Информационные материалы

Информационные материалы для ознакомления

Свяжитесь с нами, и мы поможем Вам с разработкой, внедрением и сопровождением мер по защите информации

Ряд организационно-распорядительных документов по защищенной обработке персональных данных и эксплуатации средств криптографической защиты информации Вы можете скачать со страниц нашего Учебного портала по ссылкам:

ОРД по защищенной обработке ПДн

Эксплуатационно-техническая документация по эксплуатации СКЗИ


Разработка систем защиты информации начинается с разработки технических требований Заказчика системы.
На основании технических требований Заказчика разрабатывается модель угроз безопасности информации и техническое задание на разработку системы защиты информации.

В дальнейшем, в ходе проведения работ по разработке технического задания на систему защиты информации, технические требования Заказчика могут уточняться, и этот процесс корректировок и уточнений может продолжаться в течение всего периода разработки систем защиты информации.

Обращайтесь к нам, и мы поможем вам подобрать и протестировать необходимые технические решения защиты информации.

Ниже приведены справочные сведения по составу необходимой проектной, эксплуатационно-технической и организационно-распорядительной документации по защите конфиденциальной информации для некоторых направлений её обработки.



Защищенная обработка конфиденциальной информации, в т.ч. персональных данных и эксплуатация средств криптографической защиты информации


Состав организационных мер и требуемое документальное обеспечение мероприятий по защите информации


1. Утвердить границы контролируемой зоны в пределах которой постоянно размещаются стационарные технические средства обработки конфиденциальной информации, средства защиты информации, а также инженерно-технические средства обеспечения их функционирования.

2. Назначить ответственно лицо за организацию обработки персональных данных в информационных системах.

3. Назначить ответственное лицо за защиту информации и обеспечение безопасности персональных данных в информационных системах.

4. Назначить администратора информационной безопасности (ответственное должностное лицо за обеспечение технических мер по защите информации, в т.ч. персональных данных).

5. Назначить постоянно действующую рабочую группу/ группы (или комиссию) по:
    установлению уровня защищенности персональных данных;
    по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушений требований по обработке и обеспечению безопасности персональных данных;
    по работе с инцидентами информационной безопасности.

6. Утвердить перечень информационных систем, в т.ч. информационных систем персональных данных;

7. Утвердить перечень должностей работников, ведущих обработку персональных данных;

8. Утвердить перечень персональных данных, разрешенных к обработке;

9. Утвердить Акт по установлению уровня защищенности персональных данных при их обработке в информационных системах;

10. Утвердить Политику в отношении обработки и защиты персональных данных в информационных системах;

11. Утвердить Инструкцию Ответственного лица за защиту информации и обеспечение безопасности персональных данных в информационных системах,

12. Утвердить Инструкцию Администратора информационной безопасности информационных систем;

13. Утвердить Инструкцию по работе с инцидентами информационной безопасности;

14. Утвердить Инструкцию о порядке проведения разбирательств;

15. Утвердить Инструкцию системного администратора технических средств защиты информации информационных систем;

16. Утвердить Инструкцию ответственного лица за организацию обработки персональных данных в информационных системах;

17. Утвердить Порядок обработки персональных данных в информационных системах;

18. Утвердить Порядок использования типовых форм, содержащих персональные данные и не регламентируемых законодательством Российской Федерации;

19. Утвердить Правила неавтоматизированной обработки персональных данных;

20. Утвердить Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных;

21. Утвердить Заключение об оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных;

22. Утвердить Матрицу доступа пользователей к ресурсам информационных систем;

23. Утвердить Перечень обрабатываемых сведений конфиденциального характера;

24. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных в информационных системах;

25. Утвердить Порядок уничтожения персональных данных в информационных системах при достижении целей обработки или при наступлении иных законных оснований;

26. Утвердить Правила работы с обезличенными персональными данными и состав рабочей группы по обезличиванию персональных данных;

27. Утвердить Места хранения материальных носителей персональных данных, используемых при обработке персональных данных без средств автоматизации, обрабатываемых в информационных системах;

28. Утвердить Места размещения машинных носителей персональных данных, используемых при обработке персональных данных в информационных системах;

29. Утвердить Инструкцию по доступу работников в помещения, места размещения технических средств информационных систем персональных данных, в которых ведется обработка персональных данных и организации безопасности этих помещений;

