|
N
|
Название мероприятия
|
Результат мероприятия
|
Примечание
|
|
1.
|
Мероприятия по обеспечению безопасности ПДн
|
Организационно-распорядительная документация и локальные нормативные акты по обеспечению безопасности ПДн
|
Мероприятия проводятся, если в информационной системе обрабатываются ПДн
|
|
1.1
|
Назначение ответственного за организацию обработки ПДн
|
Приказ о назначении ответственного за организацию обработки ПДн
Инструкция ответственного за организацию обработки ПДн
|
Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
|
|
1.2
|
Разработка документа, определяющего политику оператора информационной системы в отношении обработки персональных данных
|
Политика оператора информационной системы в отношении обработки персональных данных обработки персональных данных
|
|
|
1.3
|
Разработка положения по организации и проведению работ обеспечению безопасности ПДн
|
Приказ об утверждении положения по организации и проведению работ обеспечению безопасности ПДн
Положение по организации и проведению работ обеспечению безопасности ПДн
|
|
|
1.4
|
Разработка правил рассмотрения запросов субъектов персональных данных или их представителей
|
Правила рассмотрения запросов субъектов персональных данных или их представителей
|
Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
|
|
1.5
|
Разработка правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
|
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
|
Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
|
|
1.6
|
Разработка правил работы с обезличенными данными в случае обезличивания персональных данных
|
Правила работы с обезличенными данными в случае обезличивания персональных данных
|
Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
|
|
1.7
|
Определение перечня должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных
|
Приказ об утверждении перечня должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных
|
Разрабатывается в том случае, если оператор информационной системы в сфере здравоохранения является государственным или муниципальным органом
Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
|
|
1.8
|
Разработка типового обязательства служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
|
Типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
|
Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
|
|
1.9
|
Разработка типовой формы согласия на обработку персональных данных, а также типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
|
Типовая форма согласия на обработку персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
|
Мероприятие проводится при создании информационной системы (до начала создания системы защиты информации)
|
|
1.10
|
Разработка типовой формы согласия на обработку общедоступных персональных данных
|
Типовая форма согласия на обработку общедоступных персональных данных
|
|
|
1.11
|
Выделение помещения (помещений), в котором производится обработка ПДн
|
Приказ о выделении помещения (помещений), в котором производится обработка ПДн
|
|
|
1.12
|
Формирование комиссии по определению уровня защищенности ПДн при их обработке в информационной системе
|
Приказ о составе комиссии по определению уровня защищенности ПДн при их обработке в информационной системе Положение о комиссии по определению уровня защищенности ПДн при их обработке в информационной системе
|
|
|
1.13
|
Разработка плана мероприятий по защите ПДн в ИС
|
План мероприятий по защите ПДн в ИС
|
|
|
1.14
|
Определение уровня защищенности персональных данных при их обработке в информационной системе
|
Акт определения уровня защищенности персональных данных при их обработке в информационной системе
|
|
|
1.15
|
Определение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
|
Приказ об утверждении перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
Перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
|
|
|
1.16
|
Разработка и утверждение правил доступа в помещения, в которых производится обработка конфиденциальной информации, в том числе ПДн, в рабочее и нерабочее время, а также в нештатных ситуациях
|
Правила доступа в помещения, в которых производится обработка конфиденциальной информации, в том числе ПДн, в рабочее и нерабочее время, а также в нештатных ситуациях
|
|
|
1.17
|
Утверждение списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии
|
Приказ об утверждении списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии
|
Для ИС 1-го и 2-го унифицированных классов защиты
|
|
1.18
|
Назначение лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям
|
Приказ о назначении лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям
|
Для ИС 1-го унифицированного класса защиты
|
|
1.19
|
Определение и утверждение мест хранения материальных носителей персональных данных
