Документы, сроки и контрольные точки по приказу № 66: что и когда должно появиться у владельца ИС

Ниже приведена рабочая последовательность действий (точнее один из вариантов) для владельца информационной системы, который самостоятельно организует проектирование, создание и аттестацию системы защиты информации по приказу ОАЦ № 66. Здесь сознательно нет широкой таблицы: для такого объёма текста она неудобна и плохо читается в обычной колонке сайта.

Последовательность этапов

1. Организационный старт. Сначала нужно определить, кто внутри организации отвечает за защиту информации и ведёт проект.Документы: приказ о назначении ответственного должностного лица либо о возложении функций на подразделение; при необходимости — положение о подразделении или описание функций.Проектный ориентир: 1–3 рабочих дня.Обязательный срок: сведения о подразделении или должностном лице подаются в ОАЦ не позднее 10 календарных дней со дня создания или назначения.

   Результат: зафиксирована ответственность и определена точка управления проектом.

2. Определение состава ИС. На этом этапе устанавливаются границы ИС, перечень активов, каналы связи, внешние взаимодействия и обеспечивающие сервисы.Документы: перечень активов; черновая структурная схема; черновая логическая схема; рабочее описание состава ИС.Проектный ориентир: 1–2 недели для простой среды; 2–4 недели для сложной.Обязательный срок: прямого срока в приказе нет, но без этого этапа нельзя качественно перейти к классификации и проектированию.

   Результат: понятны реальные границы ИС и состав активов.

3. Отнесение ИС к классу. После определения состава системы нужно установить вид информации и отнести ИС к классу или классам типовых ИС.Документы: обычно приказ о создании комиссии по отнесению ИС к классу; акт отнесения ИС к классу (классам) типовых ИС.Проектный ориентир: 3–10 рабочих дней после уточнения состава ИС.Обязательная точка: акт составляется по форме приложения 2 к приказу № 66.

   Результат: зафиксирован класс ИС, от которого зависит дальнейшее проектирование СЗИ.

4. Проектирование СЗИ. Здесь определяется состав мер защиты, архитектурные решения и организационные правила применения СЗИ.Документы: политика ИБ; структурная схема; логическая схема; техническое задание на создание СЗИ; проекты ЛПА и ОРД по вопросам применения СЗИ.Проектный ориентир: 2–4 недели для простой среды; от 1 месяца для сложной.Обязательная точка: эти документы прямо названы в приказе как результат этапа проектирования.

   Результат: есть проектная модель СЗИ и комплект исходных документов.

5. Создание СЗИ. На этом шаге реализуются меры по ТКЗИ, внедряются средства защиты и приводятся в соответствие документы и фактическая среда.Документы: утверждённые ЛПА и ОРД; актуализированные схемы; перечень ЛПА и ОРД по вопросам применения СЗИ; рабочие настройки и подтверждения внедрения мер.Проектный ориентир: 2–6 недель и более.Обязательная точка: перечень ЛПА и ОРД должен быть утвержден в произвольной форме и поддерживаться в актуальном состоянии.

   Результат: СЗИ реально создана, а документы отражают фактическое состояние системы.

6. Внутренняя проверка готовности. Перед аттестацией нужно сверить фактический состав активов со схемами и документами и убедиться, что меры действительно работают.Документы: внутренний чек-лист готовности; протокол самопроверки; внутреннее заключение ответственного лица или комиссии.Проектный ориентир: от нескольких дней до 2 недель.Обязательная точка: жёсткой формы нет, но без этого шага на аттестации обычно вскрываются расхождения между бумагами и реальной средой.

   Результат: система подготовлена к аттестации без скрытых провалов.

7. Организационный запуск аттестации. Здесь формально стартует процедура проверки созданной СЗИ.Документы: приказ о назначении комиссии по аттестации — при самостоятельной аттестации; программа и методика аттестации.Проектный ориентир: 3–7 рабочих дней.Обязательная точка: программа и методика должны содержать перечень работ, ответственных лиц, сроки выполнения, методы проверки и контрольные средства.

   Результат: аттестация запускается по оформленной программе, а не стихийно.

8. Проведение аттестации. Проводятся испытания СЗИ, оформляются результаты и получается аттестат соответствия.Документы: протокол испытаний; технический отчёт; аттестат соответствия.Проектный ориентир: зависит от масштаба ИС и готовности материалов.Обязательный срок: если аттестацию проводит специализированная организация, её срок не может превышать 180 календарных дней; аттестат действует 5 лет.

   Результат: получен подтверждённый результат в форме аттестата соответствия.

9. Представление сведений в ОАЦ. После получения аттестата владелец ИС должен передать сведения и копии выходных документов.Документы: сведения по ИС; копия аттестата соответствия; копия технического отчёта; копия протокола испытаний.Проектный ориентир: сразу после получения аттестата.Обязательный срок: не позднее 10 календарных дней со дня оформления или получения аттестата и далее — в тот же срок при изменениях сведений.

   Результат: исполнены обязательства по информированию ОАЦ.

10. Эксплуатация после аттестации. После получения аттестата СЗИ нужно поддерживать в актуальном состоянии, а не оставлять без контроля.Документы: ежегодный документ по анализу эффективности применения СЗИ; материалы инструктажей и обучения; актуализированные ЛПА, схемы и перечни.Проектный ориентир: постоянно.Обязательные сроки: не реже одного раза в год — анализ эффективности и обучение; сведения о событиях ИБ — в течение суток с момента выявления; если нарушение функционирования ИС невозможно устранить в течение 5 рабочих дней, обработка ограниченной информации прекращается с письменным информированием ОАЦ.

    Результат: СЗИ не деградирует после аттестации и остаётся управляемой в эксплуатации.

Короткая последовательность документов

Приказ о назначении ответственного подразделения или должностного лица → приказ о создании комиссии по отнесению ИС к классу → акт отнесения ИС к классу → политика ИБ → структурная схема → логическая схема → техническое задание на создание СЗИ → проекты ЛПА и ОРД → утверждённые ЛПА и ОРД и перечень ЛПА/ОРД по вопросам применения СЗИ → приказ о комиссии по аттестации → программа и методика аттестации → протокол испытаний → технический отчёт → аттестат соответствия → сведения в ОАЦ → ежегодный документ по анализу эффективности применения СЗИ.