Руководство. Права и обязанности, ответственность

Положение

Об отделе защиты информации

Службы безопасности Организации

Общие положения

1.1. Отдел защиты информации является структурным подразделением Службы безопасности (СБ) ОРГАНИЗАЦИИ.

1.2. В своей деятельности отдел руководствуется действующим законодательством, Уставом ОРГАНИЗАЦИИ, Положением о Службе безопасности ОРГАНИЗАЦИИ,..., а также настоящим Положением.

1.3. Отдел защиты информации осуществляет организацию и координацию работ подразделений ОРГАНИЗАЦИИ по комплексной защите информации, контроль и оценку эффективности принятых мер по обеспечению информационной безопасности ОРГАНИЗАЦИИ.

1.4. Отдел защиты информации возглавляется начальником отдела. Начальник отдела назначается на должность и освобождается от занимаемой должности в установленном порядке по представлению начальника Службы Безопасности ОРГАНИЗАЦИИ.

1.5. Структура и штатное расписание отдела определяются в установленном порядке, в соответствии с объемами работ, задачами и функциями, исполняемыми отделом.

Основные задачи и функции отдела

2.1.Основными задачами отдела защиты информации являются:

· разработка единой политики (концепции) обеспечения информационной безопасности ОРГАНИЗАЦИИ, определение требований к системе защиты информации ОРГАНИЗАЦИИ и документообороту на бумажных и электронных носителях;

· организация мероприятий и координация работ всех подразделений ОРГАНИЗАЦИИ по комплексной защите информации на всех этапах технологических циклов ее создания, переноса на носитель (бумажный или электронный), обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности ОРГАНИЗАЦИИ;

· контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

2.2.Основными функциями отдела защиты информации являются:

· организация и координация действий подразделений ОРГАНИЗАЦИИ по вопросам обеспечения информационной безопасности;

· экспертиза договоров ОРГАНИЗАЦИИ со сторонними организациями по вопросам ОБИ при передаче (приеме) информации;

· участие в работе технической комиссии по пересмотру Перечня сведений, подлежащих защите

· согласование технических порядков по технологиям, связанным с информационным обменом и документооборотом;

· участие в проектировании, приемке, сдаче в промышленную эксплуатацию программных средств и АС ОРГАНИЗАЦИИ (в части требований к средствам защиты информации);

· контроль за соблюдением правил безопасной эксплуатации АС ОРГАНИЗАЦИИ;

· контроль за соблюдением требований ТУ и сертификатов на приобретенные программные и аппаратные средства (в том числе средства защиты информации);

· организация и контроль за разрешительной системой допуска исполнителей к работе с защищаемой информацией;

· определение порядка учета, хранения и обращения с защищаемой информацией (документами и носителями информации);

· контроль за сохранностью конфиденциальных документов и носителей информации;

· генерация ключей шифрования и ЭЦП.

Руководство. Права и обязанности, ответственность

3.1. Для решения задач, возложенных на отдел защиты информации, сотрудники этого отдела должны иметь следующие права:

· определять необходимость и разрабатывать нормативные документы, касающиеся вопросов ОБИ, включая документы, регламентирующие деятельность сотрудников подразделений ОРГАНИЗАЦИИ;

· получать информацию от сотрудников подразделений ОРГАНИЗАЦИИ по вопросам применения технологий обработки информации и эксплуатации АС;

· участвовать в проработке технических решений по вопросам ОБИ при проектировании и разработке комплексов задач (задач);

· участвовать в испытаниях разработанных комплексов задач (задач) по вопросам оценки качества реализации требований по ОБИ;

· контролировать деятельность сотрудников подразделений ОРГАНИЗАЦИИ по вопросам ОБИ.

3.2. Начальник отдела защиты информации осуществляет в полной мере руководство деятельностью отдела, несет ответственность за надлежащее исполнение возложенных на него обязанностей и обеспечивает:

· исполнение отделом задач и функций, определенных настоящим положением, в соответствии с действующим законодательством и нормативными документами ОРГАНИЗАЦИИ;

· обеспечивает соблюдение сотрудниками отдела установленных правил трудового распорядка, производственной и технологической дисциплины;

· разрабатывает и вносит на рассмотрение начальника Службы безопасности предложения по совершенствованию структуры отдела и повышению уровня подготовки сотрудников отдела, улучшение работы и иные предложения по вопросам, входящим в его компетенцию;

· организует техническое обучение и повышение квалификации сотрудников отдела;

· обеспечивает реализацию мероприятий по созданию безопасных условий труда сотрудников отдела на всех технологических участках;

· обеспечивает контроль за соблюдением сотрудниками отдела правил электро- и пожарной безопасности;

· распределяет обязанности и разрабатывает должностные инструкции сотрудников отдела;

· представляет сотрудников отдела для назначения или освобождения от должности, поощрения отличившихся работников, наложения дисциплинарных взысканий в соответствии с действующим законодательством о труде и правилами внутреннего трудового распорядка;

· разрабатывает, представляет на утверждение и обеспечивает контроль за порядком доступа в служебные помещения отдела;

· устанавливает регламент проведения профилактических, ремонтных и аварийных работ на установленном в отделе оборудовании;

· координирует совместную деятельность сотрудников отдела со структурными подразделениями Службы безопасности и другими подразделениями ОРГАНИЗАЦИИ;

· участвует в совещаниях по вопросам информационной безопасности ОРГАНИЗАЦИИ и представляет Службу безопасности ОРГАНИЗАЦИИ в других учреждениях и организациях по поручению начальника Службы безопасности.

