16. Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты и организационно-распорядительными документами по защите информации и включает следующие процедуры:
планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления;
обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления;
информирование и обучение персонала автоматизированной системы управления;
периодический анализ угроз безопасности информации в автоматизированной системе управления и рисков от их реализации;
управление (администрирование) системой защиты автоматизированной системы управления;
выявление инцидентов в ходе эксплуатации автоматизированной системы управления и реагирование на них;
управление конфигурацией автоматизированной системы управления и ее системы защиты;
контроль (мониторинг) за обеспечением уровня защищенности автоматизированной системы управления.
16.1. В ходе планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления осуществляются:
определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления;
разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации в автоматизированной системе управления;
контроль выполнения мероприятий по обеспечению защиты информации в автоматизированной системе управления, предусмотренных утвержденным планом.
16.2. В ходе обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации автоматизированной системы управления осуществляются:
планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления на случай возникновения нештатных (непредвиденных) ситуаций;
обучение и отработка действий персонала по обеспечению защиты информации в автоматизированной системе управления в случае возникновения нештатных (непредвиденных) ситуаций;
создание альтернативных мест хранения и обработки информации на случай возникновения нештатных (непредвиденных) ситуаций;
резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированной системы управления на случай возникновения нештатных (непредвиденных) ситуаций;
обеспечение возможности восстановления автоматизированной системы управления и (или) ее компонентов в случае возникновения нештатных (непредвиденных) ситуаций.
16.3. В ходе информирования и обучения персонала автоматизированной системы управления осуществляются:
периодическое информирование персонала об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации;
периодическое обучение персонала правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации, включая проведение практических занятий с персоналом на макетах или в тестовой зоне.
16.4. В ходе анализа угроз безопасности информации в автоматизированной системе управления и возможных рисков от их реализации осуществляются:
периодический анализ уязвимостей автоматизированной системы управления, возникающих в ходе ее эксплуатации;
периодический анализ изменения угроз безопасности информации в автоматизированной системе управления, возникающих в ходе ее эксплуатации;
периодическая оценка последствий от реализации угроз безопасности информации в автоматизированной системе управления (анализ риска).
16.5. В ходе управления (администрирования) системой защиты автоматизированной системы управления осуществляются:
определение лиц, ответственных за управление (администрирование) системой защиты автоматизированной системы управления;