Приговор или нет? Скорее да, но сдаваться не наш метод
В первую очередь стоит узнать, что такое КИИ, но к этому вернемся позже, если такой формат фиксации мыслей мне зайдет
Сегодня озвучим, что же должно быть в портфеле лНПА у субъекта
Насколько мне известно, приемлемый список состоит из 37 позиций
1. Приказ о создании комиссии по категорированию
2. Заключение о наличии процессов и объектов
3. Перечень объектов
4. Модель угроз
5. Акт категорирования объекта
6. Сведения о категорировании объекта КИИ
7. Политика обеспечения безопасности КИИ
8. Приказ о назначении ответственных
9. Инструкции ответственных
10. Положение о подразделении ответственном за КИИ
11. План мероприятий обеспечения безопасности
12. Политика аудита безопасности
13. Приказ о создании комиссии по контролю состояния обеспечения безопасности
14. Политика идентификации и аутентификации
15. Политика управления доступом
16. Политика ограничения программной среды
17. Политика защиты машинных носителей информации
18. Инструкция по учету машинных носителей информации
19. Журнал учета машинных носителей информации
20. Политика антивирусной защиты
21. Политика предотвращения вторжений
22. Политика защиты технических средств и систем
23. Приказ об установлении контролируемой зоны
24. Политика управления конфигурацией информационной(автоматизированной) системы
25. Политика управления обновлениями программного обеспечения
26. Политика обеспечения целостности
27. Политика обеспечения доступности
28. Политика защиты информационной (автоматизированной) системы
29. Политика реагирования на компьютерные инциденты
30. Политика обеспечения действия в нештатных ситуациях
31. Порядок реагирования на компьютерные инциденты
32. Порядок взаимодействия с ГосСОПКА
33. Порядок действий в нештатных ситуациях
34. Порядок взаимодействия подразделений при решении задач обеспечения безопасности
35. Политика информирования и обучения персонала
36. Журнал ознакомления с организационно-распорядительной документацией
37. Правила безопасной работы при эксплуатации ЗОКИИ
Список не мал и может вводить в депрессию, но однозначно нужно спросить себя, чего мы хотим? Построить систему КИИ или цель минимальное бумаготворчество, чтобы прикрыть горящий зад?