Организация служб защиты информации / орг и управл служб защ инф ч1
.pdfПРИЛОЖЕНИЕ 1
ПОЛОЖЕНИЕ о службе защиты информации предприятия
(утверждается руководителем предприятия
èвводится в действие приказом)
1.Общие положения.
1.1.Настоящее Положение определяет основные задачи и цели, функции, права и обязанности службы защиты информации предприятия.
1.2.Служба защиты информации предприятия созда¸тся на основании Федеральных законов «Об информации, информатизации и защите информации» ¹ 24-ФЗ от 20.02.1995 г., «О коммерческой тайне»
¹98-ÔÇ от 29.07.2004 г., Положения о государственном лицензировании деятельности в области защиты информации, утвержд¸нного решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте РФ ¹ 10 от 27.04.1994 г., других нормативно правовых актов, а так же по решению соучредителей предприятия (протокол учредительного или общего собрания ¹ ______ от «___» ______ ____ г.).
1.3.Служба в своей деятельности руководствуется законодательством РФ, нормативной и методической документацией по вопросам защиты информации, входящим в его компетенцию, а так же ведомственными документами.
1.4.Служба защиты информации является самостоятельным структурным подразделением с непосредственным подчинением руководителю предприятия или его заместителю по режиму.
1.5.В настоящем Положении используются следующие понятия и определения:
– информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
– информационные системы – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
– информационные ресурсы – документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
– информационные процессы – процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
51
–собственник информационных ресурсов информационных систем, технологий и средств их обеспечения – субъект, в полном объ¸ме реализующий полномочия владения, пользования, распоряжения указанными объектами;
–объекты информации, реализуемые по требованиям безопасности информации - автоматизированные системы различного уровня и назначения, системы связи, отображения, хранения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передаче информации, подлежащей защите, а так же помещения, предназначенные для ведения конфиденциальных переговоров;
–объект защиты – имущественный комплекс здания, сооружения, помещения и территория, на которой они размещены, а так же установленные в них технические средства и иное имущество, принадлежащее государственным, коммерческим и иным предприятиям на правах собственности, оперативного управления или хозяйственного ведения, защита которых признана руководством предприятия необходимой или целесообразной;
–противодействие – комплекс организационно-технических мер, направленных на предотвращение приобретения информации предприятия конкурентами летальным или криминальным способом;
–возможности недобросовестного конкурента – технические, про- чие системы и средства конкурирующих предприятий по обнаружению, съ¸му, хищению информации, а так же другие способы, необходимые для получения интересующих их сведений (данных) конфиденциального характера (о технологии производства, составе комплектующих изделий, íîó-õàó);
–организационные мероприятия по защите конфиденциальной информации – мероприятия (меры) по противодействию, основанные на использовании методов защиты сведений, данных нетехническими способами и, прежде всего, правовыми, административными, режимно-секретными методами, а так же введение пространственных (территориальных) и др. ограничений на использование объектов защиты информации, в том числе оргтехники, средств связи, а так же для лиц, имеющих ограничения по допуску к информации;
–технические мероприятия – методы и способы противодействия, основанные на средствах и системах специальной технической защиты (технических, аппаратно-программных устройств отечественного и зарубежного производства) по выявлению и исключению (снижению - полному или частичному) возможности утечки конфи-
52
денциальной информации по техническим каналам (проведение специсследований, спецпроверок, монтаж и эксплуатация средств защиты и т.д.);
–технические каналы (источники) утечки информации – совокупность технически (за исключением агентурных) средств и систем, участвующих в процессе передачи, при¸ма, обработки, хранения, отображения звукозаписи и звуковоспроизведения, фото, киносъ¸м- ки, а так же физические свойства излучения в пространство;
–безопасность информации – состояние информации (ресурсов, систем), при котором с требуемой вероятностью обеспечена защита информации от утечки, хищения, утраты, несанкционированного распространения, уничтожения, искажения, копирования, подделки, блокировки и т.д.;
–несанкционированное распространение информации – действия, совершаемые физическими или юридическими лицами противоправным пут¸м в обход этических норм и систем защиты с целью получения конфиденциальной информации для использования е¸ в корыстных целях;
–контролируемая (режимная) зона – территория вокруг предприятия, на которой исключено неконтролируемое пребывание посторонних лиц и любого вида транспорта, не имеющих постоянного или разового пропуска на эту территорию.
