Положення про відділ захисту інформації
- 1. Загальні положення відділу захисту інформації
1.1. Відділ захисту інформації є самостійним структурним підрозділом підприємства.
1.2. Відділ створюється і ліквідується наказом директора підприємства.
1.3. Відділ підкоряється безпосередньо директору підприємства.
1.4. Керівництво відділу:
1.4.1. Відділ очолює начальник відділу захисту інформації, призначуваний на посаду наказом директора підприємства.
1.4.2 Начальник відділу захисту інформації має ____ заступника (ів).
1.4.3 Обов'язки заступника (ів) визначаються (розподіляються) начальником відділу захисту інформації.
1.4.4. Заступник(и) і керівники структурних підрозділів у складі відділу захисту інформації, інші працівники відділу призначаються на посади і звільняються з посад наказом директора підприємства за наданням начальника відділу по захисту інформації.
- 2. Структура відділу по захисту інформації
2.1. Структуру і штатну кількість відділу стандартизації затверджує директор підприємства виходячи з умов і особливостей діяльності підприємства за наданням начальника відділу захисту інформації і за узгодженням з
|
|
|
(відділом кадрів; відділом організації й оплати праці)
|
2.2. До складу відділу входять
|
|
|
(структурні підрозділи, групи фахівців і ін.) |
2.3. Начальник відділу по захисту інформації розподіляє обов'язки між співробітниками відділу і затверджує їхні посадові інструкції.
- 3. Задачі і функції підрозділу
|
№ |
Задачі |
Функції |
|
3.1 |
Комплексний захист інформації на підприємстві. |
Розробка і впровадження організаційних і технічних заходів щодо комплексного захисту інформації на підприємстві щодо робіт, зміст яких є державною чи комерційною таємницею. Забезпечення дотримання режиму проведених робіт і збереження конфіденційності документованої інформації. Забезпечення конфіденційності переговорів, бесід і нарад закритого характеру. Розробка проектів поточних і перспективних планів роботи. Організація, координація і виконання робіт із захисту інформації, розробка технічних засобів контролю. Забезпечення взаємодії і необхідної кооперації співвиконавців робіт з питань організації і проведення науково-дослідних і дослідно-конструкторських робіт. Організація і контроль виконання планових завдань, договірних зобов'язань, а також термінів, повноти і якості робіт, виконуваних співвиконавцями. Висновок угод на роботи із захисту інформації. Розробка і вживання заходів із забезпечення фінансування робіт, у тому числі виконуваних за угодами. Участь у розробці технічних завдань на виконувані підприємством дослідження і розробки. Визначення цілей і постановка задач по створенню безпечних інформаційних технологій, що відповідають вимогам комплексного захисту інформації. Проведення спеціальних досліджень і контрольних перевірок за виявленням демаскуючих ознак, можливих каналів витоку інформації, у тому числі по технічних каналах, і розробка заходів для їхнього усунення і запобігання. Складання актів і іншої технічної документації про ступінь захищеності технічних засобів і приміщень. Контроль за дотриманням нормативних вимог по захисту інформації. Забезпечення комплексного використання технічних засобів, методів і організаційних заходів. Розгляд застосовуваних і пропонованих методів захисту інформації, проміжних і кінцевих результатів досліджень і розробок. Узгодження проектної й іншої технічної документації на новозведені будинки і спорудження, а також ті, що реконструюються, щодо виконання вимог по захисту інформації. Раціональне використання і забезпечення збереженості апаратури, приладів і іншого устаткування. Забезпечення високого науково-технічного рівня робіт, ефективності і якості досліджень і розробок. Контроль за виконанням передбачених заходів, аналіз матеріалів контролю, виявлення порушень. Розробка і реалізація заходів для усунення виявлених недоліків по захисту інформації. Проведення атестації об'єктів, приміщень, технічних засобів, програм, алгоритмів щодо відповідності вимогам захисту інформації відповідних класів безпеки. Розробка регламенту допуску співробітників підприємства до окремих каналів інформації, плану захисту інформації, положень про визначення ступеня захищеності ресурсів автоматизованих систем. Вибір, установка, настроювання й експлуатація систем захисту відповідно до організаційно-розпорядницьких документів. Пошук інформації про можливі недоліки, виявлення й усунення недоліків в інформаційних системах. Формування Переліку відомостей, що складають комерційну таємницю, а також Переліку відомостей, що є державною таємницею. Одержання у встановленому порядку ліцензій на виконання робіт у сфері захисту інформації. Складання і надання у встановленому порядку звітності. Ведення діловодства відповідно до встановленого порядку. Дотримання діючих інструкцій з режиму робіт і вживання своєчасних заходів з попередження порушень. Забезпечення відповідності проведених робіт техніці безпеки, правилам і нормам охорони праці. |
- Регламентуючі документи
4.1. Зовнішні документи:
Законодавчі і нормативні акти.
