Неполный перечень организационно-распорядительной документации, которая должна быть у вас в наличии:
- Приказ о контролируемой зоне
- Инструкция о пропускном режиме
- План мероприятий по обеспечению защиты информации (наличие разделов по проведению контроля за обеспечением уровня защиты информации и информированию и обучению работников)
- Регламент управления конфигурациями
- Регламент предоставления удаленного доступа к информационным ресурсам
- Регламент учета средств криптозащиты
- Приказ о назначении лиц, ответственных за выполнение требований по защите информации
- Приказ о назначении комиссии для проведения классификации ОИ
- Политика ИБ
- Политика работы с конфиденциальной информацией
- Политика удаленного доступа
- Политика управления инцидентами ИБ
- Положение о порядке организации и проведения работ по защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну
- Инструкция пользователя АСЗИ
- Инструкция пользователя по безопасносй работе в сети Интернет
- Инструкция по безопасной работе с электронной почтой
- Инструкция по порядку обращения с ключами электронных подписей
- Инструкция по организации выдачи и учету печатных (графических) документов, содержащих конфиденциальную информацию
- Инструкция по организации парольной защиты
- Инструкция по организации антивирусной защиты
- Инструкция по организации работы со съемными носителями данных, содержащими конфиденциальную информацию
- Инструкция администратора ИБ
- Инструкция по организации периодического контроля СЗИ от НСД
- Инструкция по организации резервного копирования
- Инструкция по организации хранения и использования средств восстановления СЗИ от НСД
- Инструкция по реагированию на инциденты ИБ
- Инструкция по работе со средствами криптозащиты (если есть ЗКПС и ЭП)
- Журнал учета инцидентов ИБ
- Журнал учет выдачи паролей (для пользователей)
Попробуем разделить ОРД по требованиям НПА:
ФЗ 152:
- Перечень ПДн
ПП 1119:
- Приказ о назначении ответственного за обработку ПДн (3УЗ)
- Перечень лиц, которые имеют доступ персональным данным (4УЗ)
РД АС:
- Перечнь ЗИР
- перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий
- Матрица доступа
- Журнал учета защищаемых носителей информации
- Журнал выдачи (приема) защищаемых носителей
ФСТЭК 77:
- Технический паспорт
- Акт классификации
- Акт категорирования
- Модель угроз
- Техническое задание на создание (развитие, модернизацию) ОИ и (или) ЧТЗ на создание (развитие, модернизацию) СЗИ ОИ
- ТР и (или) ПЗ
- ЭД на систему защиты информации ОИ и применяемые СрЗИ (вендорские инструкции на СрЗИ + Инструкция АИБ)
- План мероприятий по защите информации на ОИ
- “Положение о защите информации” с разделами по:
– документы по порядку оценки угроз безопасности информации
– контролю за обеспечением уровня защищенности информации - Регламент управления конфигурациями
- Регламент по реагированию на инциденты безопасности
- План (Регламент) по информированию и обучению персонала
- Документы, содержащие результаты анализа уязвимостей ОИ (Отчет по уязвимостям)
- Распорядительные документы о назначении работников, ответственных за обеспечение защиты информации в ходе эксплуатации объекта информатизации, в том числе за проведение оценки угроз безопасности информации, управление (администрирование) системой защиты информации (администраторов безопасности), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защиты информации
127 ПП:
- Акт категорирования ОКИИ
- Приказ о создании системы безопасности ЗОКИИ
187 ФЗ + приказ ФСБ РФ от 24.07.2018 г. N 367
- Регламент информирования ФСБ РФ (НКЦКИ) о компьютерных инцидентах, Приказ (распоряжение) об утверждении регламента информирования ФСБ РФ (НКЦКИ) о компьютерных инцидентах
ФСТЭК 239:
- ТЗ на создание СБ ЗОКИИ
- Модель УБИ ЗОКИИ
- Регламенты штатного и аварийного обслуживания
- Регламент управления учетными записями
- Регламент правил и процедур защиты машинных носителей информации
- Регламент правил и процедур аудита безопасности
- Регламент антивирусной защиты
- Регламент правил и процедур обеспечения целостности
- Регламент правил и процедур обеспечения доступности
- Регламент правил и процедур защиты технических средств и систем
- Регламент правил и процедур реагирования на компьютерные инциденты
- Регламент правил и процедур управления обновлениями программного обеспечения
- Регламент правил и процедур обеспечения действий в нештатных ситуациях
ФСТЭК 235:
- Модель УБИ ЗОКИИ
- Документация технического проекта СБ ЗОКИИ (состав технического проекта:
– ведомость ТП;
– пояснительная записка к ТП;
– структурная схема комплекса ТС;
– описание комплекса ТС;
– описание программного обеспечения;
– схема функциональной структуры;
– схема организационной структуры;
– описание организационной структуры;
– план расположения;
– смета на создание системы) - ОРД по ИБ ЗОКИИ:
– политика идентификации и аутентификации;
– политика управления доступом;
– разрешительная система доступа к защищаемым ресурсам (матрица доступа);
– политика ограничения программной среды;
– политика защиты МНИ;
– журнал учета МНИ;
– политика аудита безопасности;
– политика антивирусной защиты;
– политика предотвращения вторжений (компьютерных атак);
– политика обеспечения целостности и доступа;
– политика защиты ТС и систем;
– план контролируемой зоны;
– политика защиты ИС их компонентов;
– политика реагирования на компьютерные инциденты;
– политика управления конфигурацией ИС;
– технический паспорт ОКИИ;
– перечень разрешенного к использованию ПО;
– политика управления обновления ПО;
– политика планирования мероприятий по обеспечению защиты информации;
– план мероприятий по обеспечению безопасности ЗОКИИ;
– политика действий в нештатных ситуациях;
– политика информирования и обучения персонала - Приказ о назначении админа ИБ
- Инструкция (руководство) по эксплуатации СрЗИ
***
- Перечень сведений конфиденциального характера (КТ, ДСП)
- Инструкция пользователя
- Инструкция администратора
- Инструкция администратора ИБ
- Политика паролей
- Регламент управления виртуальной инфраструктурой
- Приказ о контролируемой зоне