На
прошедшем недавно форуме «Технологии безопасности» представители ФСТЭК
пояснили, что при аттестации ГИС должна быть подтверждена, в том числе, и
разработка оператором системы документов, регламентирующих процедуры защиты
информации в ходе эксплуатации ИС. Возникает вопрос, сколько и каких документов
должен разработать оператор и от чего это зависит?
В
методическом документе «Меры защитыинформации в государственных информационных системах» характеристика многих мер
заканчивается словами: «Правила и процедуры … регламентируются в
организационно-распорядительных документах оператора».
Сколько
таких мер? Это зависит от класса ГИС. Например, в ГИС класса К3 я насчитал ни
много, ни мало 34 меры, требующие описания правил и процедур своей реализации в
ОРД оператора. Возможно, что-то упустил, но список все равно внушительный. Если
кому не лень – читайте (в список не включены меры из группы «ЗСВ»).