|
Приказ об утверждении мест хранения материальных носителей персональных данных
|
|
|
1.20
|
Формирование комиссии по уничтожению документов с ПДн
|
Приказ о назначении комиссии по уничтожению документов с ПДн
Положение о комиссии по уничтожению документов с ПДн
|
|
|
1.21
|
Организация охраны, внутриобъектового режима и порядка допуска лиц в помещения, в которых ведется обработка персональных данных
|
Приказ об утверждении инструкции, определяющей порядок охраны, внутриобъектовый режим и порядок допуска лиц в помещения, в которых ведется обработка персональных данных
Инструкция, определяющая порядок охраны, внутриобъектовый режим и порядок допуска лиц в помещения, в которых ведется обработка персональных данных
|
|
|
1.22
|
Организация охраны, внутриобъектового режима и порядка допуска лиц в помещения, в которых установлены СКЗИ или хранятся ключевые документы
|
Приказ об утверждении инструкции, определяющей порядок охраны, внутриобъектовый режим и порядок допуска лиц в помещения, в которых установлены СКЗИ или хранятся ключевые документы
Инструкция, определяющая порядок охраны, внутриобъектовый режим и порядок допуска лиц в помещения, в которых установлены СКЗИ или хранятся ключевые документы
|
Мероприятие проводится в случае применения оператором информационной системы СКЗИ
|
|
1.23
|
Определение перечня лиц, имеющих право доступа в помещения с элементами ИСПДн
|
Приказ об утверждении перечня лиц, имеющих право доступа в помещения с элементами ИСПДн
Перечень лиц, имеющих право доступа в помещения с элементами ИСПДн
|
|
|
1.24
|
Определение перечня ПДн, обрабатываемых в информационной системе
|
Приказ об утверждении перечня ПДн, обрабатываемых в информационной системе
Перечень ПДн, обрабатываемых в информационной системе
|
|
|
1.25
|
Определение перечня ИСПДн в организации
|
Приказ об утверждении перечня ИСПДн
Перечень ИСПДн
|
|
|
1.26
|
Разработка и утверждение правил доступа в помещения, где размещены используемые СКЗИ. хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ
|
Правила доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ
|
Мероприятие проводится в случае применения оператором информационной системы СКЗИ
|
|
1.27
|
Разработка журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
|
Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
|
Мероприятие проводится в случае применения оператором информационной системы СКЗИ
|
|
1.28
|
Назначение ответственного за организацию работ по криптографической защите информации
|
Приказ о назначении ответственного за организацию работ по криптографической защите информации
Инструкция ответственного за организацию работ по криптографической защите информации
|
Мероприятие проводится в случае применения оператором информационной системы СКЗИ
|
|
1.29
|
Разработка инструкции пользователя СКЗИ
|
Инструкция пользователя СКЗИ
|
Мероприятие проводится в случае применения оператором информационной системы СКЗИ
|
|
1.30
|
Разработка инструкции по обращению со средствами криптографической защиты информации СКЗИ
|
Инструкция по обращению со средствами криптографической защиты информации СКЗИ
|
Мероприятие проводится в случае применения оператором информационной системы СКЗИ
|
|
1.31
|
Разработка перечня пользователей, допущенных к работе с СКЗИ
|
Перечень пользователей, допущенных к работе с СКЗИ
|
Мероприятие проводится в случае применения оператором информационной системы СКЗИ
|
|
1.32
|
Разработка технического (аппаратного) журнала СКЗИ
|
Технический (аппаратный) журнал СКЗИ
|
Мероприятие проводится в случае применения оператором информационной системы СКЗИ
|
|
1.33
|
Разработка журнала учета носителей персональных данных
|
Журнал учета носителей персональных данных
|
|
|
2.
|
Мероприятия по обеспечению безопасности значимых объектов КИИ
|
Организационно-распорядительная документация и локальные нормативные акты по обеспечению безопасности значимых объектов КИИ
|
|
|
2.1.
|
Формирование постоянно действующей комиссии по категорированию объектов КИИ
|
Приказ о создании постоянно действующей комиссии по категорированию объектов КИИ
Положение о постоянно действующей комиссии по категорированию объектов КИИ
|
Требуется, если категорирование объектов КИИ осуществляется организацией (оператором ИС) самостоятельно
|
|
2.2.
|
Формирование перечня объектов критической информационной инфраструктуры, подлежащих категорированию
|
Письмо во ФСТЭК России о направлении перечня объектов критической информационной инфраструктуры, подлежащих категорированию
Перечень объектов критической информационной инфраструктуры, подлежащих категорированию
|
Требуется, если категорирование объектов КИИ осуществляется организацией (оператором ИС) самостоятельно
|
|
2.3.
