Организационно-распорядительной документация по обеспечению безопасности значимых объектов КИИ


Субъекты КИИ со значимыми объектами, согласно Приказу ФСТЭК № 239 от 25.12.17, должны разрабатывать организационные меры по обеспечению безопасности КИИ.

Процесс разработки организационно-распорядительной документации (ОРД) для большинства специалистов в организациях осложняется тем, что перечня документации в нормативно-правовых актах не представлено. Требования к ОРД по обеспечению значимых объектов (ЗО КИИ) в том или ином объеме представлена в следующих нормативных документах:

  • Приказ ФСТЭК России от 21 декабря 2017 г. № 235 “Об утверждении требований к созданию систем безопасности значимых объектов критический информационной инфраструктуры Российской Федерации и обеспечению их функционирования”.
  • Приказ ФСТЭК России от 25 декабря 2017 г. № 239 “Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.
  • Приказ ФСБ России от 24 июля 2018 г. № 367 “Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации”.
  • Приказ ФСБ России от 24 июля 2018 г. № 368 “Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения”.
  • Приказ ФСБ России от 19 июня 2019 г. № 281 “Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации”.
  • Приказ ФСБ России от 19 июня 2019 г. № 282 “Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации”.
  • Приказ ФСТЭК России от 28 мая 2020 г. № 75 “Об утверждении порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования”.
  • Постановление Правительства РФ от 17 февраля 2018 г. № 162 “Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.
  • Постановление Правительства РФ от 8 июня 2019 г. № 743 “Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры”.
  • Приказ ФСБ России от 6 мая 2019 г. № 196 “Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты”.

Руководствуясь опытом, а также взаимодействуя с регуляторами, при разработке ОРД для наших Заказчиков мы используем следующий типовой перечень ОРД по обеспечению безопасности ЗО КИИ:

  • Политика информационной безопасности значимых объектов критической информационной инфраструктуры.
  • Регламент защиты технических средств и систем объектов критической информационной инфраструктуры.
  • Приказ об утверждении границ контролируемых зон значимых объектов критической информационной инфраструктуры.
  • Регламент управления конфигурацией информационной (автоматизированной) системы объектов критической информационной инфраструктуры.
  • Политика по обеспечению информационной безопасности при использовании мобильных устройств.
  • Регламент защиты машинных носителей информации объектов критической информационной инфраструктуры.
  • Регламент работы с носителями ключевой информации.
  • Политика применения средств криптографической защиты информации.
  • Регламент идентификации, аутентификации и управления доступом объектов критической информационной инфраструктуры.
  • Регламент обеспечения доступности информации объектов критической информационной инфраструктуры.
  • Регламент управления обновлениями и установкой программного обеспечения объектов критической информационной инфраструктуры.
  • Регламент антивирусной защиты объектов критической информационной инфраструктуры.
  • Политика регистрации и учета событий информационной безопасности.
  • Регламент управления инцидентами информационной безопасности.
  • Регламент защиты информационной (автоматизированной) системы и ее компонентов объектов критической информационной инфраструктуры.
  • Инструкция по обеспечению безопасности беспроводных соединений.
  • Регламент удаленного доступа к ресурсам значимых объектов критической информационной инфраструктуры.
  • Регламент защиты виртуальной инфраструктуры.
  • Регламент по контролю состояния защищенности объектов критической информационной инфраструктуры.
  • План мероприятий по обеспечению информационной безопасности значимых объектов критической информационной инфраструктуры.
  • Регламент информирования и обучения персонала в области информационной безопасности объектов критической информационной инфраструктуры.
  • Положение о совершенствовании информационной безопасности.
  • Регламент обеспечения целостности информации объектов критической информационной инфраструктуры.
  • Порядок взаимодействия субъекта с ГосСОПКА РФ.
  • Инструкция ответственного за обеспечение информационной безопасности значимых объектов критической информационной инфраструктуры.
  • Инструкция пользователя значимых объектов критической информационной инфраструктуры.
  • Приказ о назначении ответственного за обеспечение информационной безопасности значимых объектов критической информационной инфраструктуры.
  • Приказ о создании комиссии для проведения контроля состояния защищенности значимых объектов критической информационной инфраструктуры.

    • Данный перечень является ориентировочным и может корректироваться с учетом имеющихся у Заказчика внутренних документов, организационной структуры, характеристик объектов КИИ и других факторов, влияющих на разработку ОРД.

    Заказать разработку ОРД по 239 приказу.

    Javascript Заказать услугу
    Межтекстовые Отзывы
    Посмотреть все комментарии
    guest