Руководство. Права и обязанности, ответственность
Положение
Об отделе защиты информации
Службы безопасности Организации
Общие положения
1.1. Отдел защиты информации является структурным подразделением Службы безопасности (СБ) ОРГАНИЗАЦИИ.
1.2. В своей деятельности отдел руководствуется действующим законодательством, Уставом ОРГАНИЗАЦИИ, Положением о Службе безопасности ОРГАНИЗАЦИИ, ..., а также настоящим Положением.
1.3. Отдел защиты информации осуществляет организацию и координацию работ подразделений ОРГАНИЗАЦИИ по комплексной защите информации, контроль и оценку эффективности принятых мер по обеспечению информационной безопасности ОРГАНИЗАЦИИ.
1.4. Отдел защиты информации возглавляется начальником отдела. Начальник отдела назначается на должность и освобождается от занимаемой должности в установленном порядке по представлению начальника Службы Безопасности ОРГАНИЗАЦИИ.
1.5. Структура и штатное расписание отдела определяются в установленном порядке, в соответствии с объемами работ, задачами и функциями, исполняемыми отделом.
Основные задачи и функции отдела
2.1.Основными задачами отдела защиты информации являются:
· разработка единой политики (концепции) обеспечения информационной безопасности ОРГАНИЗАЦИИ, определение требований к системе защиты информации ОРГАНИЗАЦИИ и документообороту на бумажных и электронных носителях;
· организация мероприятий и координация работ всех подразделений ОРГАНИЗАЦИИ по комплексной защите информации на всех этапах технологических циклов ее создания, переноса на носитель (бумажный или электронный), обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности ОРГАНИЗАЦИИ;
· контроль и оценка эффективности принятых мер и применяемых средств защиты информации.
2.2.Основными функциями отдела защиты информации являются:
· организация и координация действий подразделений ОРГАНИЗАЦИИ по вопросам обеспечения информационной безопасности;
· экспертиза договоров ОРГАНИЗАЦИИ со сторонними организациями по вопросам ОБИ при передаче (приеме) информации;
· участие в работе технической комиссии по пересмотру Перечня сведений, подлежащих защите
· согласование технических порядков по технологиям, связанным с информационным обменом и документооборотом;
· участие в проектировании, приемке, сдаче в промышленную эксплуатацию программных средств и АС ОРГАНИЗАЦИИ (в части требований к средствам защиты информации);
· контроль за соблюдением правил безопасной эксплуатации АС ОРГАНИЗАЦИИ;
· контроль за соблюдением требований ТУ и сертификатов на приобретенные программные и аппаратные средства (в том числе средства защиты информации);
· организация и контроль за разрешительной системой допуска исполнителей к работе с защищаемой информацией;
· определение порядка учета, хранения и обращения с защищаемой информацией (документами и носителями информации);
· контроль за сохранностью конфиденциальных документов и носителей информации;
· генерация ключей шифрования и ЭЦП.
Руководство. Права и обязанности, ответственность
3.1. Для решения задач, возложенных на отдел защиты информации, сотрудники этого отдела должны иметь следующие права:
· определять необходимость и разрабатывать нормативные документы, касающиеся вопросов ОБИ, включая документы, регламентирующие деятельность сотрудников подразделений ОРГАНИЗАЦИИ;
· получать информацию от сотрудников подразделений ОРГАНИЗАЦИИ по вопросам применения технологий обработки информации и эксплуатации АС;
· участвовать в проработке технических решений по вопросам ОБИ при проектировании и разработке комплексов задач (задач);
· участвовать в испытаниях разработанных комплексов задач (задач) по вопросам оценки качества реализации требований по ОБИ;
· контролировать деятельность сотрудников подразделений ОРГАНИЗАЦИИ по вопросам ОБИ.
3.2. Начальник отдела защиты информации осуществляет в полной мере руководство деятельностью отдела, несет ответственность за надлежащее исполнение возложенных на него обязанностей и обеспечивает:
· исполнение отделом задач и функций, определенных настоящим положением, в соответствии с действующим законодательством и нормативными документами ОРГАНИЗАЦИИ;
· обеспечивает соблюдение сотрудниками отдела установленных правил трудового распорядка, производственной и технологической дисциплины;
· разрабатывает и вносит на рассмотрение начальника Службы безопасности предложения по совершенствованию структуры отдела и повышению уровня подготовки сотрудников отдела, улучшение работы и иные предложения по вопросам, входящим в его компетенцию;
· организует техническое обучение и повышение квалификации сотрудников отдела;
· обеспечивает реализацию мероприятий по созданию безопасных условий труда сотрудников отдела на всех технологических участках;
· обеспечивает контроль за соблюдением сотрудниками отдела правил электро- и пожарной безопасности;
· распределяет обязанности и разрабатывает должностные инструкции сотрудников отдела;
· представляет сотрудников отдела для назначения или освобождения от должности, поощрения отличившихся работников, наложения дисциплинарных взысканий в соответствии с действующим законодательством о труде и правилами внутреннего трудового распорядка;
· разрабатывает, представляет на утверждение и обеспечивает контроль за порядком доступа в служебные помещения отдела;
· устанавливает регламент проведения профилактических, ремонтных и аварийных работ на установленном в отделе оборудовании;
· координирует совместную деятельность сотрудников отдела со структурными подразделениями Службы безопасности и другими подразделениями ОРГАНИЗАЦИИ;
· участвует в совещаниях по вопросам информационной безопасности ОРГАНИЗАЦИИ и представляет Службу безопасности ОРГАНИЗАЦИИ в других учреждениях и организациях по поручению начальника Службы безопасности.
3.3. Начальник отдела защиты информации отвечает за организацию мероприятий по выполнению требований обеспечения безопасности информации при работе на АРМ АС ОРГАНИЗАЦИИ. Он обеспечивает:
· планирование и организацию практических мероприятий по предотвращению попыток несанкционированного вмешательства в процесс нормального функционирования АС и попыток НСД к обрабатываемой, хранимой и отображаемой на ПЭВМ АС ОРГАНИЗАЦИИ информации;
· организацию постоянного контроля за соблюдением сотрудниками ОРГАНИЗАЦИИ требований Планов защиты конкретных АС и других организационно-распорядительных документов по вопросам обеспечения безопасности информации;
· определение особых обязанностей должностных лиц ОРГАНИЗАЦИИ по обеспечению безопасности информации при их работе в АС;
· организацию проведения занятий с персоналом ОРГАНИЗАЦИИ по изучению организационно-распорядительных документов по всему комплексу вопросов обеспечения безопасности информации при работе в АС;
· организацию проведения работ по выявлению возможных каналов нарушения информационной безопасности при эксплуатации АС и принятие своевременных мер по их перекрытию;
· организацию контроля за выполнением специальных требований по размещению технических средств АС, прокладке кабельных трасс и инженерных систем, за организацией резервного дублирования и архивирования информации, а также созданием и использованием эталонных копий программного обеспечения в части обеспечения безопасности информации и процессов ее обработки;
· определение и пересмотр порядка установки и модернизации аппаратных и программных средств АС ОРГАНИЗАЦИИ в части обеспечения безопасности информации и процессов ее обработки;
· определение и пересмотр порядка проектирования, разработки, отладки, проверки, внедрения и использования программного обеспечения в части обеспечения безопасности информации и процессов ее обработки.
3.4. Сотрудники отдела защиты информации обязаны:
· проводить практические мероприятия по предотвращению незаконного вмешательства в процесс функционирования системы и несанкционированного доступа (НСД) к информации, обрабатываемой, хранимой и отображаемой на АРМ АС ОРГАНИЗАЦИИ;
· периодически контролировать правильность ведения журналов учета нештатных ситуаций и формуляров АРМ в подразделениях ОРГАНИЗАЦИИ;
· проводить занятия с сотрудниками подразделений ОРГАНИЗАЦИИ по правилам работы на ПЭВМ и по изучению руководящих документов по вопросам обеспечения безопасности информации;
· контролировать выполнение обязанностей администраторами безопасности АС, ответственными за информационную безопасность в подразделениях, ответственными за эксплуатацию конкретных АРМ, за обслуживание определенных технических и программных средств;
· участвовать в работе по определению необходимых мер защиты при проектировании программных средств автоматизации решения прикладных задач, по оценке качества реализации необходимых защитных механизмов в АС при испытаниях и внедрении данного программного обеспечения (в части обеспечения безопасности информации и процессов ее обработки);
· контролировать исполнение порядка учета, хранения, использования и уничтожения отчуждаемых магнитных носителей конфиденциальной информации;
· контролировать выполнение установленных правил создания, хранения и использования эталонных копий программных средств, соблюдение порядка формирования и использования информационных массивов и баз данных, резервного и архивного копирования данных;
· координировать действия должностных лиц по своевременному восстановлению процесса обработки данных в кризисных (аварийных) ситуациях;
· участвовать в расследовании причин возникновения серьезных кризисных ситуаций;
· постоянно проводить работу по выявлению возможных каналов утечки конфиденциальных сведений при эксплуатации АС и несанкционированного вмешательства в процесс ее функционирования, готовить предложения по совершенствованию системы защиты и пересмотру Плана защиты;
· участвовать в работе комиссий по пересмотру Плана защиты АС.
Приложение
Типовая организационно-штатная структура ОЗИ СБ ОРГАНИЗАЦИИ
| Начальник отдела | ||
| · Управление отделом · Участие в комиссии по пересмотру Перечня сведений, подлежащих защите · Участие в разработке нормативных документов в области защиты информации в ОРГАНИЗАЦИИ | ||
| Направление на Управление внутреннего аудита | Направление на Управление автоматизации | Направление на Управление телекоммуникаций |
| · Участие в разработке методик оценки степени защищенности информации в ОРГАНИЗАЦИИ · Участие в проверках, проводимых УВА | · Участие в разработке Технических порядков на АС · Регламентация порядка сдачи программных средств в ФАП /выдачи из ФАП | · Экспертиза договоров на обеспечение телекоммуникационных услуг сторонними организациями · Контроль за соблюдением мер безопасности при размещении средств телекоммуникации |
| 1-2 человека | 1 человек | 1 человек |
| · Контроль за текущим состоянием ОБИ в конкретной АС ОРГАНИЗАЦИИ · Разработка предложений по совершенствованию технологии обработки данных с точки зрения ОБИ · Контроль за соблюдением условий сертификатов и ТУ для закупленных средств защиты · Участие в генерации, сертификации, хранении ключей шифрования и ЭЦП · Контроль целостности ППО · Экспертиза договоров на ПО | · Оперативный контроль состояния защищенности ТКС ОРГАНИЗАЦИИ · Контроль целостности ППО | |
| Из расчета 1 человек на 2-3 подсистемы АС | 1-2 человека |