Положение о группе информационной безопасности отдела безопасности

Содержание
  1. Положение об отделе информационной безопасности
  2. Приложение. ПОЛОЖЕНИЕ ОБ ОТДЕЛЕ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АДМИНИСТРАЦИИ ГУБЕРНАТОРА И ПРАВИТЕЛЬСТВА ОРЛОВСКОЙ ОБЛАСТИ
  3. I. Общие положения
  4. II. Основная задача отдела
  5. III. Функции отдела
  6. IV. Права отдела
  7. Положение о политике информационной безопасности предприятия | Защита информации
  8. Контроль доступа к информационным системам
  9. Доступ третьих лиц к информационной системе предприятия
  10. Удаленный доступ
  11. Доступ в сеть интернет
  12. Аппаратное обеспечение
  13. Программное обеспечение
  14. Рекомендуемые ограничения использования электронной почты
  15. Сообщение об инцидентах, реагирование и отчетность
  16. Помещения с техническими методами защиты
  17. Администратор Информационной Безопасности. Положение
  18. 1. Список сокращений
  19. 2. Общие положения
  20. 3. Задачи и функции Администратора информационной безопасности
  21. 4. Обязанности Администратора информационной безопасности
  22. Общие положения
  23. Цели, задачи и функции Отдела
  24. Структура Отдела
  25. Взаимоотношения Отдела с другими структурными подразделениями организации
  26. Ответственность
  27. Политика безопасности
  28. 2. Задачи и функции
  29. 3. Права и обязанности
  30. 4. Ответственность
  31. 5. Порядок утверждения, внесения изменений и дополнений

Положение об отделе информационной безопасности

Положение о группе информационной безопасности отдела безопасности

В целях реализации указа Губернатора Орловской области от 21 марта 2016 года N 129 «Об утверждении Положения об Администрации Губернатора и Правительства Орловской области, ее структуры и штатного расписания» постановляю:

1.

Утвердить прилагаемое Положение об отделе по обеспечению информационной безопасности Администрации Губернатора и Правительства Орловской области.

2.

Признать утратившим силу указ Губернатора Орловской области от 12 января 2015 года N 13 «Об утверждении Положения об отделе по обеспечению информационной безопасности Аппарата Губернатора и Правительства Орловской области, его структуры и штатного расписания».

3.

Контроль за исполнением указа возложить на руководителя Администрации Губернатора и Правительства Орловской области В.В. Соколова.

ГубернаторОрловской областиВ.В.ПОТОМСКИЙ

Приложение. ПОЛОЖЕНИЕ ОБ ОТДЕЛЕ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АДМИНИСТРАЦИИ ГУБЕРНАТОРА И ПРАВИТЕЛЬСТВА ОРЛОВСКОЙ ОБЛАСТИ

Приложениек указуГубернатора Орловской области

от 18 мая 2016 года N 236

I. Общие положения

1. Отдел по обеспечению информационной безопасности Администрации Губернатора и Правительства Орловской области (далее — отдел) является структурным подразделением Администрации Губернатора и Правительства Орловской области.

2.

В своей деятельности отдел руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, Уставом (Основным Законом) Орловской области, законами Орловской области, указами и распоряжениями Губернатора Орловской области, постановлениями и распоряжениями Правительства Орловской области, а также настоящим Положением.

3.

Должностные регламенты государственных гражданских служащих Орловской области, замещающих должности государственной гражданской службы Орловской области в отделе (далее — государственные гражданские служащие — сотрудники отдела), согласовываются с начальником Управления государственной гражданской службы, кадров и противодействия коррупции Орловской области и утверждаются руководителем Администрации Губернатора и Правительства Орловской области.

4. Отдел осуществляет свою деятельность во взаимодействии с другими структурными подразделениями Администрации Губернатора и Правительства Орловской области, органами исполнительной государственной власти специальной компетенции Орловской области, иными государственными органами, органами местного самоуправления Орловской области, организациями, физическими лицами.

II. Основная задача отдела

5. Основной задачей отдела является проведение в пределах своих полномочий работ по технической защите информации ограниченного доступа, составляющей государственную тайну, иную охраняемую законом тайну, обеспечению конфиденциальности персональных данных (далее — информация ограниченного доступа) в органах исполнительной государственной власти специальной компетенции Орловской области.

