Главная страница
Навигация по странице:

  • 5.1.1. Разработка Положения о структурном подразделении по защите информации в организации.

    		•

    ПЗ 5.1.1. ИБ512 Положение об отделе ЗИ задание Баумбах. ПЗ 5.1.1. ИБ512 Положение об отделе ЗИ задание Баумбах Рустам ус. Тема 1 Разработка Положения о структурном подразделении по защите информации в организации


    Скачать 36.02 Kb.
    НазваниеТема 1 Разработка Положения о структурном подразделении по защите информации в организации
    АнкорПЗ 5.1.1. ИБ512 Положение об отделе ЗИ задание Баумбах
    Дата01.04.2023
    Размер36.02 Kb.
    Формат файлаdocx
    Имя файлаПЗ 5.1.1. ИБ512 Положение об отделе ЗИ задание Баумбах Рустам ус.docx
    ТипОтчет
    #1030324

    Отчёт слушателя курса ИБ 512:
    Баумбах Рустам Усмонджонович



    Тема:
    5.1.1. Разработка Положения о структурном подразделении по защите информации в организации.

    Вид занятия:
    Практическое занятие

    Срок предоставления отчёта:
    до 18.00 в день проведения занятия (время московское)

    ПОЛОЖЕНИЕ

    об отделе защиты информации

    ООО «Ликоил»


    1. Общие положения:

    Настоящее типовое положение определяет полномочия, права и обязанности заместителя руководителя федерального органа исполнительной власти, высшего исполнительного органа субъекта Российской Федерации, государственного фонда, государственной корпорации (компании) и иной организации. Созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры Российской Федерации (далее - орган (организация). Ответственного за обеспечение информационной безопасности в органе (организации), в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак

    Подразделение подчинено заместителю руководителя органа (организации), ответственному за обеспечение информационной безопасности в органе (организации), либо иным лицам из состава руководства органа (организации) при условии осуществления курирования со стороны руководителя органа (организации).
    Отдел информационной безопасности представляет собой отдельное структурное подразделение организации.
    Он формируется, реструктуризируется и ликвидируется приказом руководства организации директора либо другого уполномоченного лица.К функциям менеджера по ИБ (или соответствующей службы, если позволяют размеры организации) относятся вопросы координации деятельности «заинтересованных сотрудников», в том числе «владельцев активов, ответственных за их повседневную защиту». Кроме того, координация проблем ИБ должна включать в себя сотрудничество участие менеджеров, пользователей, администраторов, разработчиков прикладных программ, аудиторов и персонала, занимающегося безопасностью, а также специалистов в области страхования, правовых аспектов, кадровых ресурсов, информационных технологий или менеджмента риска.Формулировки, содержащиеся в ГОСТе, определяют необходимость наличия в организации очень серьезного менеджера, обладающего достаточно глубокими знаниями бизнеса предприятия и навыками эффективной коммуникации как по вертикали (от топ-менеджмента до рядовых исполнителей), так и по горизонтали (с представителями разных областей бизнеса и сервисных структурных подразделений). Неудивительно, что профессиональный стандарт менеджера по ИБ не разработан. Специалисты, способные выполнять эту роль, должны иметь очень высокую стоимость. Если это не так, то скорее всего на позиции руководителя службы ИБ находится «зицпредседатель Фунт», основная функция которого принимать на себя последствия неисполнения требований по защите информации иными работниками предприятия.
    Отдел взаимодействует с другими структурными подразделениями организации в пределах своей компетенции.

    Служба защиты информации в пределах свой компетенции взаимодействует с:

    Кадровой службой (для участия в собеседованиях с соискателями на должности, предусматривающими допуск к конфиденциальной информации, отражения в личных делах результатов аттестации и сведений о выявленных нарушениях режима конфиденциальности, изучения личных дел сотрудников организации).

    Бухгалтерией (для предоставления информации о льготах и надбавках, предусмотренных для сотрудников с допуском к конфиденциальной информации, получения информации о расходовании фонда оплаты труда и других данных, необходимых в работе службы защиты информации).

    Финансовой службой (для предоставления плановой документации, касающейся закупки необходимого оборудования).

    Юридическим отделом (для своевременного изучения изменений законодательства, касающихся защиты информации, а также для применения законодательно обоснованных наказаний за нарушение режима конфиденциальности).

    Другими структурными подразделениями (для координации их работы и обеспечения необходимого уровня защиты конфиденциальной информации)
    Работа службы защиты информации выстраивается в соответствии с требованиями законодательства и иных нормативно-правовых актов, в том числе уставной документации организации


    1. Структура подразделения

    Сотрудников Отдела нанимают на работу в соответствии со штатным расписанием, установленным кадровой службой и согласованным с вышестоящим руководством организации. Штатное расписание разрабатывается в соответствии с целями и задачами структурного подразделения.

    В перечень специалистов, которые могут быть сотрудниками Отдела, входят инженеры и техники по защите информации, программисты, системные администраторы, другие специалисты, отвечающие за выполнение отдельных функций по защите информации.

    Обязанности сотрудников службы защиты информации определяет непосредственный начальник Отдела
    требования к квалификации персонала;

    - умение работать с определенными межсетевыми экранами, программными и техническими средствами, знание рынка средств защиты информации;

    - навыки работы со средствами антивирусной защиты, способность самостоятельно их настраивать;

    - умение проводить аудит и искать уязвимости в ручном и автоматическом режиме;

    - способность вручную писать скрипты по управлению системами безопасности информации;

    - умение управлять инцидентами безопасности и читать журналы записи действий пользователей;

    - опыт контроля нештатных действий пользователей;

    - опыт администрирования информационных систем;

    - стаж работы от одного года.

    - знание законов и нормативных актов, действующих в сфере защиты информации;

    - знание нормативно-правовых актов, регулирующих сертификацию программных средств;


    1. Основные задачи и функции:

    В задачи Отдела входит разработка и внедрение системы безопасности, а также контроль за ее работой и анализ эффективности используемых средств защиты информации.

    Цель работы Отдела – обеспечить защиту информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения.
    В перечень функций службы защиты информации входит:

    - разработка комплексной системы безопасности, включающей использование разнообразных методов и способов защиты конфиденциальной информации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 

    - внедрение режима конфиденциальности и контроль за его соблюдением;

    - взаимодействие с контрагентами, обеспечение конфиденциальности передачи данных и информации, сообщаемой партнерам в процессе открытых переговоров; 

    - разработка документов, предписывающих соблюдение режима конфиденциальности штатными сотрудниками организации и прикомандированными работниками;

    - оценка эффективности внедренной системы защиты информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 

    - проведение аттестации сотрудников с последующим присвоением им необходимой степени допуска к чтению и использованию конфиденциальной информации; 

    - составление актов проверки техники, оборудования, помещений на предмет их соответствия требованиям безопасности; 

    - другие функции, выполнение которых поспособствует реализации целей и задач работы Отдела. 


    1. Права и общие обязанности:

    Права начальника отдела;

    - управлять всеми планами по обеспечению ИБ Организации;

    - разрабатывать и вносить предложения по изменению политики ИБ Организации;

    - изменять существующие и принимать новые нормативно-методические документы по обеспечению ИБ Организации;

    - выбирать средства управления и обеспечения ИБ Организации;

    - контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;

    - контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также связанную с применением других средств обеспечения ИБ.


     - осуществлять мониторинг событий связанных с ИБ.

    - Расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия. Например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Организации; участвовать в действиях по восстановлению работоспособности ЛВС после сбоев и аварий; создавать, поддерживать и совершенствовать систему управления ИБ Организации.
    Права сотрудников отдела

    ;Обращаться к руководству:

    - с требованиями оказания содействия в исполнении своих должностных обязанностей и прав;

    - с предложениями по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.

    1) Привлекать специалистов всех структурных подразделений предприятия для решения, возложенных на него обязанностей (если это предусмотрено положениями о структурных подразделениях, если нет – с разрешения руководителя предприятия).

    2) Знакомиться с проектами решений руководства предприятия, касающимися его деятельности.

