Положение об информационной системе

  • автор:

УТВЕРЖДАЮ

(наименование предприятия,

(руководитель предприятия

организации, учреждения)

организации, учреждения)

ПОЛОЖЕНИЕ

00.00.0000

№ 00

(подпись)

(фамилия, инициалы)

00.00.0000

Об отделе по защите

информации

I. Общие положения

1. Отдел по защите информации является самостоятельным* структурным подразделением предприятия.

*Отдел по защите информации может входить в состав службы безопасности предприятия.

2. Отдел создается и ликвидируется приказом директора предприятия.

3. Отдел подчиняется непосредственно директору предприятия.

4. Отдел возглавляет начальник, назначаемый на должность приказом директора предприятия.

5. В своей деятельности отдел руководствуется:

5.1. Уставом предприятия.

5.2. Настоящим положением.

5.3. …

6. …

II. Структура

1. Состав и штатную численность отдела по защите информации утверждает директор предприятия исходя из условий и особенностей деятельности предприятия по представлению начальника отдела и по согласованию с ____________________ (отделом кадров; отделом организации и оплаты труда)

2. В состав отдела входят группы специалистов*: инженеров по защите информации, инженеров-программистов, инженеров-электроников, техников-программистов, техников по защите информации, отвечающих за отдельные на-правления в работе (за анализ состояния информационных баз, определение требований к защищенности различных подсистем автоматизированной системы предприятия и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам обеспечения информационной безопасности; за эффективное применение и администрирование штатных для операционных систем и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных систем).

*Следует помнить, что применяемые на практике наименования «Администратор средств защиты, контроля и управления безопасностью», «Системный администратор», «Аналитик по вопросам технической защиты информации и компьютерной безопасности» вводить в положение об отделе, должностные инструкции и иные кадровые документы не следует. Дело в том, что Общероссийский классификатор профессий рабочих, должностей служащих и тарифных разрядов (ОКПДТР) не содержит таких наименований и, соответственно, их применение до внесения изменений в ОКПДТР недопустимо.

3. Начальник отдела по защите информации распределяет обязанности между сотрудниками отдела и утверждает их должностные инструкции.

4. …

III. Задачи

1. Комплексная защита информации на предприятии.

2. …

IV. Функции

1. Разработка и внедрение организационных и технических мероприятий по комплексной защите информации на предприятии по работам, содержание которых составляет государственную или коммерческую тайну.

2. Обеспечение соблюдения режима проводимых работ и сохранения конфиденциальности документированной информации.

3. Обеспечение конфиденциальности переговоров, бесед и совещаний закрытого характера.

4. Разработка проектов текущих и перспективных планов работы.

5. Организация, координация и выполнение работ по защите информации, разработка технических средств контроля.

6. Обеспечение взаимодействия и необходимой кооперации соисполнителей работ по вопросам организации и проведения научно-исследовательских и опытно-конструкторских работ.

7. Организация и контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ, выполняемых соисполнителями.

8. Заключение договоров на работы по защите информации.

9. Разработка и принятие мер по обеспечению финансирования работ, в том числе выполняемых по договорам.

10. Участие в разработке технических заданий на выполняемые предприятием исследования и разработки.

11. Определение целей и постановка задач по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации.

12. Проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков, возможных каналов утечки информации, в том числе по техническим каналам, и разработка мер по их устранению и предотвращению.

13. Составление актов и другой технической документации о степени защищенности технических средств и помещений.

14. Контроль за соблюдением нормативных требований по защите информации.

15. Обеспечение комплексного использования технических средств, методов и организационных мероприятий.

16. Рассмотрение применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов исследований и разработок.

17. Согласование проектной и другой технической документации на вновь строящиеся и реконструируемые здания и сооружения в части выполнения требований по защите информации.

18. Рациональное использование и обеспечение сохранности аппаратуры, приборов и другого оборудования.

19. Обеспечение высокого научно-технического уровня работ, эффективности и качества исследований и разработок.

20. Контроль за выполнением предусмотренных мероприятий, анализ материалов контроля, выявление нарушений.

