Положення про відділ захисту інформації
Про відділ захисту
I. Загальні положення
1. Відділ захисту інформації є самостійним* структурним підрозділом підприємства.
*Відділ захисту інформації може входити до складу служби безпеки підприємства.
2. Відділ створюється та ліквідується наказом директора підприємства.
3. Відділ підпорядковується безпосередньо директору підприємства.
4. Відділ очолює начальник, який призначається на посаду наказом директора підприємства.
5. У своїй діяльності відділ керується:
5.1. Статутом підприємства.
5.2. Справжнім становищем.
1. Склад та штатну чисельність відділу захисту інформації затверджує директор підприємства виходячи з умов та особливостей діяльності підприємства за поданням начальника відділу та за погодженням з ____________________ (відділом кадрів; відділом організації та оплати праці)
2. До складу відділу входять групи фахівців*: інженерів із захисту інформації, інженерів-програмістів, інженерів-електроніків, техніків-програмістів, техніків із захисту інформації, які відповідають за окремі напрямки в роботі (за аналіз стану інформаційних баз, визначення вимог до захищеності різних підсистем автоматизованої системи підприємства та вибір методів та засобів забезпечення їх захисту, а також за розробку необхідних нормативно-методичних та організаційно-розпорядчих документів з питань забезпечення інформаційної безпеки, за ефективне застосування та адміністрування штатних для операційних систем та систем управління базами даних та додаткових спеціалізованих засобів захисту та аналізу захищеності ресурсів автоматизованих систем).
*Слід пам'ятати, що застосовуваніна практиці найменування "Адміністратор засобів захисту, контролю та управління безпекою", "Системний адміністратор", "Аналітик з питань технічного захисту інформації та комп'ютерної безпеки" вводити в положення про відділ, посадові інструкції та інші кадрові документи не слід. Справа в тому, що Загальноукраїнський класифікатор професій робітників, посад службовців та тарифних розрядів (ОКПДТР) не містить таких найменувань і, відповідно, їх застосування до внесення змін до ОКПДТР є неприпустимим.
3. Начальник відділу захисту інформації розподіляє обов'язки між співробітниками відділу та затверджує їх посадові інструкції.
1. Комплексний захист інформації для підприємства.
2. Забезпечення дотримання режиму робіт і збереження конфіденційності документованої інформації.
3. Забезпечення конфіденційності переговорів, бесід та нарад закритого характеру.
4. Розробка проектів поточних та перспективних планів роботи.
5. Організація, координація та виконання робіт із захисту інформації, розробка технічних засобів контролю.
6. Забезпечення взаємодії та необхідної кооперації співвиконавців робіт з питань організації та проведення науково-дослідних та дослідно-конструкторських робіт.
7. Організація та контроль виконання планових завдань, договірних зобов'язань, а також строків, повноти та якості робіт, що виконуються співвиконавцями.
8. Укладання договорів на роботи із захисту інформації.
9. Розробка та вжиття заходів щодо забезпечення фінансування робіт, у тому числі виконуваних за договорами.
10. Участь у розробці технічних завдань на виконувані підприємством дослідження та розробки.
11. Визначення цілей та постановка завдань щодо створеннябезпечних інформаційних технологій, які відповідають вимогам комплексного захисту інформації
12. Проведення спеціальних досліджень та контрольних перевірок щодо виявлення демаскуючих ознак, можливих каналів витоку інформації, у тому числі технічних каналів, та розробка заходів щодо їх усунення та запобігання.
13. Складання актів та іншої технічної документації щодо ступеня захищеності технічних засобів та приміщень.
14. Контроль за дотриманням нормативних вимог щодо захисту інформації.
15. Забезпечення комплексного використання технічних засобів, методів та організаційних заходів.
16. Розгляд застосовуваних та запропонованих методів захисту інформації, проміжних та кінцевих результатів досліджень та розробок.
17. Погодження проектної та іншої технічної документації на споруди, що знову будуються та реконструюються, та споруди в частині виконання вимог щодо захисту інформації.
18. Раціональне використання та забезпечення безпеки апаратури, приладів та іншого обладнання.
19. Забезпечення високого науково-технічного рівня робіт, ефективності та якості досліджень та розробок.
20. Контроль над виконанням передбачених заходів, аналіз матеріалів контролю, виявлення порушень.
21. Розробка та реалізація заходів щодо усунення виявлених недоліків із захисту інформації.
22. Проведення атестації об'єктів, приміщень, технічних засобів, програм, алгоритмів щодо відповідності вимогам захисту інформації з відповідним класам безпеки.
23. Розробка регламенту допуску працівників підприємства до окремих каналів інформації, плану захисту інформації, положень щодо визначення ступеня захищеності ресурсів автоматизованих систем.
24. Вибір, встановлення, налаштування та експлуатація систем захисту відповідно до організаційно-розпорядчих документів.
25. Пошук інформації про вразливості, що виникли, виявлення та усунення вразливостей в інформаційних системах.
26. Формування Переліку відомостей, що становлять комерційну таємницю, а також Переліку відомостей, що віднесені до державної таємниці.
27. Отримання в установленому порядку ліцензій виконання робіт у сфері захисту інформації.
