23. Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, в том числе значимых объектов, которые эксплуатируются в подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры.
В случае если субъект критической информационной инфраструктуры является дочерним обществом хозяйственного общества (товарищества), являющегося субъектом критической информационной инфраструктуры, организационно-распорядительные документы дочернего общества должны разрабатываться с учетом положений организационно-распорядительных документов основного хозяйственного общества (товарищества) и не противоречить им.
В случае если субъект критической информационной инфраструктуры является организацией, в которой участвует являющаяся субъектом критической информационной инфраструктуры некоммерческая организация, имеющая возможность определять принимаемые организацией решения, организационно-распорядительные документы организации должны разрабатываться с учетом положений организационно-распорядительных документов некоммерческой организации и не противоречить им.
Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности (защиты информации) субъекта критической информационной инфраструктуры. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации), а также могут являться частью документов по вопросам функционирования значимого объекта критической информационной инфраструктуры.
