- информационные системы персональных данных (ИСПДн) с установленным первым, вторым или третьим уровнем защищенности персональных данных;
- информационные системы (ИС), являющиеся объектами критической информационной инфраструктуры.
- оценку влияния планируемых изменений на уровень информационной безопасности системы и организации в целом;
- отслеживание изменений в конфигурации системы (сети);
- этапы процесса управления конфигурацией;
- ответственных должностных лиц за контроль действий по внесению изменений в конфигурацию.
- Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.
Область действия: Вся организация
Классификация
Для просмотра файла необходимо авторизоваться!
Цепочка мер
№ | Этап -1 | Этап -2 | |||
---|---|---|---|---|---|
1 | Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением | Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ |
Ресурсная оценка
Качественная оценка |
Количественная оценка |
Итоговая оценка | ||||
---|---|---|---|---|---|---|
Стоимость |
Трудозатраты |
Сложность |
Стоимость, тыс. руб |
Трудозатраты, дней/ год |
||
CAPEX ? |
Отсутствует
|
Низкие
|
Низкая
|
0
|
1
|
4 -
Низкая
|
OPEX ? |
Отсутствует
|
Низкие
|
Низкая
|
0
|
1
|
Связанные риски
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.
Заметки
1Регламент управления конфигурацией системы (сети) и ее системой защиты (подсистемой безопасности)
1.1. Настоящий регламент управления конфигурацией системы (сети) и ее системой защиты (подсистемой безопасности) (далее – Регламент) устанавливает правила и процедуры управления конфигурацией системы (сети) и ее системой защиты (подсистемой безопасности).
1.2. Требования настоящего Регламента носят обязательный характер, и их выполнение является одним из основных условий в достижении необходимого уровня информационной безопасности [наименование организации].
1.3. Настоящий Регламент разработан с учетом положений следующих документов:
1.5. Под системами (сетями) в рамках настоящего Регламента рассматриваются:
2.2. В качестве объектов управления конфигурацией могут рассматриваться:
2.4. Ответственным за подготовку и утверждение перечня согласно пункту 2.3 настоящего Регламента является:
2.4.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – администратор безопасности системы (сети).
2.4.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности ответственного сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.
3.1. Управление изменениями осуществляется только в отношении объектов управления конфигурацией, определенных в соответствии с пунктом 2.2 настоящего Регламента.
3.2. Управление изменениями осуществляется лицами, которым разрешены действия по внесению изменений в конфигурацию системы (сети) и ее системы защиты (подсистемы безопасности).
3.3. Изменения, предполагающие установку (инсталляцию) программного обеспечения и (или) его компонентов, допускается вносить только в том случае, если программное обеспечение и (или) его компоненты:
3.5. Ответственным за подготовку и утверждение перечня согласно пункту 3.4 настоящего Регламента является:
3.5.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – [наименование должности ответственного сотрудника организации за обеспечение безопасности информации] [наименование организации] системы (сети).
3.5.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности ответственного сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.
3.6. Управление изменениями предусматривает:
3.8.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – [наименование должности администратора безопасности] [наименование организации] системы (сети).
3.8.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.
4.1.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – [наименование должности администратора безопасности] [наименование организации] системы (сети).
4.1.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.