Информационные материалы

Информационные материалы для ознакомления

Свяжитесь с нами, и мы поможем Вам с разработкой, внедрением и сопровождением мер по защите информации

Ряд организационно-распорядительных документов по защищенной обработке персональных данных и эксплуатации средств криптографической защиты информации Вы можете скачать со страниц нашего Учебного портала по ссылкам:

ОРД по защищенной обработке ПДн

Эксплуатационно-техническая документация по эксплуатации СКЗИ

Разработка систем защиты информации начинается с разработки технических требований Заказчика системы.
На основании технических требований Заказчика разрабатывается модель угроз безопасности информации и техническое задание на разработку системы защиты информации.

В дальнейшем, в ходе проведения работ по разработке технического задания на систему защиты информации, технические требования Заказчика могут уточняться, и этот процесс корректировок и уточнений может продолжаться в течение всего периода разработки систем защиты информации.

Обращайтесь к нам, и мы поможем вам подобрать и протестировать необходимые технические решения защиты информации.

Ниже приведены справочные сведения по составу необходимой проектной, эксплуатационно-технической и организационно-распорядительной документации по защите конфиденциальной информации для некоторых направлений её обработки.

Защищенная обработка конфиденциальной информации, в т.ч. персональных данных и эксплуатация средств криптографической защиты информации

Состав организационных мер и требуемое документальное обеспечение мероприятий по защите информации

1. Утвердить границы контролируемой зоны в пределах которой постоянно размещаются стационарные технические средства обработки конфиденциальной информации, средства защиты информации, а также инженерно-технические средства обеспечения их функционирования.

2. Назначить ответственно лицо за организацию обработки персональных данных в информационных системах.

3. Назначить ответственное лицо за защиту информации и обеспечение безопасности персональных данных в информационных системах.

4. Назначить администратора информационной безопасности (ответственное должностное лицо за обеспечение технических мер по защите информации, в т.ч. персональных данных).

5. Назначить постоянно действующую рабочую группу/ группы (или комиссию) по:

установлению уровня защищенности персональных данных;

по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушений требований по обработке и обеспечению безопасности персональных данных;

по работе с инцидентами информационной безопасности.

6. Утвердить перечень информационных систем, в т.ч. информационных систем персональных данных;

7. Утвердить перечень должностей работников, ведущих обработку персональных данных;

8. Утвердить перечень персональных данных, разрешенных к обработке;

9. Утвердить Акт по установлению уровня защищенности персональных данных при их обработке в информационных системах;

10. Утвердить Политику в отношении обработки и защиты персональных данных в информационных системах;

11. Утвердить Инструкцию Ответственного лица за защиту информации и обеспечение безопасности персональных данных в информационных системах,

12. Утвердить Инструкцию Администратора информационной безопасности информационных систем;

13. Утвердить Инструкцию по работе с инцидентами информационной безопасности;

14. Утвердить Инструкцию о порядке проведения разбирательств;

15. Утвердить Инструкцию системного администратора технических средств защиты информации информационных систем;

16. Утвердить Инструкцию ответственного лица за организацию обработки персональных данных в информационных системах;

17. Утвердить Порядок обработки персональных данных в информационных системах;

18. Утвердить Порядок использования типовых форм, содержащих персональные данные и не регламентируемых законодательством Российской Федерации;

19. Утвердить Правила неавтоматизированной обработки персональных данных;

20. Утвердить Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных;

21. Утвердить Заключение об оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных;

22. Утвердить Матрицу доступа пользователей к ресурсам информационных систем;

23. Утвердить Перечень обрабатываемых сведений конфиденциального характера;

24. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных в информационных системах;

25. Утвердить Порядок уничтожения персональных данных в информационных системах при достижении целей обработки или при наступлении иных законных оснований;

26. Утвердить Правила работы с обезличенными персональными данными и состав рабочей группы по обезличиванию персональных данных;

27. Утвердить Места хранения материальных носителей персональных данных, используемых при обработке персональных данных без средств автоматизации, обрабатываемых в информационных системах;

28. Утвердить Места размещения машинных носителей персональных данных, используемых при обработке персональных данных в информационных системах;

29. Утвердить Инструкцию по доступу работников в помещения, места размещения технических средств информационных систем персональных данных, в которых ведется обработка персональных данных и организации безопасности этих помещений;

30. Утвердить Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным в информационных системах;

