Файл: 5 Разработка Положения о структурном подразделении по защите информации в организации.doc

ВУЗ: Не указан

Категория: Отчеты по практике

Дисциплина: Не указана

Добавлен: 20.03.2024

Просмотров: 22

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

4.3. Начальник отдела защиты информации отвечает за организацию мероприятий по выполнению требований обеспечения безопасности информации при работе на АРМ АС Учреждения. Он обеспечивает:

  • планирование и организацию практических мероприятий по предотвращению попыток несанкционированного вмешательства в процесс нормального функционирования АС и попыток НСД к обрабатываемой, хранимой и отображаемой на ПЭВМ АС Учреждения информации;

  • организацию постоянного контроля за соблюдением сотрудниками Учреждения требований Планов защиты конкретных АС и других организационно-распорядительных документов по вопросам обеспечения безопасности информации;

  • определение особых обязанностей должностных лиц Учреждения по обеспечению безопасности информации при их работе в АС;

  • организацию проведения занятий с персоналом Учреждения по изучению организационно-распорядительных документов по всему комплексу вопросов обеспечения безопасности информации при работе в АС;

  • организацию проведения работ по выявлению возможных каналов нарушения информационной безопасности при эксплуатации АС и принятие своевременных мер по их перекрытию;

  • организацию контроля за выполнением специальных требований по размещению технических средств АС, прокладке кабельных трасс и инженерных систем, за организацией резервного дублирования и архивирования информации, а также созданием и использованием эталонных копий программного обеспечения в части обеспечения безопасности информации и процессов ее обработки;

  • определение и пересмотр порядка установки и модернизации аппаратных и программных средств АС Учреждения в части обеспечения безопасности информации и процессов ее обработки;

  • определение и пересмотр порядка проектирования, разработки, отладки, проверки, внедрения и использования программного обеспечения в части обеспечения безопасности информации и процессов ее обработки.

4.4. Сотрудники отдела защиты информации обязаны:

  • проводить практические мероприятия по предотвращению незаконного вмешательства в процесс функционирования системы и несанкционированного доступа (НСД) к информации, обрабатываемой, хранимой и отображаемой на АРМ АС Учреждения;

  • периодически контролировать правильность ведения журналов учета нештатных ситуаций и формуляров АРМ в подразделениях Учреждения;

  • проводить занятия с сотрудниками подразделений Учреждения по правилам работы на ПЭВМ и по изучению руководящих документов по вопросам обеспечения безопасности информации;

  • контролировать выполнение обязанностей администраторами безопасности АС, ответственными за информационную безопасность в подразделениях, ответственными за эксплуатацию конкретных АРМ, за обслуживание определенных технических и программных средств;

  • участвовать в работе по определению необходимых мер защиты при проектировании программных средств автоматизации решения прикладных задач, по оценке качества реализации необходимых защитных механизмов в АС при испытаниях и внедрении данного программного обеспечения (в части обеспечения безопасности информации и процессов ее обработки);

  • контролировать исполнение порядка учета, хранения, использования и уничтожения отчуждаемых магнитных носителей конфиденциальной информации;

  • контролировать выполнение установленных правил создания, хранения и использования эталонных копий программных средств, соблюдение порядка формирования и использования информационных массивов и баз данных, резервного и архивного копирования данных;

  • координировать действия должностных лиц по своевременному восстановлению процесса обработки данных в кризисных (аварийных) ситуациях;

  • участвовать в расследовании причин возникновения серьезных кризисных ситуаций;

  • постоянно проводить работу по выявлению возможных каналов утечки конфиденциальных сведений при эксплуатации АС и несанкционированного вмешательства в процесс ее функционирования, готовить предложения по совершенствованию системы защиты и пересмотру Плана защиты;

  • участвовать в работе комиссий по пересмотру Плана защиты АС.


5. Взаимодействие со структурными подразделениями Учреждения

Для выполнения функций и реализации прав, предусмотренных настоящим положением, отдел защиты информации взаимодействует:

5.1. С бухгалтерией Учреждения по вопросам:

Получения:

  • расчетов фондов оплаты труда;

  • финансовых и кредитных планов с приложением оценки степени конфиденциальности и перечнем руководителей подразделений и специалистов, которым эти документы попадают в распоряжение;

  • информации о подготовке к торгам или аукционам, их результатах, условиях коммерческих контрактов, платежей и услуг, сведений о методах расчетов, системах ценообразования, уровнях цен на продукцию, сведений об инвестициях, для принятия мер по их защите

Предоставления:

  • отчетов о расходовании фонда заработной платы;

  • определения потребности подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ;

  • перечня мер по защите финансовой и экономической информации.

5.2. С правовым отделом Учреждения по вопросам:

  • проверки соответствия закону ограничений, принимаемых отделом по защите информации;

  • разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся информацией ограниченного доступа, утечке информации, повреждении информационных баз Учреждения.

5.3. С отделом кадров Учреждения по вопросам:

Получения:

  • личных дел сотрудников Учреждения;

  • сведений о кандидатурах на должности специалистов по защите информации;

  • копий должностных инструкций на работников, выполняющих работы, содержание которых является информацией ограниченного доступа;

  • предложений по закреплению в должностных инструкциях и иных кадровых документах повышенной степени ответственности за несоблюдение отдельными специалистами обязанностей по использованию информации, являющейся информацией ограниченного доступа в неслужебных целях;

  • итогов зачетов, экзаменов работников, прошедших обучение в учебных центрах по переквалификации работников;

  • сведений о кандидатурах на должности специалистов, выполняющих работы, содержание которых является информацией ограниченного доступа.