1.6. Настоящее Положение определяет порядок осуществления
мероприятий по защите информации, которая содержится в сведениях, отнес¸нных в установленном порядке к коммерческой тайне. Мероприятия по защите информации, являющейся собственностью предприятия, должны быть взаимно увязаны с мерами охранной и режимно-сек- ретной деятельности других структурных подразделений предприятия.
1.7.Непосредственное руководство работой службы защиты информации осуществляет начальник службы (инженер, образование высшее специальное). Начальник службы является заместителем руководителя предприятия по безопасности по конфиденциальным техническим вопросам. Назначение и освобождение от должности начальника службы защиты информации проводится руководителем предприятия.
1.8.Служба защиты информации укомплектовывается специалистами, имеющими практические навыки в проведении организационнотехнических и других мероприятий по защите информации.
1.9.Работники службы (штатные специалисты) по оплате труда, льготам и премированию приравниваются к соответствующим категориям работников (специалистов) основных структурных подразделений предприятия.
53
1.10. При¸м на работу, увольнение с не¸, права и обязанности, рабочее время, время отдыха (распорядок дня) и отпуска, командировки, перевод на новое место работы, выплата компенсаций, страхование, рассмотрение трудовых споров оговариваются Положением
îперсонале предприятия и разделе 8 настоящего Положения.
2.Основные цели и задачи службы.
2.1. Целями создания службы защиты информации являются:
–защита законных прав предприятия в целом и всех его структурных подразделений, трудового коллектива, персонала в отдельности при организации взаимоотношений между собой (между ними), а так же с государственными структурами, отечественными и зарубежными партн¸рами, клиентами и конкурентами;
–защита и сохранение конфиденциальной информации, е¸ рациональное и эффективное использование;
–поддержание на соответствующем уровне нормы защиты информации, информационных ресурсов, систем и технологий;
–повышение конкурентоспособности производимых предприятием товаров и услуг, создание благоприятной рыночной конъюнктуры для их реализации в условиях конкуренции на внутреннем и мировом рынке; совершенствование рентабельности предприятия;
–достижение внутренней и внешней организационной стабильности предприятия, над¸жности кооперирующих связей и исключение (снижение до минимума) односторонней зависимости от недобросовестных партн¸ров (конкурентов);
–формирование у сотрудников (работников) предприятия устойчи- вого понимания необходимости выполнения руководящих документов по защите сведений, являющихся собственностью предприятия;
–обеспечение сотрудников предприятия и основных е¸ служб информацией экономического, производственного, научно-техничес- кого характера в области защиты информации, а так же повышение эффективности и правильности пользовании при обращении с ней. 2.2. Основными задачами службы защиты информации являются:
–всестороннееикачественноевыполнениетребований,нормпоэффективнойзащитеинформациивсоответствииспринятойконцепциейинформационнойбезопасностипредприятиявцелом,атакжепрактическая реализация мер противодействия экономическому шпионажу вотдельности;
–выявление каналов утески информации, а так же других угроз, влияющих на стабильность работы предприятия, проведение специальных мероприятий по их пресечению или предотвращению (закрытию);
54
–участие в изучении перспективных проектов коммерческого характера и заключении договоров, а так же в проведении анализа и технических возможностей, уровня управленческого и инженер- но-технического персонала в вопросах обеспечения информационной безопасности предприятия;
–подготовкарекомендаций(методик)позакрытиюканаловутечкиконфиденциальнойинформациииправилпоихпрактическойреализации;
–осуществление мер по разделению прав введения, использования и распоряжения конфиденциальной информацией предприятия;
–участие в засекречивании ценных коммерческих сведений (информации), образцов техники, производственных технологий ноухау, а так же профессиональных навыков и знаний в пределах, имеющихсяупредприятияавторскихиколлективныхправ,атакженаделение отельных его работников (сотрудников) правом собственности на эту информацию;
–разработка и совершенствование нормативной базы с уч¸том новейших технологий в области защиты информации и использовании передового опыта;
–планирование и проведение мер по предупреждении случаев переманивания наиболее ценных кадров предприятия, выявлению негативных отношений в трудовых коллективах, влияющих на состояние и обеспечение информационной безопасности (при необходимости – информирование о них руководства предприятия);
–предупреждение дезинформации, влияющей на появление в деятельности предприятия негативных и тупиковых ситуаций.
