Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Утверждение Регламента управления конфигурацией системы и ее системой защиты

Цель: установление общих правил управления конфигурацией, компонентами и данными, связанными с конфигурацией, систем (сетей),  при эксплуатации следующих объектов информатизации:
  • информационные системы персональных данных (ИСПДн) с установленным первым, вторым или третьим уровнем защищенности персональных данных;
  • информационные системы (ИС), являющиеся объектами критической информационной инфраструктуры. 
Регламент определяет:
  • оценку влияния планируемых изменений на уровень информационной безопасности системы и организации в целом;
  • отслеживание изменений в конфигурации системы (сети);
  • этапы процесса управления конфигурацией;
  • ответственных должностных лиц за контроль действий по внесению изменений в конфигурацию.
Рекомендации к заполнению карточки:
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Для просмотра файла необходимо авторизоваться!

Регламент управления конфигурацией систем.docx

Цепочка мер

Предшествующие меры
Этап -1 Этап -2
1 Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Отсутствует
Низкие
Низкая
0
1
4 - Низкая

OPEX

?
Отсутствует
Низкие
Низкая
0
1

Заметки

1
1 месяц назад

Регламент управления конфигурацией системы (сети) и ее системой защиты (подсистемой безопасности)

1. Общие положения
1.1. Настоящий регламент управления конфигурацией системы (сети) и ее системой защиты (подсистемой безопасности) (далее – Регламент) устанавливает правила и процедуры управления конфигурацией системы (сети) и ее системой защиты (подсистемой безопасности).
1.2. Требования настоящего Регламента носят обязательный характер, и их выполнение является одним из основных условий в достижении необходимого уровня информационной безопасности [наименование организации].
1.3. Настоящий Регламент разработан с учетом положений следующих документов:
  • Федеральный закон от 26 июля 2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Приказ Федеральной службы по техническому и экспортному контролю России от 25 декабря 2017 г. №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
1.4. Целью разработки настоящего Регламента является установление общих правил, требований и процедур управления конфигурацией, компонентами и данными, связанными с конфигурацией, систем (сетей) [наименование организации].
1.5. Под системами (сетями) в рамках настоящего Регламента рассматриваются:
  • информационные системы персональных данных (далее – ИСПДн) с установленным первым, вторым или третьим уровнем защищенности персональных данных;
  • информационные системы (далее – ИС), являющиеся значимыми объектами критической информационной инфраструктуры или в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры.
1.6. Внедрение процесса управления конфигурацией систем (сетей) обеспечивает решение следующих задач:
  • оценка влияния планируемых изменений на уровень информационной безопасности системы (сети) и организации в целом;
  • отслеживание изменений в конфигурации системы (сети).
1.7. Процесс управления конфигурацией включает:
  • идентификацию объектов управления конфигурацией;
  • управление изменениями;
  • контроль действий по внесению изменений.
2. Идентификация объектов управления конфигурацией

2.1. Идентификация объектов управления конфигурацией представляет из себя процесс, в ходе которого определяются компоненты системы (сети) и ее системы защиты (подсистемы безопасности), которые могут быть изменены в процессе управления конфигурацией.
2.2. В качестве объектов управления конфигурацией могут рассматриваться:

  • программно-аппаратные и программные средства системы (сети), включая средства защиты информации;
  • настройки и программный код программно-аппаратных и программных средств системы (сети), включая средства защиты информации;
  • эксплуатационная документация на систему (сеть);
  • объекты файловой системы технических средств системы (сети).
2.3. Точный перечень объектов управления конфигурацией в отношении каждой из систем (сетей), а также допустимые типы изменений подготавливаются ответственными за обеспечение безопасности и утверждаются [наименование должности руководителя организации] [наименование организации].
2.4.  Ответственным за подготовку и утверждение перечня согласно пункту 2.3 настоящего Регламента является:
2.4.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – администратор безопасности системы (сети).
2.4.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности ответственного сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.

3. Управление изменениями
3.1. Управление изменениями осуществляется только в отношении объектов управления конфигурацией, определенных в соответствии с пунктом 2.2 настоящего Регламента.
3.2. Управление изменениями осуществляется лицами, которым разрешены действия по внесению изменений в конфигурацию системы (сети) и ее системы защиты (подсистемы безопасности).
3.3. Изменения, предполагающие установку (инсталляцию) программного обеспечения и (или) его компонентов, допускается вносить только в том случае, если программное обеспечение и (или) его компоненты:
  • включены в разрешенный к установке список («белый список»);
  • не содержатся в списке программного обеспечения, запрещенного к установке («черный список»).
3.4.  Указанные перечни программного обеспечения и (или) его компонентов разрабатываются для системы (сети) в целом или для ее сегментов или устройств в отдельности и утверждаются [наименование должности руководителя организации] [наименование организации].
3.5. Ответственным за подготовку и утверждение перечня согласно пункту 3.4 настоящего Регламента является:
3.5.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – [наименование должности ответственного сотрудника организации за обеспечение безопасности информации] [наименование организации] системы (сети).
3.5.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности ответственного сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.
3.6. Управление изменениями предусматривает:
  • разработку параметров настройки, обеспечивающих безопасность системы (сети);
  • анализ потенциального воздействия планируемых изменений на обеспечение безопасности системы (сети);
  • санкционирование внесения изменений в систему (сеть) и в её систему защиты (подсистему безопасности);
  • документирование действий по внесению изменений в систему (сеть) и ее систему защиты (подсистему безопасности) и сохранение данных об изменениях конфигурации.
3.7. В ходе анализа потенциального воздействия планируемых изменений на обеспечение безопасности системы (сети) проводится оценка:
  • возникновения дополнительных угроз безопасности информации;
  • влияния изменений на работоспособность системы (сети) и её системы защиты (подсистемы безопасности);
  • влияния изменений на реализованные и испытанные в рамках приемки системы (сети) и ее системы защиты (подсистемы безопасности) механизмы обеспечения безопасности.
3.8. Санкционирование внесения изменений осуществляется:
3.8.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – [наименование должности администратора безопасности] [наименование организации] системы (сети).
3.8.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.

4. Контроль действий по внесению изменений

4.1. Контроль действий по внесению изменений осуществляется:
4.1.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – [наименование должности администратора безопасности] [наименование организации] системы (сети).
4.1.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.