III. Функции отдела

6. Отдел выполняет следующие функции:

1) участвует в реализации государственной политики в сфере обеспечения безопасности информации ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области;

2) осуществляет организацию, координацию и выполнение работ по обеспечению информационной безопасности в органах исполнительной государственной власти специальной компетенции Орловской области;

3) разрабатывает и реализует мероприятия по обеспечению безопасности информационных систем обработки информации ограниченного доступа, в том числе персональных данных, в органах исполнительной государственной власти специальной компетенции Орловской области;

4) принимает меры по предотвращению утечки информации ограниченного доступа на объектах информатизации органов исполнительной государственной власти специальной компетенции Орловской области;

5) осуществляет контроль за выполнением в органах исполнительной государственной власти специальной компетенции Орловской области требований действующего законодательства по обеспечению защиты информации ограниченного доступа и эффективности проводимых организационно-технических мероприятий по комплексной защите информации ограниченного доступа от технических средств разведки, по технической защите информации от утечки по техническим каналам, а также за организацией работ на объектах информатизации в соответствии с нормативно установленными требованиями;

6) организует подготовку информационно-аналитических материалов о состоянии информационной безопасности в органах исполнительной государственной власти специальной компетенции Орловской области, предложений о решении актуальных проблем обеспечения безопасности информации ограниченного доступа, совершенствовании системы защиты информации ограниченного доступа;

7) организует выполнение решений Комиссии по информационной безопасности Совета при полномочном представителе Президента Российской Федерации в Центральном федеральном округе и Комиссии по информационной безопасности в Орловской области;

8) выполняет комплекс мероприятий при организации работ на объектах информатизации (в автоматизированных системах — АС, на автоматизированных рабочих местах — АРМ, в выделенных помещениях — ВП, защищаемых помещениях — ЗП), обрабатывающих информацию ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области (далее — объекты информатизации):

а) ведет реестр объектов информатизации, обрабатывающих информацию ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области, осуществляет мониторинг обрабатываемой на них информации;

б) анализирует и оценивает реальную опасность перехвата информации ограниченного доступа техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации ограниченного доступа путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах;

в) определяет возможные технические каналы утечки информации ограниченного доступа, подлежащие защите, и проводит обобщенное моделирование наиболее опасных технических каналов утечки информации ограниченного доступа и способов несанкционированного доступа к ней для выработки эффективных мер защиты информации ограниченного доступа на объектах информатизации;

г) организует и координирует выполнение работ по обеспечению безопасности информации ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области;

д) разрабатывает и реализует мероприятия по обеспечению безопасности информационных систем обработки информации ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области;

е) организует подготовку и проведение обучающих мероприятий по вопросам организации и обеспечения защиты информации ограниченного доступа, противодействия иностранным техническим разведкам, технической защиты информации органов исполнительной государственной власти специальной компетенции Орловской области;

9) изучает деятельность органов исполнительной государственной власти специальной компетенции Орловской области с целью предотвращения каналов утечки информации ограниченного доступа, ведет учет и анализ нарушений в работе;

10) вносит предложения руководителю Администрации Губернатора и Правительства Орловской области о перспективных и текущих планах мероприятий — обоснования потребностей на целевое финансирование мероприятий по технической защите информации ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области — при формировании областного бюджета на очередной финансовый год.

IV. Права отдела

7. Отдел в целях осуществления своей основной задачи и функций имеет право:

1) запрашивать и получать в установленном порядке необходимые материалы по вопросам безопасности информации ограниченного доступа от органов исполнительной государственной власти специальной компетенции Орловской области, территориальных органов федеральных органов исполнительной власти, структурных подразделений Администрации Губернатора и Правительства Орловской области, органов местного самоуправления Орловской области, организаций;

Источник: https://tehnoservice-spb.ru/polozhenie-ob-otdele-informatsionnoy-bezopasnosti/

Положение о политике информационной безопасности предприятия | Защита информации

Положение о группе информационной безопасности отдела безопасности

1.Цель и область применения политики безопасности
2.Требования и рекомендации
3. Защита оборудования

Для предприятия ее информация является важным ресурсом. Политика информационной безопасности определяет необходимые меры для защиты информации от случайного или намеренного получения ее, уничтожения и тд. Ответственность за соблюдение политики безопасности несет каждый работник предприятия. Целями политики безопасности есть:

  • Реализация непрерывного доступа к ресурсам компании для нормального выполнения сотрудниками своих обязанностей
  • Обеспечение конфиденциальности критичных информационных ресурсов
  • Защита целостности данных
  • Назначение степени ответственности и функций работников по реализации информационной безопасности на предприятии
  • Работы по ознакомлению пользователей в сфере рисков, которые связанные с инф. ресурсами предприятия

Должна проводится периодическая проверка сотрудников, на предмет соблюдения информационной политики безопасности. Правила политики распространяются на все ресурсы и информацию предприятия. Предприятию принадлежит права на собственность вычислительных ресурсов, деловой информации, лицензионное и созданное ПО, содержимое почты, разного рода документы.

В отношении всех информационных активов предприятия, должны быть соответствующие люди с ответственностью за использование тех или других активов.

Контроль доступа к информационным системам

Все свои обязанности должны быть исполнены только на компьютерах, разрешенных к эксплуатации на предприятии. Использование своих портативных устройств и запоминающих устройств можно только с согласованием службы информационной безопасности предприятия.

Вся конфиденциальная информация должна хранится в шифрованном виде на жестких дисках, где реализовано ПО с шифрованием жесткого диска. Периодически должны пересматриваться права сотрудников к информационной системы.

Для реализации санкционированного доступа к информационному ресурсу, вход в систему должен быть реализован с помощью уникального имени пользователи и пароля. Пароли должны удовлетворять Парольную политику.

Также во время перерыва, или отсутствия сотрудника на своем рабочем месте, должна срабатывать функция экранной заставки, для блокирование рабочей машины.

Доступ третьих лиц к информационной системе предприятия

Каждый работник должен оповестить службу ИБ о том, что он предоставляет доступ третьим лицам к ресурсам информационной сети.

Удаленный доступ

Сотрудники, которые используют личные портативные устройства, могут попросить об удаленном доступе к информационной сети предприятия.

Сотрудникам, которые работают за пределами предприятия и имеют удаленный доступ, запрещено копировать данные из корпоративной сети.

Также таким сотрудникам нельзя иметь больше одного подключение к разным сетям, не принадлежащих предприятию. Компьютеры имеющий удаленный доступ должны содержать антивирусное программное обеспечение.

Доступ в сеть интернет

Такой доступ должен разрешаться только в производственных целях, а не для личного пользования. Далее показаны рекомендации:

  • Запрещается посещение веб-ресурса, который считается оскорбительным для общества или имеет данные сексуального характера, пропаганды и тд
  • Работники не должны использовать интернет для хранение данных предприятия
  • Сотрудники, которые имеют учетные записи предоставленные публичными провайдерами, запрещено использовать на оборудовании предприятия
  • Все файлы из интернета должны проверяться на вирусы
  • Запрещен доступ в интернет для всех лиц, которые не являются сотрудниками

Работники также должны помнить о реализации физической защиты оборудование, на котором хранится или обрабатываются данные предприятия. Запрещено вручную настраивать аппаратное и программное обеспечение, для этого есть специалисты службы ИБ.

Аппаратное обеспечение

Пользователи, которые работают с конфиденциальной информацией, должны иметь отдельное помещение, для физического ограничения доступа к ним и их рабочего места.

Каждый сотрудник, получив оборудование от предприятия на временное пользование (командировка), должен смотреть за ним, и не оставлять без присмотра. В случаи потери или других экстренных ситуаций, данные на компьютере должны быть заранее зашифрованы.

Форматирование данных перед записью, или уничтожением носителя не является 100% гарантией чистоты устройства. Также порты передачи данных на стационарных компьютерах должны быть заблокированы, кроме тех случаев когда у сотрудника есть разрешение на копирование данных.

Программное обеспечение

Все программное обеспечение, которое установленное на компьютерах предприятия является собственностью предприятия и должно использовать в служебных задачах. Запрещено устанавливать сотрудникам лично другое ПО, не согласовав это с службой ИБ. На всех стационарных компьютерах должен быть минимальный набор ПО:

  • межсетевой экран
  • Антивирусное ПО
  • ПО шифрование жестких дисков
  • ПО шифрование почтовых сообщений

Работники компании не должны:

  • блокировать или устанавливать другое антивирусное ПО
  • менять настройки защиты

Рекомендуемые ограничения использования электронной почты

Электронные сообщения (даже удаленные) могут использоваться гос. органами или конкурентами по бизнесу в суде в качестве доказательств. Поэтому содержание сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.

Работникам нельзя передавать с помощью почты конфиденциальную информацию предприятия без реализация шифрования. Также работникам нельзя использовать публичные почтовые ящики. При документообороте должны использоваться только корпоративные почтовые ящики. Ниже описаны неразрешимые действия при реализации электронной почты:

  • групповая рассылка всем пользователям предприятия
  • рассылка сообщений личного характера, используя ресурсы электронной почты предприятия
  • подписка на рассылки ящик предприятия
  • пересылка материалов не касающихся работы

Сообщение об инцидентах, реагирование и отчетность

Все сотрудники должны оповещать о любом подозрении на уязвимости в системе защиты. Также нельзя разглашать известные сотруднику слабые стороны системы защиты. Если есть подозрения на наличие вирусов или других деструктивных действиях на компьютере, работник должен:

  • проинформировать сотрудников службы ИБ
  • не включать зараженный компьютер и не использовать его
  • Не подсоединять компьютер к информационной сети предприятия

Помещения с техническими методами защиты

Все конфиденциальные собрания/заседания должны проводиться только в специальных помещениях. Участникам запрещено проносить в помещения записывающие устройства (/видео) и мобильными телефонами, без согласия службы ИБ. /видео запись может вести сотрудник, с разрешением от службы ИБ.

Источник: http://infoprotect.net/note/polozhenie-politike-informatsionnoj-bezopasnosti

Администратор Информационной Безопасности. Положение

Положение о группе информационной безопасности отдела безопасности

Положение об Администраторе Информационной Безопасности.

1. Список сокращений

АС – автоматизированная система.

ИБ – информационная безопасность.

Информация – в документе: информация, подлежащая защите, представленная в виде электронных документов или иных совокупностей данных, хранящаяся на электронных носителях и/или циркулирующая в сетях передачи данных организации.

ЛВС – локальная вычислительная сеть.

НСД – несанкционированный доступ к информации.

ОС – операционная система.

ОТСС – основные технические средства и системы.

РС – рабочая станция, компьютер.

СВТ – средство вычислительной техники.

СЗИ – средства защиты информации.

СУБД – система управления базами данных.

2. Общие положения

2.1. Настоящее положение разработано на основе «Политики информационной безопасности».

2.2. Положение определяет основные задачи, функции, обязанности, права и ответственность Администратора информационной безопасности автоматизированной системы (далее – администратор ИБ).

2.3. Администратор информационной безопасности назначается приказом и является лицом, выполняющим функции по защите информации обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в пределах зоны своей ответственности.

2.4.

В своей деятельности Администратор ИБ руководствуется требованиями действующих федеральных законов, общегосударственных и ведомственных нормативных документов по вопросам защиты информации и контролирует их выполнение администраторами локальной вычислительной сети (далее – ЛВС), администраторами систем управления базами данных (далее – СУБД) и пользователями автоматизированной системы (далее – АС).

2.5. Настоящее Положение является дополнением к действующим нормативным документам по вопросам защиты информации и не исключает обязательного выполнения их требований.

3. Задачи и функции Администратора информационной безопасности

3.1 Основными задачами Администратора ИБ являются:

  • контроль эффективности защиты информации;
  • сопровождение СЗИ от несанкционированного доступа (далее – НСД) и основных технических средств и систем (далее – ОТСС);
  • контроль разграничения доступа.

3.2 Для выполнения поставленных задач на Администратора ИБ возлагаются следующие функции:

3.2.

1 Контроль соответствия действий пользователей АС (разработчиков, эксплуатационного персонала) требованиям «Политики информационной безопасности» на всех стадиях жизненного цикла АС.

3.2.

2 Участие на стадии проектирования (внедрения) АС в разработке технологии обработки информации ограниченного доступа (далее – информации) по вопросам:

  • организации порядка учета, хранения и обращения с документами и носителями информации;
  • определения степени секретности отдельных документов, носителей и массивов информации;
  • подготовки инструкций, определяющих задачи, функции, ответственность, права и обязанности администраторов и пользователей АС по вопросам защиты информации, а также ответственных по защите информации в процессе автоматизированной обработки информации.

3.2.

3 Сопровождение СЗИ от НСД к ней, в том числе средств криптографической защиты информации, на стадии эксплуатации АС, включая ведение служебной информации СЗИ от НСД (управление ключевой системой, сопровождение правил разграничения доступа), оперативный контроль за функционированием СЗИ от НСД.

3.2.

4 Контроль соответствия общесистемной программной среды стандарту (контроль целостности программного обеспечения) и проверка включаемых в АС новых программных средств.

3.2.

5 Оперативный контроль за ходом технологического процесса обработки информации.

3.2.

6 Методическое руководство работой администраторов и пользователей АС в вопросах обеспечения информационной безопасности.

4. Обязанности Администратора информационной безопасности

4.1 Для реализации поставленных задач и возложенных функций Администратор ИБ ОБЯЗАН:

4.1.1 Сопровождать СЗИ от НСД и ОТСС:

4.1.1.1 Вести учет и знать перечень установленных в подразделениях ОТСС, СЗИ от НСД и перечень задач, решаемых с их использованием.

4.1.1.2 Осуществлять непосредственное управление режимами работы и административную поддержку функционирования (настройку и сопровождение) применяемых на рабочих станциях (далее – РС) специальных программных и программно-аппаратных СЗИ от НСД.

4.1.1.3 Присутствовать при внесении изменений в конфигурацию (модификации) аппаратно-программных средств, защищенных РС и серверов, осуществлять проверку работоспособности системы защиты после установки (обновления) программных средств АС.

4.1.1.4 Периодически проверять состояние используемых СЗИ от НСД, осуществлять проверку правильности их настройки (выборочное тестирование).

4.1.1.5 Контролировать комплектность средств вычислительной техники (далее – СВТ) и изменения аппаратно-программной конфигурации.

4.1.1.6 Периодически – не реже 1 раза в год контролировать целостность печатей (пломб, наклеек) на устройствах, защищенных РС, где таковые печати (пломбы, наклейки) имеются.

4.1.1.7 Вести журнал учета нештатных ситуаций, фактов вскрытия и опечатывания, защищенных СВТ, выполнения профилактических работ, установки и модификации аппаратных и программных СЗИ.

