Гайд по разработке ОРД для вашей компании

Неполный перечень организационно-распорядительной документации, которая должна быть у вас в наличии:

  1. Приказ о контролируемой зоне
  2. Инструкция о пропускном режиме
  3. План мероприятий по обеспечению защиты информации (наличие разделов по проведению контроля за обеспечением уровня защиты информации и информированию и обучению работников)

  1. Регламент управления конфигурациями
  2. Регламент предоставления удаленного доступа к информационным ресурсам
  3. Регламент учета средств криптозащиты
  4. Приказ о назначении лиц, ответственных за выполнение требований по защите информации
  5. Приказ о назначении комиссии для проведения классификации ОИ
  6. Политика ИБ
  7. Политика работы с конфиденциальной информацией
  8. Политика удаленного доступа
  9. Политика управления инцидентами ИБ
  10. Положение о порядке организации и проведения работ по защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну
  11. Инструкция пользователя АСЗИ
  12. Инструкция пользователя по безопасносй работе в сети Интернет
  13. Инструкция по безопасной работе с электронной почтой
  14. Инструкция по порядку обращения с ключами электронных подписей
  15. Инструкция по организации выдачи и учету печатных (графических) документов, содержащих конфиденциальную информацию
  16. Инструкция по организации парольной защиты
  17. Инструкция по организации антивирусной защиты
  18. Инструкция по организации работы со съемными носителями данных, содержащими конфиденциальную информацию
  19. Инструкция администратора ИБ
  20. Инструкция по организации периодического контроля СЗИ от НСД
  21. Инструкция по организации резервного копирования
  22. Инструкция по организации хранения и использования средств восстановления СЗИ от НСД
  23. Инструкция по реагированию на инциденты ИБ
  24. Инструкция по работе со средствами криптозащиты (если есть ЗКПС и ЭП)
  25. Журнал учета инцидентов ИБ
  26. Журнал учет выдачи паролей (для пользователей)

Попробуем разделить ОРД по требованиям НПА:

ФЗ 152:

  1. Перечень ПДн

ПП 1119:

  1. Приказ о назначении ответственного за обработку ПДн (3УЗ)
  2. Перечень лиц, которые имеют доступ персональным данным (4УЗ)

РД АС:

  1. Перечнь ЗИР
  2. перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий
  3. Матрица доступа
  4. Журнал учета защищаемых носителей информации
  5. Журнал выдачи (приема) защищаемых носителей

ФСТЭК 77:

  1. Технический паспорт
  2. Акт классификации
  3. Акт категорирования
  4. Модель угроз
  5. Техническое задание на создание (развитие, модернизацию) ОИ и (или) ЧТЗ на создание (развитие, модернизацию) СЗИ ОИ
  6. ТР и (или) ПЗ
  7. ЭД на систему защиты информации ОИ и применяемые СрЗИ (вендорские инструкции на СрЗИ + Инструкция АИБ)
  8. План мероприятий по защите информации на ОИ
  9. “Положение о защите информации” с разделами по:
    – документы по порядку оценки угроз безопасности информации
    – контролю за обеспечением уровня защищенности информации
  10. Регламент управления конфигурациями
  11. Регламент по реагированию на инциденты безопасности
  12. План (Регламент) по информированию и обучению персонала
  13. Документы, содержащие результаты анализа уязвимостей ОИ (Отчет по уязвимостям)
  14. Распорядительные документы о назначении работников, ответственных за обеспечение защиты информации в ходе эксплуатации объекта информатизации, в том числе за проведение оценки угроз безопасности информации, управление (администрирование) системой защиты информации (администраторов безопасности), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защиты информации

127 ПП:

  1. Акт категорирования ОКИИ
  2. Приказ о создании системы безопасности ЗОКИИ

187 ФЗ + приказ ФСБ РФ от 24.07.2018 г. N 367

  1. Регламент информирования ФСБ РФ (НКЦКИ) о компьютерных инцидентах, Приказ (распоряжение) об утверждении регламента информирования ФСБ РФ (НКЦКИ) о компьютерных инцидентах

ФСТЭК 239:

  1. ТЗ на создание СБ ЗОКИИ
  2. Модель УБИ ЗОКИИ
  3. Регламенты штатного и аварийного обслуживания
  4. Регламент управления учетными записями
  5. Регламент правил и процедур защиты машинных носителей информации
  6. Регламент правил и процедур аудита безопасности
  7. Регламент антивирусной защиты
  8. Регламент правил и процедур обеспечения целостности
  9. Регламент правил и процедур обеспечения доступности
  10. Регламент правил и процедур защиты технических средств и систем
  11. Регламент правил и процедур реагирования на компьютерные инциденты
  12. Регламент правил и процедур  управления обновлениями программного обеспечения
  13. Регламент правил и процедур обеспечения действий в нештатных  ситуациях

ФСТЭК 235:

  1. Модель УБИ ЗОКИИ
  2. Документация технического проекта СБ ЗОКИИ (состав технического проекта:
    – ведомость ТП;
    – пояснительная записка к ТП;
    – структурная схема комплекса ТС;
    – описание комплекса ТС;
    – описание программного обеспечения;
    – схема функциональной структуры;
    – схема организационной структуры;
    – описание организационной структуры;
    – план расположения;
    – смета на создание системы)
  3. ОРД по ИБ ЗОКИИ:
    – политика идентификации и аутентификации;
    – политика управления доступом;
    – разрешительная система доступа к защищаемым ресурсам (матрица доступа);
    – политика ограничения программной среды;
    – политика защиты МНИ;
    – журнал учета МНИ;
    – политика аудита безопасности;
    – политика антивирусной защиты;
    – политика предотвращения вторжений (компьютерных атак);
    – политика обеспечения целостности и доступа;
    – политика защиты ТС и систем;
    – план контролируемой зоны;
    – политика защиты ИС их компонентов;
    – политика реагирования на компьютерные инциденты;
    – политика управления конфигурацией ИС;
    – технический паспорт ОКИИ;
    – перечень разрешенного к использованию ПО;
    – политика управления обновления ПО;
    – политика планирования мероприятий по обеспечению защиты информации;
    – план мероприятий по обеспечению безопасности ЗОКИИ;
    – политика действий в нештатных ситуациях;
    – политика информирования и обучения персонала
  4. Приказ о назначении админа ИБ
  5. Инструкция (руководство) по эксплуатации СрЗИ

***

  1. Перечень сведений конфиденциального характера (КТ, ДСП)
  2. Инструкция пользователя
  3. Инструкция администратора
  4. Инструкция администратора ИБ
  5. Политика паролей
  6. Регламент управления виртуальной инфраструктурой
  7. Приказ о контролируемой зоне

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *