15. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком и (или) оператором.
Внедрение системы защиты автоматизированной системы управления осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации автоматизированной системы управления и в том числе включает:
настройку (задание параметров программирования) программного обеспечения автоматизированной системы управления;
разработку документов, определяющих правила и процедуры (политики), реализуемые оператором для обеспечения защиты информации в автоматизированной системе управления в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации);
внедрение организационных мер защиты информации;
установку и настройку средств защиты информации в автоматизированной системе управления;
предварительные испытания системы защиты автоматизированной системы управления;
опытную эксплуатацию системы защиты автоматизированной системы управления;
анализ уязвимостей автоматизированной системы управления и принятие мер по их устранению;
приемочные испытания системы защиты автоматизированной системы управления.
15.1. Настройка (задание параметров программирования) программного обеспечения автоматизированной системы управления должна осуществляться в соответствии с проектной и эксплуатационной документацией на автоматизированную систему управления и обеспечивать конфигурацию программного обеспечения и автоматизированной системы в целом, при которой минимизируются риски возникновения уязвимостей и возможности реализации угроз безопасности информации.
15.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры (политики):
реализации отдельных мер защиты информации в автоматизированной системе управления в рамках ее системы защиты;
планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления;
обеспечения действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления;
информирования и обучения персонала автоматизированной системы управления;
анализа угроз безопасности информации в автоматизированной системе управления и рисков от их реализации;
управления (администрирования) системой защиты информации автоматизированной системы управления;
выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования автоматизированной системы управления и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них;
управления конфигурацией автоматизированной системы управления и ее системы защиты;
контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления;
защиты информации при выводе из эксплуатации автоматизированной системы управления.
Организационно-распорядительные документы по защите информации могут разрабатываться в виде отдельных документов оператора или в рамках общей политики обеспечения информационной безопасности в случае ее разработки по ГОСТ Р ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".
15.3. При внедрении организационных мер защиты информации осуществляются:
введение ограничений на действия персонала (пользователей (операторского персонала), администраторов, обеспечивающего персонала), а также на условия эксплуатации, изменение состава и конфигурации технических средств и программного обеспечения;
определение администратора безопасности информации;
(Абзац дополнительно включен с 17 сентября 2018 года приказом ФСТЭК России от 9 августа 2018 года N 138)
реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа;