23. Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, в том числе значимых объектов, которые эксплуатируются в подразделениях (филиалах, представительствах) субъекта критической информационной инфраструктуры, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры.
(Абзац в редакции, введенной в действие с 25 июня 2019 года приказом ФСТЭК России от 27 марта 2019 года N 64. - См. предыдущую редакцию)
В случае если субъект критической информационной инфраструктуры является дочерним обществом хозяйственного общества (товарищества), являющегося субъектом критической информационной инфраструктуры, организационно-распорядительные документы дочернего общества должны разрабатываться с учетом положений организационно-распорядительных документов основного хозяйственного общества (товарищества) и не противоречить им.
(Абзац дополнительно включен с 25 июня 2019 года приказом ФСТЭК России от 27 марта 2019 года N 64)
В случае если субъект критической информационной инфраструктуры является организацией, в которой участвует являющаяся субъектом критической информационной инфраструктуры некоммерческая организация, имеющая возможность определять принимаемые организацией решения, организационно-распорядительные документы организации должны разрабатываться с учетом положений организационно-распорядительных документов некоммерческой организации и не противоречить им.
(Абзац дополнительно включен с 25 июня 2019 года приказом ФСТЭК России от 27 марта 2019 года N 64)
Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности (защиты информации) субъекта критической информационной инфраструктуры. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации), а также могут являться частью документов по вопросам функционирования значимого объекта критической информационной инфраструктуры.
24. Организационно-распорядительные документы по безопасности значимых объектов разрабатываются исходя из особенностей деятельности субъекта критической информационной инфраструктуры на основе настоящих Требований, требований по безопасности, иных нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры и защиты информации.
25. Организационно-распорядительные документы по безопасности значимых объектов должны определять:
а) цели и задачи обеспечения безопасности значимых объектов критической информационной инфраструктуры, основные угрозы безопасности информации и категории нарушителей, основные организационные и технические мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, проводимые субъектом критической информационной инфраструктуры, состав и структуру системы безопасности и функции ее участников, порядок применения, формы оценки соответствия значимых объектов критической информационной инфраструктуры и средств защиты информации требованиям по безопасности;
б) планы мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры, модели угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры, порядок реализации отдельных мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры, порядок проведения испытаний или приемки средств защиты информации, порядок реагирования на компьютерные инциденты, порядок информирования и обучения работников, порядок взаимодействия подразделений (работников) субъекта критической информационной инфраструктуры при решении задач обеспечения безопасности значимых объектов критической информационной инфраструктуры, порядок взаимодействия субъекта критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
в) правила безопасной работы работников субъекта критической информационной инфраструктуры на значимых объектах критической информационной инфраструктуры, действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций.
Состав и формы организационно-распорядительных документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности.
26. Организационно-распорядительные документы по безопасности значимых объектов утверждаются руководителем субъекта критической информационной инфраструктуры (ответственным лицом). По решению руководителя субъекта критической информационной инфраструктуры отдельные организационно-распорядительные документы по безопасности значимых объектов могут утверждаться иными уполномоченными на это лицами субъекта критической информационной инфраструктуры.
(Пункт в редакции, введенной в действие с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69. - См. предыдущую редакцию)
27. Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта критической информационной инфраструктуры, ответственного лица, подразделения по безопасности, специалистов по безопасности, а также до иных подразделений (работников), участвующих в обеспечении безопасности значимых объектов критической информационной инфраструктуры, в части, их касающейся.
(Пункт в редакции, введенной в действие с 4 июля 2023 года приказом ФСТЭК России от 20 апреля 2023 года N 69. - См. предыдущую редакцию)