Без регламента — бардак. С регламентом — бардак, но в журнале 

регламент защиты информации по Приказу ФСТЭК 117

💡 Пояснение для специалиста

Регламент защиты информации разработан во исполнение требований Приказа ФСТЭК России №117 и Методики ФСТЭК России от 12 апреля 2026 г. Документ детализирует порядок выполнения каждого процесса из Стандарта: кто, что, когда и как делает. Содержит 19 процессов (раздел 2) и 10 инструкций (раздел 3) с пошаговыми алгоритмами, распределением ответственности и формами контроля. Регламент обязателен для исполнения всеми сотрудниками и подрядчиками, имеющими доступ к информационным системам.

Соответствие Регламента Приказу ФСТЭК России №117

Регламент разработан в соответствии с Приказом ФСТЭК России от 11 апреля 2025 г. № 117 и охватывает все обязательные требования к защите информации.

Область требований Приказа №117Реализация в Регламенте
Организация деятельности, назначение ответственных (п. 10,12,14)Раздел 1.4 «Ответственные лица и совмещение ролей»; каждый процесс содержит конкретных ответственных.
Квалификация сотрудников (п. 13)Инструкция 3.7 «Обучение и проверка знаний пользователей» – требования к обучению и проверке компетенций.
Меры защиты с учётом актуальных угроз (п. 23–26)Процессы 2.1–2.4, инструкции 3.1, 3.5 – управление угрозами, уязвимостями, обновлениями.
Регистрация событий безопасности (п. 27–30)Процесс 2.11, инструкция 3.4 – мониторинг, регистрация, реагирование на инциденты.
Оценка защищённости (Кзи, Пзи) (п. 31–33)Процесс 2.19 – периодический контроль уровня защищённости.
Контроль функционирования СЗИ (п. 34–36)Процесс 2.2 (контроль конфигураций), процесс 2.19, инструкция 3.5 – управление обновлениями.

Соответствие Регламента Методике ФСТЭК России от 12 апреля 2026 г.

Методический документ 2026 года определяет 19 процессов и 17 групп мер. Регламент детализирует их выполнение в виде конкретных процедур, инструкций и учётных форм.

Группа процессов / мер Методики 2026Реализация в Регламенте
Управление угрозами, уязвимостями, конфигурациями, обновлениямиПроцессы 2.1–2.4, инструкции 3.1, 3.5 – выявление, оценка, устранение, контроль.
Защита конечных и мобильных устройств, удалённый и беспроводной доступПроцессы 2.6–2.9, инструкции 3.1, 3.6 – настройка, учёт, антивирус, VPN, Wi‑Fi.
Привилегированный доступ, мониторинг, физическая защитаПроцессы 2.10, 2.11, 2.13, инструкции 3.4, 3.6, 3.10 – контроль доступа, регистрация событий, пропускной режим.
Непрерывность, подрядчики, защита от DDoS, искусственный интеллектПроцессы 2.14, 2.16–2.18, инструкции 3.2, 3.5 – резервное копирование, договоры, фильтрация трафика.
Осведомлённость, безопасная разработка, обращение с ограниченной информациейПроцессы 2.5, 2.12, 2.15, инструкции 3.3, 3.7 – обучение, анализ кода, учёт носителей.
Периодический контроль, аттестация, документацияПроцесс 2.19, инструкции 3.2, 3.6 – расчёт Кзи/Пзи, протоколы, журналы, заявки.
📌 Дисклеймер
Сайт носит информационный характер. Регламент представлен как шаблон для использования в работе. Финальная версия утверждается руководителем организации и адаптируется под конкретную инфраструктуру.
💡 Пояснение для специалиста

Раздел 1 Регламента закрепляет нормативную базу, область действия и распределение ролей. Обратите внимание: пункт 1.4 допускает совмещение функций разных ролей (например, администратора безопасности и администратора системы) при условии документального закрепления. Это особенно актуально для организаций с ограниченным штатом. Полный перечень ролей и их обязанности определены в Политике и Стандарте защиты информации.

Приложение № 2
к приказу __________ от __________ № __________

Название организации

РЕГЛАМЕНТ ЗАЩИТЫ ИНФОРМАЦИИ

На 48 листах
Действует с «___» _____________ 202__ г.

1. Общие положения

1.1. Назначение и область действия документа

Настоящий Регламент устанавливает порядок выполнения мероприятий по защите информации, ведения учётных форм и распределения ответственности в соответствии с Политикой защиты информации и Стандартом защиты информации (далее – Стандарт), действующими в ____________________ (далее – Организация).

Регламент определяет последовательность действий при реализации процессов защиты информации и документирования результатов.

Действие Регламента распространяется на все информационные системы (далее – ИС) Организации, включая их программные, программно-аппаратные и технические компоненты, а также всех работников Организации и иных лиц (в том числе подрядчиков), которым предоставлен доступ к ИС или обрабатываемой в них информации.

1.2. Нормативно-правовые акты, методические документы, национальные стандарты

Регламент разработан в соответствии с:

  • Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (при обработке ПДн);
  • Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (при отнесении информационных систем к объектам КИИ);
  • Приказом ФСТЭК России от 11 апреля 2025 г. № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»;
  • Методическим документом ФСТЭК России «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах» (2026 г.);
  • национальными стандартами Российской Федерации в области защиты информации и информационной безопасности;
  • иными нормативными и методическими документами ФСТЭК России, ФСБ России, а также внутренними организационно-распорядительными документами;
  • Политикой защиты информации Организации;
  • Стандартом защиты информации Организации.

1.3. Термины и определения

Термины и определения, используемые в настоящем Регламенте, применяются в значениях, установленных нормативными правовыми актами Российской Федерации и нормативными документами, указанными в пункте 1.2 настоящего документа.

При отсутствии специальных определений в указанных нормативных правовых актах используются термины и определения, закрепленные в национальных стандартах Российской Федерации, в том числе:

  • ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
  • ГОСТ Р 56545-2015 «Защита информации. Информация и информационные технологии. Термины и определения»;
  • ГОСТ Р 56546-2015 «Защита информации. Обеспечение информационной безопасности. Термины и определения».

В случае расхождения формулировок приоритет имеют определения, установленные федеральными законами и иными нормативными правовыми актами Российской Федерации.

Использование терминов в настоящем Регламенте осуществляется в целях обеспечения единообразного понимания требований по защите информации и недопущения неоднозначного толкования положений документа.

1.4. Ответственные лица и совмещение ролей

Перечень ролей (руководитель организации, ответственный за организацию защиты информации, ответственный за защиту информации в информационных системах (администратор безопасности), ответственный за техническое обслуживание информационных систем (администратор системы), ответственный за обеспечение безопасности персональных данных, ответственный за эксплуатацию средств криптографической защиты информации, пользователи) и их обязанности определены в Политике защиты информации и Стандарте.

В Организации допускается совмещение функций ролей.

2. Порядок выполнения мероприятий (процессов)

2.1. Выявление и оценка угроз безопасности информации (ВУ)

💡 Пояснение для специалиста

Процесс является базовым для всей системы защиты. Результаты оформляются в виде Модели угроз (или Акта оценки угроз), которая утверждается руководителем. Перечень угроз пересматривается не реже 1 раза в 2 года.

2.1.1. Ответственные. Администратор безопасности – определяет границы ИС, выявляет уязвимости, формирует перечень угроз, готовит Модель угроз (или Акт оценки угроз).
2.1.2. Порядок действий. Детали порядка выявления уязвимостей, формирования перечня угроз и оценки последствий приведены в инструкции 3.1 «Антивирусная защита» (разделы, касающиеся анализа угроз) и в инструкции 3.4 «Реагирование на инциденты» (разделы, касающиеся классификации и учёта последствий).
  1. Администратор безопасности определяет границы ИС и состав защищаемой информации (совместно с ответственным за организацию защиты информации).
  2. Выявляет уязвимости по официальным источникам (База данных уязвимостей (БДУ) ФСТЭК, бюллетени).
  3. Формирует перечень актуальных угроз, оценивает вероятность и последствия.
  4. Готовит Модель угроз (или Акт оценки угроз).
  5. Перечень актуальных угроз утверждается руководителем организации.
2.1.3. Контроль. Администратор безопасности в рамках оперативного контроля отслеживает актуальность информации об угрозах и своевременность выявления уязвимостей; ответственный за организацию защиты информации в рамках периодического контроля проверяет полноту и корректность Модели угроз (или Акта оценки угроз), а также соблюдение сроков пересмотра.