4.1.1.8 Проводить периодический инструктаж сотрудников подразделения (пользователей АС) по правилам работы с используемыми СЗИ.

4.1.2 Организовывать разграничения доступа:

4.1.2.1 Знать перечень защищаемых информационных ресурсов и участвовать в разработке системы их защиты.

4.1.2.2 Разрабатывать совместно с администраторами АС решения по:

  • составу доменов сети, системы доверительных отношений между ними;
  • составу групп (локальных и глобальных) каждого домена;
  • приписке пользователей с одинаковыми требованиями, статусом безопасности и характером решаемых задач к соответствующим группам;
  • определению информационных связей между сегментами сети и требований к изоляции сегментов с использованием средств аппаратной безопасности сегментов;
  • определению списка устройств, логических дисков, каталогов общего пользования на серверах с указанием состава допущенных к ним пользователей и режимом допуска;
  • осуществлению контроля использования разделяемых ресурсов, процессом печати на общих принтерах;
  • разработке порядка пользования электронной почты (использованию СЗИ при передаче закрытых документов);
  • разработке порядка выхода пользователей в Сети общего пользования (далее – Сети) и использованию встроенных СЗИ от НСД в сервисных программах;
  • определению режимов использования СЗИ: защита паролей, защита в протоколах передачи данных, кодирование файлов, подтверждение подлинности электронных документов (электронная подпись), подключение дополнительных алгоритмов криптографической защиты;
  • разработке политики аудита: определение состава регистрируемых событий и списка лиц, имеющих допуск к журналам аудита.

4.1.2.3 Осуществлять учет и периодический контроль состава и полномочий пользователей различных РСАС.

4.1.2.4 Контролировать и требовать соблюдение установленных правил по организации парольной защиты в АС.

4.1.2.5 Осуществлять оперативный контроль работы пользователей, защищенных РС, анализировать содержимое журналов событий операционных систем (далее — ОС) и СЗИ от НСД этих РС, адекватно реагировать на возникающие нештатные ситуации.

4.1.2.6 Принимать участие в работах по внесению изменений в аппаратно-программную конфигурацию серверов и РСАС. Контролировать соблюдение сотрудниками подразделений автоматизации утвержденного порядка проведения работ по установке и модернизации аппаратных и программных средств РС и серверов.

4.1.2.7 Контролировать выполнение требований по обеспечению безопасности информации при организации технического обслуживания РС и отправке их в ремонт (контролировать стирание информации на магнитных носителях).

4.1.2.8 Организовывать учет, хранение, прием и выдачу персональных идентификаторов и ключевых дискет ответственным исполнителям, осуществлять контроль правильности их использования.

4.1.2.9 Осуществлять периодический контроль порядка учета, создания, хранения и использования резервных и архивных копий массивов данных.

4.1.2.10 По указанию руководства своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах по управлению СЗИ от НСД, установленных на РСАС.

Источник: https://compnote.ru/otdelit/polozhenie-ob-administratore-informatsionnoy-bezopasnosti/

Общие положения

1.1. Отдел информационной безопасности (далее Отдел) представляет собой отдельное структурное подразделение организации. Он формируется, реструктуризируется и ликвидируется приказом руководства организации (директора либо другого уполномоченного лица).

1.2. Отдел находится в подчинении непосредственного начальника, которого назначает на данную должность руководитель организации. В его отсутствие управление осуществляет заместитель начальника либо другое уполномоченное лицо. Вышестоящим начальником Отдела является руководитель организации.

1.3. Работа службы защиты информации выстраивается в соответствии с требованиями законодательства и иных нормативно-правовых актов, в том числе – уставной документации организации. 

1.4. Обязанности сотрудников службы защиты информации, их полномочия и степень ответственности за сохранность информационных ресурсов организации определяются данным положением, уставной документацией организации, условиями трудового договора и должностными инструкциями. 

1.5. Отдел взаимодействует с другими структурными подразделениями организации в пределах своей компетенции. 

Цели, задачи и функции Отдела

2.1. Цель работы Отдела – обеспечить защиту информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения. 

2.2. В задачи Отдела входит разработка и внедрение системы безопасности, а также контроль за ее работой и анализ эффективности используемых средств защиты информации. 

2.3. В перечень функций службы защиты информации входит:

  • разработка комплексной системы безопасности, включающей использование разнообразных методов и способов защиты конфиденциальной информации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 
  • внедрение режима конфиденциальности и контроль за его соблюдением;
  • взаимодействие с контрагентами, обеспечение конфиденциальности передачи данных и информации, сообщаемой партнерам в процессе открытых переговоров; 
  • разработка документов, предписывающих соблюдение режима конфиденциальности штатными сотрудниками организации и прикомандированными работниками;
  • оценка эффективности внедренной системы защиты информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 
  • проведение аттестации сотрудников с последующим присвоением им необходимой степени допуска к чтению и использованию конфиденциальной информации; 
  • составление актов проверки техники, оборудования, помещений на предмет их соответствия требованиям безопасности; 
  • другие функции, выполнение которых поспособствует реализации целей и задач работы Отдела. 