4.2. Внутрішні документи:
Стандарти ЦО, Устав підприємства, Положення про підрозділ, Посадова інструкція, Правила внутрішнього трудового розпорядку.
5. Взаємодія відділу по захисту інформації з іншими підрозділами
Для виконання функцій і реалізації прав, передбачених дійсним положенням, відділ по захисту інформації взаємодіє:
|
№ |
Підрозділ |
Одержання |
Надання |
|
5.1 |
З відділом кадрів |
- особистих справ співробітників підприємства; - відомостей про кандидатів на посади фахівців із захисту інформації; - відомостей про кандидатів на посади фахівців, що виконують роботи, зміст яких є комерційною чи державною таємницею; - ...
|
- оцінок діяльності працівників підприємства і дотримання ними режиму робіт, зміст яких є комерційною чи державною таємницею; - відомостей про порушення і порушників режиму доступу до інформації; - характеристик на працівників, що є винуватцями витоку, ушкодження інформації; - пропозицій і рекомендацій з пошуку фахівців, у посадові обов'язки яких входить робота з інформацією, що є державною чи комерційною таємницею; - встановлених обмежень за медичними показниками для здійснення роботи з використанням відомостей, що є державною чи комерційною таємницею; |
|
5.2 |
З відділом організації й оплати праці |
- розрахунків фондів оплати праці; - копій посадових інструкцій на працівників, що виконують роботи, зміст яких є комерційною чи державною таємницею; - пропозицій по закріпленню в посадових інструкціях і інших кадрових документах підвищеного ступеня відповідальності за недотримання окремими фахівцями обов'язків по використанню інформації, що є комерційною чи державною таємницею, в неслужбових цілях; - ...
|
- проектів зобов'язань працівників про нерозголошення відомостей, що є державною чи комерційною таємницею; - проектів письмової згоди фахівців підприємства на часткові, тимчасові обмеження їхніх прав; - переліку видів, розмірів і порядку надання пільг і доплат працівникам, допущеним до відомостей, що є комерційною чи державною таємницею (процентних надбавок до заробітної платні, переважного права за інших рівних умов на залишення на роботі при проведенні організаційних і (чи) штатних заходів, ін.); - копій прийнятих керівником підприємства рішень про допуск працівника до відомостей, що складають державну чи комерційну таємницю; - пам'яток працівникам підприємства про збереження комерційної таємниці підприємства для узгодження і видачі працівникам підприємства; - звітів про витрати фонду заробітної платні; |
|
5.3 |
З відділом підготовки кадрів |
- підсумків заліків, іспитів працівників, що пройшли навчання в навчальних центрах перекваліфікації працівників підприємства; - ...
|
- пропозицій про направлення співробітників відділу на курси підвищення кваліфікації, а також у навчальні центри, на курси для вивчення нових технологій захисту інформації; |
|
5.4 |
З фінансовим відділом |
- фінансових і кредитних планів з додатком оцінки ступеня конфіденційності і переліком керівників підрозділів і фахівців, яким ці документи потрапляють у розпорядження; - інформації про підготовку до торгів чи аукціонів, їхніх результати, умови комерційних контрактів, платежів і послуг, відомостей про методи розрахунків, системи ціноутворення, рівні цін на продукцію, відомостей про інвестиції, для вживання заходів по їхньому захисту; |
- визначення потреби підрозділу в устаткуванні, матеріальних, фінансових і інших ресурсах, необхідних для проведення робіт; - переліку заходів для захисту фінансової й економічної інформації; - ...
