2.5. Защита информации. Контроль и надзор в сфере защиты информации

160.

Руководящие документы (руководства по разработке профилей защиты и заданий по безопасности, по регистрации профилей защиты, методики, критерии оценки угроз безопасности информационных технологий и другие) по защите информации

До замены новыми

До замены новыми

Постоянно

До замены новыми

161.

Модели угроз информационной безопасности и нарушителя безопасности информации, не вошедшие в состав технического задания

Постоянно

(1)

Постоянно (1)

Постоянно

До ликвидации организации

(1)

(1) Присланные для сведения, типовые - До замены новыми

162.

Концепции информационной безопасности организации и документы к ней (регламенты, правила и процедуры обеспечения информационной безопасности при создании, развитии, модернизации и эксплуатации систем и информационно-телекоммуникационной инфраструктуры организации)

Постоянно

Постоянно

Постоянно

Постоянно

163.

Документы (решения, акты, порядки, инструкции) об обеспечении защиты информации в процессе вывода информационной системы из эксплуатации, утилизации программы для ЭВМ, архивирования, уничтожения (стирания) данных

Постоянно

До ликвидации организации

Постоянно

До ликвидации организации

164.

Регламенты реагирования на инциденты информационной безопасности

5 лет (1)

5 лет (1)

Постоянно

5 лет (1)

(1) После замены новыми

165.

Отчеты о событиях и инцидентах информационной безопасности

-

5 лет ЭПК

-

5 лет ЭПК

166.

Политика в области обработки и защиты персональных данных в организации

Постоянно

Постоянно

-

Постоянно

167.

Документы (планы действий и работ по защите информации, планы непрерывности работы и восстановления информационных систем, порядки доступа к информационным ресурсам и системам, списки должностных лиц, имеющих доступ к информации ограниченного доступа, защищаемых помещений, информационных ресурсов и информационных систем, перечни защищаемой информации (данных) по обеспечению информационной безопасности и порядку разграничения прав доступа к информационным ресурсам в организации

До замены новыми

5 лет

-

5 лет

168.

Перечни персональных данных, списки автоматизированных и неавтоматизированных систем обработки персональных данных

-

5 лет

-

5 лет

169.

Заявки на проведение аттестации объекта информатизации, предоставление доступа к информационным ресурсам, предоставление работнику мобильного устройства или носителя информации

1 год

1 год

1 год

-

170.

Журналы (книги, картотеки, базы данных):

а) учета допуска работников к обработке персональных данных

-

5 лет ЭПК

-

5 лет ЭПК

б) регистрации и учета заявок на предоставление доступа к информационным ресурсам

-

-

-

1 год

в) инструктажа пользователей с правилами доступа к информационным ресурсам

-

-

-

1 год

г) инцидентов информационной безопасности

-

5 лет ЭПК

-

5 лет ЭПК

171.

Документы (аттестаты соответствия требованиям безопасности информации, паспорта (технические паспорта) об аттестации и обеспечении защиты информационных систем, средств защиты информации, объектов информатизации и помещений

-

5 лет ЭПК

-

5 лет ЭПК

172.

Государственные реестры:

(1) После аннулирования сертификата

а) значимых объектов критической информационной инфраструктуры Российской Федерации

-

-

Постоянно

-

б) органов по сертификации и испытательных лабораторий

-

-

5 лет

-

в) сертифицированных средств защиты информации

-

-

5 лет (1)

-

173.

Реестр операторов, осуществляющих обработку персональных данных

-

-

Постоянно

-

174.

Сведения о внесении изменений в реестр операторов, осуществляющих обработку персональных данных

3 года

3 года

Постоянно

3 года

175.

Профили защиты (спецификации профилей защиты)

До замены новыми

До замены новыми

Постоянно

До замены новыми

176.

Задания по безопасности (спецификации заданий по безопасности)

Постоянно

Постоянно

-

Постоянно

177.

Функциональные спецификации

5 лет (1)

5 лет (1)

-

5 лет (1)

(1) После окончания использования средств обеспечения защиты

178.

Описания архитектуры безопасности

До замены новыми

До замены новыми

-

До замены новыми

179.

Базы данных об информационных объектах, удовлетворяющих требованиям безопасности

5 лет (1)

5 лет (1)

-

5 лет (1)

(1) После завершения срока эксплуатации объекта

180.

Документы (списки и планы управления конфигурацией, протоколы системы, описание технологии обновления средства защиты) по управлению конфигурацией информационных объектов

До замены новыми

До замены новыми

-

До замены новыми

181.

Регламенты обновления программных средств обеспечения безопасности информационных технологий

До замены новыми

До замены новыми

-

До замены новыми

182.

Документы (модель жизненного цикла, используемая при разработке и сопровождении объекта оценки) определения жизненного цикла

До замены новыми

Постоянно

-

До замены новыми

183.

Планы размещения основных и вспомогательных технических средств

10 лет ЭПК

10 лет ЭПК

-

5 лет

184.

Тестовая документация (план тестирования, процедуры (сценарии) тестирования, процедуры (сценарии), руководства) средств технической защиты и средств обеспечения безопасности информационных технологий

До минования надобности

Постоянно

-

До замены новыми

185.

Протоколы тестирования (испытаний) средств технической защиты и средств обеспечения безопасности информационных технологий

3 года

3 года

-

3 года

186.

Свидетельства о покрытии тестами средств технической защиты и средств обеспечения безопасности информационных технологий

3 года

3 года

-

3 года

187.

Отчеты об анализе (оценке) уязвимостей

5 лет ЭПК (1)

5 лет ЭПК (1)

-

До минования надобности

(1) После устранения уязвимостей

188.

Ключи электронных подписей, ключи проверки электронных подписей

-

5 лет (1)

-

1 год (1)

(1) После замены новыми