    3) Получать от руководителей структурных подразделений, специалистов информацию и документы, необходимые для выполнения своих должностных обязанностей

    Обязанности начальника отдела;

    - распределять задачи между подчиненными в соответствии с их специализацией, контролировать скорость и качество их выполнения;

    - участвовать в процессе подбора персонала;

    - разрабатывать проекты по усовершенствованию системы защиты конфиденциальной информации;

    - организовывать обучение сотрудников службы отдела защиты информации и работников других структурных подразделений организации;

    - устанавливать порядок ремонтных работ, направленных на скорейшее восстановление работоспособности системы защиты информации при возникновении технических сбоев или аварий;

    - координировать взаимодействие сотрудников службы защиты информации с работниками других структурных подразделений организации.
    Обязанности сотрудников отдела

    - контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности;

    - проводить профилактику намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации путем проведения инструктажа сотрудников организации;

    - участвовать в разработке комплексной системы защиты конфиденциальной информации;

    - периодически проверять журналы инструктажа и оборудование организации;

    - проводить аттестацию всех сотрудников организации, проверять их знания в области существующих методов превентивной защиты конфиденциальной информации;

    - выполнять другую работу, направленную на реализацию целей и задач службы защиты информации.



    1. Взаимодействие:

    - на исключение или существенное снижение негативных последствий (ущерба) в отношении органа (организации) вследствие нарушения функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления в результате реализации угроз безопасности информации;

    - на обеспечение конфиденциальности информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации;

    - на повышение защищенности органа (организации) от возможного нанесения ему (ей) материального, репарационного или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных систем органа (организации) или несанкционированного доступа к циркулирующей в них информации и ее несанкционированного использования;

    - на обеспечение надежности и эффективности функционирования и безопасности информационных систем, производственных процессов и информационно-технологической инфраструктуры органа (организации);

    - на обеспечение выполнения требований по информационной безопасности при создании и функционировании информационных систем и информационно-телекоммуникационной инфраструктуры органа (организации).
    Основные задачи;

    - планирование, организация и координация работ по обеспечению информационной безопасности и контроль за ее состоянием в органе (организации);

    - выявление угроз безопасности информации и уязвимостей информационных систем, программного обеспечения и программно-аппаратных средств;

    - предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;

    - поддержание стабильной деятельности органа (организации) и его (ее) производственных процессов в случае проведения компьютерных атак;

    - взаимодействие с Национальным координационным центром по компьютерным инцидентам;

    - обеспечение нормативно-правового обеспечения использования информационных ресурсов.

    Подразделение осуществляет свои полномочия во взаимодействии со структурными подразделениями органа (организации) и подведомственными ему органами (организациями), а также в пределах своей компетенции с иными органами (организациями) и гражданами в установленном порядке.

    По указанию руководства осуществляет взаимодействие с Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по вопросам информационной безопасности.
    Порядок организации взаимодействия

    Для выполнения функций и реализации прав, предусмотренных настоящим положением, отдел защиты информации взаимодействует:

    1) С бухгалтерией Учреждения по вопросам:

    Получения:
    - расчетов фондов оплаты труда;

    - финансовых и кредитных планов с приложением оценки степени конфиденциальности и перечнем руководителей подразделений и специалистов, которым эти документы попадают в распоряжение;

    - информации о подготовке к торгам или аукционам, их результатах, условиях коммерческих контрактов, платежей и услуг, сведений о методах расчетов, системах ценообразования, уровнях цен на продукцию, сведений об инвестициях, для принятия мер по их защите


    Предоставления:
    - отчетов о расходовании фонда заработной платы;

    - определения потребности подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ;

    - перечня мер по защите финансовой и экономической информации.


    2) С правовым отделом Учреждения по вопросам:

    - проверки соответствия закону ограничений, принимаемых отделом по защите информации;

    - разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся информацией ограниченного доступа, утечке информации, повреждении информационных баз Учреждения.