|
Категорирование объекта КИИ
|
Акт категорирования объекта КИИ
|
Требуется, если категорирование объектов КИИ осуществляется организацией (оператором ИС) самостоятельно
|
|
2.4.
|
Подготовка сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
|
Письмо во ФСТЭК России о направлении сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
|
Требуется, если категорирование объектов КИИ осуществляется организацией (оператором ИС) самостоятельно
|
|
2.5.
|
Разработка политики обеспечения безопасности значимых объектов КИИ
|
Политика обеспечения безопасности значимых объектов КИИ
|
|
|
2.6.
|
Разработка плана мероприятий обеспечения безопасности значимых объектов КИИ
|
План мероприятий обеспечения безопасности объектов КИИ
|
Должен составляться ежегодно
|
|
2.7.
|
Назначение лиц. ответственных за управление (администрирование) подсистемой безопасности значимого объекта КИИ
|
Приказ о назначении лиц, ответственных за управление (администрирование) подсистемой безопасности значимого объекта КИИ
|
|
|
2.8.
|
Назначение лиц, которым разрешены действия по внесению изменений в конфигурацию значимого объекта и его подсистемы безопасности
|
Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию значимого объекта и его подсистемы безопасности
|
|
|
2.9.
|
Разработка и утверждение регламента информирования ФСБ России (НКЦКИ) о компьютерных инцидентах
|
Регламент информирования ФСБ России (НКЦКИ) о компьютерных инцидентах
|
|
|
2.10
|
Разработка плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
|
План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
|
|
|
2.11
|
Определение порядка контроля выполнения мероприятий по обеспечению безопасности значимого объекта
|
Порядок контроля выполнения мероприятий по обеспечению безопасности значимого объекта
|
|
|
2.12
|
Определение компонентов значимого объекта КИИ, подлежащих изменению и контролю
|
Приказ об утверждении перечня компонентов значимого объекта КИИ, подлежащих изменению и контролю
Перечень компонентов значимого объекта КИИ, подлежащих изменению и контролю
|
|
|
3.
|
Мероприятия по обеспечению безопасности государственных ИС
|
Организационно-распорядительная документация и локальные нормативные акты по защите информации в информационной системе
|
|
|
3.1.
|
Назначение лиц, ответственных за управление (администрирование) системой защиты информации информационной системы
|
Приказ о назначении лиц, ответственных за управление (администрирование) системой защиты информации информационной системы
|
Включает перечень лиц, ответственных за управление (администрирование) системой защиты информации информационной системы
|
|
3.2.
|
Разработка перечня ИС организации
|
Перечень ИС организации
|
|
|
3.3.
|
Разработка перечня сведений конфиденциального характера, обрабатываемых в ИС
|
Перечень сведений конфиденциального характера, обрабатываемых в ИС
|
|
|
3.4.
|
Формирование комиссии по классификации ИС
|
Приказ о составе комиссии по классификации ИС Положение о комиссии по классификации информационной системы
|
|
|
3.5.
|
Классификация информационной системы
|
Акт классификации ИС
|
|
|
3.6.
|
Разработка политики обеспечения информационной безопасности в организации
|
Политика обеспечения информационной безопасности в организации
|
|
|
3.7.
|
Назначение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий
|
Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий
|
Включает перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий
|
|
3.8.
|
Назначение лиц, ответственных за выявление инцидентов и реагирование на них
|
Приказ о назначении лиц, ответственных за выявление инцидентов и реагирование на них
|
Включает перечень лиц, ответственных за выявление инцидентов и реагирование на них
|
|
3.9.
|
Разработка порядка контроля выполнения мероприятий по обеспечению защиты информации в информационной системе
|
Порядок контроля выполнения мероприятий по обеспечению защиты информации в информационной системе
|
Включает перечень лиц, ответственных за планирование и контроль мероприятий по защите информации в информационной системе
|
|
3.10
|
Разработка плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствии компьютерных атак
|
План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
|
|
|
4.
