Комплексная разработка документации по информационной безопасности для КИИ, ИСПДн, ГИС и объектов федерального уровня

Компания ЗИКС более десяти лет реализует проекты в области информационной безопасности для крупнейших государственных структур, инфраструктурных и промышленных предприятий. Одним из ключевых направлений нашей деятельности является разработка проектной, нормативной и эксплуатационной документации, без которой невозможно ни ввод объектов в эксплуатацию, ни соответствие требованиям регуляторов, ни построение систем защиты.

Зачем нужна документация

Документация по информационной безопасности отвечает сразу на три вопроса:

• Что защищать? (категорирование и классификация систем).

• От чего защищать? (модели угроз, регламенты).

• Какими средствами защищать? (перечень мер, проектные решения).

Для заказчика это:

• основа для построения системы защиты КИИ, ИСПДн и ГИС;

• гарантия соответствия 187-ФЗ, 152-ФЗ, 149-ФЗ, приказам ФСТЭК и ФСБ;

• рабочий инструмент для администраторов, операторов и руководителей ИБ.

Какие документы мы готовим

Компания ЗИКС оказывает услуги по всем основным видам документации:

• Документы по КИИ

• Документы по ПДн (ИСПДн) 

• Документы по ГИС

• ОРД

• НМД

• Проектная и рабочая документация

Каждому из этих направлений мы посвятили отдельные публикации на сайте, чтобы заказчик мог глубже изучить состав, сроки и примеры документов.

Как мы работаем

Структура работ по каждому проекту включает:

• Обследование объекта — сбор исходных данных, анализ действующих систем.

• Категорирование и классификация — определение уровня защищённости и значимости.

• Разработка документации — полный пакет документов (от ОРД до рабочих чертежей).

• Нормоконтроль и согласование — проверка качества и соответствия.

• Передача заказчику — комплект документации, готовый к реализации и экспертизе.

Сроки — от 1 до 6 месяцев, в зависимости от масштаба. В среднем по проектам мы закрываем задачи быстрее рынка, а иногда и раньше планового дедлайна.

Наш опыт

За годы работы мы реализовали десятки проектов федерального уровня. Нашими заказчиками стали:
Департамент информационных технологий города Москвы, Инжиниринговая компания «ГазЭнергоСтрой», ИД «Коммерсантъ», ПАО «ГМК «Норильский Никель», НПП «АИМ», ОАО «РЖД», ПАО «Ростелеком», ГК «Ростех», «Русь-Телеком», «ТеплоЭнергоПроект», ФГУП «ТТЦ» Останкино, «Севен-Про», Управление делами Президента РФ, ФТС России, «Центр Безопасности Информации».

Наши преимущества

• Конкурентная стоимость — ниже среднерыночных ставок за счёт оптимизированной команды и локализации в Зеленограде.

• Скорость — отсутствие избыточной бюрократии, внутренние согласования занимают часы, а не недели.

• Гибкость — мы идём навстречу клиентам: включаем дополнительные документы или задачи без задержки сроков.

• Опыт федерального уровня — проекты для стратегически важных предприятий и органов власти.

Документация по КИИ: зачем она нужна и что в неё входит

Что такое КИИ и почему это важно

Критическая информационная инфраструктура (КИИ) — это объекты и системы, от которых напрямую зависит работа энергетики, промышленности, транспорта, связи, финансового сектора и государственного управления. Любой сбой в таких системах способен повлечь последствия не только для конкретного предприятия, но и для целого региона или даже страны. Именно поэтому для КИИ установлены жёсткие требования законодательства в части ИБ (187-ФЗ и приказы ФСТЭК), одно из которых — наличие корректно разработанной документации по защите.

Без полного комплекта документов невозможно пройти проверку регуляторов или ввести объект в эксплуатацию. Документация фиксирует весь набор мер по безопасности: от организационных правил до конкретных технических решений.

Что обычно входит в комплект

Полный пакет документации для объектов КИИ обычно включает:

• Акт категорирования объекта КИИ — определяет значимость системы и уровень требований к её защите.
• Модель угроз безопасности — описывает потенциальные угрозы и способы их реализации.
• Перечень организационных и технических мер — конкретные действия и решения для защиты.
• Технический проект и рабочая документация — схемы, чертежи, пояснительные записки.
• Эксплуатационные материалы — инструкции администратора и пользователя, методики испытаний, планы резервирования.

В зависимости от сложности объекта речь идёт о десятках, а иногда и сотнях документов.

Как строится работа

Обычно проект делится на два основных этапа:

1. Обследование и анализ. Специалисты выезжают на объект, изучают действующие системы, оценивают возможность интеграции новых решений и собирают исходные данные. По итогам формируется техническое задание и проектные требования.
2. Разработка документации. На основе собранной информации создаётся весь комплект документов — от актов категорирования и моделей угроз до технических проектов и эксплуатационных инструкций.

Важно, что каждый документ проходит внутренний нормоконтроль и согласования, а итоговый пакет готов к предъявлению регуляторам.

Сроки и масштаб

Средний срок реализации проекта по КИИ составляет 3–6 месяцев. Всё зависит от числа систем и масштабов объекта.
Например, для крупного энергетического узла может потребоваться подготовить от 50 до 150 документов.

Какой результат получает заказчик

В итоге организация получает:

• комплект документации, соответствующий требованиям 187-ФЗ и приказов ФСТЭК;
• готовность к проверкам без необходимости срочной доработки;
• основу для построения работающей системы защиты, которая реально снижает риски;
• возможность без задержек вводить объект в эксплуатацию.

Роль компании ЗИКС

Компания ЗИКС занимается подготовкой документации по КИИ уже много лет и реализовывала проекты на объектах федерального уровня: от энергетики до промышленности. Наши специалисты умеют работать в условиях ограниченных сроков, сложных цепочек согласований и высоких требований регуляторов.

Особенности нашего подхода:

• гибкость и скорость согласований (внутри компании нет избыточной бюрократии);
• опыт разработки документации, проходящей Главгосэкспертизу;
• возможность идти навстречу заказчику, если появляются дополнительные задачи.

Документация по ПДн: что это и зачем нужна

Почему защита персональных данных важна

Персональные данные (ПДн) — это ФИО, паспортные сведения, телефоны, адреса, биометрия и другая информация о человеке. Сегодня почти каждая организация — от школы до банка — работает с ПДн, а значит обязана соблюдать требования Федерального закона № 152-ФЗ «О персональных данных».

Нарушение этих требований грозит не только штрафами и проверками со стороны Роскомнадзора, но и репутационными потерями, а также рисками утечки данных клиентов или сотрудников. Чтобы выстроить систему защиты ПДн, необходимо разработать правильный комплект документации.

Что входит в документацию по ПДн

Полный пакет документов зависит от масштаба организации, но обычно включает:

• Политику в отношении обработки ПДн — базовый документ, который обязателен для публикации.
• Модели угроз безопасности ПДн — описание актуальных угроз и способов их реализации.
• Акты классификации информационных систем ПДн (ИСПДн) — определение уровня защищённости (УЗ-1, УЗ-2, УЗ-3).
• Акт установления класса защищённости — определяет уровень требований к защите в зависимости от значимости объекта.
• Перечень организационных мер — регламенты доступа, порядок хранения, уничтожения и передачи данных.
• Перечень технических мер — выбор средств защиты информации (СЗИ), шифрование, антивирусы, средства контроля доступа.
• Локальные нормативные акты — должностные инструкции, порядок реагирования на инциденты, регламенты резервного копирования.
• Технический проект и эксплуатационные документы — схемы, инструкции для администраторов и пользователей.

Как строится работа

Проект обычно проходит несколько этапов:

1. Обследование — инвентаризация всех информационных систем, где обрабатываются ПДн.
2. Классификация — определение уровня защищённости ИСПДн.
3. Разработка документов — подготовка пакета организационных и технических документов.
4. Согласование — внутренний нормоконтроль и, при необходимости, согласование с регуляторами.

Сроки и объём

Для компаний среднего масштаба подготовка документации по ПДн занимает в среднем 2–4 месяца.
Количество документов зависит от числа информационных систем и может достигать 50–80 на один проект.

Что получает заказчик

Результатом проекта становится:

• полный комплект документов, соответствующий требованиям 152-ФЗ и подзаконных актов;
• готовность к проверке Роскомнадзора и другим видам контроля;
• нормативная база для построения работающей системы защиты персональных данных;
• снижение рисков штрафов и репутационных потерь.

Опыт компании ЗИКС

Компания ЗИКС имеет опыт разработки документации по ПДн для организаций самых разных сфер — от госсектора и энергетики до коммерческих компаний.

Наши преимущества:

• разработка документов в полном соответствии с требованиями законодательства и приказов ФСТЭК/ФСБ;
• скорость (отсутствие бюрократии внутри компании позволяет укладываться в сжатые сроки);
• гибкость — мы учитываем специфику бизнеса и при необходимости готовим дополнительные документы, которые облегчают работу заказчику;
• опыт успешного прохождения проверок.

Документация по ГИС: требования и практика подготовки

Почему это важно

Государственные информационные системы (ГИС) обрабатывают большие массивы данных, связанных с деятельностью органов власти, муниципалитетов, государственных предприятий. Это могут быть данные граждан, информация о государственных услугах, финансовых потоках, управлении инфраструктурой.

Согласно законодательству, каждая ГИС должна соответствовать требованиям безопасности: от постановления Правительства РФ №1119 до приказов ФСТЭК и ФСБ. Наличие корректно разработанной документации — не просто формальность, а обязательное условие эксплуатации системы и прохождения проверок.

Что входит в документацию по ГИС

Полный комплект документов по ГИС обычно включает:

• Политику информационной безопасности для конкретной системы.
• Модель угроз с учетом специфики обработки государственных данных.
• Акт классификации ГИС по уровням защищенности (1–3).
• Перечень мер защиты информации — организационные и технические.
• Регламенты и инструкции по доступу, резервированию, обновлениям, реагированию на инциденты.
• Технические проекты и эксплуатационные документы — схемы архитектуры, L2/L3-схемы, инструкции администратора и пользователя.
• Отчетность для ФСТЭК и Роскомнадзора — акты классификации, отчеты по результатам контроля.

Как строится работа

Проект по подготовке документации для ГИС включает несколько этапов:

1. Обследование системы — анализ архитектуры, определение классов защищенности, сбор исходных данных.
2. Классификация — определение уровня значимости информации и уровня защищенности системы.
3. Разработка документации — подготовка полного комплекта документов в соответствии с законодательством.
4. Согласование и нормоконтроль — проверка полноты и корректности, подготовка документов к прохождению экспертизы.

Сроки и объём

В среднем разработка документации для одной ГИС занимает от 3 до 6 месяцев, в зависимости от масштаба системы и числа подсистем.
Количество документов в проекте обычно достигает 80–120 единиц.

Результаты для заказчика

По итогам проекта заказчик получает:

• полный комплект документов для эксплуатации ГИС и успешного прохождения проверок;
• соответствие законодательству (152-ФЗ, 187-ФЗ, постановление 1119-ПП и приказы ФСТЭК);
• основу для построения реальной системы защиты, а не формального «набора бумаг»;
• уверенность в устойчивости системы к угрозам и инцидентам.

Опыт компании ЗИКС

Компания ЗИКС на практике реализовала проекты по подготовке документации для ГИС различного уровня: от муниципальных систем до федеральных.

Наши ключевые преимущества:

• опыт успешного прохождения проектов в Главгосэкспертизе и проверок регуляторов;
• гибкий подход к работе: учитываем специфику каждого заказчика и при необходимости расширяем стандартный пакет документов;
• скорость — отсутствие бюрократии внутри компании позволяет сдавать проекты раньше плановых сроков;
• конкурентная стоимость — за счет оптимизации процессов и команды, базирующейся в Зеленограде.

Организационно-распорядительная документация (ОРД): основа системы информационной безопасности

Почему это важно

ОРД — это фундамент любого контура информационной безопасности. Даже самая современная техническая система не будет эффективной без регламентов, правил и инструкций, которые определяют, как именно сотрудники и подрядчики должны работать с информацией и инфраструктурой.

Для критической информационной инфраструктуры (КИИ), государственных информационных систем (ГИС) и ИСПДн организационно-распорядительные документы обязательны и прямо прописаны в требованиях 187-ФЗ, 152-ФЗ и приказах ФСТЭК.

Что входит в комплект ОРД

Полный пакет ОРД может включать от 20 до 60 документов, в зависимости от масштаба объекта и типа информационной системы. Основные из них:

• Политика информационной безопасности;
• Положение о подразделении по защите информации;
• Должностные инструкции сотрудников ИБ и ИТ;
• Регламент управления доступом и учетными записями;
• Регламент резервного копирования и восстановления;
• Регламент реагирования на инциденты ИБ;
• Порядок взаимодействия с подрядчиками;
• Журналы учета носителей, инцидентов, обращений;
• Инструкции пользователей по работе с системами и ресурсами.

Как строится работа

Этапы разработки ОРД:

1. Обследование текущих процессов: как сотрудники работают с информацией, какие регламенты уже существуют.
2. Формирование требований: соотнесение процессов с требованиями ФСТЭК и ФСБ.
3. Разработка документов: подготовка полного пакета ОРД под специфику конкретного объекта.
4. Нормоконтроль и согласование: проверка документов на полноту и корректность, подготовка к проверкам регуляторов.

Сроки и объём

Средний срок подготовки полного пакета ОРД — от 1,5 до 3 месяцев.
Количество документов варьируется в зависимости от масштаба:

• для малых ИС — около 20–25 документов;
• для крупных объектов КИИ и ГИС — до 50–60 документов.

Результаты для заказчика

Разработка ОРД позволяет заказчику:

• Соответствовать законодательству (187-ФЗ, 152-ФЗ, приказы ФСТЭК);
• Обеспечить формализованное взаимодействие ИБ и ИТ;
• Минимизировать человеческий фактор — сотрудники работают по понятным регламентам;
• Быть готовым к проверкам регуляторов и аудиту.

Опыт компании ЗИКС

Компания ЗИКС регулярно разрабатывает ОРД в рамках проектов по КИИ, ГИС и ИСПДн.
Наши ключевые преимущества:

• опыт работы с объектами федерального уровня;
• скорость и гибкость: отсутствие бюрократии позволяет сдавать документы быстрее, чем крупные интеграторы;
• компетенции экспертов: все документы создаются с учётом требований ФСТЭК и особенностей инфраструктуры заказчика;
• готовность идти навстречу клиенту — включать дополнительные документы и регламенты, даже если они выходят за рамки ТЗ.

Нормативно-методическая документация (НМД): правила и методология построения защиты

Что такое НМД и зачем она нужна

Если ОРД отвечает на вопрос «кто и что делает» в системе информационной безопасности, то НМД отвечает на вопрос «как именно это делается».

Нормативно-методическая документация — это набор документов, определяющих методологию, подходы и процедуры обеспечения ИБ. Без неё невозможно единообразно внедрить технические и организационные меры защиты, а также доказать соответствие требованиям законодательства (187-ФЗ, 152-ФЗ, приказы ФСТЭК, ГОСТы).

Что входит в комплект НМД

Обычно комплект НМД включает от 15 до 40 документов, среди которых:

• Модель угроз безопасности;
• Модель нарушителя;
• Методика оценки уязвимостей;
• Порядок управления инцидентами ИБ;
• Методика резервного копирования и восстановления;
• Регламенты эксплуатации СЗИ;
• Методики тестирования и контроля защищённости;
• Программа и методика испытаний (ПМИ).

Эти документы задают «правила игры» для всех участников процессов ИБ: от инженеров до руководителей подразделений.

Как строится работа по разработке НМД

Этапы:

1. Сбор исходных данных — обследование инфраструктуры и процессов.
2. Разработка моделей и методик — построение модели угроз, определение вероятных сценариев атак.
3. Подготовка регламентов — формирование методик и правил для эксплуатации и сопровождения систем.
4. Согласование и нормоконтроль — выверка документов под требования регуляторов и специфику объекта.

Сроки и объём

В зависимости от масштаба проекта и количества защищаемых систем подготовка НМД занимает от 1 до 3 месяцев.
Количество документов — от 15–20 для небольших ИСПДн до 40+ для объектов КИИ и ГИС.

Результаты для заказчика

Заказчик получает:

• Полный пакет методических документов, подтверждающий соответствие законодательству РФ;
• Чёткие правила и инструкции по эксплуатации систем ИБ;
• Основание для аудита и проверок регуляторов;
• Готовую методологию для работы с угрозами, уязвимостями и инцидентами.

Опыт компании ЗИКС

Компания ЗИКС разрабатывает НМД как часть комплексных проектов по созданию систем защиты на объектах КИИ, ГИС и ИСПДн.

Наши преимущества:

• Опыт реализации методологической базы для крупных энергообъектов, медиа-холдингов, госструктур;
• Подход «под ключ»: от анализа инфраструктуры до сдачи документов в Главгосэкспертизу;
• Гибкость — добавляем в пакет дополнительные документы и методики по запросу заказчика;
• Скорость и отсутствие бюрократии — средний срок сдачи на 20–30% быстрее, чем у крупных интеграторов.

Проектная и рабочая документация (ПД и РД): основа для внедрения систем ИБ

Что это такое

Если ОРД и НМД определяют «правила и методологию» обеспечения безопасности, то проектная и рабочая документация — это уже практическая инженерная база, на основании которой строятся системы защиты информации.

• Проектная документация (ПД) — высокоуровневые технические решения: архитектура системы, концепции интеграции, схемы сетей, перечень подсистем, требования к СЗИ.
• Рабочая документация (РД) — детализированные инструкции и чертежи, на основании которых выполняются монтаж, настройка и эксплуатация систем: схемы L2/L3, кабельные журналы, планы размещения оборудования, инструкции по эксплуатации.

Что входит в комплект ПД и РД

Количество документов зависит от масштаба объекта и может составлять от 50 до 200+ документов. Обычно включают:

• Пояснительную записку и описание архитектуры;
• Акт категорирования/классификации объектов защиты;
• Схемы сетевой инфраструктуры (L2, L3, структурные, кабельные);
• План размещения серверного, сетевого и инженерного оборудования;
• Чертежи трасс (оптических, медных);
• Спецификации оборудования и материалов;
• Руководства администратора и пользователя;
• Инструкции по эксплуатации;
• Программы и методики испытаний (ПМИ).

Как проходит работа

Этапы:

1. Обследование и сбор исходных данных — аудит текущего состояния систем.
2. Проектирование — подготовка проектной документации (ПД), включающей архитектурные и технические решения.
3. Разработка РД — детализация до уровня конкретных кабельных трасс, шкафов, стоек, модулей СЗИ.
4. Согласование — прохождение экспертизы (в том числе Главгосэкспертизы).

Сроки реализации

В среднем:

• Проектная документация — от 1 до 2 месяцев;
• Рабочая документация — от 2 до 4 месяцев (в зависимости от масштаба объекта и количества подсистем).
  Итого полный цикл: 3–6 месяцев.

Результаты для заказчика

По итогам работ заказчик получает:

• Полный комплект проектной и рабочей документации для реализации СОИБ;
• Основание для закупки и монтажа оборудования;
• Соответствие законодательству РФ (187-ФЗ, 152-ФЗ, приказы ФСТЭК, ГОСТы);
• Гарантию, что все этапы (от проектирования до монтажа) будут выполнены по единым стандартам.

Опыт компании ЗИКС

Компания ЗИКС десятки раз проходила путь от проектирования до внедрения систем безопасности на объектах КИИ, ГИС, ИСПДн и энергетики.

Наши ключевые преимущества:

• Комплексный подход — разрабатываем и ПД, и РД, доводим до успешного прохождения экспертиз.
• Скорость — благодаря компактной команде и отсутствию лишней бюрократии мы сдаём проекты быстрее конкурентов.
• Гибкость — готовы оперативно добавлять дополнительные документы по запросу заказчика.
• Практический опыт — наши документы не «для галочки», а для реального внедрения и эксплуатации.

Голос компании

«Каждый комплект документов, разработанный командой ЗИКС, — это фундамент для построения защищённой инфраструктуры. Мы стремимся к тому, чтобы все наши проекты реально помогали заказчику в эксплуатации и обеспечивали соответствие требованиям регуляторов».

Подробнее о каждом типе документации читайте в отдельных публикациях на сайте компании ЗИКС:

• Документы по КИИ

• Документы по ПДн

• Документы по ГИС

• ОРД

• НМД

• Проектная и рабочая документация

Для консультации и подготовки коммерческого предложения: info@czics.ru