Организационно-распределительная документация по обеспечению безопасности значимых объектов КИИ

18 февраля 2021

// Все статьи

Субъекты КИИ со значимыми объектами, согласно Приказу ФСТЭК № 239 от 25.12.17, должны разрабатывать организационные меры по обеспечению безопасности КИИ.

Процесс разработки организационно-распределительной документации (ОРД) для большинства специалистов в организациях осложняется тем, что перечня документации в нормативно-правовых актах не представлено. Требования к ОРД по обеспечению значимых объектов (ЗО КИИ) в том или ином объеме представлена в следующих нормативных документах:

Приказ ФСТЭК России от 21 декабря 2017 г. № 235 "Об утверждении требований к созданию систем безопасности значимых объектов критический информационной инфраструктуры Российской Федерации и обеспечению их функционирования".
Приказ ФСТЭК России от 25 декабря 2017 г. № 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
Приказ ФСБ России от 24 июля 2018 г. № 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации".
Приказ ФСБ России от 24 июля 2018 г. № 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения".
Приказ ФСБ России от 19 июня 2019 г. № 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации".
Приказ ФСБ России от 19 июня 2019 г. № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации".
Приказ ФСТЭК России от 28 мая 2020 г. № 75 "Об утверждении порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования".
Постановление Правительства РФ от 17 февраля 2018 г. № 162 “Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.
Постановление Правительства РФ от 8 июня 2019 г. № 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры".
Приказ ФСБ России от 6 мая 2019 г. № 196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты".

Руководствуясь опытом, а также взаимодействуя с регуляторами, при разработке ОРД для наших Заказчиков мы используем следующий типовой перечень ОРД по обеспечению безопасности ЗО КИИ:

Политика информационной безопасности значимых объектов критической информационной инфраструктуры.

Регламент защиты технических средств и систем объектов критической информационной инфраструктуры.

Приказ об утверждении границ контролируемых зон значимых объектов критической информационной инфраструктуры.

Регламент управления конфигурацией информационной (автоматизированной) системы объектов критической информационной инфраструктуры.

Политика по обеспечению информационной безопасности при использовании мобильных устройств.

Регламент защиты машинных носителей информации объектов критической информационной инфраструктуры.

Регламент работы с носителями ключевой информации.

Политика применения средств криптографической защиты информации.

Регламент идентификации, аутентификации и управления доступом объектов критической информационной инфраструктуры.

Регламент обеспечения доступности информации объектов критической информационной инфраструктуры.

Регламент управления обновлениями и установкой программного обеспечения объектов критической информационной инфраструктуры.

Регламент антивирусной защиты объектов критической информационной инфраструктуры.

Политика регистрации и учета событий информационной безопасности.

Регламент управления инцидентами информационной безопасности.

Регламент защиты информационной (автоматизированной) системы и ее компонентов объектов критической информационной инфраструктуры.

Инструкция по обеспечению безопасности беспроводных соединений.

Регламент удаленного доступа к ресурсам значимых объектов критической информационной инфраструктуры.

Регламент защиты виртуальной инфраструктуры.

Регламент по контролю состояния защищенности объектов критической информационной инфраструктуры.

План мероприятий по обеспечению информационной безопасности значимых объектов критической информационной инфраструктуры.

Регламент информирования и обучения персонала в области информационной безопасности объектов критической информационной инфраструктуры.

Положение о совершенствовании информационной безопасности.

Регламент обеспечения целостности информации объектов критической информационной инфраструктуры.

Порядок взаимодействия субъекта с ГосСОПКА РФ.

Инструкция ответственного за обеспечение информационной безопасности значимых объектов критической информационной инфраструктуры.

Инструкция пользователя значимых объектов критической информационной инфраструктуры.

Приказ о назначении ответственного за обеспечение информационной безопасности значимых объектов критической информационной инфраструктуры.

Приказ о создании комиссии для проведения контроля состояния защищенности значимых объектов критической информационной инфраструктуры.

Данный перечень является ориентировочным и может корректироваться с учетом имеющихся у Заказчика внутренних документов, организационной структуры, характеристик объектов КИИ и других факторов, влияющих на разработку ОРД.

Заказать разработку ОРД по 239 приказу.

Заказать услугу

Услуги

Аудит информационной безопасности

Комплексный аудит информационной безопасности — это процесс получения объективных качественных и количественных оценок о текущем состоянии защищенности информационных ресурсов компании в соответствии с российскими и международными нормативами.

Защита субъектов и объектов КИИ — безопасность КИИ

Безопасность критической информационной инфраструктуры (КИИ)

Безопасность КИИ (критической информационной инфраструктуры) – это комплексный процесс по обеспечению устойчивого и бесперебойного функционирования критичных бизнес процессов предприятия. Данный процесс включает в себя мероприятия по защите информации в информационных системах, АСУ ТП и информационно-телекоммуникационных сетях.

Комментарии

Загрузка комментариев...

Назад к списку Следующая статья

Категории

Все статьи55

Это интересно