|
Мероприятия по обеспечению безопасности коммерческой тайны
|
Организационно-распорядительная документация и локальные нормативные акты по обеспечению защиты коммерческой тайны
|
Разрабатываются при наличии в ИС организации информации, составляющей коммерческую тайну
|
|
4.1.
|
Введение режима коммерческой тайны в организации
|
Приказ о введении режима коммерческой тайны в организации
|
|
|
4.2.
|
Назначение ответственного за обеспечение безопасности коммерческой тайны
|
Приказ о назначении ответственного за обеспечение безопасности коммерческой тайны
|
|
|
4.3.
|
Разработка перечня сведений, составляющих коммерческую тайну
|
Перечень сведений, составляющих коммерческую тайну
|
|
|
4.4.
|
Разработка положения о защите коммерческой тайны
|
Положение о защите коммерческой тайны
|
|
|
5.
|
Общие мероприятия по обеспечению безопасности защищаемых ИС
|
|
|
|
5.1.
|
Разработка правил и процедур идентификации и аутентификации в ИС
|
Раздел в инструкцию пользователя ИС в части описания правил и процедур идентификации и аутентификации в ИС
Раздел в инструкцию администратора ИС в части описания правил и процедур идентификации и аутентификации в ИС
|
|
|
5.2.
|
Разработка правил и процедур управления доступом к информационным ресурсам ИС
|
Раздел в инструкцию пользователя ИС в части описания правил и процедур управления доступом к информационным ресурсам ИС
Раздел в инструкцию администратора ИС в части описания правил и процедур управления доступом к информационным ресурсам ИС
Матрица доступа пользователей к защищаемым информационным ресурсам информационной системы
|
|
|
5.3.
|
Регламентация правил и процедур ограничения программной среды
|
Раздел в инструкцию пользователя ИС в части описания правил и процедур правил и процедур ограничения программной среды
Раздел в инструкцию администратора ИС в части описания правил и процедур ограничения программной среды
|
Для ИС 1-го и 2-го унифицированных классов защиты
|
|
5.4.
|
Разработка правил и процедур защиты машинных носителей информации
|
Инструкция по порядку учета хранения и уничтожения съемных носителей конфиденциальной информации, журналы учета машинных носителей информации
|
|
|
5.5.
|
Регламентация правил и процедур аудита безопасности
|
Регламент аудита безопасности
|
|
|
5.6.
|
Разработка правил и процедур антивирусной защиты
|
Инструкция по антивирусной защите в ИС
|
|
|
5.7.
|
Регламентация правил и процедур предотвращения вторжений (компьютерных атак)
|
Регламент предотвращения вторжений (компьютерных атак)
|
|
|
5.8.
|
Разработка правил и процедур обеспечения целостности
|
Раздел в инструкцию пользователя ИС в части описания правил и процедур обеспечения целостности
Раздел в инструкцию администратора ИС в части описания правил и процедур обеспечения целостности
|
|
|
5.9.
|
Регламентация правил и процедур обеспечения доступности
|
Регламент резервного копирования и восстановления информации
|
|
|
5.10
|
Регламентация правил и процедур защиты технических средств и систем
|
Приказ об утверждении границы контролируемой зоны информационной системы
|
|
|
5.11
|
Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов
|
Регламент защиты виртуальной инфраструктуры
|
|
|
5.12
|
Регламентация правил и процедур реагирования на компьютерные инциденты
|
Регламент управления инцидентами информационной безопасности
|
|
|
5.13
|
Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы
|
Регламент управления конфигурацией информационной (автоматизированной) системы
|
|
|
5.14
|
Регламентация правил и процедур управления обновлениями программного обеспечения
|
Регламент управления обновлениями программного обеспечения
|
|
|
5.15
|
Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации
|
Регламент планирования мероприятий по обеспечению защиты информации
|
|
|
5.16
|
Регламентация правил и процедур обеспечения действий в нештатных ситуациях
|
Регламент обеспечения действий в нештатных ситуациях
|
|
|
5.17
|
Регламентация правил и процедур информирования и обучения персонала
|
Регламент информирования и обучения персонала в области информационной безопасности
|
|