21. Разработка и реализация мер по устранению выявленных недостатков по защите информации.

22. Проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности.

23. Разработка регламента допуска сотрудников предприятия к отдельным каналам информации, плана защиты информации, положений об определении степени защищенности ресурсов автоматизированных систем.

24. Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.

25. Поиск информации о появившихся уязвимостях, обнаружение и устранение уязвимостей в информационных системах.

26. Формирование Перечня сведений, составляющих коммерческую тайну, а также Перечня сведений, отнесенных к государственной тайне.

27. Получение в установленном порядке лицензий на выполнение работ в сфере защиты информации.

28. Составление и представление в установленном порядке отчетности.

29. Ведение делопроизводства в соответствии с установленным порядком.

30. Соблюдение действующих инструкций по режиму работ и принятие своевременных мер по предупреждению нарушений.

31. Обеспечение соответствия проводимых работ технике безопасности, правилам и нормам охраны труда.

32. …

V. Права

Отдел по защите информации имеет право:

1. Осуществлять контроль за деятельностью структурных подразделений предприятия по выполнению ими требований информационной безопасности.

2. Давать структурным подразделениям предприятия и отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию отдела.

3. Запрашивать и получать от структурных подразделений сведения, справочные и другие материалы, необходимые для осуществления деятельности отдела.

4. Вести самостоятельную переписку с государственными и муниципальными органами по правовым вопросам.

5. Представлять в установленном порядке предприятие в органах государственной власти, иных учреждениях и организациях, по вопросам, входящим в компетенцию отдела.

6. Принимать меры при обнаружении несанкционированного доступа к информации как внутри предприятия, так и извне и докладывать о принятых мерах руководителю предприятия с представлением информации о субъектах, нарушивших режим доступа.

7. По согласованию с руководителем предприятия или заместителем директора предприятия по коммерческим вопросам привлекать экспертов и специалистов в сфере защиты информации для консультаций, подготовки заключений, рекомендаций и предложений.

8. …

9. …

VI. Взаимоотношения (служебные связи)

Для выполнения функций и реализации прав, предусмотренных настоящим положением, отдел по защите информации взаимодействует:

1. С отделом кадров по вопросам:

1.1. Получения:

— личных дел сотрудников предприятия;

— сведений о кандидатурах на должности специалистов по защите информации;

— сведений о кандидатурах на должности специалистов, выполняющих работы, содержание которых является коммерческой или государственной тайной;

— …

1.2. Представления:

— оценок деятельности работников предприятия и соблюдения ими режима работ, содержание которых является коммерческой или государственной тайной;

— сведений о нарушениях и нарушителях режима доступа к информации;

— характеристик на работников, явившихся виновниками утечки, повреждения информации;

— предложений и рекомендаций по поиску специалистов, в должностные обязанности которых входит работа с информацией, являющейся государственной или коммерческой тайной;

— установленных ограничений по медицинским показаниям для осуществления работы с использованием сведений, составляющих государственную или коммерческую тайну;

— …

2. С отделом по организации и оплаты труда по вопросам:

2.1. Получения:

— расчетов фондов оплаты труда;

— копий должностных инструкций на работников, выполняющих работы, содержание которых является коммерческой или государственной тайной;

— предложений по закреплению в должностных инструкциях и иных кадровых документах повышенной степени ответственности за несоблюдение отдельными специалистами обязанностей по использованию информации, являющейся коммерческой или государственной тайной в неслужебных целях;

— …

2.2. Предоставления:

— проектов обязательств работников о неразглашении сведений, являющихся государственной или коммерческой тайной;

— проектов письменного согласия специалистов предприятия на частные, временные ограничения их прав;

— перечня видов, размеров и порядка предоставления льгот и доплат работникам, допущенным к сведениям, являющимся коммерческой или государственной тайной (процентных надбавок к заработной плате, преимущественного права при прочих равных условиях на оставление на работе при проведении организационных и (или) штатных мероприятий, пр.);

— копий принятых В руководителем предприятия решений о допуске работника к сведениям, составляющим государственную или коммерческую тайну;

— памяток работникам предприятия о сохранении коммерческой тайны предприятия для согласования и выдачи работникам предприятия;

— отчетов о расходовании фонда заработной платы;

— …

3. С отделом подготовки кадров по вопросам:

3.1. Получения:

— итогов зачетов, экзаменов работников, прошедших обучение в учебных центрах по переквалификации работников предприятия;

— …

3.2. Предоставления:

— предложений о направлении сотрудников отдела на курсы повышения квалификации, а также в учебные центры, на курсы для изучения новых технологий защиты информации;

— …

4. С финансовым отделом по вопросам:

4.1. Получения:

— финансовых и кредитных планов с приложением оценки степени конфиденциальности и перечнем руководителей подразделений и специалистов, которым эти документы попадают в распоряжение;

— информации о подготовке к торгам или аукционам, их результатах, условиях коммерческих контрактов, платежей и услуг, сведений о методах расчетов, системах ценообразования, уровнях цен на продукцию, сведений об инвестициях, для принятия мер по их защите;

— …

4.2. Предоставления:

— определения потребности подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ;

— перечня мер по защите финансовой и экономической информации;

— …

5. С юридическим отделом по вопросам:

— проверки соответствия закону ограничений принимаемых отделом по защите информации;

— разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся коммерческой и служебной тайной, утечке информации, повреждении информационных баз предприятия;

— …

6. Со всеми производственными и технологическими подразделениями, выполняющими работы, содержание которых составляет государственную или коммерческую тайну, по вопросам:

6.1. Получения:

— сведений о планах расширения или свертывания производства различных видов продукции;

— сведений об особенностях используемых и разрабатываемых технологий и специфике их применения;

— прочей информации, подлежащей защите;

— списков сотрудников предприятия, выполняющих работы, связанные с использованием информации, являющийся коммерческой или государственной тайной;

— …

6.2. Предоставления:

— отчетов о порядке и состоянии организации защиты коммерческой тайны;

— данных о защищенности информационных баз предприятия от несанкционированного доступа;

— оценки надежности защиты информации предприятия, переданной контрагентам в рамках договорных отношений;

— оценки деловых и моральных качеств сотрудников подразделений;

— …

7. С

по вопросам:

(наименование структурного подразделения)

7.1. Получения:

— …

— …

7.2. Предоставления:

— …

— …

VII. Ответственность

1. Ответственность за надлежащее и своевременное выполнение функций отдела несет начальник отдела по защите информации.

2. На него, в частности, возлагается персональная ответственность в случае:

2.1. Необеспечения сохранности принятых на ответственное хранение программных и технических средств.

2.2. Необеспечения сохранности принимаемой информации и достоверности передаваемой.

2.3. Несвоевременного, а также некачественного исполнения документов и поручений руководства предприятия.

2.4. Допущения использования информации сотрудниками отдела в неслужебных целях.

2.5. Ненадлежащего контроля за режимом доступа к информации, повлекшего утечку информации, повреждение информационных баз данных.

2.6. Несоблюдения трудового распорядка сотрудниками отдела.

2.7. …

2.8.

3. Ответственность сотрудников отдела по защите информации устанавливается олжностными инструкциями.

4. …

(руководитель структурного

(подпись)

(фамилия, инициалы)

подразделения)

00.00.0000

СОГЛАСОВАНО

(должностное лицо, с которым

согласовывается Положение)

(подпись)

(фамилия, инициалы)

00.00.0000

Начальник юридического отдела

(подпись)

(фамилия, инициалы)

00.00.0000

В начало

3.1. ИС используется для обмена в рамках Организации служебной информацией в виде электронных сообщений и документов в электронном виде.

3.2. В ИС Организации допускается применение коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.

3.3. Для контроля функционирования ИС Организации и выполнения требований настоящего Положения Руководителем отдела ИТ назначаются ответственные лица из числа администраторов ИС.

3.4. Доступ к ресурсам ИС Организации имеют только зарегистрированные пользователи, ознакомившиеся с требованиями внутренних организационно-распорядительных документов Организации по ИБ.