3. Основные функции службы защиты информации.
Для решения поставленных задач служба защиты информации
предприятия осуществляет следующие функции:
–планирует и организует работу по защите информации, являющейся на законных основаниях собственностью предприятия и используемой во всех сферах деятельности предприятия, а так же проводит анализ эффективности планируемых работ по обеспече- нию информационной безопасности;
–определяет возможные каналы утечки информации и другие угрозы, потенциально наносящие предприятию моральный, материальный и иной ущерб, принимает организационно-технические и правовые меры к их закрытию (исключению);
–организует разработку руководящих документов нормативно методического характера, определяющих порядок правила и нормы по защите и обеспечению информационной безопасности предприятия (руководств, инструкций, положений и т.д.);
55
–проводит анализ состояния защиты информации, вырабатывает рекомендации по закрытию каналов е¸ утечки, хищения и т.д., а так же составляет отч¸т по анализу эффективности применения выбранных форм, методов, способов обеспечения безопасности информации;
–разрабатывает соответствующие меры (входящие в компетенцию службы) административно-распорядительного характера по защите информации от вновь появляющихся возможностей несанкционированного доступа или распространения конфиденциальных сведений предприятия;
–обеспечивает конфиденциальность переговоров, бесед и совещаний закрытого характера, а так же организует техническое обслуживание сил и средств, привлекаемых для этого;
–участвует в формировании Перечня сведений, отнес¸нных к коммерческой тайне, в части, качающейся предприятия;
–знакомится с информацией по разработке и выпуску технических средствзащитыинформацииновогопоколения(илиихмодернизации), обосновывает предложения по их закупке для нужд предприятия;
–разрабатывает проекты распорядительных документов по вопросам организации защиты информации, участвует в развитии защиты концепции безопасности предприятия;
–организует в соответствии с нормативно-техническими и руководящими документами специальные проверки и др. контрольные мероприятия; осуществляет выдачу необходимых документов на эксплуатацию, пользование и применение технических средств защиты, а так же проводит контроль эффективности их работы и выбранных мер защиты информации предприятия;
–осуществляет уч¸т и анализ результатов контроля или провед¸н- ной проверки, при необходимости информирует (устно или письменно) о результатах руководство предприятия или руководителей структурных подразделений;
–участвует в разработке норм и требований по защите информации при проведении исследований, модернизации, испытаниях и производстве изделий (продукции) предприятия; при необходимости выда¸т экспертное заключение по этому вопросу;
–разрабатывает комплексные мероприятия по защите конфиденциальной информации при осуществлении предприятием научнотехнических и торгово-экономических связей с зарубежными фирмами, а так же осуществляет техническое обеспечение (прикрытие, поддержку) при проведении совещаний и заключению договоров, соглашений конфиденциального характера;
56
–участвует в согласовании технических, тактико-технических заданий на проектирование научных работ, затрагивающих вопрос распространения и защиты информации предприятия, своих парт- н¸ров или клиентов и др. заинтересованных организаций; при необходимости представляет экспертное заключение по этим работам;
–организует и проводит расследование нарушений в области защиты информации, разрабатывает предложения по их устранению и предупреждению в будущем;
–организует и проводит занятия с руководящим, инженерно-техни- ческим персоналом предприятия по вопросам защиты информации;
–другие функции, исходя из специфики деятельности предприятия. 4. Права и обязанности.