|
|
5.5 |
З юридичним відділом |
з питань: - перевірки відповідності закону обмежень, прийнятих відділом по захисту інформації; - розробки порядку залучення до відповідальності працівників і сторонніх осіб, винних у розголошенні відомостей, що є комерційною і службовою таємницею, витоку інформації, ушкодженню інформаційних баз підприємства; |
з питань: - перевірки відповідності закону обмежень, прийнятих відділом по захисту інформації; - розробки порядку залучення до відповідальності працівників і сторонніх осіб, винних у розголошенні відомостей, що є комерційною і службовою таємницею, витоку інформації, ушкодженні інформаційних баз підприємства; - ... |
|
5.6 |
З усіма виробничими і технологічними підрозділами, що виконують роботи, зміст яких складає державну чи комерційну таємницю |
- відомостей про плани чи розширення згортання виробництва різних видів продукції; - відомостей про особливості використовуваних і розроблюваних технологій і специфіку їхнього застосування; - іншій інформації, що підлягає захисту; - списків співробітників підприємства, що виконують роботи, пов'язані з використанням інформації, що є комерційною чи державною таємницею; |
- звітів про порядок і стан організації захисту комерційної таємниці; - даних про захищеність інформаційних баз підприємства від несанкціонованого доступу; - оцінки надійності захисту інформації підприємства, переданої контрагентам у рамках договірних відносин; - оцінки ділових і моральних якостей співробітників підрозділів; - ...
|
- Права відділу захисту інформації
Відділ захисту інформації має право:
6.1. Здійснювати контроль за діяльністю структурних підрозділів підприємства по виконанню ними вимог інформаційної безпеки.
6.2. Давати структурним підрозділам підприємства й окремих фахівців обов'язкові для виконання вказівки з питань, що входять у компетенцію відділу.
6.3. Вимагати й одержувати від структурних підрозділів відомості, довідкові й інші матеріали, необхідні для здійснення діяльності відділу.
6.4. Вести самостійне листування з державними і муніципальними органами по правових питаннях.
6.5. Представляти у встановленому порядку підприємство в органах державної влади, інших установах і організаціях, з питань, що входять у компетенцію відділу.
6.6. Вживати заходів при виявленні несанкціонованого доступу до інформації як усередині підприємства, так і зовні і доповідати про вжиті заходи керівнику підприємства з наданням інформації про суб'єкти, що порушили режим доступу.
6.7. За узгодженням з керівником підприємства чи заступником директора підприємства з комерційних питань залучати експертів і фахівців зі сфери захисту інформації для консультацій, підготовки висновків, рекомендацій і пропозицій.
- Відповідальність відділу захисту інформації
7.1. Відповідальність за належне і своєчасне виконання функцій відділу несе начальник відділу захисту інформації.
7.2. На нього, зокрема, покладається персональна відповідальність у випадку:
7.2.1. Незабезпечення збереженості прийнятих на збереження під відповідальність програмних і технічних коштів.
7.2.2. Незабезпечення збереженості прийнятої інформації і вірогідності переданої.
7.2.3. Несвоєчасного, а також неякісного виконання документів і доручень керівництва підприємства.
7.2.4. Допущення використання інформації співробітниками відділу в неслужбових цілях.
7.2.5. Неналежного контролю за режимом доступу до інформації, що спричинило витік інформації, ушкодження інформаційних баз даних.
7.2.6. Недотримання трудового розпорядку співробітниками відділу.
7.3. Відповідальність співробітників відділу захисту інформації встановлюється посадовими інструкціями.
- Заключні положення
8.1. При виявленні невідповідності якого-небудь пункту положення реальному стану справ у відділі по захисту інформації керівником відділу, співробітником або іншою особою необхідно звернутися в
|
|
|
(службу персоналу, відділ кадрів, експертну комісію з положень і посадових інструкцій тощо) |
із заявкою на внесення змін і доповнень у положення. (Форму заявки надано в Додатку 1).
8.2. Внесена пропозиція розглядається підрозділом, зазначеним у п. 8.1. цього положення, протягом одного місяця від дня подачі заявки.
За результатами розгляду виноситься рішення:
- прийняти зміни чи доповнення,
- відправити на доопрацювання (із зазначенням терміну доопрацювання і виконавця),
- відмовити у прийнятті внесеної пропозиції (у цьому випадку заявнику надсилається обґрунтована відмова в письмовому вигляді).
8.3. Внесення змін і доповнень у положення затверджується
|
|
|
(заступником генерального директора, генеральним директором тощо) |
За наданням
|
|
|
(менеджера з персоналу, начальника відділу кадрів, керівника експертної комісії з Положень і посадових інструкцій тощо) |
|
Керівник структурного підрозділу |
|
|
|
|
|
(підпис) |
(прізвище, ініціали) |
|
УЗГОДