«Утверждено» | Статьи | 123-Job.ru

«Утверждено»


21.03.2010

Приказом по ОАО «Наш Дом»
от 23 января 2007 г. N 15

Положение об Отделе по защите информации

I. Общие положения

1. Отдел по защите информации является самостоятельным*(1) структурным подразделением предприятия.
2. Отдел создается и ликвидируется приказом директора предприятия.
3. Отдел подчиняется непосредственно директору предприятия.
4. Отдел возглавляет начальник, назначаемый на должность приказом директора предприятия.
5. В своей деятельности Отдел руководствуется:
5.1. Уставом предприятия.
5.2. Настоящим положением.
5.3. Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»

II. Структура

1. Состав и штатную численность Отдела по защите информации утверждает директор предприятия исходя из условий и особенностей деятельности предприятия по представлению начальника отдела и по согласованию с Отделом кадров.
2. В состав отдела входят группы специалистов*(2): инженеров по защите информации, инженеров-программистов, инженеров-электроников, техников-программистов, техников по защите информации, отвечающих за отдельные направления в работе (за анализ состояния информационных баз, определение требований кзащищенности различных подсистем автоматизированной системы предприятия и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам обеспечения информационной безопасности; за эффективное применение и администрирование штатных для операционных систем и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных систем).
3. Начальник отдела по защите информации распределяет обязанности между сотрудниками отдела и утверждает их должностные инструкции.

III. Задачи

1. Комплексная защита информации на предприятии.
В приложении N 1 к настоящему Положению определены термины и понятия, а также порядок распространение информации или предоставление информации, документирования информации и ответственность за правонарушения в сфере информации, информационных технологий и защиты информации.

IV. Функции

1. Разработка и внедрение организационных и технических мероприятий по комплексной защите информации на предприятии по работам, содержание которых составляет государственную или коммерческую тайну.
2. Обеспечение соблюдения режима проводимых работ и сохранения конфиденциальности документированной информации.
3. Обеспечение конфиденциальности переговоров, бесед и совещаний закрытого характера.
4. Разработка проектов текущих и перспективных планов работы.
5. Организация, координация и выполнение работ по защите информации, разработка технических средств контроля.
6. Обеспечение взаимодействия и необходимой кооперации соисполнителей работ по вопросам организации и проведения научно-исследовательских и опытно-конструкторских работ.
7. Организация и контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ, выполняемых соисполнителями.
8. Заключение договоров на работы по защите информации.
9. Разработка и принятие мер по обеспечению финансирования работ, в том числе выполняемых по договорам.
10. Участие в разработке технических заданий на выполняемые предприятием исследования и разработки.
11. Определение целей и постановка задач по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации.
12. Проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков, возможных каналов утечки информации, в том числе по техническим каналам, и разработка мер по их устранению и предотвращению.
13. Составление актов и другой технической документации о степени защищенности технических средств и помещений.
14. Контроль за соблюдением нормативных требований по защите информации.
15. Обеспечение комплексного использования технических средств, методов и организационных мероприятий.
16. Рассмотрение применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов исследований и разработок.
17. Согласование проектной и другой технической документации на вновь строящиеся и реконструируемые здания и сооружения в части выполнения требований по защите информации.
18. Рациональное использование и обеспечение сохранности аппаратуры, приборов и другого оборудования.
19. Обеспечение высокого научно-технического уровня работ, эффективности и качества исследований и разработок.
20. Контроль за выполнением предусмотренных мероприятий, анализ материалов контроля, выявление нарушений.
21. Разработка и реализация мер по устранению выявленных недостатков по защите информации.
22. Проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности.
23. Разработка регламента допуска сотрудников предприятия к отдельным каналам информации, плана защиты информации, положений об определении степени защищенности ресурсов автоматизированных систем.
24. Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.
25. Поиск информации о появившихся уязвимостях, обнаружение и устранение уязвимостей в информационных системах.
26. Формирование Перечня сведений, составляющих коммерческую тайну, а также Перечня сведений, отнесенных к государственной тайне.
27. Получение в установленном порядке лицензий на выполнение работ в сфере защиты информации.
28. Составление и представление в установленном порядке отчетности.
29. Ведение делопроизводства в соответствии с установленным порядком.
30. Соблюдение действующих инструкций по режиму работ и принятие своевременных мер по предупреждению нарушений.
31. Обеспечение соответствия проводимых работ технике безопасности, правилам и нормам охраны труда.

V. Права

Отдел по защите информации имеет право:
1. Осуществлять контроль за деятельностью структурных подразделений предприятия по выполнению ими требований информационной безопасности.
2. Давать структурным подразделениям предприятия и отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию отдела.
3. Запрашивать и получать от структурных подразделений сведения, справочные и другие материалы, необходимые для осуществления деятельности отдела.
4. Вести самостоятельную переписку с государственными и муниципальными органами по правовым вопросам.
5. Представлять в установленном порядке предприятие в органах государственной власти, иных учреждениях и организациях, по вопросам, входящим в компетенцию отдела.
6. Принимать меры при обнаружении несанкционированного доступа к информации как внутри предприятия, так и извне и докладывать о принятых мерах руководителю предприятия с представлением информации о субъектах, нарушивших режим доступа.
7. По согласованию с руководителем предприятия или заместителем директора предприятия по коммерческим вопросам привлекать экспертов и специалистов в сфере защиты информации для консультаций, подготовки заключений, рекомендаций и предложений.

VI. Взаимоотношения (служебные связи)

Для выполнения функций и реализации прав, предусмотренных настоящим положением, отдел по защите информации взаимодействует:
1. С отделом кадров по вопросам:
1.1. Получения:
«персональных данных» работников — сотрудников предприятия;
сведений о кандидатурах на должности специалистов по защите информации;
сведений о кандидатурах на должности специалистов, выполняющих работы, содержание которых является коммерческой или государственной тайной;
1.2. Представления:
оценок деятельности работников предприятия и соблюдения ими режима работ, содержание которых является коммерческой или государственной тайной;
сведений о нарушениях и нарушителях режима доступа к информации;
характеристик на работников, явившихся виновниками утечки, повреждения информации;
предложений и рекомендаций по поиску специалистов, в должностные обязанности которых входит работа с информацией, являющейся государственной или коммерческой тайной;
установленных ограничений по медицинским показаниям для осуществления работы с использованием сведений, составляющих государственную или коммерческую тайну;
2. С отделом по организации и оплаты труда по вопросам:
2.1. Получения:
расчетов фондов оплаты труда;
копий должностных инструкций на работников, выполняющих работы, содержание которых является коммерческой или государственной тайной;
предложений по закреплению в должностных инструкциях и иных кадровых документах повышенной степени ответственности за несоблюдение отдельными специалистами обязанностей по использованию информации, являющейся коммерческой или государственной тайной в неслужебных целях;
2.2. Предоставления:
проектов обязательств работников о неразглашении сведений, являющихся государственной или коммерческой тайной;
проектов письменного согласия специалистов предприятия на частные, временные ограничения их прав;
перечня видов, размеров и порядка предоставления льгот и доплат работникам, допущенным к сведениям, являющимся коммерческой или государственной тайной (процентных надбавок к заработной плате, преимущественного права при прочих равных условиях на оставление на работе при проведении организационных и (или) штатных мероприятий, пр.);
копий принятых руководителем предприятия решений о допуске работника к сведениям, составляющим государственную или коммерческую тайну;
памяток работникам предприятия о сохранении коммерческой тайны предприятия для согласования и выдачи работникам предприятия;
отчетов о расходовании фонда заработной платы;
3. С отделом подготовки кадров по вопросам:
3.1. Получения:
итогов зачетов, экзаменов работников, прошедших обучение в учебных центрах по переквалификации работников предприятия;
3.2. Предоставления:
предложений о направлении сотрудников отдела на курсы повышения квалификации, а также в учебные центры, на курсы для изучения новых технологий защиты информации;
4. С финансовым отделом по вопросам:
4.1. Получения:
финансовых и кредитных планов с приложением оценки степени конфиденциальности и перечнем руководителей подразделений и специалистов, которым эти документы попадают в распоряжение;
информации о подготовке к торгам или аукционам, их результатах, условиях коммерческих контрактов, платежей и услуг, сведений о методах расчетов, системах ценообразования, уровнях цен на продукцию, сведений об инвестициях, для принятия мер по их защите;
4.2. Предоставления:
определения потребности подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ;
перечня мер по защите финансовой и экономической информации;
5. С юридическим отделом по вопросам:
проверки соответствия закону ограничений, принимаемых отделом по защите информации;
разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся коммерческой и служебной тайной, утечке информации, повреждении информационных баз предприятия;
6. Со всеми производственными и технологическими подразделениями, выполняющими работы, содержание которых составляет государственную или коммерческую тайну, по вопросам:
6.1. Получения:
сведений о планах расширения или свертывания производства различных видов продукции;
сведений об особенностях используемых и разрабатываемых технологий и специфике их применения;
прочей информации, подлежащей защите;
списков сотрудников предприятия, выполняющих работы, связанные с использованием информации, являющийся коммерческой или государственной тайной;
6.2. Предоставления:
отчетов о порядке и состоянии организации защиты коммерческой тайны;
данных о защищенности информационных баз предприятия от несанкционированного доступа;
оценки надежности защиты информации предприятия, переданной контрагентам в рамках договорных отношений;
оценки деловых и моральных качеств сотрудников подразделений.