3.5. Процедура регистрации (создание учетной записи) работника Организации в ИС может быть инициирована Руководителем структурного подразделения в случаях:

  • необходимости организации АРМ для нового работника;
  • необходимости выполнения работниками новых (дополнительных) обязанностей, для которых требуется доступ к ИС.

3.6. Процесс регистрации работника Организации в ИС состоит из следующих этапов:

3.6.1. Подача заявки в утвержденной форме на подключение работника Организации к ИС осуществляется Руководителем структурного подразделения на имя Руководителя Организации.

3.6.2. В случае согласования Руководителем Организации заявки ее оригинал передается в отдел ИТ для регистрации учетной записи пользователя в ИС Организации – пользователю присваивается уникальный идентификатор, выдается временный пароль, предоставляются минимальные для выполнения служебных обязанностей права и привилегии (при необходимости) на доступ к ресурсам ИС.

3.6.3. Подключение АРМ работника к ИС Организации выполняется на месте специалистами отдела ИТ.

3.7. В рамках ИС Организации осуществляется регулярный пересмотр прав доступа (1 раз в 6 месяцев) и привилегий (1 раз в 3 месяца) пользователей.

3.8. При получении информации от Руководителя структурного подразделения об увольнении или смене должности работника Организации права и привилегии на доступ к ресурсам ИС отзываются, учетная запись удаляется или блокируется.

3.9. При использовании ИС Организации необходимо:

3.9.1. Знать требования внутренних организационно-распорядительных документов Организации по ИБ.

3.9.2. Иметь первоначальные навыки использования АРМ и ИС Организации.

3.9.3. Использовать ИС Организации исключительно для выполнения своих служебных обязанностей.

3.9.4. Рассматривать исполнение требований ИБ, устанавливаемых администраторами ИС, как обязательное условие продолжения своей работы в ИС Организации.

3.9.5. Ставить в известность администраторов ИС о любых фактах нарушения требований ИБ.

3.9.6. Ставить в известность администраторов ИС о любых фактах сбоев ПО, некорректного завершения значимых операций, а также повреждения технических средств.

3.9.7. Незамедлительно выполнять предписания администраторов ИС Организации.

3.9.8. Незамедлительно предоставлять АРМ администраторам ИС Организации для контроля.

3.9.9. При необходимости прекращения работы на некоторое время корректно закрывать все активные задачи, блокировать АРМ.

3.9.10. В случае необходимости продолжения работы по окончании рабочего дня проинформировать об этом администратора ИС.

3.10. При использовании ИС Организации запрещено:

3.10.1. Использовать АРМ и ИС Организации в личных целях.

3.10.2. Передавать:

3.10.2.1. Конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности и способ передачи является безопасным, согласованным с администраторами ИС заранее.

3.10.2.2. Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.

3.10.2.3. Информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также осуществить несанкционированный доступ, а также ссылки на вышеуказанную информацию.

3.10.2.4. Угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.

3.10.3. Самовольно вносить изменения в конструкцию, конфигурацию, размещение АРМ и других узлов ИС Организации.

3.10.4. Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему АРМ.

3.10.5. Запускать на АРМ ПО, не входящее в Реестр разрешенного к использованию ПО.

3.10.6. Защищать информацию, способами не согласованными с администраторами ИС заранее.

3.10.7. Осуществлять поиск средств и путей повреждения, уничтожения технических средств и ресурсов ИС или осуществлять попытки несанкционированного доступа к ним.

3.10.8. Использовать для выполнения служебных обязанностей локальные учетные записи АРМ.

3.11. Информация о посещаемых ресурсах ИС протоколируется и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а так же Руководству Организации.

3.12. При подозрении работника Организации в нецелевом использовании ИС инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководством Организации.

3.13. По факту выясненных обстоятельств составляется Акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно внутренним положениям и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.

3.14. Все электронные сообщения и документы в электронном виде, передаваемые посредством ИС Организации подлежат обязательной проверке на отсутствие вредоносного ПО.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *