Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства культуры Республики Крым от 9 января 2023 г. N 2 "Об организации работ по защите информации в Министерстве культуры Республики Крым" (с изменениями и дополнениями)
- Приложение 6. Типовой план мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационных системах Министерства культуры Республики Крым
Приложение 6. Типовой план мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационных системах Министерства культуры Республики Крым
Приложение 6
к приказу Министерства культуры
Республики Крым
от 09.01.2023 г. N 2
Типовой план мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационных системах Министерства культуры Республики Крым
Разовые мероприятия
|
N п/п |
Наименование мероприятия |
Исполнитель/Ответственный/ |
Срок выполнения |
Отметка о выполнении |
|
1. |
Актуализация ответственных за защиту информации в Министерстве культуры Республики Крым (далее - Министерство) |
Отдел защиты информации, ГО и АБ |
Январь |
|
|
2. |
Формирование постоянно действующей комиссии по информационной безопасности в Министерстве Первое заседание (протокол) |
Отдел защиты информации, ГО и АБ |
Январь |
|
|
3. |
Формирование постоянно действующей технической комиссии в Министерстве Первое заседание (протокол) |
главный специалист по мобилизационной работе и режиму секретности |
Январь |
|
|
4. |
Анализ актуальных угроз безопасности информации в информационных системах Министерства и актуализация локального нормативно правового документа, содержащего актуальные угрозы информации (может быть и "Модель угроз"), в том числе и "Модель, нарушителя" |
Отдел защиты информации, ГО и АБ |
Январь |
|
|
5. |
Оформление и направление в территориальный орган уполномоченного органа по защите прав субъектов персональных данных изменения об обработке персональных данных в Министерстве |
Отдел защиты информации, ГО и АБ |
Пари наличии изменений |
|
|
6. |
Проведение (актуализация, переобследование) обследования Информационных систем Министерства, уточнение актов классификации |
Отдел защиты информации, ГО и АБ |
При необходимости |
|
|
7. |
Формирование группы реагирования на инциденты информационной безопасности в Министерстве |
Отдел защиты информации, ГО и АБ |
Январь |
|
|
8. |
Актуализация инструкции по реагированию на инциденты информационной безопасности в Министерстве |
Отдел защиты информации, ГО и АБ |
При необходимости |
|
|
9. |
Актуализация правил использования средств криптографической защиты информации в Министерстве |
Отдел защиты информации, ГО и АБ |
При необходимости |
|
|
10. |
Формирование требований к системе защиты информации и разработка документа "Техническое задание на создание системы защиты информации в информационных системах Министерства |
Отдел защиты информации, ГО и АБ |
При наличии бюджетного финансирования |
|
|
11. |
Проектирование системы защиты информации и разработка документа "Эскизный проект системы защиты информации в информационных системах Министерства" |
Отдел защиты информации, ГО и АБ / Фирма лицензиат |
При наличии бюджетного финансирования |
|
|
12. |
Организация контролируемой зоны и актуализация положения "О контролируемой зоне" |
Отдел защиты информации, ГО и АБ |
При необходимости |
|
|
13. |
Закупка необходимых сертифицированных средств защиты информации |
Отдел защиты информации, ГО и АБ /Сектор государственных закупок |
При наличии бюджетного финансирования |
|
|
14. |
Реализация проекта системы защиты информации (установка и настройка средств защиты информации) |
Отдел защиты информации, ГО и АБ /Фирма лицензиат |
При наличии бюджетного финансирования |
|
|
15. |
Первичная аттестация информационных систем Министерства |
Отдел защиты информации, ГО и АБ / Фирма лицензиат |
При наличии бюджетного финансирования |
|
|
16. |
Ввод информационных систем Министерства в эксплуатацию на основании аттестата соответствия |
Отдел защиты информации, ГО и АБ |
После аттестации |
|
Контролирующие и периодические мероприятия
|
N п/п |
Наименование мероприятия |
Ответственный |
Процедуры/инструменты, применяемые для выполнения мероприятия |
Периодичность |
Примечание |
|
Документирование | |||||
|
1. |
Контроль наличия согласий на обработку персональных данных субъектов персональных данных, чьи ПДн обрабатываются в информационных системах Министерства |
Ответственный за организацию обработки ПДн |
Вручную |
Ежеквартально |
Оформляется в форме служебной записки на имя Первого заместителя |
|
2. |
Контроль наличия соглашений о неразглашении конфиденциальной информации, подписанных сотрудниками, допущенными к обработке такой информации |
Ответственный за организацию обработки ПДн |
Вручную |
Ежеквартально |
Оформляется в форме служебной записки на имя Первого заместителя |
|
3. |
Контроль актуальности внутренней документации по защите информации, в том числе списков лиц, допущенных к обработке конфиденциальной информации |
Отдел защиты информации, ГО и АБ |
Вручную |
Ежеквартально либо при существенном изменении законодательства в сфере защиты информации |
Оформляется в форме служебной записки на имя Первого заместителя |
|
4. |
Контроль выполнения требований руководящих документов по защите информации учреждениями, отнесенными к ведению Министерства с составлением акта проверки. |
Отдел защиты информации, ГО и АБ |
Вручную |
В течении года |
Оформляется в Акт внутренней проверки |
|
5. |