4.1. Служба защиты информации имеет право:
–осуществлять контроль за деятельностью любого структурного подразделения предприятия по выполнению им требований информационной безопасности и др. вопросам, входящим в его компетенцию;
–участвовать в работе комиссий предприятия, на которых рассматриваются вопросы защиты информации;
–проводить доступ к работам и документам основных структурных подразделений предприятия, необходимых для оценки принимаемых мер по защите информации и подготовке предложений по их дальнейшему совершенствованию;
–вносить на рассмотрение руководителя предприятия предложения, акты, заключение о приостановлении работ в случае обнаружения каналов утечки (или предпосылок к утечке) информации, содержащейся в сведениях, отнес¸нных к коммерческой тайне (с вручением предписания на запрещение определ¸нного вида работ и рекомендаций по устранению вскрытых недостатков);
–готовить предложения по привлечении к проведению работ по оценке эффективности защиты информации предприятия (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности, а так же предложения о закупке необходимых технических средств защиты и спецтехники, имеющих в обязательном порядке сертификат качества;
–получать установленным порядком лицензии на выполнение работ в области защиты информации, входящих в компетенцию службы, и другие права, необходимые для выполнения возложенных на службу задач и функций;
–давать экспертные и иные заключения, необходимые для принятия и осуществления производственной деятельности предприятия, особенно технологий, содержащих ноу-хау, и других проектов, нуждающихся в технической поддержке со стороны сотрудников (работников) службы.
57
4.2. Служба защиты информации обязана:
–выполнять задачи и функции, предусмотренные настоящим Положением;
–обеспечить полноту, объ¸м и качество выполнения организационно технических мероприятий по защите информации предприятия и исключению (снижению) е¸ утечки, хищения и несанкционированного распространения;
–соблюдать порядок и сроки плановых и внеплановых контрольнопроверочных мероприятий, оговоренных в руководящих, нормативно методических и других документах, определяющих порядок функционирования системы информационной безопасности;
–обеспечить конфиденциальность работ по монтажу, эксплуатации и техническому обслуживанию средств защиты информации, установленных на предприятии;
–обеспечить административные, технические (или комплексные) условия, предотвращающие утечку и хищение информации на предприятии, а так же исключение случаев использования не сертифицированных средств защиты в структурных подразделениях, где циркулирует конфиденциальная информация (сведения, данные);
–способствовать (техническими и организационными методами) обеспечению условий по сохранению коммерческой тайны, полу- ченных предприятием на договорной, контрактной и другой основе в личное пользование от организаций партн¸ров, поставщиков, клиентов или частных лиц;
–другие обязанности, необходимые службе для законного функционирования на экономическом рынке.
4.3. Конкретные права и обязанности начальника службы и его
сотрудников (персонала) должны оговариваться в должностных (функциональных) инструкциях, разрабатываемых на основании требований настоящего Положения и других законодательных документов.
5. Ответственность.
Службазащитыинформациинес¸тколлективнуюответственностьза:
–правильность и полноту выполнения целей, задач, функций, прав и обязанностей, возложенных на службу;
–соблюдение требований нормативных документов (отечественных, ведомственных или международных), определяющих порядок организации работ по защите информации, информационных ресурсов и технологий;
–правильность полноту и качество проведения организационнотехнических мер по обеспечению информационной безопасности, а так же оценки эффективности выбранной концепции безопасности
58
âвопросах объективности, точности и достоверности полученных результатов и выводов;
–обеспечениеприкрытияинформации,имеющейконфиденциальный характер и выносимый на обсуждение на совещаниях, собраниях, а так же при заключении договоров конфиденциального характера;
– сохранность и работоспособное состояние, предъявляемое к сертифицированным средствам защиты информации, используемым на предприятии;
– выполнение сроков контрольных, проверочных и других мероприятий, включ¸нных в планы работы службы, за качество и правомерность документального оформления результатов плановых и внеплановых проверок, организацию контроля;
– сохранность сведений составляющих коммерческую тайну, как своего предприятия, так и своих партн¸ров, клиентов и т.д.;
– соблюдение и защиту законодательных прав на интеллектуальную собственность предприятия, включая и авторское право;
– и другие вопросы личной (персональной) ответственности, возлагаемые на начальника службы и его сотрудников (работников)
âсоответствии со спецификой и особенностями деятельности. Первоначальная (личная) ответственность сотрудников службы
определяется должностными (функциональными) инструкциями. 6. Взаимодействия и связи.