30. Утвердить Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным в информационных системах;

31. Утвердить Инструкцию о порядке резервирования и восстановления информации в информационных системах;

32. Утвердить Инструкцию по организации антивирусной защиты;

33. Утвердить Инструкцию для пользователей, допущенных в обработке персональных данных;

34. Утвердить Инструкцию по организации парольной защиты в информационных системах;

35. Утвердить Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем;

36. Утвердить Политику по управлению событиями информационной безопасности в информационных системах;

37. Утвердить Политику по порядку учета внешних электронных носителей файлов, содержащих персональные данные, проверке этих файлов перед их загрузкой с внешнего электронного носителя в информационные системы персональных данных (при наличии указанной технологии);

38. Утвердить Политику управления конфигурацией информационных систем;

39. Утвердить Политику информационного взаимодействия со сторонними информационными системами;

40. Утвердить План мероприятий по защите информации на ближнюю/среднесрочную перспективу;

42. Утвердить Перечень лиц, осуществляющих техническую поддержку и сопровождение эксплуатации системы информационной безопасности информационных систем;

43. Утвердить Форму соглашения о неразглашении сведений конфиденциального характера;

44. Прекратить действие локальных нормативных актов по вопросам защиты информации, действующих до принятия перечисленных документов (при необходимости).




Состав организационных мер и требуемое документальное обеспечение мероприятий по эксплуатации средств криптографической защиты информации, в т.ч. при обработке персональных данных


1. Назначить ответственного пользователя средств криптографической защиты информации (СКЗИ), с закреплением за ними эксплуатируемых средств криптографической защиты информации, согласно утвержденному перечню таких средств;


Примечание: 

Ответственный пользователь СКЗИ - должностное лицо, имеющее необходимые профессиональные компетенции в области защиты информации, в области криптографической защиты информации.

При необходимости, функциональные обязанности ответственного пользователя СКЗИ могут быть делегированы компании - лицензиату ФСБ России, на основании договора на оказание услуг по криптографической защите информации.


2. Возложить ответственность за функционирование и безопасность криптографических средств защиты информации на ответственного пользователя СКЗИ;

3. Обеспечить прохождение работниками, допущенными к работе с СКЗИ, инструктажа по самостоятельной работе со СКЗИ, а по его завершению обеспечить проведение проверки знаний и последующий допуск к самостоятельной работе со СКЗИ;

4. Ответственному пользователю СКЗИ подготовить и утвердить заключение о возможности допуска работников к самостоятельной работе со СКЗИ;

5. Утвердить программу инструктажа работников-пользователей СКЗИ, правилам работы со средствами криптографической защиты информации;

6. Утвердить форму и содержание теста пользователя криптосредства на знание правил работы с СКЗИ, который он должен проходить по завершению инструктажа;
 
7. Утвердить перечень спецпомещений и спецхранилищ, мест хранения и эксплуатации СКЗИ;

8. Ответственному пользователю СКЗИ обеспечить подготовку и размещение информационного листа с перечнем работников, имеющих право самостоятельного нахождения в спецпомещении, по утвержденной форме, в области дверного проема спецпомещений мест хранения и эксплуатации СКЗИ;

9. Ответственному пользователю СКЗИ обеспечить необходимый текущий контроль за организацией режима обеспечения безопасности спецпомещений, в которых размещены информационные системы и(или) используемые средства криптографической защиты информации, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти спецпомещения;

10. Ответственному пользователю СКЗИ обеспечить проведение проверки и подготовку по результатам проверки заключения о возможности эксплуатации СКЗИ с учетом их аппаратно-программной среды функционирования по утвержденной форме;

11. Ответственному пользователю СКЗИ обеспечить использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

12.  Утвердить:

12.1. Функциональные обязанности ответственного пользователя средств криптографической защиты информации;

12.2.Форму акта установки средств криптографической защиты информации, ввода в эксплуатацию и закрепления за ответственным лицом;

12.3.Форму акта уничтожения средств криптографической защиты информации;

12.4. Требования к программному и аппаратному обеспечению серверов и автоматизированных рабочих мест, оснащенных СКЗИ;

12.5. Инструкцию работника - пользователя СКЗИ при работе с шифровальными (криптографическими) средствами;

12.6. Инструкцию по допуску лиц в спецпомещения с установленными СКЗИ;