Представления:

  • оценок деятельности работников Учреждения и соблюдения ими режима работ, содержание которых является информацией ограниченного доступа;

  • сведений о нарушениях и нарушителях режима доступа к информации;

  • характеристик на работников, явившихся виновниками утечки, повреждения информации;

  • предложений и рекомендаций по поиску специалистов, в должностные обязанности которых входит работа с информацией, являющейся информацией ограниченного доступа;

  • проектов обязательств работников о неразглашении сведений, являющихся информацией ограниченного доступа;

  • проектов письменного согласия специалистов OOO «Мастер» на частные, временные ограничения их прав;

  • предложений о направлении сотрудников отдела на курсы повышения квалификации, а также в учебные центры, на курсы для изучения новых технологий защиты информации;

  • копий, принятых директором OOO «Мастер» решений о допуске работника к сведениям, составляющим информацию ограниченного доступа;

  • памяток работникам OOO «Мастер» о сохранении информации ограниченного доступа OOO «Мастер» для согласования и выдачи работникам;

  • установленных ограничений по медицинским показаниям для осуществления работы с использованием сведений, составляющих информацию ограниченного доступа.

5.4. С отделом информатизации Учреждения по вопросам:

Получения:

  • сведений о планах подразделения;

  • сведений об особенностях, используемых и разрабатываемых информационных технологий и специфике их применения;

  • прочей информации, подлежащей защите;

  • списков сотрудников отдела, выполняющих работы, связанные с администрированием АИС OOO «Мастер» и использованием информации, являющийся информацией ограниченного доступа.

Предоставления:

  • отчетов о порядке и состоянии организации защиты информации ограниченного доступа, в том числе и в АИС;

  • данных о защищенности информационных баз Учреждения от несанкционированного доступа;

  • оценки надежности защиты информации OOO «Мастер», функционирующей в АИС;

  • оценки деловых и моральных качеств сотрудников подразделений, в особенности системных администраторов;

  • − и другой информации по вопросам, входящим к компетенции отдела защиты информации.


5.5. Со всеми другими структурными подразделениями Учреждения, выполняющими работы, содержание которых составляет информацией ограниченного доступа, по вопросам:

Получения:

  • сведений о планах подразделения;

  • сведений об особенностях используемых и разрабатываемых технологий и специфике их применения;

  • прочей информации, подлежащей защите;

  • списков сотрудников Учреждения, выполняющих работы, связанные с использованием информации, являющийся информацией ограниченного доступа.

Предоставления:

  • отчетов о порядке и состоянии организации защиты информации ограниченного доступа;

  • данных о защищенности информационных баз Учреждения от несанкционированного доступа;

  • оценки надежности защиты информации Учреждения, переданной контрагентам в рамках договорных отношений;

  • оценки деловых и моральных качеств сотрудников подразделений;

  • и другой информации по вопросам, входящим к компетенции отдела защиты информации.


6. Ответственность

6.1. Начальник отдела несет персональную ответственность за:

  • выполнение возложенных на отдел функций и задач;

  • организацию работы отдела, своевременное и квалифицированное выполнение приказов, распоряжений, поручений вышестоящего руководства, действующих нормативно-правовых актов по своему профилю деятельности;

  • рациональное и эффективное использование материальных, финансовых и кадровых ресурсов;

  • состояние трудовой дисциплины в отделе, выполнение его работниками своих функциональных обязанностей;

  • соблюдение работниками отдела правил внутреннего трудового распорядка, правил пожарной безопасности и техники безопасности;

  • ведение документации, предусмотренной действующими нормативно-правовыми документами;

  • предоставление в установленном порядке достоверной статистической и иной информации о деятельности отдела;

  • готовность отдела к работе в условиях чрезвычайных ситуаций.

6.2. Работники отдела несут полную ответственность за:

  • неисполнение или ненадлежащее исполнение, без уважительных причин, своих функциональных обязанностей, законодательных и нормативно-правовых актов РФ в области защиты информации;

  • невыполнение приказов, инструкций, методических рекомендаций Департамента информационной безопасности, постановлений, распоряжений правительства РФ, приказов и распоряжений генерального директора;

  • причинение департаменту ущерба в связи с исполнением (неисполнением) своих должностных обязанностей специалисты отдела несут материальную ответственность в порядке, установленном трудовым и гражданским законодательством РФ.



7. Порядок утверждения, внесения изменений и дополнений

7.1. Настоящее Положение вступает в законную силу с даты утверждения генерального директора Учреждения.

7.2. Изменения и дополнения в настоящее Положение вносятся по инициативе Генерального директора Учреждения, Заместителей генерального директора Учреждения, Начальника отдела защиты информации и заместителями начальника отдела защиты информации.

7.3. В случае вступления отдельных пунктов настоящего Положения в противоречие с новыми законодательными актами и Уставом Учреждения, эти пункты утрачивают юридическую силу и Положение действует в части, не противоречащей законодательным Актам и Уставу Учреждения.