Контроль наличия актуальных договоров с организациями, которым передаются персональные данные, а также наличия в этих договорах пунктов, регламентирующих обязанность этих организаций обеспечивать конфиденциальность персональных данных |
Ответственный за организацию обработки ПДн |
Вручную |
Каждые полгода |
|
|
Информирование и обучение персонала | |||||
|
6. |
Доведение до персонала информации о новых угрозах информационной безопасности |
Отдел защиты информации, ГО и АБ |
Устные лекции, информирование по каналам электронной почты |
Не реже 1 раза в месяц |
|
|
7. |
Доведение до персонала положений законодательства в сфере защиты персональных данных |
Ответственный за организацию обработки ПДн |
Устные лекции, информирование по каналам электронной почты |
Не реже 1 раза в квартал |
|
|
8. |
Доведение до персонала положений внутренних нормативных документов по защите информации |
Отдел защиты информации, ГО и АБ Ответственный за организацию обработки ПДн |
Устно |
По мере появления новых внутренних документов или по мере существенного изменения старых |
|
|
9. |
Проверка осведомленности персонала в сфере защиты информации |
Отдел защиты информации, ГО и АБ, Ответственный за организацию обработки ПДн |
Устный опрос, письменное тестирование, имитация действий злоумышленника |
Ежеквартально |
|
|
Физический контроль | |||||
|
10. |
Осмотр ПК участвующих в обработке информации с ограниченным доступом включая ПДн на предмет несанкционированного доступа, нарушения пломб, физического воздействия и внедрения неучтенных технических средств |
Отдел защиты информации, ГО и АБ |
Визуальный осмотр |
Ежедневно |
|
|
11. |
Выборочный осмотр рабочих мест пользователей на предмет несанкционированного доступа, нарушения пломб, физического воздействия и внедрения неучтенных технических средств |
Отдел защиты информации, ГО и АБ |
Визуальный осмотр |
Ежедневно |
|
|
Тестирование работоспособности средств защиты информации | |||||
|
12. |
Контроль актуальности антивирусных баз |
Отдел защиты информации, ГО и АБ |
Kaspersky Security Center, Dr. Weber |
Ежедневно |
|
|
13. |
Контроль корректности разграничения прав доступа к ресурсам Информационных систем Министерства |
Отдел защиты информации, ГО и АБ |
ОС Windows, 1С:Предприятие 8, TOP КНД, Портал "Госуслуги" и портал "Госслужба" |
Ежемесячно |
|
|
14. |
Контроль работоспособности средств доверенной загрузки путем имитации попыток загрузки технического средства со стороннего носителя |
Отдел защиты информации, ГО и АБ |
Загрузочный USB-накопитель (Рутокен) |
Ежемесячно |
|
|
15. |
Контроль корректной работы подсистемы гарантированного уничтожения информации |
|
Утилиты восстановления удаленной информации (R. Saver и аналоги) |
Ежеквартально, либо при передаче учтенных съемных носителей между пользователями, либо при утилизации/передаче на ремонт технических средств с машинными носителями информации |
|
|
16. |
Тестирование на проникновение в информационные системы Министерства |
Отдел защиты информации, ГО и АБ, организация - лицензиат ФСТЭК России |
Инструменты дистрибутива Kali Linux 2.0 |
Ежеквартально |
|
|
Контроль программного обеспечения и технических средств ИС | |||||
|
17. |
Контроль отсутствия у пользователей на рабочих местах средств разработки и технологий интерпретации мобильного кода (кроме пользователей, которым это необходимо для выполнения своих должностных обязанностей) |
Отдел защиты информации, ГО и АБ |
ручной выборочный контроль |
Ежемесячно |
|
|
18. |
Контроль наличия необходимых обновлений безопасности общесистемного и прикладного программного обеспечения |
Отдел защиты информации, ГО и АБ |
ручной выборочный контроль |
Еженедельно |
|
|
19. |
Контроль отсутствия в информационных системах Министерства посторонних технических средств |
Отдел защиты информации, ГО и АБ, пользователи ИС |
визуальный осмотр |
Еженедельно |
|
|
20. |
Контроль отсутствия в информационных системах Министерства неразрешенного программного обеспечения |
Отдел защиты информации, ГО и АБ, пользователи ИС |
ручной выборочный контроль |
Еженедельно |
|
|
Пользователи, учетные записи, парольная политика | |||||
|
21. |
Заведение, удаление учетных записей пользователей. Наделение, лишение, изменение полномочий пользователей по доступу к ресурсам информационных систем Министерства |
Отдел защиты информации, ГО и АБ |
Active Directory ручной выборочный контроль |
По мере поступления заявок на заведение/удаление учетных записей и наделение/изменение полномочий в системе |
|
|
22. |
Мониторинг учетных записей на предмет выявления неблокированных временных учетных записей или учетных записей уволенных сотрудников |
Отдел защиты информации, ГО и АБ |
Active Directory ручной выборочный контроль |
Еженедельно |
|
|
23. |
Смена собственного пароля и мониторинг своевременной смены паролей других привилегированных пользователей |
Отдел защиты информации, ГО и АБ |
ПАК "Соболь" Версия 4 |
Каждые 90 суток |
|
|
24. |
Мониторинг своевременной смены паролей пользователями информационных систем Министерства |
Отдел защиты информации, ГО и АБ |
ручной выборочный контроль |
Ежедневно |
|
|
25. |
Смена паролей доступа к интерфейсам управления сетевыми устройствами (коммутаторами, маршрутизаторами) |
Отдел защиты информации, ГО и АБ |
Вручную |
Каждые 90 суток |
|
|
Отказоустойчивость | |||||
|
26. |
Резервное копирование информации |
Отдел защиты информации, ГО и АБ |
вручную |
В соответствии с утвержденной политикой информационной безопасности |
|
|
27. |
Контроль целостности резервных копий |
Отдел защиты информации, ГО и АБ |
вручную |
Ежемесячно |
|