- основные требования к срокам формирования и утверждения плана мероприятий по обеспечению информационной безопасности, а также внесения в него изменений;
- требования к срокам контроля выполнения мероприятий, предусмотренных планом мероприятий по обеспечению информационной безопасности;
- ответственность участников процесса планирования мероприятий по обеспечению информационной безопасности и контроля за их выполнением.
- Приложите скан-копию Порядка в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.
- Создать шаблон регулярной задачи: не реже 1 раза в год "Осуществлять мероприятия по формированию плана мероприятий по обеспечению информационной безопасности на будущий год".
- Создать шаблон регулярной задачи: не реже 1 раза в квартал "Осуществлять контроль выполнения плана мероприятий по обеспечению информационной безопасности на текущий год".
Область действия: Вся организация
Классификация
Для просмотра файла необходимо авторизоваться!
Цепочка мер
| № | Этап 1 | Этап 2 | |||
|---|---|---|---|---|---|
| 1 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента управления уязвимостями | |||
| 2 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента предотвращения вторжений (компьютерных атак) в значимых объектах КИИ | |||
| 3 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента обновления программного обеспечения | |||
| 4 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента действий при возникновении нештатных ситуаций на объектах КИИ | |||
| 5 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента ограничения программной среды в объектах КИИ | |||
| 6 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента идентификации и аутентификации в объектах КИИ | |||
| 7 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента управления доступом в объектах КИИ | |||
| 8 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента защиты машинных носителей информации в объектах КИИ | |||
| 9 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента обеспечения целостности объектов КИИ | |||
| 10 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента антивирусной защиты в объектах КИИ | |||
| 11 | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ | Утверждение Регламента аудита безопасности в объектах КИИ |
Ресурсная оценка
|
Качественная оценка |
Количественная оценка |
Итоговая оценка | ||||
|---|---|---|---|---|---|---|
|
Стоимость |
Трудозатраты |
Сложность |
Стоимость, тыс. руб |
Трудозатраты, дней/ год |
||
|
CAPEX ? |
Отсутствует
|
Низкие
|
Низкая
|
0
|
1
|
4 -
Низкая
|
|
OPEX ? |
Отсутствует
|
Низкие
|
Низкая
|
0
|
1
|
|
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.
Заметки
1Порядок планирования мероприятий по обеспечению информационной безопасности и контроля за их выполнением
1.1. Настоящий Порядок планирования мероприятий по обеспечению информационной безопасности [наименование организации] и контроля за их выполнением (далее – Порядок) разработан с учетом положений следующих документов:
1.3. Настоящий Порядок предназначен для сотрудников, ответственных за планирование и контроль мероприятий по обеспечению безопасности ЗОКИИ и ОКИИ (далее – Ответственные за планирование).
1.4. Настоящий Порядок устанавливает:
2.1. В рамках планирования мероприятий по обеспечению безопасности системы (сети) осуществляется разработка, согласование и утверждение ежегодного Плана мероприятий по обеспечению безопасности (далее – План мероприятий).
2.2. По решению [наименование должности руководителя организации] [наименование организации] или уполномоченного им лица, на которого возложены функции обеспечения безопасности ЗОКИИ, допускается разработка единого Плана мероприятий на несколько объектов критической информационной инфраструктуры (как отнесенных к значимым, так и не отнесенных к значимым).
2.3. Разработка Плана мероприятий должна осуществляться Ответственным за планирование во взаимодействии с подразделениями (сотрудниками), эксплуатирующими систему (сеть), и подразделениями (сотрудниками), обеспечивающими функционирование системы (сети).
2.4. План мероприятий должен включать комплекс организационных и технических мероприятий по обеспечению безопасности, направленных на решение задач обеспечения информационной безопасности системы (сети).
2.5. Разработка мероприятий по обеспечению безопасности должна осуществляться в соответствии с требованиями нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, иными нормативными актами Российской Федерации в области защиты информации и локальными правовыми актами [наименование организации] по обеспечению безопасности критической информационной инфраструктуры.
2.6. План мероприятий должен, как минимум, содержать:
2.8. План мероприятий на планируемый год формируется в следующем порядке:
2.8.1. В срок не позднее 1 декабря каждого года Ответственные за планирование формируют проект Плана мероприятий;
2.8.2. Проект Плана мероприятий, сформированный в отношении ЗОКИИ, подлежит согласованию с администратором безопасности ЗОКИИ или руководителем подразделения, ответственного за обеспечение безопасности ЗОКИИ в срок не позднее 15 декабря каждого года;
2.8.3. Согласованный проект Плана мероприятий предоставляется Ответственными за планирование [наименование должности руководителя организации] [наименование организации] на утверждение;
2.8.4. Проект Плана мероприятий подлежит рассмотрению и утверждению [наименование должности руководителя организации] [наименование организации] не позднее 30 декабря каждого года.
2.9. Утвержденный План мероприятий доводится Ответственными за планирование до подразделений (сотрудников) [наименование организации] в части, их касающейся.
2.10. Изменения в действующий План мероприятий вносятся в соответствии с разделом 3 настоящего Порядка.
3.1. Внесение изменений в План мероприятий осуществляется на основании приказа [наименование должности руководителя организации] [наименование организации] на основе предложений Ответственных за планирование.
3.2. Предложения Ответственных за планирование по внесению изменений в утвержденные Планы мероприятий по обеспечению безопасности ЗОКИИ (ОКИИ) подлежат согласованию с Администратором безопасности значимого объекта ЗОКИИ (ОКИИ) или руководителем подразделения, ответственным за обеспечение безопасности ЗОКИИ (ОКИИ).
3.3. Основанием внесения изменений в План мероприятий могут быть:
4.1. Каждое мероприятие Плана мероприятий должно быть реализовано в установленные сроки.
4.2. Контроль за выполнением мероприятий, предусмотренных Планом мероприятий, осуществляется Ответственными за планирование.
4.3. Ответственные за планирование, руководствуясь сроками выполнения мероприятий, осуществляет проверку выполнения мероприятий ответственными лицами, основываясь на документальном подтверждении факта выполнения мероприятий.
4.4. В случаях выявления фактов неисполнения мероприятий (в том числе неполного исполнения), предусмотренных Планом мероприятий, Ответственные за планирование при взаимодействии с лицами, ответственными за выполнение мероприятий, проводят:
4.4.1. Установление причин неисполнения мероприятий (в срок не более 5 рабочих дней с момента выявления факта неисполнения мероприятия);
4.4.2. Подготовку предложений по корректировке Плана мероприятий (в срок не более 10 рабочих дней с момента установления причин неисполнения мероприятия).
4.5. С целью оценки эффективности обеспечения информационной безопасности Ответственные за планирование ежегодно готовят отчет о выполнении Плана мероприятий, который представляется [наименование должности руководителя организации] [наименование организации].
5.1. Ответственные за планирование несут персональную ответственность за: