Разработка документации на ОКИИ

Конкретные требования к объектам КИИ устанавливаются подзаконными нормативно-правовыми актами ФСТЭК России:

  1. Приказ ФСТЭК № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования» от 21 декабря 2017 года.
  2. Приказ ФСТЭК № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации» от 25 декабря 2017 года.

Приказ ФСТЭК № 239 содержит 16 категорий мер защиты к объектам КИИ и конкретные требования к классам защищенности средств защиты информации, которые должны применяться на объектах КИИ. Состав мер защиты зависит от категории значимости объекта КИИ.

Приказом ФСТЭК № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования» установлены следующие требования:

  • к функциям системы безопасности объектов КИИ;
  • к ролям (функциям/полномочиям) обслуживающего персонала объектов КИИ;
  • к средствам защиты информации объектов КИИ;
  • к организационно-распорядительным документам по безопасности объектов КИИ;
  • к организации работ по обеспечению безопасности объектов КИИ.

На ОКИИ должны быть разработаны и утверждены следующие организационно-распорядительные и эксплуатационные документы:

  • регламент идентификации и аутентификации;
  • регламент управления доступом;
  • регламент обеспечения целостности;
  • регламент защиты машинных носителей;
  • регламент аудита безопасности;
  • регламент антивирусной защиты;
  • регламент политика обеспечения доступности;
  • регламент защиты информационной системы и ее компонентов;
  • регламент защиты технических средств и систем;
  • регламент реагирования на компьютерные инциденты;
  • регламент управления конфигурации;
  • регламент информирования и обучения персонала;
  • регламент управления обновлениями программного обеспечения;
  • регламент обеспечения действий в нештатных ситуациях;
  • план действий в нештатных ситуациях;
  • регламент планирования мероприятий по обеспечению защиты информации;
  • план мероприятий по обеспечению защиты информации;

И еще следующие:

  • сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
  • приказ о создании постоянно действующей Комиссии по категорированию объектов критической информационной инфраструктуры;
  • протокол рабочей комиссии;
  • приказ о вводе в эксплуатацию;
  • приказ о назначении границы контролируемой зоны;
  • перечень сведений конфиденциального характера;
  • перечень защищаемых информационных ресурсов;
  • список лиц, допущенных к обработке информации конфиденциального характера;
  • описание технологического процесса обработки конфиденциальной информации;
  • технический паспорт на объект информатизации;
  • приказ о создании комиссии по классификации;
  • система доступа (матрица доступа) пользователей и эксплуатационного персонала к обрабатываемой в информации;
  • приказ о назначении ответственного за эксплуатацию;
  • приказ о назначении администратора безопасности информации;
  • приказ об организации работ по защите информации;
  • должностная инструкция работника отдела информационной безопасности;
  • акт о подключении к ГосСОПКА;
  • инструкция по проведению антивирусного контроля;
  • инструкция по организации резервирования;
  • журнал регистрации доступа в кабинет;
  • журнал учета печатных документов;
  • журнал учета машинных носителей;
  • журнал учета ключей и опечатывающих устройств;
  • журнал учета периодического тестирования средств защиты информации;
  • журнал учета выявленных инцидентов информационной безопасности;
  • журнал учета выдачи паролей и идентификаторов;
  • журнал учета СКЗИ;
  • журнал учета средств защиты информации;
  • инструкция ответственного за эксплуатацию СКЗИ;
  • порядок организации функционирования СКЗИ;
  • регламент по передачи учтенных носителей информации в сторонние организации.
  • Скачать коммерческое предложение на разработку документации ЗОКИИ
Скачать PDF
  • Скачать коммерческое предложение на разработку документации ЗОКИИ
Скачать PDF

Заказать звонок