Листок бюрократической защиты информации
Нормативно-новостной и иногда субъективно-аналитический канал-хобби/записная книжка по теме организационной и правовой защите информации в Российской Федерации. Подробнее: https://telegra.ph/Beinsecurity-12-12 Для обратной связи: https://telegra.ph/Obra
Show more- Subscribers
- Post coverage
- ER - engagement ratio
Data loading in progress...
Data loading in progress...
Красногорск. 16 мая. ИНТЕРФАКС - Система обнаружения больших групп людей по сигналам мобильных телефонов начала работу в лесничест... читать далее на "Интерфакс-Россия"
За основу документов, упомянутых в пункта 1 и 2 можно (а иногда и нужно) взять постановление Правительства Российской Федерации от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».3. Договоров (отдельных положений в них) или дополнительных соглашений к договорам с подрядными организациями, имеющими доступ к информационным системам с привилегированными правами, в которых установлены требования о реализации мер по защите от угроз через их информационную инфраструктуру. 4. Локальный нормативный акт, определяющий требования к использованию паролей в информационных системах (парольную политику, политику парольной защиты и т.д.). 5. Локальный нормативный акт, определяющий порядок учета пользовательских устройств, серверов и сетевых устройств. 6. Локальный нормативный акт, определяющий порядок реагирования на компьютерные инциденты.
За основу такого документа можно взять пачку ГОСТов: Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации»; Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения»; Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения»; Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»; Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты», соответствующие приказы ФСБ России, которые можно найти
здесь,
а также учитываем, что в некоторых случаях компьютерные инциденты могут быть инцидентами с ПДн.Не стоит забывать, что в рамках Методики в организации также должны появиться: • Локальный нормативный акт, устанавливающий порядок и периодичность проведения оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации в организации, включая требования по отбору и назначению специалистов, задействованных в этой оценке. • План реализации мероприятий по достижению требуемого уровня защиты от актуальных угроз (указанный план разрабатывается, если по результатам оценки установлен либо низкий («оранжевый»🟡), либо критический («красный»🔴) уровень текущего состояния защищенности). P.S.: «Локальный нормативный акт» может быть сильным высказыванием, но суть в том, что в организации должны быть соответствующие документы.
Система НПА по КИИ (Версия по состоянию на 08.05.2024)
Система НПА по КИИ (Версия по состоянию на 08.05.2024)
📣2 мая ФСТЭК России утвердила Методику оценки показателя состояния ТЗИ и обеспечения безопасности ЗОКИИ. Из названия и требований документа становится ясно, что методика предназначена не только для субъектов КИИ, но и для любых организаций. Методика позволяет оценить текущее состояние защиты информации в организации и степень соответствия минимально необходимому уровню защиты, т.е. минимальному набору требований и мер, которые определены ФСТЭК России. ❕Согласно тексту документа оценка показателя защищенности осуществляется в отношении всех ИС, подлежащих защите, и должна проводиться не реже 1 раза в полгода. Оценка проводится подразделением, ответственным за обеспечение информационной безопасности. При этом специалисты, проводящие сбор и анализ данных для оценки, не могут проверять результаты своей собственной работы, они должны обладать компетенциями в области обеспечения информационной безопасности. ❕ФСТЭК России может запрашивать результаты оценки уровня защищённости у организаций. Вероятно, в первую…