Приложение 18. СОСТАВ И ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ | Состав этапов создания подсистемы безопасности значимых объектов КИИ и организации взаимодействия |

Приложение 18

СОСТАВ
И ПОСЛЕДОВАТЕЛЬНОСТЬ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ПОСЛЕ ЗАВЕРШЕНИЯ КАТЕГОРИРОВАНИЯ

Состав этапов создания подсистемы безопасности значимых
объектов КИИ и организации взаимодействия

Состав процедур этапа "Планирование" создания
подсистемы безопасности

  ПРОЦЕДУРА:
. Разработка Модели угроз безопасности  . ПРОЦЕДУРА:
. информации и Модели нарушителя, выбор . Оформление результатов
. мер обеспечения безопасности значимых . категорирования значимых
. объектов КИИ организации сферы        . объектов КИИ медицинской
. здравоохранения                       . организации
. ИСХОДНЫЕ ДАННЫЕ:                      . ИСХОДНЫЕ ДАННЫЕ:
. Перечень значимых объектов КИИ        . ТЗ на создание системы
. Приказ ФСТЭК России от 25.12.2017 г.  . обеспечения безопасности
. N 239                                 . значимых объектов КИИ,
. Банк данных угроз (ФСТЭК России)      . приказ ФСТЭК России
. РЕЗУЛЬТАТ:                            . от 21 декабря 2017 г. N 235
. Модель угроз, Модель нарушителя,      . РЕЗУЛЬТАТ:
. Состав мер обеспечения безопасности   . Ежегодный план мероприятий по
. значимых объектов КИИ                 . обеспечению безопасности
                                        . значимых объектов КИИ
                                        . организации сферы здравоохранения
┌──────────────────────────────────────────────────────────────────────
│                \                       \                             \
│    Выбор мер    \                       \                             \
│    обеспечения   \       Проведение      \  Планирование мероприятий   \
│    безопасности   \ GAP-анализа ИС, ИТКС, \ по обеспечению безопасности \
│ значимых объектов / АСУ значимых объектов /    значимых объектов КИИ    /
│  КИИ организаций / КИИ организаций сферы /      организации сферы      /
│      сферы      /    здравоохранения    /       здравоохранения       /
│ здравоохранения/                       /                             /
└──────────────────────────────────────────────────────────────────────
                 .
                 . ПРОЦЕДУРА:
                 . Оценка "разрывов" между требуемыми
                 . и существующими мерами безопасности
                 . при использовании ИС, ИТКС, АСУ
                 . ИСХОДНЫЕ ДАННЫЕ:
                 . Перечень значимых объектов КИИ,
                 . Состав мер обеспечения безопасности
                 . значимых объектов КИИ
                 . РЕЗУЛЬТАТ:
                 . Техническое задание (ТЗ) на создание
                 . системы обеспечения безопасности
                 . значимых объектов КИИ организации сферы
                 . здравоохранения

Состав процедур этапа "Реализация" создания
подсистемы безопасности

  ПРОЦЕДУРА:
. Разработка комплекта организационно-       ПРОЦЕДУРА:
. распорядительных документов              . Установка, настройка средств
. ИСХОДНЫЕ ДАННЫЕ:                         . защиты информации
. Приказ ФСТЭК России от 25.12.2017 г.     . ИСХОДНЫЕ ДАННЫЕ:
. N 239                                    . Проектная и рабочая
. Приказ ФСТЭК России от 21.12.2017 г.     . документация
. N 235                                    . РЕЗУЛЬТАТ:
. РЕЗУЛЬТАТ:                               . Действующая подсистема
. Комплект организационно-распорядительных . безопасности значимого объекта
. документов по обеспечению безопасности   . КИИ
. значимых объектов КИИ                    .
.                                          .
┌─────────────────────────────────────────────────────────────────────
│                         \                   \                       \
│        Разработка        \   Проектирование  \       Внедрение       \
│      организационно-      \     подсистемы    \   организационных и   \
│      распорядительных      \    безопасности   \   технических мер по  \
│  документов по безопасности \ значимых объектов \      обеспечению      \
│    значимых объектов КИИ    /  КИИ организации  /      безопасности     /
│      организаций сферы     /       сферы       /   значимых объектов   /
│      здравоохранения      /  здравоохранения  /    КИИ организации    /
│                          /                   / сферы здравоохранения /
└──────────────────────────────────────────────────────────────────────
                          .
                          . ПРОЦЕДУРА:
                          . Проектирование подсистемы
                          . безопасности значимого
                          . объекта, разработка
                          . рабочей (эксплуатационной)
                          . документации на значимый
                          . объект КИИ (в части
                          . обеспечения его безопасности)
                          . ИСХОДНЫЕ ДАННЫЕ:
                          . ТЗ на создание системы
                          . обеспечения безопасности
                          . значимых объектов КИИ,
                          . Приказ ФСТЭК России
                          . от 25.12.2017 г. N 239
                          . РЕЗУЛЬТАТ:
                            Проектная и рабочая
                            документация на подсистему
                            безопасности значимого объекта
                            КИИ организации сферы
                            здравоохранения.

Состав процедур этапа "Контроль" создания
подсистемы безопасности

  ПРОЦЕДУРА:
. Определение состава и назначение        ПРОЦЕДУРА:
. комиссии по контролю (аудиту),        . Пен-тест, анализ функционирования
. планирование контроля                 . подсистемы безопасности
. ИСХОДНЫЕ ДАННЫЕ:                      . ИСХОДНЫЕ ДАННЫЕ:
. Приказ ФСТЭК России от 21.12.2017 г.  . приказ ФСТЭК России
. N 235,                                . от 21.12.2017 г. N 235,
. Ежегодный план мероприятий по         . Приказ ФСТЭК России
. обеспечению безопасности значимых     . от 25.12.2017 г. N 239
. объектов КИИ организации сферы        . РЕЗУЛЬТАТ:
. здравоохранения                       . План совершенствования
. РЕЗУЛЬТАТ:                            . мероприятий по обеспечению
. Локальный нормативный акт             . безопасности значимых объектов
. о назначении комиссии по контролю     . КИИ организации сферы
. состояния безопасности значимых       . здравоохранения
. объектов КИИ организации сферы        .
. здравоохранения.                      .
.                                       .
┌─────────────────────────────────────────────────────────────────────
│                    \                       \                        \
│                     \  Проверка выполнения  \                        \
│                      \      требований и     \                        \
│      Формирование     \    организационно-    \    Инструментальный    \
│     для внутреннего    \    распорядительных   \   контроль выполнения  \
│        контроля        /       документов      /     технических мер    /
│   либо выбор внешней  /    по безопасности    /      безопасности      /
│ организации-аудитора /   значимых объектов   /  значимых объектов КИИ /
│                     /    КИИ организации    /                        /
│                    / сферы здравоохранения /                        /
└─────────────────────────────────────────────────────────────────────
                     .
                     . ПРОЦЕДУРА:
                     . Контроль организации работ
                     . по обеспечению безопасности
                     . значимых объектов КИИ
                     . и эффективности принимаемых
                     . организационных и технических мер
                     . ИСХОДНЫЕ ДАННЫЕ:
                     . Организационно-распорядительные
                     . документы, Приказ ФСТЭК России
                     . от 25.12.2017 г. N 239
                     . РЕЗУЛЬТАТ:
                     . Акт проверки, План совершенствования
                     . мероприятий по обеспечению
                     . безопасности значимых объектов КИИ
                       организации сферы здравоохранения