31. Утвердить Инструкцию о порядке резервирования и восстановления информации в информационных системах;

32. Утвердить Инструкцию по организации антивирусной защиты;

33. Утвердить Инструкцию для пользователей, допущенных в обработке персональных данных;

34. Утвердить Инструкцию по организации парольной защиты в информационных системах;

35. Утвердить Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем;

36. Утвердить Политику по управлению событиями информационной безопасности в информационных системах;

37. Утвердить Политику по порядку учета внешних электронных носителей файлов, содержащих персональные данные, проверке этих файлов перед их загрузкой с внешнего электронного носителя в информационные системы персональных данных (при наличии указанной технологии);

38. Утвердить Политику управления конфигурацией информационных систем;

39. Утвердить Политику информационного взаимодействия со сторонними информационными системами;

40. Утвердить План мероприятий по защите информации на ближнюю/среднесрочную перспективу;

42. Утвердить Перечень лиц, осуществляющих техническую поддержку и сопровождение эксплуатации системы информационной безопасности информационных систем;

43. Утвердить Форму соглашения о неразглашении сведений конфиденциального характера;

44. Прекратить действие локальных нормативных актов по вопросам защиты информации, действующих до принятия перечисленных документов (при необходимости).

Состав организационных мер и требуемое документальное обеспечение мероприятий по эксплуатации средств криптографической защиты информации, в т.ч. при обработке персональных данных

1. Назначить ответственного пользователя средств криптографической защиты информации (СКЗИ), с закреплением за ними эксплуатируемых средств криптографической защиты информации, согласно утвержденному перечню таких средств;

Примечание:

Ответственный пользователь СКЗИ - должностное лицо, имеющее необходимые профессиональные компетенции в области защиты информации, в области криптографической защиты информации.

При необходимости, функциональные обязанности ответственного пользователя СКЗИ могут быть делегированы компании - лицензиату ФСБ России, на основании договора на оказание услуг по криптографической защите информации.

2. Возложить ответственность за функционирование и безопасность криптографических средств защиты информации на ответственного пользователя СКЗИ;

3. Обеспечить прохождение работниками, допущенными к работе с СКЗИ, инструктажа по самостоятельной работе со СКЗИ, а по его завершению обеспечить проведение проверки знаний и последующий допуск к самостоятельной работе со СКЗИ;

4. Ответственному пользователю СКЗИ подготовить и утвердить заключение о возможности допуска работников к самостоятельной работе со СКЗИ;

5. Утвердить программу инструктажа работников-пользователей СКЗИ, правилам работы со средствами криптографической защиты информации;

6. Утвердить форму и содержание теста пользователя криптосредства на знание правил работы с СКЗИ, который он должен проходить по завершению инструктажа;

7. Утвердить перечень спецпомещений и спецхранилищ, мест хранения и эксплуатации СКЗИ;

8. Ответственному пользователю СКЗИ обеспечить подготовку и размещение информационного листа с перечнем работников, имеющих право самостоятельного нахождения в спецпомещении, по утвержденной форме, в области дверного проема спецпомещений мест хранения и эксплуатации СКЗИ;

9. Ответственному пользователю СКЗИ обеспечить необходимый текущий контроль за организацией режима обеспечения безопасности спецпомещений, в которых размещены информационные системы и(или) используемые средства криптографической защиты информации, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти спецпомещения;

10. Ответственному пользователю СКЗИ обеспечить проведение проверки и подготовку по результатам проверки заключения о возможности эксплуатации СКЗИ с учетом их аппаратно-программной среды функционирования по утвержденной форме;

11. Ответственному пользователю СКЗИ обеспечить использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

12. Утвердить:

12.1. Функциональные обязанности ответственного пользователя средств криптографической защиты информации;

12.2.Форму акта установки средств криптографической защиты информации, ввода в эксплуатацию и закрепления за ответственным лицом;

12.3.Форму акта уничтожения средств криптографической защиты информации;

12.4. Требования к программному и аппаратному обеспечению серверов и автоматизированных рабочих мест, оснащенных СКЗИ;

12.5. Инструкцию работника - пользователя СКЗИ при работе с шифровальными (криптографическими) средствами;

12.6. Инструкцию по допуску лиц в спецпомещения с установленными СКЗИ;

12.7. Инструкцию по восстановлению связи в случае компрометации действующих ключей шифрования;

12.8. Форму эксплуатационного журнала – журнал пользователя сети;