VII. Ответственность

1. Ответственность за надлежащее и своевременное выполнение функций отдела несет начальник отдела по защите информации.
2. На него, в частности, возлагается персональная ответственность в случае:
2.1. Необеспечения сохранности принятых на ответственное хранение программных и технических средств.
2.2. Необеспечения сохранности принимаемой информации и достоверности передаваемой.
2.3. Несвоевременного, а также некачественного исполнения документов и поручений руководства предприятия.
2.4. Допущения использования информации сотрудниками отдела в неслужебных целях.
2.5. Ненадлежащего контроля за режимом доступа к информации, повлекшего утечку информации, повреждение информационных баз данных.
2.6. Несоблюдения трудового распорядка сотрудниками отдела.
3. Ответственность сотрудников отдела по защите информации устанавливается должностными инструкциями.

Приложение N 1
к Положению об Отделе по защите информации
(утв. Приказом по ОАО «Наш Дом»
от 23 января 2007 г. N 15)

Для целей защиты информации используются следующие основные понятия и термины:
1) информация — сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
3) информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
4) информационно-телекоммуникационная сеть — технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
5) обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
6) доступ к информации — возможность получения информации и ее использования;
7) конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
8) предоставление информации -действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
9) распространение информации — действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
10) электронное сообщение — информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
11) документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
12) оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Информация

1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.
2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
4. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.

Обладатель информации

1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.
2. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.
3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
2) использовать информацию, в том числе распространять ее, по своему усмотрению;
3) передавать информацию другим лицам по договору или на ином установленном законом основании;
4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
5) осуществлять иные действия с информацией или разрешать осуществление таких действий.
4. Обладатель информации при осуществлении своих прав обязан:
1) соблюдать права и законные интересы иных лиц;
2) принимать меры по защите информации;
3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Общедоступная информация

1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
3. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

Право на доступ к информации

1. Работники и работодатель вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.
2. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.
3. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.
4. Не может быть ограничен доступ к:
1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; 2) информации о состоянии окружающей среды;
3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
5. В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.

Ограничение доступа к информации

1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.
7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.
8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается Федеральным законом N 152-ФЗ «О персональных данных».

Распространение информации или предоставление информации

1. В Российской Федерации распространение информации осуществляется свободно при соблюдении требований, установленных законодательством Российской Федерации.
2. Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.
3. При использовании для распространения информации средств, позволяющих определять получателей информации, в том числе почтовых отправлений и электронных сообщений, лицо, распространяющее информацию, обязано обеспечить получателю информации возможность отказа от такой информации.
4. Предоставление информации осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией.
5. Случаи и условия обязательного распространения информации или предоставления информации, в том числе предоставление обязательных экземпляров документов, устанавливаются федеральными законами.
6. Запрещается распространение информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена уголовная или административная ответственность.

Документирование информации

1. Законодательством Российской Федерации или соглашением сторон могут быть установлены требования к документированию информации.
2. Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.
3. В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами.
4. Право собственности и иные вещные права на материальные носители, содержащие документированную информацию, устанавливаются гражданским законодательством.

Информационные системы

1. Информационные системы включают в себя:
1) государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
2. Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.
3. Права обладателя информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных.
4. Порядок создания и эксплуатации информационных систем определяется операторами таких информационных систем в соответствии с требованиями, установленными Федеральным законом N 149-ФЗ от 27.07.2006 г.

Защита информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
3. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.

Ответственность за правонарушения в сфере информации, информационных
технологий и защиты информации

1. Нарушение требований указанного Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.
3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

«Кадровик. Кадровое делопроизводство», N 3, март 2007 г.

————————————————————————-
*(1) Отдел по защите информации может входить в состав службы безопасности предприятия.
*(2) Следует помнить, что применяемые на практике наименования «Администратор средств защиты, контроля и управления безопасностью», «Системный администратор», «Аналитик по вопросам технической защиты информации и компьютерной безопасности» подразумевает утверждение указанных должностей работодателем в локальных нормативных актах предприятия. И хотя Общероссийский классификатор профессий рабочих, должностей служащих и тарифных разрядов (ОКПДТР) не содержит таких наименований, применение их вполне допустимо с соблюдением порядка утверждения.