№

Требуемые действия

Пункт пр. № 117

Доработки

Краткая выдержка формулировок из Приказа ФСТЭК № 117

КИИ

ПДн

Приказ ФСТЭК № 17

1.      ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ВНУТРЕННИЕ СТАНДАРТЫ И РЕГЛАМЕНТЫ

1.1.             

Разработать и утвердить Политику ИБ

* Включить в Политику ИБ перечень информации, ИС и компонентов информационно-телекоммуникационной инфраструктуры, подлежащие защите

п. 14–16

+

Требование отсутствовало, необходима разработка документа

+

Требование отсутствовало, разработка док-та

+

Требование отсутствовало, разработка док-та

Определить:

-        цели, задачи и область действия Политики;

-        перечень объектов защиты (ИС, компоненты инфраструктуры, обрабатываемая информация);

-        перечень категорий участников (пользователи, администраторы, подрядчики, иные лица);

-        права, обязанности и ответственность каждой категории участников

-        При разработке политики учесть все ИС оператора и ИТК-инфраструктуру, на которой они функционируют

1.2.             

Разработать/доработать собственные и утвердить внутренние стандарты и политики

п. 14–16, п.25, п.55

+

Доработка ОРД по мерам ИАФ-ИПО.0 Приказа ФСТЭК №239

+

Доработка комплекта ОРД

+

Доработка комплекта ОРД

п.14:

пп. г)

Установленный перечень стандартов

пп. д)

Установленный перечень регламентов

П.25 должны быть разработаны и утверждены документы п.14

П.55 Периодичность резервного копирования, количество, типы носителей, места хранения резервных копий и уровень критичности резервируемой информации определяются во внутренних стандартах и регламентах по защите информации.

2.      ОРГАНИЗАЦИЯ ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ ИНФОРМАЦИИ

2.1.             

Выделить Ответственного за защиту информации

П.18

+

Возложение полномочий по ЗИ в ГИС на заместителя руководителя органа (организации) по обеспечению ИБ и доработка ОРД

+

Назначение ответственного за ЗИ в ГИС и формализация требований в ОРД

+

Назначение ответственного за ЗИ в ГИС и формализация требований в ОРД

Определить в ОРД ответственное лицо или руководителя и закрепить его обязанностей и полномочий по организации, управлению и контролю защиты в должностные обязанности (трудовые функции)

2.2.             

Выделить Ответственных специалистов/отдел за защиту информации

П.19

+

Доработка ОРД для и возложение полномочий по ГИС

+

Разработка/доработка действующего комплекта ОРД

+

Доработка и дополнение полномочий в ОРД для ГИС

Определить и закрепить в ОРД структурное подразделение или отдельных специалистов по ЗИ; закрепить их функции и полномочия в «Положении о подразделении» и в должностных обязанностях или ином документе

2.3.             

Обучение профильных работников по защите информации

П.20

+

Организовать профессиональную переподготовку (курсы)

+

Организовать профессиональную переподготовку (курсы)

+

Организовать профессиональную переподготовку (курсы)

Обеспечить, чтобы не менее 30% работников подразделения имели профильное образование или прошли профпереподготовку в области ИБ

Внедрение процесса ресурсного обеспечения, подготовка обоснованных предложений по ресурсам со стороны ответственных специалистов/отдела за защиту информации и выделение руководителем средств и (или) дополнительных сил для их реализации

П.27

+

Внедрение формализованного процесса управления ресурсным обеспечением и доработка ОРД

+

Внедрение формализованного процесса управления ресурсным обеспечением и доработка ОРД

+

Внедрение формализованного процесса управления ресурсным обеспечением и доработка ОРД

Подразделение по защите разрабатывает обоснованные предложения по ресурсам с указанием целей и прогнозируемых негативных последствий

Руководитель выделяет ресурсы, при необходимости привлекает дополнительные силы и средства