2.2. Контроль конфигураций ИС (КК)

💡 Пояснение для специалиста

Эталонные конфигурации утверждаются руководителем. Все изменения фиксируются в Журнале изменений (Приложение №1 к Стандарту). Проверка соответствия – не реже 1 раза в год.

2.2.1. Ответственные. Администратор безопасности – формирует эталонные конфигурации, вносит изменения, ведёт журнал, проверяет соответствие; администратор системы – участвует в формировании эталонов, вносит изменения, проверяет соответствие.
2.2.2. Порядок действий. Детали порядка формирования эталонов, внесения изменений и фиксации в журнале приведены в инструкции 3.2 «Резервное копирование и восстановление» (разделы, касающиеся управления версиями) и в инструкции 3.5 «Управление обновлениями» (разделы, касающиеся фиксации изменений).
  1. Администратор безопасности совместно с администратором системы формируют эталонные конфигурации для классов компонентов (серверы, АРМ, сетевое оборудование).
  2. Все изменения конфигураций вносят только на основании письменного или электронного запроса (заявки), с согласованием ответственного за организацию защиты информации (для критичных изменений в соответствии со Стандартом).
  3. После каждого изменения администратор безопасности (или администратор системы) делает запись в Журнале изменений и проверок конфигураций (Приложение № 1 к Стандарту).
  4. Администратор безопасности и администратор системы проверяют соответствие фактических конфигураций эталонам с периодичностью, установленной Стандартом, и после существенных изменений.
  5. Эталонные конфигурации утверждаются руководителем организации.
2.2.3. Контроль. Администратор безопасности и администратор системы в рамках оперативного контроля контролируют соблюдение порядка внесения изменений и фиксации в журнале; ответственный за организацию защиты информации в рамках периодического контроля проверяет соответствие фактических конфигураций эталонам и обоснованность критичных изменений.

2.3. Управление уязвимостями (КУ)

💡 Пояснение для специалиста

Уязвимости регистрируются в Журнале событий, инцидентов и уязвимостей (Приложение №2). Сроки устранения – по Стандарту. При невозможности устранения – компенсирующие меры утверждаются руководителем. Об уязвимости, отсутствующей в БДУ ФСТЭК, необходимо уведомить ФСТЭК.

2.3.1. Ответственные. Администратор безопасности – проводит мониторинг уязвимостей, сканирование, регистрацию, устранение, подготовку предложений по компенсирующим мерам.
2.3.2. Порядок действий. Детали порядка выявления, регистрации и устранения уязвимостей приведены в инструкции 3.1 «Антивирусная защита» (разделы, касающиеся выявления угроз) и в инструкции 3.4 «Реагирование на инциденты» (разделы, касающиеся фиксации и регистрации).
  1. Администратор безопасности с периодичностью, установленной Стандартом, проверяет информацию об уязвимостях.
  2. Проводит сканирование уязвимостей с периодичностью, установленной Стандартом.
  3. Выявленные уязвимости вносит в Журнал событий, инцидентов и уязвимостей (Приложение № 2 к Стандарту).
  4. Устраняет уязвимости (или совместно с администратором системы) в сроки, установленные Стандартом.
  5. При выявлении уязвимости, отсутствующей в банке данных угроз безопасности информации ФСТЭК России, администратор безопасности направляет информацию о ней во ФСТЭК России в сроки, установленные Стандартом (раздел 3.3).
  6. При невозможности устранения – готовит предложение о компенсирующих мерах. Компенсирующие меры утверждаются руководителем организации и пересматриваются в сроки, установленные Стандартом.
  7. После устранения делает отметку в журнале и при необходимости оформляет акт.
2.3.3. Контроль. Администратор безопасности в рамках оперативного контроля отслеживает своевременность выявления и устранения уязвимостей; ответственный за организацию защиты информации в рамках периодического контроля проверяет соблюдение сроков устранения, обоснованность компенсирующих мер и полноту регистрации.

2.4. Управление обновлениями (КО)

💡 Пояснение для специалиста

Классификация обновлений – по Стандарту. Критические обновления тестируются на изолированном стенде (при наличии). После установки – запись в Журнале изменений (Приложение №1).

2.4.1. Ответственные. Администратор безопасности – определяет критичность обновлений, тестирует (совместно), устанавливает обновления средств защиты, контролирует актуальность; администратор системы – проводит тестирование (при наличии среды), создаёт резервные копии, устанавливает обновления системного и прикладного ПО.
2.4.2. Порядок действий. Детали порядка отслеживания, тестирования и установки обновлений приведены в инструкции 3.5 «Управление обновлениями» (в полном объёме).
  1. Администратор безопасности определяет критичность обновлений в соответствии с классификацией Стандарта.
  2. При наличии тестовой среды администратор системы совместно с администратором безопасности проводят тестирование критических и важных обновлений.
  3. Перед установкой обновлений администратор системы создаёт резервные копии.
  4. Установку обновлений выполняют: администратор системы – для системного и прикладного ПО, администратор безопасности – для средств защиты.
  5. После установки администратор безопасности делает запись в Журнале изменений и проверок конфигураций (Приложение № 1 к Стандарту).
  6. Администратор безопасности и администратор системы контролируют актуальность обновлений с периодичностью, установленной Стандартом.
2.4.3. Контроль. Администратор безопасности в рамках оперативного контроля отслеживает выход обновлений и своевременность их установки; ответственный за организацию защиты информации в рамках периодического контроля проверяет соблюдение сроков установки и полноту регистрации.

2.5. Обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа (ОД)

💡 Пояснение для специалиста

Перечень защищаемой информации утверждается руководителем. Доступ – по заявке (Приложение №8). Запись на съёмные носители запрещена, уничтожение – по акту.

2.5.1. Ответственные. Ответственный за организацию защиты информации – ведёт Перечень защищаемой информации, контролирует порядок обращения; ответственный за ПДн – контролирует обращение с персональными данными; администратор безопасности – создаёт учётные записи, контролирует копирование; администратор системы – обеспечивает запрет записи на съёмные носители; пользователи – соблюдают правила маркировки и использования информации.
2.5.2. Порядок действий. Детали порядка учёта, выдачи и уничтожения носителей приведены в инструкции 3.3 «Обращение со съёмными носителями информации» (в части учёта и уничтожения носителей), а порядок работы с персональными данными – в инструкции 3.9 «Обработка персональных данных» (в части учёта согласий и уничтожения ПДн).
  1. Ответственный за организацию защиты информации ведёт Перечень защищаемой информации. Перечень утверждается руководителем организации.
  2. Доступ предоставляется только по заявке на доступ (Приложение № 8 к Стандарту) с минимально необходимыми правами. Учётную запись создаёт администратор безопасности.
  3. Документы, содержащие ограниченную информацию, маркируются соответствующим грифом.
  4. Запись на съёмные носители запрещена, за исключением случаев, прямо предусмотренных требованиями к ИС.
  5. Уничтожение носителей – по акту, способами, установленными Стандартом. Акт уничтожения оформляет администратор безопасности.
2.5.3. Контроль. Ответственный за организацию защиты информации и ответственный за ПДн в рамках оперативного контроля проверяют соблюдение правил маркировки, учёта и уничтожения; ответственный за организацию защиты информации в рамках периодического контроля проверяет полноту документации и правомерность предоставления доступа.

2.6. Обеспечение защиты информации при использовании конечных устройств (ЗУ)

💡 Пояснение для специалиста

Все конечные устройства должны быть учтены в Журнале активов (Приложение №3). Парольная политика – по Стандарту. Антивирус с ежедневным обновлением баз. Пользователь блокирует рабочую станцию при уходе.

2.6.1. Ответственные. Администратор системы – ведёт Журнал учёта активов; администратор безопасности – создаёт учётные записи, настраивает парольную политику и антивирус; пользователи – блокируют рабочую станцию при уходе, не устанавливают ПО без согласования.
2.6.2. Порядок действий. Детали порядка настройки антивируса приведены в инструкции 3.1 «Антивирусная защита» (в части настройки и мониторинга), порядок создания учётных записей, а также требования к паролям – в инструкции 3.6 «Управление доступом» (в части операций и парольной политики).
  1. Администратор системы ведёт Журнал учёта активов (Приложение № 3 к Стандарту).
  2. Администратор безопасности создаёт учётные записи по заявкам на доступ, назначает пароли в соответствии с политикой Стандарта, настраивает блокировку после неудачных попыток.
  3. На всех устройствах включён антивирус с обновлением баз, настроенным в соответствии со Стандартом. Настройки выполняет администратор безопасности.
  4. Администратор безопасности настраивает межсетевой экран для защиты хоста.
  5. Пользователь блокирует рабочую станцию при уходе. Автоматическая блокировка настраивается согласно Стандарту и требованиям к ИС.
  6. Пользователь не устанавливает ПО без согласования.
2.6.3. Контроль. Администратор безопасности в рамках оперативного контроля отслеживает корректность учётных записей, парольную политику и работу антивируса; ответственный за организацию защиты информации в рамках периодического контроля проверяет выполнение требований и ведение журнала.

2.7. Обеспечение защиты информации при применении мобильных устройств (МУ)

💡 Пояснение для специалиста

Мобильные устройства вносятся в Журнал активов (Приложение №3). Пользователь подписывает обязательство. Контроль – выборочные проверки.

2.7.1. Ответственные. Администратор системы – вносит устройства в Журнал учёта активов; администратор безопасности – настраивает параметры защиты; пользователи – подписывают обязательство о соблюдении требований.
2.7.2. Порядок действий. Детали порядка установки антивируса приведены в инструкции 3.1 «Антивирусная защита» (в части установки), а порядок настройки параметров аутентификации – в инструкции 3.6 «Управление доступом» (в части усиленных требований для мобильных устройств).
  1. Администратор системы вносит мобильные устройства в Журнал учёта активов (Приложение № 3 к Стандарту).
  2. Администратор безопасности настраивает параметры защиты в соответствии со Стандартом.
  3. На устройствах установлен антивирус.
  4. Пользователь подписывает обязательство о соблюдении требований.
  5. Администратор безопасности осуществляет контроль выборочными проверками с периодичностью, установленной Стандартом.
2.7.3. Контроль. Администратор безопасности в рамках оперативного контроля проверяет настройки защиты мобильных устройств; ответственный за организацию защиты информации в рамках периодического контроля проверяет учёт устройств и выполнение требований.

2.8. Обеспечение защиты информации при удаленном доступе пользователей к информационным системам (УД)

💡 Пояснение для специалиста

Удалённый доступ – только по заявке (Приложение №8). Для привилегированных пользователей обязательна двухфакторная аутентификация. Списки доступа проверяются раз в 6 месяцев.

2.8.1. Ответственные. Администратор безопасности – настраивает VPN, СКЗИ, ведёт Журнал учёта учётных записей, проверяет списки доступа; администратор системы – обеспечивает работу каналов связи.
2.8.2. Порядок действий. Детали порядка передачи учётных данных для удалённого доступа приведены в инструкции 3.6 «Управление доступом» (передача учётных данных), а порядок настройки СКЗИ – в инструкции 3.8 «Эксплуатация средств криптографической защиты информации (СКЗИ)» (в части настройки и учёта).
  1. Удалённый доступ предоставляется только по заявке на доступ (Приложение № 8 к Стандарту) с указанием срока. Заявку согласовывает руководитель пользователя.
  2. Администратор безопасности настраивает VPN, при необходимости – СКЗИ.
  3. В Журнале учёта учётных записей (Приложение № 4 к Стандарту) администратор безопасности делает отметку о наличии удалённого доступа.
  4. Для привилегированных пользователей администратор безопасности обязательно применяет двухфакторную аутентификацию.
  5. Администратор безопасности совместно с ответственным за организацию защиты информации проверяют списки лиц с удалённым доступом с периодичностью, установленной Стандартом.
2.8.3. Контроль. Администратор безопасности в рамках оперативного контроля отслеживает корректность настройки VPN и СКЗИ, а также соблюдение сроков действия доступа; ответственный за организацию защиты информации в рамках периодического контроля проверяет обоснованность предоставления удалённого доступа, особенно для привилегированных пользователей.

2.9. Обеспечение защиты информации при беспроводном доступе пользователей к информационным системам (БД)

💡 Пояснение для специалиста

Точки доступа вносятся в Журнал активов. Аудит беспроводной сети – не реже 1 раза в 6 месяцев. Схема размещения утверждается руководителем.

2.9.1. Ответственные. Администратор системы – вносит точки доступа в Журнал учёта активов; администратор безопасности – настраивает Wi‑Fi, проводит аудит.
2.9.2. Порядок действий. Детали порядка учёта оборудования приведены в инструкции 3.10 «Доступ в защищаемые помещения» (в части учёта активов), а требования к настройке Wi‑Fi и проведению аудита – в общих требованиях Стандарта.
  1. Администратор системы вносит точки доступа в Журнал учёта активов (Приложение № 3 к Стандарту).
  2. Администратор безопасности настраивает Wi‑Fi в соответствии с требованиями Стандарта.
  3. Администратор безопасности проводит аудит беспроводной сети с периодичностью, установленной Стандартом. Результаты фиксирует в Акте аудита беспроводной сети.
  4. Схема размещения точек доступа утверждается руководителем организации.
2.9.3. Контроль. Администратор безопасности в рамках оперативного контроля следит за корректностью настроек Wi‑Fi и периодичностью аудита; ответственный за организацию защиты информации в рамках периодического контроля проверяет соблюдение требований к беспроводному доступу и актуальность схемы размещения точек доступа.

2.10. Обеспечение защиты информации при предоставлении пользователям привилегированного доступа (ПД)

💡 Пояснение для специалиста

Привилегированные учётные записи ведутся отдельно в Журнале учёта учётных записей (Приложение №4). Дополнительное согласование с ответственным за организацию защиты информации. Проверка перечня – раз в 6 месяцев.

2.10.1. Ответственные. Администратор безопасности – ведёт учёт привилегированных учётных записей, выполняет операции, проводит проверки; ответственный за организацию защиты информации – согласовывает предоставление привилегированного доступа, контролирует обоснованность.
2.10.2. Порядок действий. Детали порядка согласования, создания и проверки привилегированных учётных записей приведены в инструкции 3.6 «Управление доступом» (согласование, выполнение, периодическая проверка).
  1. Администратор безопасности ведёт в Журнале учёта учётных записей (Приложение № 4 к Стандарту) отдельный список привилегированных учётных записей.
  2. Предоставление привилегированного доступа – только по заявке на доступ (Приложение № 8 к Стандарту), дополнительно согласованной с ответственным за организацию защиты информации.
  3. Для таких учётных записей администратор безопасности применяет усиленные требования, установленные Стандартом.
  4. Администратор безопасности совместно с ответственным за организацию защиты информации проверяют перечень администраторов с периодичностью, установленной Стандартом.
  5. При увольнении или смене функций администратор безопасности отзывает доступ в день прекращения полномочий.
  6. Заявки на привилегированный доступ дополнительно утверждаются руководителем организации (или ответственным за организацию защиты информации по поручению).
2.10.3. Контроль. Администратор безопасности в рамках оперативного контроля следит за актуальностью перечня привилегированных учётных записей и соблюдением усиленных требований; ответственный за организацию защиты информации в рамках периодического контроля проверяет обоснованность предоставления привилегированного доступа и своевременность отзыва прав.

2.11. Обеспечение мониторинга информационной безопасности (МБ)

💡 Пояснение для специалиста

Регистрация событий настраивается администратором безопасности. Анализ событий – ежедневно (критические) и еженедельно (обобщённый). Инциденты фиксируются в Журнале событий (Приложение №2). Взаимодействие с ГосСОПКА – по отдельному регламенту.

2.11.1. Ответственные. Администратор безопасности – настраивает регистрацию, анализирует события, фиксирует инциденты, проводит локализацию; ответственный за организацию защиты информации – организует расследование, взаимодействует с ГосСОПКА, готовит акты.
2.11.2. Порядок действий. Детали порядка выявления, классификации, регистрации инцидентов и взаимодействия с уполномоченными органами приведены в инструкции 3.4 «Реагирование на инциденты информационной безопасности» (в полном объёме).
  1. Администратор безопасности настраивает регистрацию событий безопасности.
  2. Анализ событий проводит администратор безопасности с периодичностью, установленной Стандартом.
  3. При выявлении инцидента:
    • администратор безопасности фиксирует его в Журнале событий, инцидентов и уязвимостей (Приложение № 2 к Стандарту);
    • незамедлительно информирует ответственного за организацию защиты информации;
    • проводит первичную локализацию.
  4. Ответственный за организацию защиты информации организует расследование, готовит акт.
  5. Для субъектов КИИ: ответственный за организацию защиты информации передаёт сведения об инциденте в ГосСОПКА в сроки, установленные Стандартом.
  6. Акт расследования инцидента утверждается руководителем организации.
2.11.3. Контроль. Администратор безопасности в рамках оперативного контроля отслеживает полноту регистрации событий и оперативность реагирования на инциденты; ответственный за организацию защиты информации в рамках периодического контроля проверяет своевременность расследования и соблюдение сроков уведомления уполномоченных органов.

2.12. Обеспечение разработки безопасного программного обеспечения (БР)

💡 Пояснение для специалиста

Требования безопасности к ПО формируются администратором безопасности. Обязательна проверка исходного кода (code review) и статический анализ. Уязвимости регистрируются в Журнале (Приложение №2). Релиз – только после устранения критических уязвимостей.

2.12.1. Ответственные. Администратор безопасности – формирует требования, проводит проверку кода, регистрирует уязвимости, контролирует безопасность релизов; лица, осуществляющие разработку (штатные сотрудники или привлекаемые подрядчики) – используют безопасные стандарты кодирования, управляют версиями.
2.12.2. Порядок действий. Детали порядка регистрации уязвимостей приведены в инструкции 3.4 «Реагирование на инциденты» (разделы, касающиеся регистрации), а порядок управления версиями и отката – в инструкции 3.5 «Управление обновлениями» (разделы, касающиеся тестирования и отката).
  1. Администратор безопасности формирует требования безопасности к разрабатываемому ПО.
  2. Лица, осуществляющие разработку, используют безопасные стандарты кодирования (при наличии) и обеспечивают управление версиями исходного кода.
  3. Администратор безопасности проводит проверку исходного кода (code review) и статический анализ уязвимостей (при наличии инструментов или с привлечением внешнего специалиста).
  4. Выявленные уязвимости администратор безопасности регистрирует в Журнале событий, инцидентов и уязвимостей (Приложение № 2 к Стандарту).
  5. Релиз выпускается только после проверки безопасности и устранения критических уязвимостей. Проверку выполняет администратор безопасности.
  6. При привлечении сторонних разработчиков требования безопасности включаются в договор, ответственность возлагается на подрядчика в соответствии с процессом 2.16.
2.12.3. Контроль. Администратор безопасности в рамках оперативного контроля проводит проверки кода и отслеживает устранение уязвимостей; ответственный за организацию защиты информации в рамках периодического контроля проверяет выполнение требований безопасности при разработке.

2.13. Обеспечение физической защиты ИС (ФЗ)

💡 Пояснение для специалиста

Контролируемая зона и перечень защищаемых помещений утверждаются руководителем. Доступ – по утверждённому перечню. Журнал посещений (Приложение №5) или отчёты СКУД. Проверка режима – не реже 1 раза в год.

2.13.1. Ответственные. Ответственный за организацию защиты информации – определяет контролируемую зону и перечень защищаемых помещений, проводит проверки; администратор системы – оснащает помещения средствами ограничения доступа, ведёт Журнал посещений (или формирует отчёты СКУД); администратор безопасности – участвует в проверках.
2.13.2. Порядок действий. Детали порядка определения защищаемых помещений, ведения учёта посещений и проверки режима приведены в инструкции 3.10 «Доступ в защищаемые помещения» (в полном объёме).
  1. Ответственный за организацию защиты информации определяет границы контролируемой зоны и перечень защищаемых помещений. Границы и перечень утверждаются руководителем организации.
  2. Администратор системы обеспечивает оснащение помещений средствами ограничения доступа (СКУД или замки), охранной и пожарной сигнализацией, сейфами.
  3. Администратор системы (или иное уполномоченное лицо) ведёт Журнал учёта посещений защищаемых помещений (Приложение № 5 к Стандарту).
  4. Ответственный за организацию защиты информации проводит проверку соблюдения режима физической защиты с периодичностью, установленной Стандартом.
2.13.3. Контроль. Администратор системы в рамках оперативного контроля обеспечивает своевременность записей в журнале (или формирование отчётов СКУД); ответственный за организацию защиты информации в рамках периодического контроля проверяет ведение учёта и соблюдение режима доступа.

2.14. Обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций (НФ)

💡 Пояснение для специалиста

Перечень критически важных объектов согласовывается с ответственным за защиту информации. Резервное копирование – по Стандарту. Тестовое восстановление – раз в год с оформлением акта.

2.14.1. Ответственные. Администратор системы – определяет перечень критических объектов, выполняет резервное копирование, ведёт журнал, проводит тестовое восстановление; администратор безопасности – контролирует целостность копий, участвует в тестовом восстановлении; ответственный за организацию защиты информации – согласовывает перечень критических объектов и восстановление при сбое.
2.14.2. Порядок действий. Детали порядка определения критических объектов, выполнения резервного копирования и тестового восстановления приведены в инструкции 3.2 «Резервное копирование и восстановление» (в полном объёме).
  1. Администратор системы определяет перечень критически важных объектов (компоненты, сервисы, данные) и согласовывает его с ответственным за организацию защиты информации.
  2. Резервное копирование выполняет администратор системы с периодичностью, установленной Стандартом.
  3. Администратор системы ведёт Журнал резервного копирования и восстановления (Приложение № 6 к Стандарту).
  4. Резервные копии хранятся в изолированной среде. Администратор системы обеспечивает их сохранность.
  5. Целевое время восстановления (RTO) устанавливается в соответствии со Стандартом.
  6. Тестовое восстановление проводит администратор системы совместно с администратором безопасности с периодичностью, установленной Стандартом. По результату они оформляют Акт восстановления.
  7. Акт восстановления утверждается ответственным за организацию защиты информации.
2.14.3. Контроль. Администратор системы и администратор безопасности в рамках оперативного контроля отслеживают выполнение процедур копирования и целостность копий; ответственный за организацию защиты информации в рамках периодического контроля проверяет соблюдение графика копирования, наличие и сохранность копий, а также проведение тестового восстановления.

2.15. Повышение уровня знаний и информированности пользователей по вопросам защиты информации (УЗ)

💡 Пояснение для специалиста

Программа обучения утверждается руководителем. Вводный инструктаж – до предоставления доступа. Плановое обучение пользователей – не реже 1 раза в год (2 часа), для администраторов – 72 часа раз в 2 года. Тестирование с проходным баллом 70%.

2.15.1. Ответственные. Ответственный за организацию защиты информации – разрабатывает программу обучения, проводит инструктажи, организует обучение и проверку знаний, ведёт журнал.
2.15.2. Порядок действий. Детали порядка разработки программы, проведения инструктажей, проверки знаний и кибертренировок приведены в инструкции 3.7 «Обучение и проверка знаний пользователей» (в полном объёме).
  1. Ответственный за организацию защиты информации разрабатывает и утверждает у руководителя организации Программу обучения и инструктажей.
  2. Проводит вводный инструктаж с новым работником до предоставления доступа (беседа с демонстрацией материалов, дистанционно с подтверждением). Результат фиксирует в Журнале проведения инструктажей и обучений (Приложение № 7 к Стандарту).
  3. Организует плановое обучение с периодичностью, установленной Стандартом.
  4. Проводит проверку знаний (тестирование). Результаты фиксирует в журнале.
  5. При неудовлетворительном результате организует повторное обучение и пересдачу теста.
  6. Проводит внеплановый инструктаж при изменении законодательства, вводе новых ИС, грубых нарушениях или по решению руководителя.
  7. Организует кибертренировки (рассылки учебных фишинговых писем) и анализ их результатов. По итогам составляет краткую справку.
2.15.3. Контроль. Ответственный за организацию защиты информации в рамках оперативного контроля отслеживает своевременность и полноту проведения инструктажей и обучения; руководитель организации в рамках периодического контроля оценивает эффективность системы обучения.

2.16. Обеспечение защиты информации при взаимодействии с подрядными организациями (ЗП)

💡 Пояснение для специалиста

В договоры с подрядчиками включаются требования по защите информации. Доступ – по заявке и приказу, на минимально необходимый срок. После окончания работ – немедленная блокировка доступа.

2.16.1. Ответственные. Ответственный за организацию защиты информации – обеспечивает включение требований в договоры, контролирует обоснованность доступа; администратор безопасности – создаёт учётные записи, ведёт журнал, блокирует доступ.
2.16.2. Порядок действий. Детали порядка предоставления доступа подрядчикам приведены в инструкции 3.6 «Управление доступом».
  1. Ответственный за организацию защиты информации обеспечивает включение в договор с подрядчиком требований по защите информации на сопоставимом с Организацией уровне, а класс защищенности информационной системы подрядчика согласовывается с ответственным за организацию защиты информации.
  2. Доступ подрядчику предоставляется только на основании заявки на доступ (Приложение № 8 к Стандарту) и приказа руководителя.
  3. Администратор безопасности создаёт учётную запись с минимальными правами, в Журнале учёта учётных записей (Приложение № 4 к Стандарту) указывает «подрядчик».
  4. Срок доступа определяется согласно Стандарту.
  5. По окончании работ администратор безопасности незамедлительно блокирует доступ.
  6. Доступ подрядчиков предоставляется приказом руководителя организации.
2.16.3. Контроль. Администратор безопасности в рамках оперативного контроля следит за соблюдением сроков доступа и своевременностью блокировки; ответственный за организацию защиты информации в рамках периодического контроля проверяет обоснованность предоставления доступа подрядчикам и наличие договорных требований.

2.17. Обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании (ОО)

💡 Пояснение для специалиста

Перечень сервисов, подлежащих защите, утверждается руководителем. Настраивается фильтрация трафика (собственными силами или через провайдера/облако). Тестирование устойчивости – раз в год.

2.17.1. Ответственные. Ответственный за организацию защиты информации – определяет перечень сервисов, подлежащих защите, контролирует выполнение требований; администратор безопасности – настраивает средства фильтрации, регистрирует события, участвует в тестировании; администратор системы – обеспечивает работу каналов связи, участвует в настройке.
2.17.2. Порядок действий. Детали порядка регистрации атак приведены в инструкции 3.4 «Реагирование на инциденты» (разделы, касающиеся фиксации инцидентов), а порядок тестирования – в инструкции 3.5 «Управление обновлениями» (разделы, касающиеся тестирования).
  1. Ответственный за организацию защиты информации совместно с администратором безопасности определяют перечень сервисов, подлежащих защите. Перечень утверждается руководителем организации.
  2. Администратор безопасности настраивает средства фильтрации трафика либо организует подключение услуг провайдера или облачного сервиса защиты.
  3. События сетевых перегрузок администратор безопасности регистрирует в Журнале событий, инцидентов и уязвимостей (Приложение № 2 к Стандарту).
  4. Тестирование устойчивости к нагрузке проводит администратор безопасности совместно с привлекаемой организацией с периодичностью, установленной Стандартом.
2.17.3. Контроль. Администратор безопасности в рамках оперативного контроля отслеживает события сетевых перегрузок и корректность настроек защиты; ответственный за организацию защиты информации в рамках периодического контроля проверяет актуальность перечня сервисов и результаты тестирования устойчивости.

2.18. Обеспечение защиты информации при использовании искусственного интеллекта (ИИ)

💡 Пояснение для специалиста

Перечень систем ИИ утверждается руководителем. Запрещена передача информации ограниченного доступа во внешние публичные ИИ-сервисы. Проверка настроек – раз в 6 месяцев.

2.18.1. Ответственные. Ответственный за организацию защиты информации – ведёт Перечень систем ИИ, контролирует выполнение требований; администратор безопасности – проводит оценку угроз, настраивает разграничение доступа, ведёт журналы использования.
2.18.2. Порядок действий. Детали порядка оценки угроз приведены в инструкции 3.1 «Антивирусная защита» (разделы, касающиеся выявления угроз), а порядок разграничения доступа – в инструкции 3.6 «Управление доступом» (разделы, касающиеся настройки прав).
  1. Ответственный за организацию защиты информации ведёт Перечень систем искусственного интеллекта. Перечень утверждается руководителем организации.
  2. До внедрения решения администратор безопасности проводит оценку угроз безопасности информации.
  3. Администратор безопасности и ответственный за организацию защиты информации устанавливают запрет на передачу информации ограниченного доступа во внешние публичные сервисы ИИ.
  4. Администратор безопасности обеспечивает разграничение доступа к системам ИИ и журналирование использования.
  5. Администратор безопасности проводит проверки настроек безопасности систем ИИ с периодичностью, установленной Стандартом.
2.18.3. Контроль. Администратор безопасности в рамках оперативного контроля следит за журналированием использования ИИ и соблюдением запрета на передачу данных; ответственный за организацию защиты информации в рамках периодического контроля проверяет актуальность Перечня систем ИИ и выполнение оценки угроз.

2.19. Проведение периодического контроля уровня защищенности информации, содержащейся в информационных системах (ПК)

💡 Пояснение для специалиста

Расчёт Кзи – 2 раза в год, Пзи – 1 раз в 2 года. Протокол направляется в ФСТЭК в течение 5 рабочих дней. При несоответствии – план корректирующих мероприятий.

2.19.1. Ответственные. Ответственный за организацию защиты информации – организует проверку, рассчитывает показатели, оформляет протокол, направляет в ФСТЭК России; администратор безопасности – предоставляет данные для расчёта, участвует в проверке.
2.19.2. Порядок действий. Детали порядка анализа событий для контроля приведены в инструкции 3.4 «Реагирование на инциденты» (разделы, касающиеся анализа), а порядок проверки восстановления – в инструкции 3.2 «Резервное копирование и восстановление» (разделы, касающиеся тестового восстановления).
  1. С периодичностью, установленной Стандартом, ответственный за организацию защиты информации организует проверку реализации мер защиты (в том числе с привлечением лицензиата ФСТЭК). Проверка осуществляется с использованием методов контроля уровня защищённости, установленных Стандартом (раздел 3.19).
  2. Администратор безопасности предоставляет данные для расчёта Кзи и Пзи.
  3. Ответственный за организацию защиты информации рассчитывает показатели с периодичностью, установленной Стандартом, оформляет Протокол расчёта. Протокол утверждается руководителем организации.
  4. Протокол направляется в ФСТЭК России в срок, установленный Стандартом.
  5. При несоответствии показателей целевым значениям ответственный за организацию защиты информации разрабатывает План корректирующих мероприятий. План утверждается руководителем организации.
2.19.3. Контроль. Ответственный за организацию защиты информации в рамках оперативного контроля отслеживает сроки проведения проверок и расчёта показателей; руководитель организации в рамках периодического контроля оценивает достаточность принятых мер и устранение несоответствий.

3. Инструкции по выполнению отдельных процедур

3.1. Антивирусная защита

💡 Пояснение для специалиста

Инструкция определяет порядок установки, настройки и мониторинга антивирусной защиты. Все события обнаружения вредоносного ПО регистрируются в Журнале событий (Приложение №2). При массовом заражении – немедленное информирование ответственного за организацию защиты информации.

3.1.1. Ответственные
Администратор безопасности – настройка, мониторинг, реагирование на срабатывания;
Администратор системы – установка, обновление антивирусного ПО;
Пользователь – информирование о предупреждениях.
3.1.2. Порядок действий
  1. Администратор системы устанавливает и обновляет антивирусное ПО на всех устройствах, имеющих доступ к ИС, в соответствии с требованиями к ИС.
  2. Администратор безопасности настраивает антивирус (включая параметры автоматического обновления, периодичность сканирования) согласно требованиям к ИС.
  3. При обнаружении вредоносного объекта антивирус автоматически блокирует доступ и уведомляет администратора безопасности.
  4. Пользователь при получении предупреждения немедленно сообщает администратору безопасности.
  5. Администратор безопасности изолирует заражённый узел (при необходимости отключает от сети), запускает углублённое сканирование и фиксирует событие в Журнале событий, инцидентов и уязвимостей (Приложение № 2 к Стандарту).
  6. При массовом заражении администратор безопасности информирует ответственного за организацию защиты информации.
3.1.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Журнал событий, инцидентов и уязвимостей (Приложение № 2 к Стандарту);
  • Акт расследования инцидента (при необходимости).
3.1.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • администратор безопасности в рамках оперативного контроля отслеживает своевременность обновления антивирусных баз и полноту регистрации событий;
  • ответственный за организацию защиты информации в рамках периодического контроля проверяет результаты мониторинга и при необходимости инициирует корректирующие мероприятия.

3.2. Резервное копирование и восстановление

💡 Пояснение для специалиста

Инструкция определяет порядок резервного копирования критически важных объектов. Тестовое восстановление – обязательно не реже 1 раза в год. Результаты фиксируются в Журнале резервного копирования (Приложение №6).