3.3. Начальник отдела защиты информации отвечает за организацию мероприятий по выполнению требований обеспечения безопасности информации при работе на АРМ АС ОРГАНИЗАЦИИ. Он обеспечивает:

· планирование и организацию практических мероприятий по предотвращению попыток несанкционированного вмешательства в процесс нормального функционирования АС и попыток НСД к обрабатываемой, хранимой и отображаемой на ПЭВМ АС ОРГАНИЗАЦИИ информации;

· организацию постоянного контроля за соблюдением сотрудниками ОРГАНИЗАЦИИ требований Планов защиты конкретных АС и других организационно-распорядительных документов по вопросам обеспечения безопасности информации;

· определение особых обязанностей должностных лиц ОРГАНИЗАЦИИ по обеспечению безопасности информации при их работе в АС;

· организацию проведения занятий с персоналом ОРГАНИЗАЦИИ по изучению организационно-распорядительных документов по всему комплексу вопросов обеспечения безопасности информации при работе в АС;

· организацию проведения работ по выявлению возможных каналов нарушения информационной безопасности при эксплуатации АС и принятие своевременных мер по их перекрытию;

· организацию контроля за выполнением специальных требований по размещению технических средств АС, прокладке кабельных трасс и инженерных систем, за организацией резервного дублирования и архивирования информации, а также созданием и использованием эталонных копий программного обеспечения в части обеспечения безопасности информации и процессов ее обработки;

· определение и пересмотр порядка установки и модернизации аппаратных и программных средств АС ОРГАНИЗАЦИИ в части обеспечения безопасности информации и процессов ее обработки;

· определение и пересмотр порядка проектирования, разработки, отладки, проверки, внедрения и использования программного обеспечения в части обеспечения безопасности информации и процессов ее обработки.

3.4. Сотрудники отдела защиты информации обязаны:

· проводить практические мероприятия по предотвращению незаконного вмешательства в процесс функционирования системы и несанкционированного доступа (НСД) к информации, обрабатываемой, хранимой и отображаемой на АРМ АС ОРГАНИЗАЦИИ;

· периодически контролировать правильность ведения журналов учета нештатных ситуаций и формуляров АРМ в подразделениях ОРГАНИЗАЦИИ;

· проводить занятия с сотрудниками подразделений ОРГАНИЗАЦИИ по правилам работы на ПЭВМ и по изучению руководящих документов по вопросам обеспечения безопасности информации;

· контролировать выполнение обязанностей администраторами безопасности АС, ответственными за информационную безопасность в подразделениях, ответственными за эксплуатацию конкретных АРМ, за обслуживание определенных технических и программных средств;

· участвовать в работе по определению необходимых мер защиты при проектировании программных средств автоматизации решения прикладных задач, по оценке качества реализации необходимых защитных механизмов в АС при испытаниях и внедрении данного программного обеспечения (в части обеспечения безопасности информации и процессов ее обработки);

· контролировать исполнение порядка учета, хранения, использования и уничтожения отчуждаемых магнитных носителей конфиденциальной информации;

· контролировать выполнение установленных правил создания, хранения и использования эталонных копий программных средств, соблюдение порядка формирования и использования информационных массивов и баз данных, резервного и архивного копирования данных;

· координировать действия должностных лиц по своевременному восстановлению процесса обработки данных в кризисных (аварийных) ситуациях;

· участвовать в расследовании причин возникновения серьезных кризисных ситуаций;

· постоянно проводить работу по выявлению возможных каналов утечки конфиденциальных сведений при эксплуатации АС и несанкционированного вмешательства в процесс ее функционирования, готовить предложения по совершенствованию системы защиты и пересмотру Плана защиты;

· участвовать в работе комиссий по пересмотру Плана защиты АС.

Приложение

Типовая организационно-штатная структура ОЗИ СБ ОРГАНИЗАЦИИ

Начальник отдела
· Управление отделом · Участие в комиссии по пересмотру Перечня сведений, подлежащих защите · Участие в разработке нормативных документов в области защиты информации в ОРГАНИЗАЦИИ
Направление на Управление внутреннего аудита	Направление на Управление автоматизации	Направление на Управление телекоммуникаций
· Участие в разработке методик оценки степени защищенности информации в ОРГАНИЗАЦИИ · Участие в проверках, проводимых УВА	· Участие в разработке Технических порядков на АС · Регламентация порядка сдачи программных средств в ФАП /выдачи из ФАП	· Экспертиза договоров на обеспечение телекоммуникационных услуг сторонними организациями · Контроль за соблюдением мер безопасности при размещении средств телекоммуникации
1-2 человека	1 человек	1 человек
	· Контроль за текущим состоянием ОБИ в конкретной АС ОРГАНИЗАЦИИ · Разработка предложений по совершенствованию технологии обработки данных с точки зрения ОБИ · Контроль за соблюдением условий сертификатов и ТУ для закупленных средств защиты · Участие в генерации, сертификации, хранении ключей шифрования и ЭЦП · Контроль целостности ППО · Экспертиза договоров на ПО	· Оперативный контроль состояния защищенности ТКС ОРГАНИЗАЦИИ · Контроль целостности ППО
	Из расчета 1 человек на 2-3 подсистемы АС	1-2 человека