    3) С отделом кадров Учреждения по вопросам:

    Получения:
    - личных дел сотрудников Учреждения;

    - сведений о кандидатурах на должности специалистов по защите информации;

    - копий должностных инструкций на работников, выполняющих работы, содержание которых является информацией ограниченного доступа;

    - предложений по закреплению в должностных инструкциях и иных кадровых документах повышенной степени ответственности за несоблюдение отдельными специалистами обязанностей по использованию информации, являющейся информацией ограниченного доступа в неслужебных целях;

    - итогов зачетов, экзаменов работников, прошедших обучение в учебных центрах по переквалификации работников;

    - сведений о кандидатурах на должности специалистов, выполняющих работы, содержание которых является информацией ограниченного доступа.


    Представления:
    - оценок деятельности работников Учреждения и соблюдения ими режима работ, содержание которых является информацией ограниченного доступа;

    - сведений о нарушениях и нарушителях режима доступа к информации;

    - характеристик на работников, явившихся виновниками утечки, повреждения информации;

    - предложений и рекомендаций по поиску специалистов, в должностные обязанности которых входит работа с информацией, являющейся информацией ограниченного доступа;

    - проектов обязательств работников о неразглашении сведений, являющихся информацией ограниченного доступа;

    - проектов письменного согласия специалистов OOO «Мастер» на частные, временные ограничения их прав;

    - предложений о направлении сотрудников отдела на курсы повышения квалификации, а также в учебные центры, на курсы для изучения новых технологий защиты информации;

    - копий, принятых директором OOO «Мастер» решений о допуске работника к сведениям, составляющим информацию ограниченного доступа;

    - памяток работникам OOO «Мастер» о сохранении информации ограниченного доступа OOO «Мастер» для согласования и выдачи работникам;

    - установленных ограничений по медицинским показаниям для осуществления работы с использованием сведений, составляющих информацию ограниченного доступа.


    4) С отделом информатизации Учреждения по вопросам:

    Получения:
    - сведений о планах подразделения;

    - сведений об особенностях, используемых и разрабатываемых информационных технологий и специфике их применения;

    - прочей информации, подлежащей защите;

    - списков сотрудников отдела, выполняющих работы, связанные с администрированием АИС OOO «Мастер» и использованием информации, являющийся информацией ограниченного доступа.


    Предоставления:

    - отчетов о порядке и состоянии организации защиты информации ограниченного доступа, в том числе и в АИС;

    - данных о защищенности информационных баз Учреждения от несанкционированного доступа;

    - оценки надежности защиты информации OOO «Мастер», функционирующей в АИС;

    - оценки деловых и моральных качеств сотрудников подразделений, в особенности системных администраторов; и другой информации по вопросам, входящим к компетенции отдела защиты информации.


    5) Со всеми другими структурными подразделениями Учреждения, выполняющими работы, содержание которых составляет информацией ограниченного доступа, по вопросам:

    Получения:
    - сведений о планах подразделения;

    - сведений об особенностях используемых и разрабатываемых технологий и специфике их применения;

    - прочей информации, подлежащей защите;

    - списков сотрудников Учреждения, выполняющих работы, связанные с использованием информации, являющийся информацией ограниченного доступа.


    Предоставления:
    - отчетов о порядке и состоянии организации защиты информации ограниченного доступа;

    - данных о защищенности информационных баз Учреждения от несанкционированного доступа;

    - оценки надежности защиты информации Учреждения, переданной контрагентам в рамках договорных отношений;

    - оценки деловых и моральных качеств сотрудников подразделений; и другой информации по вопросам, входящим к компетенции отдела защиты информации.


    1. Ответственность:

    - Детализация ответственности начальника отдела;

    Ответственность за защиту информационных ресурсов организации от намеренного или ненамеренного разглашения, утери, искажения и похищения несет руководитель Отдела.
    - Детализация ответственности сотрудников отдела;

    В случае причинения материального ущерба, в пределах, которые определены уголовным, гражданским, трудовым законодательством РФ.

    В случае совершения в процессе осуществления своей деятельности правонарушения, в пределах, которые определены уголовным, гражданским, административным законодательством РФ.

    В случае неисполнения или ненадлежащего исполнения своих должностных обязанностей, которые предусмотрены настоящей должностной инструкцией, в пределах, определенных трудовым законодательством РФ.
    - Ответственность сотрудников организации;

    Ответственность сотрудников службы защиты информации определяется их должностными инструкциями.

    написать администратору сайта