Структура Отдела

3.1. Сотрудников Отдела нанимают на работу в соответствии со штатным расписанием, установленным кадровой службой и согласованным с вышестоящим руководством организации. Штатное расписание разрабатывается в соответствии с целями и задачами структурного подразделения. 

3.2. В перечень специалистов, которые могут быть сотрудниками Отдела, входят инженеры и техники по защите информации, программисты, системные администраторы, другие специалисты, отвечающие за выполнение отдельных функций по защите информации.

3.3. Обязанности сотрудников службы защиты информации определяет непосредственный начальник Отдела. 
Права и обязанности

4.1. Служба защиты информации уполномочена: 

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности, введенного в организации;
  • пользоваться информацией для служебного пользования, запрашивать ее у сотрудников других структурных подразделений организации;
  • вступать во взаимодействие с органами исполнительной, законодательной и судебной власти для решения правовых вопросов, касающихся функций службы;
  • принимать все необходимые меры для обеспечения защиты конфиденциальной информации;
  • привлекать сторонних специалистов для разработки, внедрения и анализа эффективности системы защиты конфиденциальной информации;
  • давать указания сотрудникам других структурных подразделений организации по вопросам, входящим в компетенцию службы;
  • проводить внутренние служебные расследования при обнаружении фактов намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации; 
  • осуществлять другие действия, предусмотренные должностными инструкциями и направленные на реализацию целей и задач службы.

4.2. В обязанности начальника службы защиты информации входит:

  • распределять задачи между подчиненными в соответствии с их специализацией, контролировать скорость и качество их выполнения;
  • участвовать в процессе подбора персонала;
  • разрабатывать проекты по усовершенствованию системы защиты конфиденциальной информации;
  • организовывать обучение сотрудников службы отдела защиты информации и работников других структурных подразделений организации;
  • устанавливать порядок ремонтных работ, направленных на скорейшее восстановление работоспособности системы защиты информации при возникновении технических сбоев или аварий;
  • координировать взаимодействие сотрудников службы защиты информации с работниками других структурных подразделений организации.

4.3. Сотрудники службы защиты информации обязаны:

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности;
  • проводить профилактику намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации путем проведения инструктажа сотрудников организации;
  • участвовать в разработке комплексной системы защиты конфиденциальной информации;
  • периодически проверять журналы инструктажа и оборудование организации;
  • проводить аттестацию всех сотрудников организации, проверять их знания в области существующих методов превентивной защиты конфиденциальной информации;
  • выполнять другую работу, направленную на реализацию целей и задач службы защиты информации.

Взаимоотношения Отдела с другими структурными подразделениями организации

Служба защиты информации в пределах свой компетенции взаимодействует с:

5.1. Кадровой службой (для участия в собеседованиях с соискателями на должности, предусматривающими допуск к конфиденциальной информации, отражения в личных делах результатов аттестации и сведений о выявленных нарушениях режима конфиденциальности, изучения личных дел сотрудников организации).

5.2. Бухгалтерией (для предоставления информации о льготах и надбавках, предусмотренных для сотрудников с допуском к конфиденциальной информации, получения информации о расходовании фонда оплаты труда и других данных, необходимых в работе службы защиты информации).

5.3. Финансовой службой (для предоставления плановой документации, касающейся закупки необходимого оборудования).

5.4. Юридическим отделом (для своевременного изучения изменений законодательства, касающихся защиты информации, а также для применения законодательно обоснованных наказаний за нарушение режима конфиденциальности).

5.5. Другими структурными подразделениями (для координации их работы и обеспечения необходимого уровня защиты конфиденциальной информации).

Ответственность

6.1. Ответственность за защиту информационных ресурсов организации от намеренного или ненамеренного разглашения, утери, искажения и похищения несет руководитель Отдела. 

6.2. Ответственность работников службы защиты информации определяется их должностными инструкциями.

16.06.2020

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/dokumenty-po-informatsionnoj-bezopasnosti/instruktsii-po-informatsionnoj-bezopasnosti/polozhenie-ob-otdele-informatsionnoj-bezopasnosti/

Политика безопасности

Положение о группе информационной безопасности отдела безопасности

Положение об отделе информационной безопасности (расширенный комплект)

1.1. Отдел информационной безопасности (далее Отдел) является структурным подразделением «ВАШ БАНК» (далее — Банк) и в соответствии с организационной структурой Банка подчиняется непосредственно Председателю Правления.

1.2. Управление в своей деятельности руководствуется:

  • Уставом Банка;
  • Решениями Совета Директоров и Правления Банка;
  • Настоящим Положением;
  • Нормами действующего законодательства, регулирующими деятельность Отдела;
  • Внутренними нормативными и распорядительными документами Банка, регулирующими деятельность Отдела.

1.3.Управление возглавляет Начальник Отдела, который назначается и освобождается от занимаемой должности приказом Председателя Правления Банка.

https://www.youtube.com/watch?v=24QQXONSClc

На должность начальника Отдела назначается лицо, имеющее высшее образование и стаж работы в Банке не менее 5 лет.

1.4.На период отсутствия Начальника Отдела руководство Отделом осуществляется Заместителем начальника Отдела или лицом, назначенным приказом по Банку.

1.5.Сотрудники Отдела принимаются на работу приказом Председателя Правления Банка.

2. Задачи и функции

2.1. Задачами Отдела являются:

  • 2.1.1. эффективное осуществление основных видов деятельности Отдела, а именно:
    • разработка единой политики (концепции) обеспечения информационной безопасности Банка, определение требований к системе защиты информации Банка и документообороту на бумажных и электронных носителях;
    • организация мероприятий и координация работ всех подразделений Банка по комплексной защите информации на всех этапах технологических циклов ее создания, переноса на носитель (бумажный или электронный), обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности Банка;
    • контроль и оценка эффективности принятых мер и применяемых средств защиты информации.
  • 2.1.2. Обеспечение увеличения доходов и снижения расходов Банка, его структурных подразделений, по основным видам деятельности Отдела.
  • 2.1.3. Развитие направлений деятельности Банка, входящих в компетенцию Отдела.

2.2. Отдел в соответствии с возложенными на него задачами выполняет следующие функции:

  • разработка концепции и политики информационной безопасности Банка, включая разработку регламентов, корпоративных стандартов, руководств и должностных инструкций;
  • выработка принципов классификации информационных активов Банка и оценки их защищенности;
  • оценка и управление информационными рисками;
  • обучение сотрудников Банка по вопросам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками Банка;
  • консультирование менеджеров Банка по вопросам управления информационными рисками;
  • согласование частной политики и отдельных регламентов безопасности среди подразделений Банка;
  • участие в рабочих группах или экспертных советах для оценки рисков исполнения и развития бизнеса Банка;
  • контроль работы служб качества и автоматизации Банка с правом проверки и утверждения внутренних отчетов и документов;
  • сотрудничество со службой персонала Банка для проверки личных данных сотрудников при найме на работу;
  • в случае возникновения нештатных ситуаций или чрезвычайных происшествий в области защиты информации руководство действиями по их устранению;
  • информационное обеспечение руководства Банка регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности, выдержками о результатах проверки выполнения политики безопасности;
  • обеспечение сотрудников Банка информационной поддержкой по вопросам ИБ, в частности, об изменениях в законодательстве и нормативной базе в области защиты информации, технических новинках и т.д.

3. Права и обязанности

3.1. Права Начальника Отдела и его заместителя

  • управлять всеми планами по обеспечению ИБ Банка;
  • разрабатывать и вносить предложения по изменению политики ИБ Банка;
  • изменять существующие и принимать новые нормативно-методические документы по обеспечению ИБ Банка;
  • выбирать средства управления и обеспечения ИБ Банка;
  • контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
  • контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также связанную с применением других средств обеспечения ИБ;
  • осуществлять мониторинг событий, связанных с ИБ;
  • расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка;
  • участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;
  • создавать, поддерживать и совершенствовать систему управления ИБ Банка.

3.2. Обязанности Начальника Отдела и его заместителя

  • обеспечивает исполнение отделом задач и функций, определенных настоящим положением, в соответствии с действующим законодательством и нормативными документами Банка;
  • обеспечивает соблюдение сотрудниками отдела установленных правил трудового распорядка, производственной и технологической дисциплины;
  • разрабатывает и вносит на рассмотрение Председателя Правления предложения по совершенствованию структуры отдела и повышению уровня подготовки сотрудников отдела, улучшение работы и иные предложения по вопросам, входящим в его компетенцию;
  • организует техническое обучение и повышение квалификации сотрудников отдела;
  • обеспечивает реализацию мероприятий по созданию безопасных условий труда сотрудников отдела на всех технологических участках;
  • обеспечивает контроль за соблюдением сотрудниками отдела правил электро- и пожарной безопасности;
  • распределяет обязанности и разрабатывает должностные инструкции сотрудников отдела;
  • представляет сотрудников отдела для назначения или освобождения от должности, поощрения отличившихся работников, наложения дисциплинарных взысканий в соответствии с действующим законодательством о труде и правилами внутреннего трудового распорядка;
  • разрабатывает, представляет на утверждение и обеспечивает контроль за порядком доступа в служебные помещения отдела;
  • устанавливает регламент проведения профилактических, ремонтных и аварийных работ на установленном в отделе оборудовании;
  • координирует совместную деятельность сотрудников отдела со структурными подразделениями Банка;
  • участвует в совещаниях по вопросам информационной безопасности Банка и представляет Отдел информационной безопасности в других учреждениях и организациях.

3.3. Обязанности сотрудников отдела

  • проводить практические мероприятия по предотвращению незаконного вмешательства в процесс функционирования системы и несанкционированного доступа (НСД) к информации, обрабатываемой, хранимой и отображаемой в банковской системе;
  • периодически контролировать правильность ведения журналов учета нештатных ситуаций и формуляров АРМ в подразделениях Банка;
  • проводить занятия с сотрудниками подразделений Банка по правилам работы на компьютере и по изучению руководящих документов по вопросам обеспечения безопасности информации;
  • контролировать выполнение обязанностей администраторами безопасности, ответственными за информационную безопасность в подразделениях, ответственными за эксплуатацию конкретных АРМ, за обслуживание определенных технических и программных средств;
  • участвовать в работе по определению необходимых мер защиты при проектировании программных средств автоматизации решения прикладных задач, по оценке качества реализации необходимых защитных механизмов в банковской системе при испытаниях и внедрении данного программного обеспечения (в части обеспечения безопасности информации и процессов ее обработки);
  • контролировать исполнение порядка учета, хранения, использования и уничтожения отчуждаемых магнитных носителей конфиденциальной информации;
  • контролировать выполнение установленных правил создания, хранения и использования эталонных копий программных средств, соблюдение порядка формирования и использования информационных массивов и баз данных, резервного и архивного копирования данных;
  • координировать действия должностных лиц по своевременному восстановлению процесса обработки данных в кризисных (аварийных) ситуациях;
  • участвовать в расследовании причин возникновения серьезных кризисных ситуаций;
  • постоянно проводить работу по выявлению возможных каналов утечки конфиденциальных сведений при эксплуатации банковской системы и несанкционированного вмешательства в процесс ее функционирования, готовить предложения по совершенствованию системы защиты и пересмотру Плана защиты;
  • участвовать в работе комиссий по пересмотру Плана защиты.

4. Ответственность

Степень ответственности сотрудников отдела устанавливается должностными инструкциями.

4.1. Начальник Отдела и его заместитель отвечает за:

  • планирование и организацию практических мероприятий по предотвращению попыток несанкционированного вмешательства в процесс нормального функционирования банковской системы и попыток НСД к обрабатываемой, хранимой и отображаемой на компьютерах банковской системы информации;
  • организацию постоянного контроля за соблюдением сотрудниками Банка требований Планов защиты конкретных систем и других организационно-распорядительных документов по вопросам обеспечения безопасности информации;
  • определение особых обязанностей должностных лиц Банка по обеспечению безопасности информации при их работе в банковской системе;
  • организацию проведения занятий с персоналом Банка по изучению организационно-распорядительных документов по всему комплексу вопросов обеспечения безопасности информации при работе в банковской системе;
  • организацию проведения работ по выявлению возможных каналов нарушения информационной безопасности при эксплуатации банковской системы и принятие своевременных мер по их перекрытию;
  • организацию контроля за выполнением специальных требований по размещению технических средств банковской системы, прокладке кабельных трасс и инженерных систем, за организацией резервного дублирования и архивирования информации, а также созданием и использованием эталонных копий программного обеспечения в части обеспечения безопасности информации и процессов ее обработки;
  • определение и пересмотр порядка установки и модернизации аппаратных и программных средств Банка в части обеспечения безопасности информации и процессов ее обработки;
  • определение и пересмотр порядка проектирования, разработки, отладки, проверки, внедрения и использования программного обеспечения в части обеспечения безопасности информации и процессов ее обработки.

4.2. Сотрудники отдела отвечают за:

  • личное нарушение информационной безопасности и за не использование своих прав при выполнении функциональных обязанностей по обеспечению информационной безопасности в Банке.

5. Порядок утверждения, внесения изменений и дополнений

5.1. Настоящее Положение вступает в законную силу с даты утверждения Советом Директоров Банка.

5.2. Изменения и дополнения в настоящее Положение вносятся по инициативе Правления, Председателя Правления, Руководителя Службы внутреннего контроля, Начальника Управления Информационных Технологий, Управления экономической защиты и утверждаются решением Совета Директоров Банка.

5.3. В случае вступления отдельных пунктов настоящего Положения в противоречие с новыми законодательными актами и Уставом Банка, эти пункты утрачивают юридическую силу и Положение действует в части, не противоречащей законодательным Актам и Уставу Банка.

Источник: https://sp123.ru/products/tipovye-shablony-dokumentov-po-informatsionnoy-bezopasnosti/polozhenie-ob-otdele-informatsionnoy/

Все HR- сотруднику
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: