перечень нормативки - Форум по вопросам информационной безопасности

Здравствуйте мужики, проблема следующая: устроился на завод(промышленное предприятия) безопасником, к 188 отношения нет. До этого готовил документы для ФГИС, и в данный момент вхожу в ступр с перечнем нормативки. План действий вижу перед собой следующий(поправьте пожалуйста в направлении туда или нет лезу):
1. План мероприятий по организации защиты персональных данных;
2. Положение\приказ о (защите) персональных данных предприятия;
3. Приказ о введении в действие «Положения о персональных данных»;
4. Приказ о назначении лиц, ответственных за обеспечение безопасности ПДн;
5. Доработанные должностные инструкции всех лиц, ответственных за обеспечение безопасности ПДн;
6. Приказ о создании комиссии по классификации ИСПДн;
7. Акт классификации ИСПДн на предприятии;
8. Модель угроз безопасности ИСПДн;
9. Модель нарушителя ИСПДн;
10. Приказ об определении мест хранения материальных носителей ПДн, обрабатываемых без использования средств автоматизации;
11. Приказ об определении мест хранения материальных носителей ПДн, обрабатываемых с использованием средств автоматизации;
12. Приказ о создании комиссии по уничтожению ПДн и материальных носителей ПДн;
13. Журнал учета материальных носителей ПДн, обрабатываемых с использованием средств автоматизации;
14. Акт уничтожения (обезличивания) ПДн субъекта;
15. Акт уничтожения материального носителя ПДн;
16. Приказ о допуске работников (ответственных исполнителей) к обработке ПДн на предприятии;
17. Доработанные должностные инструкции всех работников, допускаемых к обработке ПДн;
18. Приказ о создании комиссии по проведению проверок состояния защиты (контролю защищенности) ИСПДн;
19. Инструкция по проведению проверок состояния защиты ИСПДн;
20. План внутренних проверок состояния защиты ИСПДн на текущий год;
21. Инструкция администратора информационной безопасности ИСПДн;
22. Инструкция администратора ИСПДн;
23. Инструкция по антивирусной защите ИСПДн;
24. Инструкция по резервному копированию и восстановлению баз данных ИСПДн;
25. Инструкция по модификации программного обеспечения и технических средств ИСПДн;
26. Порядок парольной защиты ИСПДн;
27. Инструкция администратора информационной безопасности по внесению изменению в списки уполномоченных пользователей ИСПДн;
28. Инструкция пользователю по действиям в нештатных ситуациях;
29. Положение об использовании сети Интернет на предприятии;
30. Инструкция по обработке ПДн посетителей;
31. Журнал учета посетителей предприятия;
32. Журнал учета письменных запросов субъектов к ПДн;
33. Журнал учета средств криптографической защиты, используемых на предприятии;
34. Приказ о вводе в промышленную эксплуатацию системы защиты ИСПДн;

под ИСПДН подразумевается АСУТП

to diesel68
Мощно задвинул, внушаить (с)
Единственное, что не понятно: <под ИСПДН подразумевается АСУТП>...
Для ИСПДн приведенный выше перечень более чем. Для ГИС, в целом, тоже (впрочем, смотря какая ГИС). Для АСУТП, imho, часть избыточна - говорю как лицо, ищущее компромисс между бумагами и реальностью, поскольку при таком количестве бумаги на реальность ни времени, ни сил уже не хватит (особенно, когда придется проводить правки реальности и бумаги совместно, ага)...
Еще желательно добавить "Технический проект системы защиты..." + либо отдельным документом, либо приложением к ЧМУН или ТП - описание технологического процесса обработки защищаемой информации. С картинками и конкретикой, ага...
А начать надо бы с того, что:
- определить потоки ПДн / КИ / иной ИОД / технологической (производственной) информации;
- составить по потокам перечни ИСПДн / АС / ГИС (?) / АСУТП соответственно;
- расписать это все на логическом, физическом, информационном уровнях применительно к данному заводу;
- выставить приоритеты, какие системы сейчас защищать важнее, в каких конь не валялся, какие более-менее хороши, какими занимаются аутсорсеры-лицензиаты (например);
- далее действовать на бумаге по приведенной вами схеме;
- параллельно действовать по факту в части подбора новых СЗИ / корректировки существующих / отказа (обоснованного) от сертиф. СЗИ и т.д.;
- в конце аттестовать все, что необходимо аттестовать, а на остальное составить соответствующие акты.

ЗЫ Кстати, отсылка у вас была к ФЗ КИИ? Если да, то он все-таки 187-ФЗ (188 - это жилищный кодекс, вряд ли вам нужный сейчас, ага). imho, советую все равно перепроверить себя и коллег и убедиться, что КИИ РФ к вам отношения не имеет (что почти невозможно для заводов, ага)...

to oko
Единственное, что не понятно: <под ИСПДН подразумевается АСУТП>... - на коленке накидал, извиняюсь за неправильную трактовку. В целом спасибо, более менее картина прорисовывается, задумался с чего будет правильней начать)