1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:
Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
Инструкция администратора безопасности
Инструкция ответственного за организацию обработки персональных данных
Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
Инструкция по реагированию на инциденты информационной безопасности
Инструкция пользователя государственной информационной системы
Приказ об утверждении внутренних нормативных актов по защите информации
Политика информационной безопасности в составе:
— Общие положения
— Технологические процессы обработки защищаемой информации в информационных системах
— Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
— Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
— Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
— Правила и процедуры выявления, анализа и устранения уязвимостей
— Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
— Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
— Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
— Форма задания на внесение изменений в списки пользователей информационной системы
— Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
— Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
— Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
— Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
— Форма списка разрешенного программного обеспечения в информационной системе
— Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
— Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
— Порядок резервирования информационных ресурсов
— План обеспечения непрерывности функционирования информационной системы
Приказ об организации контролируемой зоны
Положение о контролируемой зоне
План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
Форма журнала учета приема/выдачи съемных машинных носителей информации
Форма журнала учета средств защиты информации
Форма журнала учета периодического тестирования средств защиты информации
Форма журнала проведения инструктажей по информационной безопасности
Форма журнала учета мероприятий по контролю обеспечения защиты информации
2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:
Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
Приказ о классификации государственной информационной системы
Форма акта классификации государственной информационной системы
Приказ о вводе в эксплуатация государственной информационной системы
3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:
Положение о защите и обработке персональных данных в составе:
— Общие положения
— Основные понятия и состав персональных данных
— Общие принципы обработки персональных данных
— Порядок сбора и хранения персональных данных
— Процедура получения персональных данных
— Передача персональных данных третьим лицам
— Трансграничная передача персональных данных
— Порядок уничтожения и блокирования персональных данных
— Защита персональных данных
— Согласие на обработку персональных данных
— Организация доступа работников к персональным данным субъектов
— Организация доступа субъекту персональных данных к его персональным данным
— Права и обязанности оператора персональных данных
— Права и обязанности работников, допущенных к обработке персональных данных
— Права субъекта персональных данных
— Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Правила рассмотрения запросов субъектов персональных данных или их представителей
Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
Форма перечня лиц, допущенных к обработке персональных данных
Политика в отношении обработки персональных данных
Приказ об определении уровня защищенности персональных данных
Форма акта определения уровня защищенности персональных данных
Правила обработки персональных данных без использования средств автоматизации
Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
Форма акта уничтожения персональных данных
Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
Форма согласия субъекта на обработку его персональных данных
Положение о системе видеонаблюдения
Форма соглашения о неразглашении персональных данных
Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав
4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств
Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
Форма перечень сотрудников, допущенных к работе с СКЗИ
Инструкция по обеспечению безопасности эксплуатации СКЗИ
Форма акта об уничтожении криптографических ключей и ключевых документов
Схема организации криптографической защиты информации