На основании имеющегося у автора опыта и знаний привожу перечень действий и документов для объектов критических информационных инфраструктур (КИИ):
- Принятие решения о наличии объекта (объектов) КИИ.
- Создание постоянно действующей комиссии по категорированию.
- Инвентаризация бизнес-процессов.
- Формирование перечная объектов КИИ.
- Отправка сведений о наличии объектов КИИ во ФСТЭК.
- Определение актуальных угроз безопасности. Подготовка модели угроз.
- Присвоение категорий значимости (проводится периодически, не реже 1 раза в 5 лет).
- Отправка сведений о присвоенной категории во ФСТЭК (в срок 10 дней).
- Назначение (создание подразделения) работников, ответственных за обеспечение безопасности объектов КИИ.
- Обучение специалистов (в случае необходимости).
- Формирование требований к системе безопасности. Подготовка ТЗ.
- Проектирование системы безопасности. Подготовка ТП или ЭП.
- Внедрение организационных мер.
- Поставка технических средств защиты.
- Макетирование, тестовая и опытная эксплуатация.
- Анализ уязвимостей и тестирование на проникновение (возможно проведение на тестовой среде).
- Проведение оценки соответствия.
- Ввод в промышленную эксплуатацию.
- Принятие решения об установке средств ГосСОПКА.
- Подготовка и отправка пакета документов в ФСБ на согласование установки средств ГосСОПКА.
- Постоянный мониторинг и отправка сведений об инцидентах в НКЦКИ.
- Анализ угроз безопасности и пересмотр МУиН. Анализ уязвимостей.
- Планирование мероприятий по обеспечению безопасности.
- Реализация необходимых изменений.
- Контроль состояния объекта КИИ во время его эксплуатации.
- Проведение оценки соответствия.
- Отработка мероприятий плана реагирования на инциденты (1 раз в год).
- Информирование и обучение персонала.
- Приказ о выводе объекта КИИ из эксплуатации.
- Вывод из эксплуатации, уничтожение носителей информации.
- Вывод их эксплуатации, акты вывода из эксплуатации.
- Архивное хранение всей документации.
- Приказ о создании постоянно действующей комиссии по категорированию.
- Приказ об утверждении перечня объектов КИИ.
- Форма уведомления ФСТЭК.
- Модель угроз и нарушителя безопасности объекта КИИ.
- Акт категорирования.
- Форма уведомления ФСТЭК.
- Журнал регистрации проведения проверок регуляторами.
- План реагирования на инциденты (согласовывается с ФСБ).
- Техническое задание на систему безопасности.
- Технический (эскизный) проект на систему безопасности.
- Подготовка ОРД и эксплуатационной документации в составе (возможно):
- Порядок обеспечения безопасности объекта КИИ (либо Политика обеспечения безопасности). Описание архитектуры обеспечения безопасности.
- Порядок проведения испытаний или приемки средств защиты.
- Порядок обучения работников.
- Порядок взаимодействия подразделений при эксплуатации объекта КИИ и действий в случае нештатных ситуаций.
- Порядок взаимодействия с НКЦКИ и порядок отправки сведений в ГосСОПКА.
- Инструкция пользователя объекта КИИ.
- Инструкция администратора объекта КИИ.
- Инструкция администратора безопасности объекта КИИ.
- Порядок допуска на территорию (к компонентам КИИ), или инструкция по пропускному режиму.
- Порядок предоставления и управления доступом.
- Порядок обеспечения антивирусной защиты.
- Порядок проведения контрольных и проверочных мероприятий функционирования объекта КИИ.
- Порядок оценки соответствия.
- Порядок внесения изменений и управления конфигурацией. Заявки (акты) на внесение изменений.
- Порядки (инструкции) по настройке средств защиты (на каждое отдельно взятое средство).
- Акты об успешном прохождении опытной эксплуатации.
- Протоколы (акты) проведения анализа уязвимостей (включая тестирование на проникновение).
- Акты об успешном прохождении приемочных испытаний.
- План проведения мероприятий по обеспечению безопасности объекта КИИ.
- Порядок пересмотра МУиН.
- Форма уведомления ФСБ (в случае, если планируется применение автоматизированных средств взаимодействия с ГосСОПКА).
- Формы регистрации сведений об инцидентах (отправляются в НКЦКИ и хранятся).
- Планы проведения мероприятий по обеспечению безопасности объекта КИИ.
- Акты проведения проверок эксплуатации объекта КИИ.
- Отчет (акт) о прохождении оценки соответствия.
- Отчетные документы об отработке мероприятий по реагированию на инциденты.
- Отчетные документы по информированию и обучению персонала.
- Приказ о выводе объекта КИИ из эксплуатации.
- Акты уничтожения носителей информации.
- Акты вывода из эксплуатации.