика в области обработки и защиты персональных данных в организации
|
Постоянно
|
Постоянно
|
-
|
Постоянно
|
|
167.
|
Документы (планы действий и работ по защите информации, планы непрерывности работы и восстановления информационных систем, порядки доступа к информационным ресурсам и системам, списки должностных лиц, имеющих доступ к информации ограниченного доступа, защищаемых помещений, информационных ресурсов и информационных систем, перечни защищаемой информации (данных) по обеспечению информационной безопасности и порядку разграничения прав доступа к информационным ресурсам в организации
|
До замены новыми
|
5 лет
|
-
|
5 лет
|
|
168.
|
Перечни персональных данных, списки автоматизированных и неавтоматизированных систем обработки персональных данных
|
-
|
5 лет
|
-
|
5 лет
|
|
169.
|
Заявки на проведение аттестации объекта информатизации, предоставление доступа к информационным ресурсам, предоставление работнику мобильного устройства или носителя информации
|
1 год
|
1 год
|
1 год
|
-
|
|
170.
|
Журналы (книги, картотеки, базы данных):
|
|
|
|
|
|
а) учета допуска работников к обработке персональных данных
|
-
|
5 лет ЭПК
|
-
|
5 лет ЭПК
|
б) регистрации и учета заявок на предоставление доступа к информационным ресурсам
|
-
|
-
|
-
|
1 год
|
в) инструктажа пользователей с правилами доступа к информационным ресурсам
|
-
|
-
|
-
|
1 год
|
г) инцидентов информационной безопасности
|
-
|
5 лет ЭПК
|
-
|
5 лет ЭПК
|
171.
|
Документы (аттестаты соответствия требованиям безопасности информации, паспорта (технические паспорта) об аттестации и обеспечении защиты информационных систем, средств защиты информации, объектов информатизации и помещений
|
-
|
5 лет ЭПК
|
-
|
5 лет ЭПК
|
|
172.
|
Государственные реестры:
|
|
|
|
|
(1) После аннулирования сертификата
|
а) значимых объектов критической информационной инфраструктуры Российской Федерации
|
-
|
-
|
Постоянно
|
-
|
б) органов по сертификации и испытательных лабораторий
|
-
|
-
|
5 лет
|
-
|
в) сертифицированных средств защиты информации
|
-
|
-
|
5 лет (1)
|
-
|
173.
|
Реестр операторов, осуществляющих обработку персональных данных
|
-
|
-
|
Постоянно
|
-
|
|
174.
|
Сведения о внесении изменений в реестр операторов, осуществляющих обработку персональных данных
|
3 года
|
3 года
|
Постоянно
|
3 года
|
|
175.
|
Профили защиты (спецификации профилей защиты)
|
До замены новыми
|
До замены новыми
|
Постоянно
|
До замены новыми
|
|
176.
|
Задания по безопасности (спецификации заданий по безопасности)
|
Постоянно
|
Постоянно
|
-
|
Постоянно
|
|
177.
|
Функциональные спецификации
|
5 лет (1)
|
5 лет (1)
|
-
|
5 лет (1)
|
(1) После окончания использования средств обеспечения защиты
|
178.
|
Описания архитектуры безопасности
|
До замены новыми
|
До замены новыми
|
-
|
До замены новыми
|
|
179.
|
Базы данных об информационных объектах, удовлетворяющих требованиям безопасности
|
5 лет (1)
|
5 лет (1)
|
-
|
5 лет (1)
|
(1) После завершения срока эксплуатации объекта
|
180.
|
Документы (списки и планы управления конфигурацией, протоколы системы, описание технологии обновления средства защиты) по управлению конфигурацией информационных объектов
|
До замены новыми
|
До замены новыми
|
-
|
До замены новыми
|
|
181.
|
Регламенты обновления программных средств обеспечения безопасности информационных технологий
|
До замены новыми
|
До замены новыми
|
-
|
До замены новыми
|
|
182.
|
Документы (модель жизненного цикла, используемая при разработке и сопровождении объекта оценки) определения жизненного цикла
|
До замены новыми
|
Постоянно
|
-
|
До замены новыми
|
|
183.
|
Планы размещения основных и вспомогательных технических средств
|
10 лет ЭПК
|
10 лет ЭПК
|
-
|
5 лет
|
|
184.
|
Тестовая документация (план тестирования, процедуры (сценарии) тестирования, процедуры (сценарии), руководства) средств технической защиты и средств обеспечения безопасности информационных технологий
|
До минования надобности
|
Постоянно
|
-
|
До замены новыми
|
|
185.
|
Протоколы тестирования (испытаний) средств технической защиты и средств обеспечения безопасности информационных технологий
|
3 года
|
3 года
|
-
|
3 года
|
|
186.
|
Свидетельства о покрытии тестами средств технической защиты и средств обеспечения безопасности информационных технологий
|
3 года
|
3 года
|
-
|
3 года
|
|
187.
|
Отчеты об анализе (оценке) уязвимостей
|
5 лет ЭПК (1)
|
5 лет ЭПК (1)
|
-
|
До минования надобности
|
(1) После устранения уязвимостей
|
188.
|
Ключи электронных подписей, ключи проверки электронных подписей
|
-
|
5 лет (1)
|
-
|
1 год (1)
|
(1) После замены новыми
|