Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Утверждение Регламента управления конфигурацией системы и ее системой защиты

1 2 21

Цель: установление общих правил управления конфигурацией, компонентами и данными, связанными с конфигурацией, систем (сетей), при эксплуатации следующих объектов информатизации:

информационные системы персональных данных (ИСПДн) с установленным первым, вторым или третьим уровнем защищенности персональных данных;
информационные системы (ИС), являющиеся объектами критической информационной инфраструктуры.

Регламент определяет:

оценку влияния планируемых изменений на уровень информационной безопасности системы и организации в целом;
отслеживание изменений в конфигурации системы (сети);
этапы процесса управления конфигурацией;
ответственных должностных лиц за контроль действий по внесению изменений в конфигурацию.

Рекомендации к заполнению карточки:

Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Регламент управления конфигурацией систем.docx

Цепочка мер

Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением

Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ

Утверждение Регламента управления конфигурацией системы и ее системой защиты

Предшествующие меры

№	Этап -1	Этап -2
1				Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением	Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая

Связанные риски

Риск	Связи
Нарушение требований законодательства в области КИИ из-за отсутствия требуемых законодательством форм и документов в объекте критической информационной инфраструктуры Право	21
Нарушение требований законодательства по персональным данным из-за отсутствия требуемых законодательством форм и документов в информационной системе персональных данных Право	12

Заметки

SECURITM

1 месяц назад

Community

Регламент управления конфигурацией системы (сети) и ее системой защиты (подсистемой безопасности)

1. Общие положения
1.1. Настоящий регламент управления конфигурацией системы (сети) и ее системой защиты (подсистемой безопасности) (далее – Регламент) устанавливает правила и процедуры управления конфигурацией системы (сети) и ее системой защиты (подсистемой безопасности).
1.2. Требования настоящего Регламента носят обязательный характер, и их выполнение является одним из основных условий в достижении необходимого уровня информационной безопасности [наименование организации].
1.3. Настоящий Регламент разработан с учетом положений следующих документов:

Федеральный закон от 26 июля 2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
Приказ Федеральной службы по техническому и экспортному контролю России от 25 декабря 2017 г. №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

1.4. Целью разработки настоящего Регламента является установление общих правил, требований и процедур управления конфигурацией, компонентами и данными, связанными с конфигурацией, систем (сетей) [наименование организации].
1.5. Под системами (сетями) в рамках настоящего Регламента рассматриваются:

информационные системы персональных данных (далее – ИСПДн) с установленным первым, вторым или третьим уровнем защищенности персональных данных;
информационные системы (далее – ИС), являющиеся значимыми объектами критической информационной инфраструктуры или в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры.

1.6. Внедрение процесса управления конфигурацией систем (сетей) обеспечивает решение следующих задач:

оценка влияния планируемых изменений на уровень информационной безопасности системы (сети) и организации в целом;
отслеживание изменений в конфигурации системы (сети).

1.7. Процесс управления конфигурацией включает:

идентификацию объектов управления конфигурацией;
управление изменениями;
контроль действий по внесению изменений.

2. Идентификация объектов управления конфигурацией

2.1. Идентификация объектов управления конфигурацией представляет из себя процесс, в ходе которого определяются компоненты системы (сети) и ее системы защиты (подсистемы безопасности), которые могут быть изменены в процессе управления конфигурацией.
2.2. В качестве объектов управления конфигурацией могут рассматриваться:

программно-аппаратные и программные средства системы (сети), включая средства защиты информации;
настройки и программный код программно-аппаратных и программных средств системы (сети), включая средства защиты информации;
эксплуатационная документация на систему (сеть);
объекты файловой системы технических средств системы (сети).

2.3. Точный перечень объектов управления конфигурацией в отношении каждой из систем (сетей), а также допустимые типы изменений подготавливаются ответственными за обеспечение безопасности и утверждаются [наименование должности руководителя организации] [наименование организации].
2.4. Ответственным за подготовку и утверждение перечня согласно пункту 2.3 настоящего Регламента является:
2.4.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – администратор безопасности системы (сети).
2.4.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности ответственного сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.

3. Управление изменениями
3.1. Управление изменениями осуществляется только в отношении объектов управления конфигурацией, определенных в соответствии с пунктом 2.2 настоящего Регламента.
3.2. Управление изменениями осуществляется лицами, которым разрешены действия по внесению изменений в конфигурацию системы (сети) и ее системы защиты (подсистемы безопасности).
3.3. Изменения, предполагающие установку (инсталляцию) программного обеспечения и (или) его компонентов, допускается вносить только в том случае, если программное обеспечение и (или) его компоненты:

включены в разрешенный к установке список («белый список»);
не содержатся в списке программного обеспечения, запрещенного к установке («черный список»).

3.4. Указанные перечни программного обеспечения и (или) его компонентов разрабатываются для системы (сети) в целом или для ее сегментов или устройств в отдельности и утверждаются [наименование должности руководителя организации] [наименование организации].
3.5. Ответственным за подготовку и утверждение перечня согласно пункту 3.4 настоящего Регламента является:
3.5.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – [наименование должности ответственного сотрудника организации за обеспечение безопасности информации] [наименование организации] системы (сети).
3.5.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности ответственного сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.
3.6. Управление изменениями предусматривает:

разработку параметров настройки, обеспечивающих безопасность системы (сети);
анализ потенциального воздействия планируемых изменений на обеспечение безопасности системы (сети);
санкционирование внесения изменений в систему (сеть) и в её систему защиты (подсистему безопасности);
документирование действий по внесению изменений в систему (сеть) и ее систему защиты (подсистему безопасности) и сохранение данных об изменениях конфигурации.

3.7. В ходе анализа потенциального воздействия планируемых изменений на обеспечение безопасности системы (сети) проводится оценка:

возникновения дополнительных угроз безопасности информации;
влияния изменений на работоспособность системы (сети) и её системы защиты (подсистемы безопасности);
влияния изменений на реализованные и испытанные в рамках приемки системы (сети) и ее системы защиты (подсистемы безопасности) механизмы обеспечения безопасности.

3.8. Санкционирование внесения изменений осуществляется:
3.8.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – [наименование должности администратора безопасности] [наименование организации] системы (сети).
3.8.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.

4. Контроль действий по внесению изменений

4.1. Контроль действий по внесению изменений осуществляется:
4.1.1. В отношении ИС, являющихся значимыми объектами критической информационной инфраструктуры, и ИС, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры – [наименование должности администратора безопасности] [наименование организации] системы (сети).
4.1.2. В отношении ГИС и ИСПДн, за исключением ГИС и ИСПДн, являющихся значимыми объектами критической информационной инфраструктуры, и ГИС и ИСПДн, не отнесенных к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры) – [наименование должности сотрудника организации] [наименование организации], ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.