3.2.1. Ответственные
Администратор системы – выполнение резервного копирования, ведение журнала, хранение копий;
Администратор безопасности – контроль целостности резервных копий, участие в тестовом восстановлении;
Ответственный за организацию защиты информации – согласование восстановления при сбое.
3.2.2. Порядок действий
  1. Администратор системы определяет перечень объектов (компоненты, сервисы, данные), критичных для выполнения значимых функций, на основе требований к ИС. Перечень согласовывается с ответственным за организацию защиты информации.
  2. Резервное копирование выполняется с периодичностью, установленной для ИС.
  3. Объекты копирования определяются в соответствии с требованиями к ИС.
  4. Администратор системы ведёт Журнал резервного копирования и восстановления (Приложение № 6 к Стандарту).
  5. Резервные копии хранятся в соответствии с требованиями к ИС.
  6. Тестовое восстановление проводится с периодичностью, установленной для ИС. Администратор системы совместно с администратором безопасности восстанавливают произвольный набор данных на тестовом стенде, фиксируют результат в журнале и оформляют акт восстановления.
  7. При реальной необходимости восстановления (сбой, атака) администратор системы:
    • извещает ответственного за организацию защиты информации;
    • получает разрешение на использование резервных копий;
    • выполняет восстановление;
    • фиксирует в журнале и оформляет акт восстановления.
3.2.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Журнал резервного копирования и восстановления (Приложение № 6 к Стандарту);
  • Акт восстановления.
3.2.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • администратор системы и администратор безопасности в рамках своих функций контролируют выполнение процедур копирования и восстановления;
  • ответственный за организацию защиты информации в рамках периодического контроля проверяет соблюдение графика копирования, наличие и сохранность копий, а также проведение тестового восстановления.

3.3. Обращение со съёмными носителями информации

💡 Пояснение для специалиста

Все съёмные носители подлежат учёту в Журнале активов (Приложение №3). Запись информации ограниченного доступа на съёмные носители допускается только в исключительных случаях, предусмотренных требованиями к ИС. Уничтожение – по акту комиссией.

3.3.1. Ответственные
Администратор безопасности – определение порядка использования, выдача разрешений;
Администратор системы – учёт носителей, выдача пользователям;
Пользователь – использование только по служебной необходимости, возврат при увольнении.
3.3.2. Порядок действий
  1. Администратор системы вносит все съёмные носители, используемые в работе, в Журнал учёта активов (Приложение № 3 к Стандарту) с указанием серийного номера (при наличии), ответственного пользователя, цели использования.
  2. При выдаче носителя пользователю администратор системы делает отметку в Журнале учёта активов (в поле «Ответственный пользователь»), либо в заявке на доступ с указанием факта получения.
  3. Запись информации ограниченного доступа на съёмные носители допускается только в случаях, предусмотренных требованиями к ИС.
  4. Пользователь использует носители только для выполнения должностных (трудовых) обязанностей, не передаёт их третьим лицам, при увольнении или по требованию возвращает.
  5. При выходе носителя из строя или списании администратор безопасности организует его уничтожение постоянно действующей комиссией по вопросам защиты информации, способом, исключающим восстановление информации. По результатам оформляется акт уничтожения.
3.3.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Журнал учёта активов (Приложение № 3 к Стандарту);
  • Акт уничтожения носителей.
3.3.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • администратор системы ведёт учёт и контролирует возврат носителей;
  • администратор безопасности контролирует соблюдение порядка использования носителей;
  • ответственный за организацию защиты информации в рамках периодического контроля проверяет учёт и правомерность выдачи носителей.

3.4. Реагирование на инциденты информационной безопасности

💡 Пояснение для специалиста

Инциденты фиксируются в Журнале событий (Приложение №2). Для субъектов КИИ – уведомление НКЦКИ в сроки, установленные Стандартом (предварительное – 1 час, подробное – 24 часа). При утечке ПДн – уведомление Роскомнадзора (24 часа).

3.4.1. Ответственные
Администратор безопасности – выявление, классификация, первичная локализация, регистрация;
Ответственный за организацию защиты информации – организация расследования, информирование руководства, взаимодействие с НКЦКИ и иными органами;
Пользователь – немедленное сообщение о подозрительных событиях.
3.4.2. Порядок действий
  1. Администратор безопасности выявляет инциденты по журналам событий, сообщениям пользователей, срабатываниям средств защиты.
  2. Присваивает инциденту уровень критичности в соответствии с классификацией, установленной для ИС.
  3. При высокой критичности (нарушение безопасности значимых функций, утечка ограниченной информации, активная атака):
    • немедленно блокирует доступ нарушителя (отключение от сети, блокировка учётной записи);
    • уведомляет ответственного за организацию защиты информации в сроки, установленные Стандартом и требованиями для ИС;
    • фиксирует инцидент в Журнале событий, инцидентов и уязвимостей (Приложение № 2 к Стандарту).
  4. Взаимодействие с уполномоченными органами
    • При выявлении компьютерного инцидента или атаки ответственный за организацию защиты информации оценивает, подпадает ли организация под действие нормативных актов, требующих уведомления НКЦКИ (ГосСОПКА). Сроки уведомления НКЦКИ о компьютерных инцидентах и атаках устанавливаются Стандартом (для субъектов КИИ). Способы уведомления: через личный кабинет ГосСОПКА, по электронной почте на адреса НКЦКИ (cert.gov.ru), по факсимильной или обычной почте.
    • При утечке персональных данных (независимо от статуса организации) ответственный за организацию защиты информации уведомляет Роскомнадзор в сроки, установленные Стандартом.
  5. При средней и низкой критичности (когда уведомление уполномоченных органов не требуется):
    • администратор безопасности проводит анализ, устраняет причину, фиксирует в журнале;
    • информирует ответственного за организацию защиты информации в сроки, установленные Стандартом и требованиями для ИС.
  6. По результатам расследования ответственный за организацию защиты информации составляет акт, который утверждается руководителем организации.
3.4.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Журнал событий, инцидентов и уязвимостей (Приложение № 2 к Стандарту);
  • акт расследования инцидента;
  • уведомления в НКЦКИ / Роскомнадзор (при необходимости).
3.4.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • администратор безопасности контролирует полноту регистрации инцидентов и оперативность первичного реагирования;
  • ответственный за организацию защиты информации контролирует своевременность расследования, соблюдение сроков уведомления уполномоченных органов и полноту принятых мер.

3.5. Управление обновлениями программного обеспечения

💡 Пояснение для специалиста

Инструкция определяет порядок отслеживания, тестирования и установки обновлений. Критические обновления тестируются на изолированном стенде (при наличии). После установки – запись в Журнале изменений (Приложение №1).

3.5.1. Ответственные
Администратор безопасности – отслеживание обновлений, определение критичности, тестирование, контроль;
Администратор системы – установка обновлений системного и прикладного ПО, создание резервных копий.
3.5.2. Порядок действий
  1. Администратор безопасности с периодичностью, установленной для ИС, отслеживает выход обновлений для используемого ПО и средств защиты.
  2. Классифицирует обновления по степени критичности в соответствии с требованиями к ИС.
  3. При наличии тестовой среды администратор системы совместно с администратором безопасности проводят тестирование критических и важных обновлений на стенде, изолированном от продуктивной среды.
  4. Перед установкой обновлений администратор системы создаёт резервные копии.
  5. Установка обновлений выполняется в сроки, установленные Стандартом и требованиями для ИС:
    • администратором системы – для системного и прикладного ПО;
    • администратором безопасности – для средств защиты.
  6. После установки администратор безопасности делает запись в Журнале изменений и проверок конфигураций (Приложение № 1 к Стандарту) с указанием даты, наименования обновления, результата.
  7. При возникновении проблем после установки администратор системы выполняет откат (восстановление из резервной копии) с фиксацией в журнале.
3.5.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Журнал изменений и проверок конфигураций (Приложение № 1 к Стандарту);
  • Акт тестирования (при необходимости).
3.5.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • администратор безопасности контролирует соблюдение сроков установки обновлений и полноту регистрации;
  • ответственный за организацию защиты информации в рамках периодического контроля проверяет результаты управления обновлениями.

3.6. Управление доступом

💡 Пояснение для специалиста

Инструкция детализирует весь жизненный цикл учётных записей: от заявки до блокировки. Привилегированный доступ требует двойного согласования. Парольная политика – по Стандарту (длина ≥12, смена 90 дней, сложность).