6.1.Служба защиты информации свою работу проводит в тесном контакте и взаимодействии с научными, производственными организациями и территориальными органами ФСБ, МВД, Гостехкомиссии России.
6.2.Служба для выполнения своих задач, целей и функций взаимодействует и организует связи:
– с другими структурными подразделениями предприятия, их до- черними представителями и филиалами;
–сподразделениямиорганизаций,являющихсядляпредприятияпарт- н¸рами,клиентами,поставщикамипродукции(изделий,работиуслуг);
– с подразделениями службы безопасности инофирм, их представительствами (на договорной или иной основе).
6.3.Поддержание взаимодействия и связей по другим вопросам служба должна осуществлять в порядке и на условиях, оговариваемых в распоряжении (указании) руководителя предприятия.
6.4.Соглашения, договоры, контракты и другие документы, в которых отражаются условия взаимодействия и организации связей, осуществляются службой только по вопросам, входящим в его компетенцию или согласно требованиям настоящего Положения.
7. Имущество и средства.
7.1.Материально-техническую основу деятельности отдела составляют принадлежащие ему на правах собственности (аренды) средства
59
èсистемы защиты, а так же приборы, средства измерения и документы, необходимые для всестороннего и полного выполнения задач, целей
èфункций по защите информации предприятия.
7.2.Сотрудники (работники) отдела несут индивидуальную и коллективную ответственность за сохранность имущества и средств, являющихся их собственностью. Для этого в отделе на основании распоряжения начальника отдела назначаются лица, несущие материальную
èиную ответственность за них.
7.3.Для выполнения возложенных задач отдел так же обеспечивается необходимыми помещениями, вычислительной техникой, расходными материалами, мебелью и инвентар¸м.
7.4.Средства и устройства технической защиты информации и др. техника, необходимая для работы отдела, приобретаются предприятием в установленном порядке.
8. Трудовые отношения.
8.1.Трудовые отношения в отделе защиты информации строятся на основании действующих требований, изложенных в ТК и ГК РФ;
8.2.Все сотрудники службы работают на контрактной основе, осуществляемой пут¸м заключения ими индивидуального трудового договора (контракта).
8.3.Между администрацией предприятия и службой при необходимости может заключаться коллективный договор. Порядок его разработки и заключения должен отвечать требованиям Закона РФ «О коллективных договорах и соглашениях».
8.4.При¸м на работу, увольнение с не¸ и любое передвижение по службе сотрудника службы оформляется приказом или распоряжением администрации предприятия, которое объявляется ему под расписку. Ходатайства по этим вопросам осуществляются только с письменного разрешения начальника службы.
8.5.Сотрудники службы в своей работе руководствуются положениями внутреннего трудового распорядка и установленных на предприятии норм техники безопасности труда, гигиены и санитарии.
8.6.С начальником службы и другими сотрудниками заключаются договоры о материальной ответственности за сохранность средств, которые отдел эксплуатирует на правах собственности.
8.7.Работа сотрудников службы оплачивается по системе оплаты труда, которая оговаривается в трудовом договоре (контракте) или определяется в Положении о персонале предприятия.
8.8.Для усиления материальной ответственности и повышения эффективности работы сотрудников в службе вводится поощрительная система. Порядок е¸ применения оговаривается отдельной инструкцией о материальном поощрении, прилагаемой к настоящему Положению.
60