Положение Об отделе по защите информации

  УТВЕРЖДАЮ   (наименование предприятия, организации, учреждения) (руководитель предприятия, организации, учреждения)   00.00.0000 № 00 (подпись) (Ф.И.О.)  00.00.0000      1.1. Отдел по защите информации является самостоятельным структурным подразделением предприятия. 1.2. Отдел создается и ликвидируется приказом директора предприятия.1.3. Отдел подчиняется непосредственно директору предприятия.1.4. Руководство отдела:1.4.1. Отдел возглавляет начальник отдела по защите информации, назначаемый на должность приказом директора предприятия.1.4.2 Начальник отдела по защите информации имеет ____ заместителя (ей).1.4.3 Обязанности заместителя (ей) определяются (распределяются) начальником отдела по защите информации.1.4.4. Заместитель(и) и руководители структурных подразделений в составе отдела по защите информации, другие работники отдела назначаются на должности и освобождаются от должностей приказом директора предприятия по представлению начальника отдела по защите информации.2.1. Состав и штатную численность отдела по защите информации утверждает директор предприятия исходя из условий и особенностей деятельности предприятия по представлению начальника отдела по защите информации и по согласованию с (отделом кадров; отделом организации и оплаты труда)2.2. В состав отдела входят (структурные подразделения, группы специалистов и пр.)2.3. Начальник отдела по защите информации распределяет обязанности между сотрудниками отдела и утверждает их должностные инструкции.№ п/п Задачи Функции3.1 Комплексная защита информации на предприятии. Разработка и внедрение организационных и технических мероприятий по комплексной защите информации на предприятии по работам, содержание которых составляет государственную или коммерческую тайну.Обеспечение соблюдения режима проводимых работ и сохранения конфиденциальности документированной информации.Обеспечение конфиденциальности переговоров, бесед и совещаний закрытого характера.Разработка проектов текущих и перспективных планов работы.Организация, координация и выполнение работ по защите информации, разработка технических средств контроля.Обеспечение взаимодействия и необходимой кооперации соисполнителей работ по вопросам организации и проведения научно-исследовательских и опытно-конструкторских работ.Организация и контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ, выполняемых соисполнителями.Заключение договоров на работы по защите информации.Разработка и принятие мер по обеспечению финансирования работ, в том числе выполняемых по договорам.Участие в разработке технических заданий на выполняемые предприятием исследования и разработки.Определение целей и постановка задач по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации.Проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков, возможных каналов утечки информации, в том числе по техническим каналам, и разработка мер по их устранению и предотвращению.Составление актов и другой технической документации о степени защищенности технических средств и помещений.Контроль за соблюдением нормативных требований по защите информации.Обеспечение комплексного использования технических средств, методов и организационных мероприятий.Рассмотрение применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов исследований и разработок.Согласование проектной и другой технической документации на вновь строящиеся и реконструируемые здания и сооружения в части выполнения требований по защите информации.Рациональное использование и обеспечение сохранности аппаратуры, приборов и другого оборудования.Обеспечение высокого научно-технического уровня работ, эффективности и качества исследований и разработок.Контроль за выполнением предусмотренных мероприятий, анализ материалов контроля, выявление нарушений.Разработка и реализация мер по устранению выявленных недостатков по защите информации.Проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности.Разработка регламента допуска сотрудников предприятия к отдельным каналам информации, плана защиты информации, положений об определении степени защищенности ресурсов автоматизированных систем.Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.Поиск информации о появившихся уязвимостях, обнаружение и устранение уязвимостей в информационных системах.Формирование Перечня сведений, составляющих коммерческую тайну, а также Перечня сведений, отнесенных к государственной тайне.Получение в установленном порядке лицензий на выполнение работ в сфере защиты информации.Составление и представление в установленном порядке отчетности.Ведение делопроизводства в соответствии с установленным порядком.Соблюдение действующих инструкций по режиму работ и принятие своевременных мер по предупреждению нарушений.Обеспечение соответствия проводимых работ технике безопасности, правилам и нормам охраны труда.4.1. Внешние документы:Законодательные и нормативные акты.4.2. Внутренние документы:Стандарты ГО, Устав предприятия, Положение о подразделении, Должностная инструкция, Правила внутреннего трудового распорядка.Для выполнения функций и реализации прав, предусмотренных настоящим положением, отдел по защите информации взаимодействует:№ п/п Подразделение Получение Предоставление5.1 С отделом кадров — личных дел сотрудников предприятия;- сведений о кандидатурах на должности специалистов по защите информации;- сведений о кандидатурах на должности специалистов, выполняющих работы, содержание которых является коммерческой или государственной тайной;- … — оценок деятельности работников предприятия и соблюдения ими режима работ, содержание которых является коммерческой или государственной тайной;- сведений о нарушениях и нарушителях режима доступа к информации;- характеристик на работников, явившихся виновниками утечки, повреждения информации;- предложений и рекомендаций по поиску специалистов, в должностные обязанности которых входит работа с информацией, являющейся государственной или коммерческой тайной;- установленных ограничений по медицинским показаниям для осуществления работы с использованием сведений, составляющих государственную или коммерческую тайну;5.2 С отделом по организации и оплаты труда — расчетов фондов оплаты труда;- копий должностных инструкций на работников, выполняющих работы, содержание которых является коммерческой или государственной тайной;- предложений по закреплению в должностных инструкциях и иных кадровых документах повышенной степени ответственности за несоблюдение отдельными специалистами обязанностей по использованию информации, являющейся коммерческой или государственной тайной в неслужебных целях;- … — проектов обязательств работников о неразглашении сведений, являющихся государственной или коммерческой тайной;- проектов письменного согласия специалистов предприятия на частные, временные ограничения их прав;- перечня видов, размеров и порядка предоставления льгот и доплат работникам, допущенным к сведениям, являющимся коммерческой или государственной тайной (процентных надбавок к заработной плате, преимущественного права при прочих равных условиях на оставление на работе при проведении организационных и (или) штатных мероприятий, пр.);- копий принятых В руководителем предприятия решений о допуске работника к сведениям, составляющим государственную или коммерческую тайну;- памяток работникам предприятия о сохранении коммерческой тайны предприятия для согласования и выдачи работникам предприятия;- отчетов о расходовании фонда заработной платы;5.3 С отделом подготовки кадров — итогов зачетов, экзаменов работников, прошедших обучение в учебных центрах по переквалификации работников предприятия;- … — предложений о направлении сотрудников отдела на курсы повышения квалификации, а также в учебные центры, на курсы для изучения новых технологий защиты информации;5.4 С финансовым отделом — финансовых и кредитных планов с приложением оценки степени конфиденциальности и перечнем руководителей подразделений и специалистов, которым эти документы попадают в распоряжение;- информации о подготовке к торгам или аукционам, их результатах, условиях коммерческих контрактов, платежей и услуг, сведений о методах расчетов, системах ценообразования, уровнях цен на продукцию, сведений об инвестициях, для принятия мер по их защите; — определения потребности подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ;- перечня мер по защите финансовой и экономической информации;- …5.5 С юридическим отделом по вопросам:- проверки соответствия закону ограничений принимаемых отделом по защите информации;- разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся коммерческой и служебной тайной, утечке информации, повреждении информационных баз предприятия; по вопросам:- проверки соответствия закону ограничений принимаемых отделом по защите информации;- разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся коммерческой и служебной тайной, утечке информации, повреждении информационных баз предприятия;- …5.6 Со всеми производственными и технологическими подразделениями, выполняющими работы, содержание которых составляет государственную или коммерческую тайну — сведений о планах расширения или свертывания производства различных видов продукции;- сведений об особенностях используемых и разрабатываемых технологий и специфике их применения;- прочей информации, подлежащей защите;- списков сотрудников предприятия, выполняющих работы, связанные с использованием информации, являющийся коммерческой или государственной тайной; — отчетов о порядке и состоянии организации защиты коммерческой тайны;- данных о защищенности информационных баз предприятия от несанкционированного доступа; — оценки надежности защиты информации предприятия, переданной контрагентам в рамках договорных отношений;- оценки деловых и моральных качеств сотрудников подразделений;- …Отдел по защите информации имеет право:6.1. Осуществлять контроль за деятельностью структурных подразделений предприятия по выполнению ими требований информационной безопасности.6.2. Давать структурным подразделениям предприятия и отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию отдела.6.3. Запрашивать и получать от структурных подразделений сведения, справочные и другие материалы, необходимые для осуществления деятельности отдела.6.4. Вести самостоятельную переписку с государственными и муниципальными органами по правовым вопросам.6.5. Представлять в установленном порядке предприятие в органах государственной власти, иных учреждениях и организациях, по вопросам, входящим в компетенцию отдела.6.6. Принимать меры при обнаружении несанкционированного доступа к информации как внутри предприятия, так и извне и докладывать о принятых мерах руководителю предприятия с представлением информации о субъектах, нарушивших режим доступа.6.7. По согласованию с руководителем предприятия или заместителем директора предприятия по коммерческим вопросам привлекать экспертов и специалистов в сфере защиты информации для консультаций, подготовки заключений, рекомендаций и предложений.7.1. Ответственность за надлежащее и своевременное выполнение функций отдела несет начальник отдела по защите информации.7.2. На него, в частности, возлагается персональная ответственность в случае:7.2.1. Необеспечения сохранности принятых на ответственное хранение программных и технических средств.7.2.2. Необеспечения сохранности принимаемой информации и достоверности передаваемой.7.2.3. Несвоевременного, а также некачественного исполнения документов и поручений руководства предприятия.7.2.4. Допущения использования информации сотрудниками отдела в неслужебных целях.7.2.5. Ненадлежащего контроля за режимом доступа к информации, повлекшего утечку информации, повреждение информационных баз данных.7.2.6. Несоблюдения трудового распорядка сотрудниками отдела.7.3. Ответственность сотрудников отдела по защите информации устанавливается олжностными инструкциями.8.1. При выявлении несоответствия какого-либо пункта положения реальному состоянию дел в отделе по защите информации руководителем отдела, сотрудником либо другим лицом необходимо обратиться в (службу персонала, отдел кадров, экспертную комиссию по положениям и должностным инструкциям и т.д.)с заявкой на внесение изменений и дополнений в положение. (Форма заявки представлена в Приложении 1).8.2. Внесённое предложение рассматривается подразделением указанным в п. 8.1. данного положения в течение одного месяца со дня подачи заявки. По результатам рассмотрения выносится решение: — принять изменение или дополнение,- отправить на доработку (с указанием срока доработки и исполнителя), — отказать в принятии вносимого предложения (в этом случае заявителю направляется обоснованный отказ в письменном виде).8.3. Внесение изменений и дополнений в положение утверждается (заместителем генерального директора, генеральным директором и т.д.)по представлению (менеджера по персоналу, начальника отдела кадров, руководителя экспертной комиссии по Положениям и должностным инструкциям и т.д.)Руководитель структурного подразделения   (подпись) (фамилия, инициалы)СОГЛАСОВАНО: Начальник юридического отдела  (подпись) (фамилия, инициалы) 00.00.2000  С инструкцией ознакомлен:   (подпись) (фамилия, инициалы) 00.00.00