18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:
планирование мероприятий по защите информации в информационной системе;
анализ угроз безопасности информации в информационной системе;
управление (администрирование) системой защиты информации информационной системы;
управление конфигурацией информационной системы и ее системой защиты информации;
реагирование на инциденты;
информирование и обучение персонала информационной системы;
контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе.
(Пункт в редакции, введенной в действие с 27 сентября 2019 года приказом ФСТЭК России от 28 мая 2019 года N 106. - См. предыдущую редакцию)
18.1. В ходе планирования мероприятий по защите информации в информационной системе осуществляются:
определение лиц, ответственных за планирование и контроль мероприятий по защите информации в информационной системе;
определение лиц, ответственных за выявление инцидентов и реагирование на них;
разработка, утверждение и актуализация плана мероприятий по защите информации в информационной системе;
определение порядка контроля выполнения мероприятий по обеспечению защиты информации в информационной системе, предусмотренных утвержденным планом.
План мероприятий по защите информации в информационной системе утверждается вместе с правовым актом органа исполнительной власти о вводе информационной системы в эксплуатацию.
Контроль выполнения мероприятий, предусмотренных планом мероприятий по защите информации в информационной системе, осуществляется в сроки, определенные указанным планом.
(Пункт в редакции, введенной в действие с 27 сентября 2019 года приказом ФСТЭК России от 28 мая 2019 года N 106. - См. предыдущую редакцию)
18.2. В ходе анализа угроз безопасности информации в информационной системе в ходе ее эксплуатации осуществляются:
выявление, анализ и устранение уязвимостей информационной системы;
анализ изменения угроз безопасности информации в информационной системе;
оценка возможных последствий реализации угроз безопасности информации в информационной системе.
Периодичность проведения указанных работ определяется оператором в организационно-распорядительных документах по защите информации.
(Пункт в редакции, введенной в действие с 27 сентября 2019 года приказом ФСТЭК России от 28 мая 2019 года N 106. - См. предыдущую редакцию)
18.3. В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:
определение лиц, ответственных за управление (администрирование) системой защиты информации информационной системы;
управление учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в информационной системе;
управление средствами защиты информации информационной системы;
управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования информационной системы;