КИИ. Обязательные документы


При планировании мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры важно понимать какие процессы обеспечения безопасности необходимо создать/изменить, а также в каких документах они должны быть определены и описаны.
Я провел полный анализ действующих НПА в области КИИ на предмет требований в которых какие-либо документы упоминаются в явном виде, либо имеются требования к мерам необходимость документирования которых очевидна и неоспорима.   
Для владельцев незначимых объектов КИИ получился примерно следующий перечень


Для владельцев значимых объектов КИИ перечень существенно больше
В хорошем качестве можно скачать PDF 

Получилось 18 политик, 8 порядков, 4 приказа, 3 журнала, 2 положения. Но это как минимум.


Есть ещё ряд процессов обеспечения ИБ, которые требуется выполнять, но требований по документированию которых не приводится – тут документы могут разрабатываться на усмотрение субъекта КИИ. Также для многих процессов, может быть недостаточно политики и порядка – могут понадобится дополнительные инструкции или документы, возникающие в результате процесса.
Пока получается что в области КИИ требования к организационным мерам и документированию более сильные чем в других сферах.    

Но конечно возможна и оптимизация. Можно объединять документы в более крупные, делать документы сразу по нескольким темам, но это вопрос уже других статей.  

Думаю, что далее буду более подробно рассматривать отдельные процессы и документацию по ним. Вас также прошу высказываться по поводу документов, может быть есть альтернативное виденье или дополнение к тому что приведено в статье.


Комментарии

Комаров Валерий написал(а)…
Считаю, что для незначимых объектов КИИ обязательны регламенты выявления и реагирования на компьютерные инциденты. Обязанность уведомлять НКЦКИ никто с них не снял.
Комаров Валерий написал(а)…
документы из вашего перечня - 44,46,47,49,52,53,54. Должны быть у любого субъекта КИИ, вне зависимости от типа объекта КИИ.
Комаров Валерий написал(а)…
Собственно, требования приказов ФСБ вообще не отражены в этом перечне.
Сергей Борисов написал(а)…
для субъектов КИИ с незначимыми объектами эти документы могут быть, но не обязательно. вместо всех этих как вариант может быть какой то один документ по компьютерным инцидентам

в утвержденных пока приказах ФСБ нет ни одного явного требования к документам.
а я выбирал минимум: либо когда документы были упомянуты прямым текстом, либо когда явно было написано что надо назначить, определить, учитывать или формировать что-то
Сергей Борисов написал(а)…
Хотя пожалуй добавлю ссылку на 236 приказ, как содержащий требования к составу информации о компьютерном инциденте предоставляемой в НКЦКИ форму для которой логично приложить к порядку взаимодействия с ГосСОПКА.

Правда жду сейчас от них некоторых разъяснений.
Сергей Борисов написал(а)…
Немного обновил по результатам обсуждения + выложил в лучшем качестве картинку + pdf

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3