12.9. Форму эксплуатационного журнала – журнал лицевых счетов пользователей средств криптографической защиты информации;

12.10. Форму эксплуатационного журнала – журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов;

12.11. Форму эксплуатационного журнала – журнал учета и выдачи носителей с ключевой информацией;

12.12. Форму эксплуатационного журнала – журнал инструктажа пользователей правилам работы с криптосредствами;

12.13. Схему организации криптографической защиты информации;

12.14. Годовой план проведения проверок за соблюдением условий эксплуатации СКЗИ;

13. В соответствии с утвержденной Моделью угроз и нарушителя безопасности информации, установить требуемый класс применяемых средств криптографической защиты информации в информационных системах;

14. Ответственному пользователю СКЗИ ознакомить работников - пользователей СКЗИ с принятыми локальными нормативными актами по эксплуатации СКЗИ под роспись в листе ознакомления по утвержденной форме, а также всех лиц, эксплуатирующих и обслуживающих средства криптографической защиты информации, в т.ч. из числа подрядных компаний;

17. Ответственному пользователю СКЗИ обеспечить подготовку и корректировку в процессе эксплуатации СКЗИ плана проведения проверок за соблюдением условий эксплуатации СКЗИ на очередной календарный год согласно утвержденной форме;

Вопросы разработки защищенных автоматизированных и информационных систем

Базовые организационно-распорядительные документы по внедрению методов безопасного программирования в организации-разработчике программного обеспечения

В соответствии с пп.(з) п.11.2 приказа ФСТЭК №239, в случае если в ходе проектирования подсистемы безопасности значимого объекта предусмотрена разработка программного обеспечения, в том числе программного обеспечения средств защиты информации, такая разработка проводится в соответствии со стандартами безопасной разработки программного обеспечения.

Стандарты безопасной разработки программного обеспечения:

ГОСТ Р 56939 - 2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования.

ГОСТ Р 58412 - 2019 Защита информации. Разработка программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения.

ГОСТ Р ИСО/МЭК 12207 - 2010 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.

По вопросу разработки организационно-технических мер безопасной разработки программного обеспечения Вы можете обратиться по контактам указанным на сайте.

Вопросы обеспечения безопасности Критической Информационной Инфраструктуры (КИИ)

Требуемое документальное обеспечение мероприятий по защите информации

в ИС / ИСПДн / АСУ, относящихся к КИИ / значимым КИИ.

Требования к кибербезопасности морских портов.

1. Для ИС, ИСПДн, АСУ - КИИ (общий)

№	Наименование документа	Основание для разработки документа
Категорирование объектов КИИ
1.	Приказ о создании комиссии по категорированию	п.11 ПП № 127
2.	Положение о комиссии по категорированию	п.11-14 ПП № 127
3.	Заключение об отсутствии критических процессов и объектов	п.14 ПП № 127
4.	Перечень объектов КИИ	п.15 ПП № 127
5.	Модель угроз	пп г) д) п.14 ПП № 127
6.	Акт категорирования объектов КИИ	п.16 ПП № 127
7.	Сведения о результатах категорирования объекта КИИ отправляемых в ФСТЭК России	п.17 ПП № 127, приказ ФСТЭК № 236
Состав предпроектной, проектной и эксплуатационной документации для АСУ ТП (КИИ / не КИИ)
8.	Утвержденные требования к защите информации в АСУ	п.13 приказа ФСТЭК России от 14.03.14 № 31
9.	Акт классификации АСУ	п.13.2 приказа ФСТЭК России от 14.03.14 № 31
10.	Модель угроз безопасности информации	п.13.3 приказа ФСТЭК России от 14.03.14 № 31
11.	Проектная документация на систему защиты АСУ, в т.ч. утвержденный перечень информационных систем; автоматизированных систем управления, подлежащих защите.	п.14.1 приказа ФСТЭК России от 14.03.14 № 31
12.	Эксплуатационная документация на систему защиты АСУ, в т.ч.: технический паспорт АСУ; описание технологических решений процессов автоматизации технологических участков; и т.д.	п.14.2 приказа ФСТЭК России от 14.03.14 № 31
13.	Организационно-распорядительные документы по защите информации (напр. по ГОСТ Р ИСО/МЭК 27001)	п.15 приказа ФСТЭК России от 14.03.14 № 31
14.	Акты установки и настройки средств защиты информации АСУ	п.15 приказа ФСТЭК России от 14.03.14 № 31
15.	Документальные свидетельства результатов предварительных испытаний системы защиты информации АСУ	п.15 приказа ФСТЭК России от 14.03.14 № 31
16.	Документальные свидетельства результатов опытной эксплуатации системы защиты информации АСУ	п.15 приказа ФСТЭК России от 14.03.14 № 31
17.	Документальные свидетельства анализа уязвимостей АСУ и принятия мер по их устранению	п.15 приказа ФСТЭК России от 14.03.14 № 31
18.	Эксплуатация – план мероприятий по защите информации в АСУ	п.16 приказа ФСТЭК России от 14.03.14 № 31
19.	Эксплуатация – политики обеспечения действий в нештатных ситуациях в ходе эксплуатации АСУ, документальные свидетельства ознакомления персонала с политиками
20.	Эксплуатация – политики информирования и обучения персонала АСУ, документальные свидетельства информирования и обучения
21.	Эксплуатация – политики управления (администрирования) системой защиты АСУ
22.	Эксплуатация – политики выявления инцидентов и реагирования на них в ходе эксплуатации АСУ
23.	Эксплуатация – политики управления конфигурацией АСУ и ее системы защиты, обновления ПО, в т.ч.: утвержденная на объекте технология обновления программного обеспечения АСУ их разработчиками; утвержденный перечень лиц технического персонала разработчиков АСУ, допущенных к техническому обслуживанию, обновлению, модернизации АСУ; документальное подтверждение использования методов безопасного программирования разработчиками ПО АСУ.
24.	Эксплуатация – политики контроля (мониторинга) за обеспечением уровня защищенности АСУ
25.	Политики вывода АСУ из эксплуатации, документальные свидетельства проводимых мероприятий	п.17 приказа ФСТЭК России от 14.03.14 № 31