3.6.1. Ответственные
Инициатор (пользователь или его руководитель) – заполнение заявки на доступ;
Руководитель пользователя – согласование заявки на обычный доступ;
Ответственный за организацию защиты информации – дополнительное согласование для привилегированного доступа;
Администратор безопасности – непосредственное выполнение операций с учётными записями, настройка параметров аутентификации, ведение журнала учёта;
Ответственный за эксплуатацию СКЗИ (при наличии) – выдача токенов и ключей;
Пользователь – получение учётных данных, соблюдение правил идентификации и аутентификации.
3.6.2. Порядок действий
  1. Инициация и согласование доступа
    1. Инициатор заполняет заявку на доступ (Приложение № 8 к Стандарту) в электронном виде (сервис-деск, электронная почта) или на бумаге. Указывает ФИО пользователя, должность, подразделение, ресурсы, тип доступа, срок, цель.
    2. Руководитель пользователя подтверждает необходимость доступа (отметка в системе, переписка, живая подпись).
    3. Для привилегированного доступа ответственный за организацию защиты информации даёт дополнительное согласование (на бумажном носителе с живой подписью).
  2. Создание и настройка учетной записи
    1. Администратор безопасности на основании согласованной заявки:
      • создаёт учётную запись;
      • назначает пароль в соответствии с парольной политикой;
      • настраивает права доступа (минимально необходимые);
      • фиксирует действие в Журнале учёта учётных записей (Приложение № 4 к Стандарту).
    2. Для привилегированных учётных записей администратор безопасности применяет усиленные требования согласно Стандарту:
      • двухфакторная аутентификация (при технической возможности);
      • автоматическое завершение сеанса при бездействии;
      • запрет на интерактивный вход по сети (при необходимости);
      • иные усиления, предусмотренные требованиями для ИС.
  3. Передача учетных данных
    1. Для обычных учётных записей пароль передаётся: лично; через сервис-деск с обязательным требованием смены при первом входе; по защищенным каналам связи с применением сертифицированных СКЗИ.
    2. Для привилегированных учётных записей пароль передаётся только: лично под расписку; по защищённым каналам с применением сертифицированных СКЗИ.
    3. Ключи электронной подписи, токены, ключевые носители выдаются под расписку ответственным за эксплуатацию СКЗИ с отметкой в Журнале поэкземплярного учёта СКЗИ и ключевых документов и в Лицевом счёте пользователя.
  4. Парольная политика (правила идентификации и аутентификации)
    1. Администратор безопасности устанавливает параметры парольной политики в соответствии с требованиями, установленными для ИС и Стандартом: минимальная длина пароля; сложность (использование символов разных классов); срок действия пароля; запрет на использование предыдущих паролей; количество попыток ввода до блокировки; для мобильных устройств применяются требования согласно Стандарту.
    2. Пользователь обязан:
      • не передавать свой пароль третьим лицам;
      • не записывать пароль на бумажные носители (кроме случаев хранения в опечатываемом сейфе у администратора безопасности);
      • не использовать один и тот же пароль для доступа к ИС и личным (некорпоративным) сервисам;
      • незамедлительно сменить пароль и сообщить администратору безопасности при подозрении на компрометацию учётных данных.
  5. Изменение прав и продление доступа
    1. Изменение прав доступа или продление срока осуществляется по новой заявке с аналогичным порядком согласования.
    2. Администратор безопасности вносит изменения в учётную запись и фиксирует их в Журнале учёта учётных записей.
  6. Прекращение доступа
    1. При увольнении сотрудника доступ (учётная запись) блокируется в день увольнения.
    2. При истечении срока доступа или завершении работ (для подрядчиков) доступ блокируется незамедлительно.
    3. Администратор безопасности делает отметку о блокировании в Журнале учёта учётных записей.
  7. Периодическая проверка учётных записей
    С периодичностью, установленной для ИС, администратор безопасности совместно с ответственным за организацию защиты информации проверяют обоснованность всех учётных записей (особенно привилегированных). Результат фиксируют в Журнале учёта учётных записей и докладывают руководителю организации.
3.6.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Заявка на доступ (Приложение № 8 к Стандарту);
  • Журнал учёта учётных записей (Приложение № 4 к Стандарту);
  • Журнал поэкземплярного учёта СКЗИ и ключевых документов к ним;
  • Лицевой счёт пользователя СКЗИ (согласно инструкции 3.9).
3.6.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • администратор безопасности контролирует своевременность и корректность операций;
  • ответственный за организацию защиты информации в рамках периодического контроля проверяет обоснованность доступа, особенно привилегированного.

3.7. Обучение и проверка знаний пользователей

💡 Пояснение для специалиста

Вводный инструктаж – до предоставления доступа. Плановое обучение пользователей – не реже 1 раза в год (2 часа), для администраторов – 72 часа раз в 2 года. Тестирование с проходным баллом 70%.

3.7.1. Ответственные
Ответственный за организацию защиты информации – организация и проведение обучения, ведение документации;
Администратор безопасности – участие в подготовке материалов, проведение специализированных инструктажей;
Руководители подразделений – контроль своевременности прохождения обучения подчинёнными;
Пользователи – прохождение обучения, выполнение контрольных заданий.
3.7.2. Порядок действий
  1. Разработка программы обучения – ответственный за организацию защиты информации разрабатывает и утверждает у руководителя организации Программу обучения и инструктажей.
  2. Вводный инструктаж – ответственный за организацию защиты информации проводит его с новым работником до предоставления доступа (беседа с демонстрацией материалов, дистанционно с подтверждением). Результат фиксирует в Журнале проведения инструктажей и обучений (Приложение № 7 к Стандарту).
  3. Плановое обучение – ответственный за организацию защиты информации организует его с периодичностью, установленной Стандартом.
  4. Проверка знаний – ответственный за организацию защиты информации проводит её с установленной периодичностью, а также после инцидента. Форма – тестирование (электронное или бумажное). Минимальный проходной балл в соответствии с критериями оценки, установленными в Стандарте. Результаты фиксирует в журнале.
  5. При неудовлетворительном результате пользователь обязан пройти повторное обучение и пересдать тест.
  6. Внеплановый инструктаж – ответственный за организацию защиты информации проводит его при изменении законодательства, вводе новых ИС, грубых нарушениях или по решению руководителя.
  7. Кибертренировки – ответственный за организацию защиты информации организует рассылки учебных фишинговых писем и анализ их результатов. По итогам составляет краткую справку.
3.7.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Программа обучения;
  • Журнал проведения инструктажей и обучений (Приложение № 7 к Стандарту);
  • протоколы (результаты) тестирования;
  • справки по кибертренировкам (при наличии).
3.7.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • ответственный за организацию защиты информации контролирует своевременность и полноту обучения;
  • руководители подразделений обеспечивают явку подчинённых;
  • администратор безопасности контролирует корректность отражения результатов в журнале.

3.8. Эксплуатация средств криптографической защиты информации (СКЗИ)

💡 Пояснение для специалиста

Инструкция определяет порядок ввода, учёта, хранения и уничтожения СКЗИ. Каждый пользователь должен пройти инструктаж и получить допуск от комиссии. При компрометации ключей – немедленная замена.

3.8.1. Ответственные
Ответственный за эксплуатацию СКЗИ – организация учёта, настройка, контроль, ведение документации;
Ответственный за организацию защиты информации – общий контроль;
Пользователи СКЗИ – соблюдение правил, сохранность ключевых носителей, информирование о компрометации.
3.8.2. Порядок действий
  1. Ввод СКЗИ в эксплуатацию
    Ответственный за эксплуатацию СКЗИ:
    • принимает СКЗИ по акту приёма-передачи, проводит осмотр, сверяет комплектацию с эксплуатационной документацией;
    • устанавливает и настраивает СКЗИ в соответствии с документацией;
    • составляет акт установки и настройки СКЗИ (с указанием типа, номеров, места установки, ответственных лиц);
    • на основании акта вносит сведения в Журнал поэкземплярного учёта СКЗИ и ключевых документов (регистрационный номер, дата ввода, место установки, ответственный пользователь).
  2. Учёт СКЗИ и ключевых документов
    Ответственный за эксплуатацию СКЗИ:
    • ведёт Журнал поэкземплярного учёта СКЗИ и ключевых документов, фиксируя все СКЗИ, эксплуатационную документацию и ключевые носители;
    • оформляет на каждого пользователя Лицевой счёт, в котором указывает: ФИО, должность, подразделение; выданные СКЗИ (наименование, номера); выданные ключевые носители (номера, дата выдачи); отметки о возврате, замене, уничтожении;
    • лицевой счёт подписывается пользователем при получении и возврате СКЗИ или ключей.
  3. Допуск пользователей к работе с СКЗИ
    • Ответственный за эксплуатацию СКЗИ проводит инструктаж по правилам работы с СКЗИ; после проверки знаний передаёт материалы постоянно действующей комиссии по вопросам защиты информации.
    • Комиссия рассматривает полученные результаты, оформляет заключение о допуске пользователя к самостоятельной работе с СКЗИ.
    • Ответственный за эксплуатацию СКЗИ вносит запись о проведённом инструктаже в Журнал проведения инструктажей и обучений (Приложение № 7 к Стандарту).
  4. Хранение СКЗИ и ключевых документов
    Ответственный за эксплуатацию СКЗИ организует хранение СКЗИ и ключевых носителей в сейфе (металлическом шкафу) в помещении с контролируемым доступом. Руководитель организации утверждает перечень лиц, допущенных к хранилищу.
  5. Действия при компрометации ключей
    • Пользователь при утрате ключевого носителя, подозрении на перехват или нарушении условий хранения немедленно сообщает ответственному за эксплуатацию СКЗИ.
    • Ответственный за эксплуатацию СКЗИ фиксирует факт в Журнале поэкземплярного учёта СКЗИ; инициирует экстренную замену ключевых документов; при необходимости уведомляет корреспондентов, с которыми осуществлялась защищённая связь; составляет Акт о компрометации ключевых документов.
  6. Уничтожение СКЗИ и ключевых документов
    • Ответственный за эксплуатацию СКЗИ организует уничтожение постоянно действующей комиссией по вопросам защиты информации, способом, исключающим восстановление информации (физическое разрушение, перезапись).
    • Комиссия рассматривает материалы, составляет Акт уничтожения.
    • Ответственный за эксплуатацию СКЗИ на основании акта делает отметки в Журнале поэкземплярного учёта СКЗИ и лицевом счёте пользователя.
3.8.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Акт установки и настройки СКЗИ;
  • Журнал поэкземплярного учёта СКЗИ и ключевых документов;
  • Лицевые счета пользователей;
  • Заключение о допуске пользователя к самостоятельной работе с СКЗИ;
  • Акт о компрометации ключевых документов;
  • Акт уничтожения СКЗИ (ключевых документов).
3.8.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • ответственный за эксплуатацию СКЗИ контролирует соблюдение правил учёта, хранения и использования;
  • ответственный за организацию защиты информации в рамках периодического контроля проверяет состояние документации и режим хранения.

