Организационно-распределительная документация по обеспечению безопасности значимых объектов КИИ

Процесс разработки организационно-распределительной документации (ОРД) для большинства специалистов в организациях осложняется тем, что перечня документации в нормативно-правовых актах не представлено. Требования к ОРД по обеспечению значимых объектов (ЗО КИИ) в том или ином объеме представлена в следующих нормативных документах:

• Приказ ФСТЭК России от 21 декабря 2017 г. № 235 "Об утверждении требований к созданию систем безопасности значимых объектов критический информационной инфраструктуры Российской Федерации и обеспечению их функционирования".
• Приказ ФСТЭК России от 25 декабря 2017 г. № 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
• Приказ ФСБ России от 24 июля 2018 г. № 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации".
• Приказ ФСБ России от 24 июля 2018 г. № 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения".
• Приказ ФСБ России от 19 июня 2019 г. № 281 "Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации".
• Приказ ФСБ России от 19 июня 2019 г. № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации".
• Приказ ФСТЭК России от 28 мая 2020 г. № 75 "Об утверждении порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования".
• Постановление Правительства РФ от 17 февраля 2018 г. № 162 “Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”.
• Постановление Правительства РФ от 8 июня 2019 г. № 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры".
• Приказ ФСБ России от 6 мая 2019 г. № 196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты".

Руководствуясь нашим опытом по реализации подобных проектов, а также взаимодействуя с регуляторами, при разработке ОРД для наших Заказчиков мы пользуемся типовым перечень ОРД по обеспечению безопасности ЗО КИИ. Данный перечень является ориентировочным и может корректироваться с учетом имеющихся у Заказчика внутренних документов, организационной структуры, характеристик объектов КИИ и других факторов, влияющих на разработку ОРД.

Ниже приведен типовой перечень ОРД для ЗО КИИ:

• Политика информационной безопасности значимых объектов критической информационной инфраструктуры.
• Регламент защиты технических средств и систем объектов критической информационной инфраструктуры.
• Приказ об утверждении границ контролируемых зон значимых объектов критической информационной инфраструктуры.
• Регламент управления конфигурацией информационной (автоматизированной) системы объектов критической информационной инфраструктуры.
• Политика по обеспечению информационной безопасности при использовании мобильных устройств.
• Регламент защиты машинных носителей информации объектов критической информационной инфраструктуры.
• Регламент работы с носителями ключевой информации.
• Политика применения средств криптографической защиты информации.
• Регламент идентификации, аутентификации и управления доступом объектов критической информационной инфраструктуры.
• Регламент обеспечения доступности информации объектов критической информационной инфраструктуры.
• Регламент управления обновлениями и установкой программного обеспечения объектов критической информационной инфраструктуры.
• Регламент антивирусной защиты объектов критической информационной инфраструктуры.
• Политика регистрации и учета событий информационной безопасности.
• Регламент управления инцидентами информационной безопасности.
• Регламент защиты информационной (автоматизированной) системы и ее компонентов объектов критической информационной инфраструктуры.
• Инструкция по обеспечению безопасности беспроводных соединений.
• Регламент удаленного доступа к ресурсам значимых объектов критической информационной инфраструктуры.
• Регламент защиты виртуальной инфраструктуры.
• Регламент по контролю состояния защищенности объектов критической информационной инфраструктуры.
• План мероприятий по обеспечению информационной безопасности значимых объектов критической информационной инфраструктуры.
• Регламент информирования и обучения персонала в области информационной безопасности объектов критической информационной инфраструктуры.
• Положение о совершенствовании информационной безопасности.
• Регламент обеспечения целостности информации объектов критической информационной инфраструктуры.
• Порядок взаимодействия субъекта с ГосСОПКА РФ.
• Инструкция ответственного за обеспечение информационной безопасности значимых объектов критической информационной инфраструктуры.
• Инструкция пользователя значимых объектов критической информационной инфраструктуры.
• Приказ о назначении ответственного за обеспечение информационной безопасности значимых объектов критической информационной инфраструктуры.
• Приказ о создании комиссии для проведения контроля состояния защищенности значимых объектов критической информационной инфраструктуры.

Заказать разработку ОРД по 239 приказу.

Заказать услугу