2. Для значимой КИИ

№	Наименование документа	Основание для разработки документа
Категорирование объектов КИИ
1.	Приказ о создании комиссии по категорированию	п.11 ПП №127
2.	Положение о комиссии по категорированию	п.11-14 ПП №127
3.	Заключение о наличии процессов и объектов	п.14 ПП №127
4.	Перечень объектов КИИ	п.15 ПП №127
5.	Модель угроз	пп. г,д) п. 14 ПП №127 п. 11.1 приказа ФСТЭК №239
6.	Акт категорирования объекта КИИ	п.16 ПП №127
7.	Сведения о результатах категорирования объекта КИИ отправляемых в ФСТЭК России	п.17 ПП №127 приказ ФСТЭК №236
Состав предпроектной, проектной и эксплуатационной документации для значимой КИИ
8.	Частное техническое задание на создание подсистемы безопасности значимого объекта КИИ	п. 10 приказа ФСТЭК №239
9.	Перечень мер по обеспечению безопасности значимых объектов КИИ	п. 23 приказа ФСТЭК №239
10.	Эксплуатационная / рабочая документация ПБЗО (в том числе правила эксплуатации СЗИ)	п. 11.3 приказа ФСТЭК №239
11.	Программа и методики предварительных испытаний подсистемы безопасности значимого объекта КИИ	п. 12.4 приказа ФСТЭК №239
12.	Программа и методики опытной эксплуатации подсистемы безопасности значимого объекта КИИ	п. 12.5 приказа ФСТЭК №239
13.	Протокол анализа уязвимостей значимого объекта КИИ	п 12.6 приказа ФСТЭК №239
14.	Порядок проведения испытаний (приемки) СЗИ	пп. б) п.25 приказа ФСТЭК №235
15.	Программа и методики приемочных испытаний подсистемы безопасности значимого объекта КИИ (в том числе оценки соответствия СЗИ)	п 12.7 приказа ФСТЭК №239
16.	Акт приемки значимого объекта КИИ в эксплуатацию	п 12.7 приказа ФСТЭК №239
Документальное обеспечение организационных мер
17.	Политика обеспечения безопасности КИИ	пп. а) п.25 приказа ФСТЭК №235
18.	Приказ о распределении ответственности в области обеспечения безопасности КИИ (назначении подразделения или лица ответственного за обеспечение безопасности значимого объекта КИИ, а также администраторов безопасности КИИ)	п. 10 приказа ФСТЭК №235 пп. г) п. 12.3 приказа ФСТЭК №239
19.	Должностные инструкции лиц ответственных за обеспечение безопасности КИИ	п. 13 приказа ФСТЭК №235
20.	Ежегодный план мероприятий обеспечения безопасности КИИ и отдельные планы мероприятий в подразделениях	п. 13.1 приказа ФСТЭК №239 пп. б) п.25 приказа ФСТЭК №235 п. 29 приказа ФСТЭК №235
21.	Отчет о выполнении плана мероприятий	п. 32 приказа ФСТЭК №235
22.	Порядок контроля выполнения мероприятий по обеспечению безопасности КИИ	пп. в) п. 13.1 приказа ФСТЭК №239 пп. в) п. 13.8 приказа ФСТЭК №239
23.	Приказ о создании комиссии по контролю состояния обеспечения безопасности КИИ	п. 36 приказа ФСТЭК №235
24.	Заключение по результатам контроля обеспечения безопасности КИИ	пп. в) п. 13.8 приказа ФСТЭК №239 п. 36 приказа ФСТЭК №235
25.	Порядки реализации отдельных мер обеспечения безопасности КИИ	п. 12.2 приказа ФСТЭК №239 пп. б) п.25 приказа ФСТЭК №235
26.	Порядок реагирования на компьютерные инциденты	пп. б) п.25 приказа ФСТЭК №235
27.	Порядок действий в нештатных ситуациях (в том числе вызванных компьютерными инцидентами)	п. 12.2 приказа ФСТЭК №239 пп. а) п. 13.6 приказа ФСТЭК №239
28.	Порядок взаимодействия подразделений при решении задач обеспечения безопасности КИИ	пп. б) п.25 приказа ФСТЭК №235
29.	Порядок информирования и обучения работников	п. 13.7 приказа ФСТЭК №239 пп. б) п.25 приказа ФСТЭК №235
30.	Журнал ознакомления с ОРД по КИИ или листы ознакомления с отдельными документами	п. 15 приказа ФСТЭК №235 п. 27 приказа ФСТЭК №235
31.	Журнал ознакомления подрядчиков с ОРД по КИИ	п. 16 приказа ФСТЭК №235
32.	Журнал инструктажа работников по вопросам обеспечения безопасности КИИ	п. 15 приказа ФСТЭК №235
33.	Правила безопасной работы при эксплуатации, защищаемого КИИ	п. 12.2 приказа ФСТЭК №239 п. 15 приказа ФСТЭК №235 пп. в) п.25 приказа ФСТЭК №235

3. Кибербезопасность портов

№	Наименование документа	Основание для разработки документа
1.	Политика обеспечения кибербезопасности портовой информационной инфраструктуры	Резолюция Международной морской организации (ИМО) MSC.428(98). Циркулярное письмо ИМО MSC-FAL.1/Circ.3 от 05.07.2017 г. «Руководство по управлению киберрисками в морской отрасли».
2.	Модель угроз и нарушителя безопасности портовой информационной инфраструктуры	Приказ ФСТЭК России №235, ФСТЭК России от 14.03.14 № 31
3.	Технический паспорт портовой информационной инфраструктуры	Приказ ФСТЭК России №235, ФСТЭК России от 14.03.14 № 31
4.	Техно-рабочий проект на создание системы обеспечения кибербезопасности портовой информационной инфраструктуры	Приказ ФСТЭК России №235, ФСТЭК России от 14.03.14 № 31

4. Кибербезопасность судов

№	Наименование документа	Основание для разработки документа
1.	Регламент проверки заходящих в порты судов на предмет выполнения рекомендаций ИМО по кибербезопасности. Требования по проведению проверок вступили в силу с 01.01.2021г.	Резолюция Международной морской организации (ИМО) MSC.428(98). Циркулярное письмо ИМО MSC-FAL.1/Circ.3 от 05.07.2017 г. «Руководство по управлению киберрисками в морской отрасли».

№

Наименование документа

Основание для разработки документа

Регламент проверки заходящих в порты судов на предмет выполнения рекомендаций ИМО по кибербезопасности.

Требования по проведению проверок вступили в силу с 01.01.2021г.

Резолюция Международной морской организации (ИМО) MSC.428(98).

Циркулярное письмо ИМО MSC-FAL.1/Circ.3 от 05.07.2017 г. «Руководство по управлению киберрисками в морской отрасли».

Оценка защищенности, тестирование на проникновение, анализ уязвимости программного обеспечения

раздел дополняется...

Экспертиза информационной инфраструктуры и расследование инцидентов информационной безопасности

раздел дополняется...