28. Складання та подання в установленому порядку звітності.
29. Ведення діловодства відповідно до встановленого порядку.
30. Дотримання діючих інструкцій щодо режиму робіт та вжиття вчасних заходів щодо запобігання порушенням.
31. Забезпечення відповідності проведених робіт техніці безпеки, правилам та нормам охорони праці.
Відділ захисту інформації має право:
1. Здійснювати контроль за діяльністю структурних підрозділів підприємства щодо виконання ними вимог інформаційної безпеки.
2. Давати структурним підрозділам підприємства та окремим спеціалістам обов'язкові для виконання вказівки з питань, що входять до компетенції відділу.
3. Запитувати та одержувати від структурних підрозділів відомості, довідкові та інші матеріали, необхідні для здійснення діяльності відділу.
4. Вести самостійну листування з державними та муніципальними органами з правових питань.
5. Представляти в установленому порядку підприємство в органах державної влади, інших установах та організаціях з питань, що входять до компетенції відділу.
6. Вживати заходів щодо виявлення несанкціонованого доступу до інформації як усередині підприємства, так і ззовні та доповідатипро вжиті заходи керівнику підприємства з поданням інформації про суб'єктів, які порушили режим доступу.
7. За погодженням з керівником підприємства або заступником директора підприємства з комерційних питань залучати експертів та фахівців у сфері захисту інформації для консультацій, підготовки висновків, рекомендацій та пропозицій.
VI. Взаємини (службові зв'язки)
Для виконання функцій та реалізації прав, передбачених цим положенням, відділ захисту інформації взаємодіє:
1. З відділом кадрів з питань:
- особових справ працівників підприємства;
- відомостей про кандидатури на посади спеціалістів із захисту інформації;
- відомостей про порушення та порушників режиму доступу до інформації;
- Показників на працівників, які з'явилися винуватцями витоку, пошкодження інформації;
- пропозицій та рекомендацій щодо пошуку фахівців, до посадових обов'язків яких входить робота з інформацією, що є державною або комерційною таємницею;
- встановлених обмежень за медичними показаннями для роботи з використанням відомостей, що становлять державну або комерційну таємницю;
2. З відділом з організації та оплати праці з питань:
- Розрахунків фондів оплати праці;
- пропозицій щодо закріплення у посадових інструкціях та інших кадрових документах підвищеного ступеня відповідальності за недотримання окремими фахівцями обов'язків щодо використання інформації, що є комерційною або державною таємницею з неслужбовими метою;
- проектів зобов'язань працівників про нерозголошення відомостей, які є державною чи комерційною таємницею;
- проектів письмової згоди фахівців підприємства наприватні, тимчасові обмеження прав;
- переліку видів, розмірів та порядку надання пільг та доплат працівникам, допущеним до відомостей, що є комерційною або державною таємницею (відсоткових надбавок до заробітної плати, переважного права за інших рівних умов на залишення на роботі під час проведення організаційних та (або) штатних заходів, ін. .);
- копій прийнятих керівником підприємства рішень про допуск працівника до відомостей, що становлять державну або комерційну таємницю;
- пам'яток працівникам підприємства про збереження комерційної таємниці підприємства для узгодження та видачі працівникам підприємства;
- Звітів про витрачання фонду заробітної плати;
3. З відділом підготовки кадрів з питань:
- підсумків заліків, іспитів працівників, які пройшли навчання у навчальних центрах із перекваліфікації працівників підприємства;
- пропозицій щодо направлення співробітників відділу на курси підвищення кваліфікації, а також до навчальних центрів, на курси для вивчення нових технологій захисту інформації;
4. З фінансовим відділом з питань:
- фінансових та кредитних планів з додатком оцінки ступеня конфіденційності та переліком керівників підрозділів та фахівців, яким ці документи потрапляють у розпорядження;
- інформації про підготовку до торгів або аукціонів, їх результати, умови комерційних контрактів, платежів та послуг, відомостей про методи розрахунків, системи ціноутворення, рівні цін на продукцію, відомостей про інвестиції, для вжиття заходів щодо їх захисту;
- Визначення потреби підрозділу в устаткуванні, матеріальних, фінансових та інших ресурсах, необхідних для проведення робіт;
- переліку заходів щодо захисту фінансової та економічної інформації;
5. Зюридичним відділом з питань:
- перевірки відповідності закону обмежень, які приймає відділ захисту інформації;
- розроблення порядку притягнення до відповідальності працівників та сторонніх осіб, винних у розголошенні відомостей, що є комерційною та службовою таємницею, витік інформації, пошкодження інформаційних баз підприємства;
- відомостей про плани розширення чи згортання виробництва різних видів продукції;
- відомостей про особливості використовуваних та розроблюваних технологій та специфіку їх застосування;
- іншої інформації, що підлягає захисту;
- Списків співробітників підприємства, які виконують роботи, пов'язані з використанням інформації, що є комерційною або державною таємницею;
- звітів про порядок та стан організації захисту комерційної таємниці;
- даних про захищеність інформаційних баз підприємства від несанкціонованого доступу;
- оцінки надійності захисту інформації підприємства, переданої контрагентам у межах договірних відносин;
- оцінки ділових та моральних якостей співробітників підрозділів;