12.7. Инструкцию по восстановлению связи в случае компрометации действующих ключей шифрования;

12.8. Форму эксплуатационного журнала – журнал пользователя сети;

12.9. Форму эксплуатационного журнала – журнал лицевых счетов пользователей средств криптографической защиты информации;

12.10.     Форму эксплуатационного журнала – журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов;

12.11.     Форму эксплуатационного журнала – журнал учета и выдачи носителей с ключевой информацией;

12.12.     Форму эксплуатационного журнала – журнал инструктажа пользователей правилам работы с криптосредствами;

12.13.     Схему организации криптографической защиты информации;

12.14.     Годовой план проведения проверок за соблюдением условий эксплуатации СКЗИ;

13. В соответствии с утвержденной Моделью угроз и нарушителя безопасности информации, установить требуемый класс применяемых средств криптографической защиты информации в информационных системах;

14. Ответственному пользователю СКЗИ ознакомить работников - пользователей СКЗИ с принятыми локальными нормативными актами по эксплуатации СКЗИ под роспись в листе ознакомления по утвержденной форме, а также всех лиц, эксплуатирующих и обслуживающих средства криптографической защиты информации, в т.ч. из числа подрядных компаний;

17. Ответственному пользователю СКЗИ обеспечить подготовку и корректировку в процессе эксплуатации СКЗИ плана проведения проверок за соблюдением условий эксплуатации СКЗИ на очередной календарный год согласно утвержденной форме;




Вопросы разработки защищенных автоматизированных и информационных систем

Базовые организационно-распорядительные документы по внедрению методов безопасного программирования в организации-разработчике программного обеспечения

В соответствии с пп.(з) п.11.2 приказа ФСТЭК №239, в случае если в ходе проектирования подсистемы безопасности значимого объекта предусмотрена разработка программного обеспечения, в том числе программного обеспечения средств защиты информации, такая разработка проводится в соответствии со стандартами безопасной разработки программного обеспечения.

Стандарты безопасной разработки программного обеспечения:




 

По вопросу разработки организационно-технических мер безопасной разработки программного обеспечения Вы можете обратиться по контактам указанным на сайте. 


Вопросы обеспечения безопасности Критической Информационной Инфраструктуры (КИИ)

Требуемое документальное обеспечение мероприятий по защите информации

в ИС / ИСПДн / АСУ, относящихся к КИИ / значимым КИИ.

Требования к кибербезопасности морских портов.


1.     Для ИС, ИСПДн, АСУ  - КИИ (общий)

Наименование документа

Основание для разработки документа

Категорирование объектов КИИ

1.    

Приказ о создании комиссии по категорированию

п.11 ПП № 127

2.    

Положение о комиссии по категорированию

п.11-14 ПП № 127

3.    

Заключение об отсутствии критических процессов и объектов

п.14 ПП № 127

4.    

Перечень объектов КИИ

п.15 ПП № 127

5.    

Модель угроз

пп г) д) п.14 ПП № 127

6.    

Акт категорирования объектов КИИ

п.16 ПП № 127

7.    

Сведения о результатах категорирования объекта КИИ отправляемых в ФСТЭК России

п.17 ПП № 127, приказ ФСТЭК № 236

Состав предпроектной, проектной и эксплуатационной документации

для АСУ ТП (КИИ / не КИИ)

8.    

Утвержденные требования к защите информации в АСУ

п.13 приказа ФСТЭК России от 14.03.14 № 31

9.    

Акт классификации АСУ

п.13.2 приказа ФСТЭК России от 14.03.14 № 31

10.

Модель угроз безопасности информации

п.13.3 приказа ФСТЭК России от 14.03.14 № 31

11.

Проектная документация на систему защиты АСУ, в т.ч. утвержденный перечень

информационных систем;

автоматизированных систем управления,

подлежащих защите.

п.14.1 приказа ФСТЭК России от 14.03.14 № 31

12.

Эксплуатационная документация на систему защиты АСУ, в т.ч.:

технический паспорт АСУ;

описание технологических решений процессов автоматизации технологических участков;

и т.д.

п.14.2 приказа ФСТЭК России от 14.03.14 № 31

13.

Организационно-распорядительные документы по защите информации (напр. по ГОСТ Р ИСО/МЭК 27001)

п.15 приказа ФСТЭК России от 14.03.14 № 31

14.

Акты установки и настройки средств защиты информации АСУ

п.15 приказа ФСТЭК России от 14.03.14 № 31

15.

Документальные свидетельства результатов предварительных испытаний системы защиты информации АСУ

п.15 приказа ФСТЭК России от 14.03.14 № 31

16.

Документальные свидетельства результатов опытной эксплуатации системы защиты информации АСУ

п.15 приказа ФСТЭК России от 14.03.14 № 31

17.

Документальные свидетельства анализа уязвимостей АСУ и принятия мер по их устранению

п.15 приказа ФСТЭК России от 14.03.14 № 31

18.

Эксплуатация – план мероприятий по защите информации в АСУ

п.16 приказа ФСТЭК России от 14.03.14 № 31

19.

Эксплуатация – политики обеспечения действий в нештатных ситуациях в ходе эксплуатации АСУ, документальные свидетельства ознакомления персонала с политиками

20.

Эксплуатация – политики информирования и обучения персонала АСУ, документальные свидетельства информирования и обучения

21.

Эксплуатация – политики управления (администрирования) системой защиты АСУ

22.

Эксплуатация – политики выявления инцидентов и реагирования на них в ходе эксплуатации АСУ

23.

Эксплуатация – политики управления конфигурацией АСУ и ее системы защиты, обновления ПО, в т.ч.:

утвержденная на объекте технология обновления программного обеспечения АСУ их разработчиками;

утвержденный перечень лиц технического персонала разработчиков АСУ, допущенных к техническому обслуживанию, обновлению, модернизации АСУ;

документальное подтверждение использования методов безопасного программирования разработчиками ПО АСУ.

24.

Эксплуатация – политики контроля (мониторинга) за обеспечением уровня защищенности АСУ

25.

Политики вывода АСУ из эксплуатации, документальные свидетельства проводимых мероприятий

п.17 приказа ФСТЭК России от 14.03.14 № 31

2.     Для значимой КИИ

Наименование документа

Основание для разработки документа

Категорирование объектов КИИ

1.    

Приказ о создании комиссии по категорированию

п.11 ПП №127

2.    

Положение о комиссии по категорированию

п.11-14 ПП №127

3.    

Заключение о наличии процессов и объектов

п.14 ПП №127

4.    

Перечень объектов КИИ

п.15 ПП №127

5.    

Модель угроз

пп. г,д) п. 14 ПП №127 п. 11.1 приказа ФСТЭК №239

6.    

Акт категорирования объекта КИИ

п.16 ПП №127

7.    

Сведения о результатах категорирования объекта КИИ отправляемых в ФСТЭК России

п.17 ПП №127 приказ ФСТЭК №236

Состав предпроектной, проектной и эксплуатационной документации для значимой КИИ

8.    

Частное техническое задание на создание подсистемы безопасности значимого объекта КИИ

п. 10 приказа ФСТЭК №239

9.    

Перечень мер по обеспечению безопасности значимых объектов КИИ

п. 23 приказа ФСТЭК №239

10.

Эксплуатационная / рабочая документация ПБЗО (в том числе правила эксплуатации СЗИ)

п. 11.3 приказа ФСТЭК №239

11.

Программа и методики предварительных испытаний подсистемы безопасности значимого объекта КИИ

п. 12.4 приказа ФСТЭК №239

12.

Программа и методики опытной эксплуатации подсистемы безопасности значимого объекта КИИ

п. 12.5 приказа ФСТЭК №239

13.

Протокол анализа уязвимостей значимого объекта КИИ

п 12.6 приказа ФСТЭК №239

14.

Порядок проведения испытаний (приемки) СЗИ

пп. б) п.25 приказа ФСТЭК №235

15.

Программа и методики приемочных испытаний подсистемы безопасности значимого объекта КИИ (в том числе оценки соответствия СЗИ)

п 12.7 приказа ФСТЭК №239

16.

Акт приемки значимого объекта КИИ в эксплуатацию

п 12.7 приказа ФСТЭК №239

Документальное обеспечение организационных мер

17.

Политика обеспечения безопасности КИИ

пп. а) п.25 приказа ФСТЭК

№235

18.

Приказ о распределении ответственности в области обеспечения безопасности КИИ (назначении подразделения или лица ответственного за обеспечение безопасности значимого объекта КИИ, а также администраторов безопасности КИИ)

п. 10 приказа ФСТЭК №235

пп. г) п. 12.3 приказа ФСТЭК

№239

19.

Должностные инструкции лиц ответственных за обеспечение безопасности КИИ

п. 13 приказа ФСТЭК №235

20.

Ежегодный план мероприятий обеспечения безопасности КИИ и отдельные планы мероприятий в подразделениях

п. 13.1 приказа ФСТЭК №239

пп. б) п.25 приказа ФСТЭК

№235

п. 29 приказа ФСТЭК №235

21.

Отчет о выполнении плана мероприятий

п. 32 приказа ФСТЭК №235

22.

Порядок контроля выполнения мероприятий по обеспечению безопасности КИИ

пп. в) п. 13.1 приказа ФСТЭК

№239

пп. в) п. 13.8 приказа ФСТЭК

№239

23.

Приказ о создании комиссии по контролю состояния обеспечения безопасности КИИ

п. 36 приказа ФСТЭК №235

24.

Заключение по результатам контроля обеспечения безопасности КИИ

пп. в) п. 13.8 приказа ФСТЭК

№239

п. 36 приказа ФСТЭК №235

25.

Порядки реализации отдельных мер обеспечения безопасности КИИ

п. 12.2 приказа ФСТЭК №239

пп. б) п.25 приказа ФСТЭК

№235

26.

Порядок реагирования на компьютерные инциденты

пп. б) п.25 приказа ФСТЭК

№235

27.

Порядок действий в нештатных ситуациях (в том числе вызванных компьютерными инцидентами)

п. 12.2 приказа ФСТЭК №239

пп. а) п. 13.6 приказа ФСТЭК

№239

28.

Порядок взаимодействия подразделений при решении задач обеспечения безопасности КИИ

пп. б) п.25 приказа ФСТЭК

№235

29.

Порядок информирования и обучения работников

п. 13.7 приказа ФСТЭК №239

пп. б) п.25 приказа ФСТЭК

№235

30.

Журнал ознакомления с ОРД по КИИ или листы ознакомления с отдельными документами

п. 15 приказа ФСТЭК №235

п. 27 приказа ФСТЭК №235

31.

Журнал ознакомления подрядчиков с ОРД по КИИ

п. 16 приказа ФСТЭК №235

32.

Журнал инструктажа работников по вопросам обеспечения безопасности КИИ

п. 15 приказа ФСТЭК №235

33.

Правила безопасной работы при эксплуатации, защищаемого КИИ

п. 12.2 приказа ФСТЭК №239

п. 15 приказа ФСТЭК №235

пп. в) п.25 приказа ФСТЭК

№235

3.     Кибербезопасность портов

Наименование документа

Основание для разработки документа

1.    

Политика обеспечения кибербезопасности портовой информационной инфраструктуры

Резолюция Международной морской организации (ИМО) MSC.428(98).

Циркулярное письмо ИМО MSC-FAL.1/Circ.3 от 05.07.2017 г. «Руководство по управлению киберрисками в морской отрасли».

2.    

Модель угроз и нарушителя безопасности портовой информационной инфраструктуры

Приказ ФСТЭК России №235, ФСТЭК России от 14.03.14 № 31

3.    

Технический паспорт портовой информационной инфраструктуры

Приказ ФСТЭК России №235, ФСТЭК России от 14.03.14 № 31

4.    

Техно-рабочий проект на создание системы обеспечения кибербезопасности портовой информационной инфраструктуры

Приказ ФСТЭК России №235, ФСТЭК России от 14.03.14 № 31

4.     Кибербезопасность судов

Наименование документа

Основание для разработки документа

1.    

Регламент проверки заходящих в порты судов на предмет выполнения рекомендаций ИМО по кибербезопасности.

Требования по проведению проверок вступили в силу с 01.01.2021г.

Резолюция Международной морской организации (ИМО) MSC.428(98).

Циркулярное письмо ИМО MSC-FAL.1/Circ.3 от 05.07.2017 г. «Руководство по управлению киберрисками в морской отрасли».





Оценка защищенности, тестирование на проникновение, анализ уязвимости программного обеспечения

раздел дополняется...


Экспертиза информационной инфраструктуры и расследование инцидентов информационной безопасности

раздел дополняется...