3.9. Обработка персональных данных

💡 Пояснение для специалиста

Инструкция охватывает уведомление Роскомнадзора, сбор согласий, локализацию баз данных, трансграничную передачу и обработку биометрии. Политика обработки ПДн должна быть размещена на сайте.

3.9.1. Ответственные
Ответственный за обеспечение безопасности персональных данных – организует обработку, ведёт документацию, взаимодействует с Роскомнадзором;
Ответственный за организацию защиты информации – осуществляет общий контроль;
Пользователи – соблюдают правила обработки, оформляют согласия.
3.9.2. Порядок действий
  1. Уведомление Роскомнадзора о начале обработки ПДн
    Ответственный за ПДн:
    • до начала обработки (кроме случаев, предусмотренных ч. 2 ст. 22 ФЗ‑152) направляет уведомление через личный кабинет rkn.gov.ru (с использованием КЭП) или почтовым отправлением;
    • при изменении целей, способов, категорий данных, ответственного лица или места обработки направляет уведомление об изменении;
    • при прекращении обработки направляет уведомление о прекращении;
    • регистрирует каждое уведомление в журнале (дата, номер заявки, квитанция о получении).
  2. Согласия на обработку ПДн
    • Пользователь, получающий согласие, оформляет его отдельным документом, блоком или галочкой (не вшивает в текст договора); указывает в согласии: ФИО субъекта, цель обработки, перечень данных, наименование оператора, срок действия, порядок отзыва.
    • Ответственный за ПДн ведёт Реестр (журнал) согласий, внося: ФИО субъекта, дату, цель, способ получения, отметку об отзыве; при отзыве согласия обеспечивает уничтожение данных в течение 30 дней, составляет Акт уничтожения; для специальных категорий (биометрия и др.) обеспечивает оформление письменного отдельного согласия.
  3. Локализация персональных данных граждан РФ
    Ответственный за ПДн обеспечивает размещение баз данных, содержащих ПДн граждан РФ, на территории РФ; при использовании облачных сервисов (CRM, HR‑системы и др.) проверяет по документам провайдера, что серверы с базами данных находятся в РФ; если гражданство субъекта неизвестно, обрабатывает данные как относящиеся к РФ (с размещением на территории РФ).
  4. Трансграничная передача ПДн (при наличии)
    Ответственный за ПДн:
    • перед передачей в страны, не обеспечивающие адекватную защиту прав, направляет уведомление в Роскомнадзор (передача разрешается не ранее чем через 10 рабочих дней);
    • в страны с адекватной защитой (перечень Роскомнадзора) уведомление не направляет, но обеспечивает наличие правовых оснований (договор, согласие субъекта);
    • при изменении целей, состава передаваемых данных или появлении новых каналов передачи направляет новое уведомление.
  5. Биометрические персональные данные (при наличии)
    Сотрудник, получающий биометрию, оформляет письменное отдельное согласие. Ответственный за ПДн учитывает такие согласия в отдельном реестре (или с пометкой в общем реестре); обеспечивает усиленную защиту (сертифицированные СЗИ, строгий доступ); при уничтожении биометрических данных составляет отдельный акт уничтожения.
  6. Политика обработки персональных данных
    Ответственный за ПДн разрабатывает и утверждает у руководителя организации Политику обработки ПДн (отдельный документ); размещает её на официальном сайте (при наличии); предоставляет документ по запросу субъектов ПДн.
3.9.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Уведомления Роскомнадзора (с квитанциями о получении);
  • Журнал учёта уведомлений РКН;
  • Реестр (журнал) согласий на обработку ПДн;
  • Согласия на обработку ПДн;
  • Акты уничтожения ПДн;
  • Политика обработки персональных данных.
3.9.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • ответственный за ПДн в рамках оперативного контроля проверяет своевременность уведомлений, наличие согласий, соблюдение локализации и правил трансграничной передачи;
  • ответственный за организацию защиты информации в рамках периодического контроля проверяет полноту документации по ПДн и соответствие требованиям законодательства.

3.10. Доступ в защищаемые помещения

💡 Пояснение для специалиста

Перечень защищаемых помещений и лиц, допущенных к ним, утверждается руководителем. Посещения фиксируются в Журнале (Приложение №5) или с помощью СКУД. Проверка режима – не реже 1 раза в год.

3.10.1. Ответственные
Администратор системы (или иное лицо, имеющее право самостоятельного доступа и назначенное ответственным) – ведёт учёт посещений, обеспечивает работу средств контроля доступа;
Ответственный за организацию защиты информации – утверждает перечень защищаемых помещений и лиц, допущенных к ним, осуществляет периодический контроль.
3.10.2. Порядок действий
  1. Определение защищаемых помещений
    Ответственный за организацию защиты информации определяет перечень защищаемых помещений (серверные, архивные, помещения для хранения СКЗИ и ключевых документов, помещения для работы с конфиденциальной информацией); утверждает перечень у руководителя организации.
  2. Допуск лиц в защищаемые помещения
    • Руководитель организации утверждает перечень лиц, имеющих право доступа в защищаемые помещения.
    • Ответственный за организацию защиты информации доводит перечень до администратора системы и службы охраны (при наличии).
  3. Ведение учёта посещений
    Лицо, назначенное ответственным за ведение учёта (администратор системы или иной работник, имеющий право доступа):
    • ведёт Журнал учёта посещений защищаемых помещений (Приложение № 5 к Стандарту);
    • при каждом посещении защищаемого помещения лицом, не входящим в утверждённый перечень, либо при любом посещении (если СКУД отсутствует) делает запись в журнале;
    • при наличии автоматизированной системы контроля доступа (СКУД) допускается не вести отдельный журнал, а использовать отчёты СКУД в качестве подтверждения факта посещений. В этом случае ответственное лицо ежемесячно формирует отчёт и хранит его.
  4. Проверка соблюдения режима
    Ответственный за организацию защиты информации проверяет соответствие журнала (отчётов СКУД) утверждённому перечню допущенных лиц, а также соблюдение порядка доступа. При выявлении нарушений (несанкционированный доступ, отсутствие записи) инициирует корректирующие мероприятия.
3.10.3. Документирование
Документы, подтверждающие выполнение требований инструкции:
  • Перечень защищаемых помещений (утверждается руководителем);
  • Перечень лиц, допущенных в защищаемые помещения (утверждается руководителем);
  • Журнал учёта посещений защищаемых помещений (Приложение № 5 к Стандарту) либо отчёты СКУД.
3.10.4. Контроль
Контроль за исполнением требований инструкции выполняют:
  • администратор системы в рамках оперативного контроля обеспечивает своевременность записей и сохранность журнала;
  • ответственный за организацию защиты информации в рамках периодического контроля проверяет ведение учёта и соблюдение режима доступа.
Пожаловаться на контент cайта в Битрикс24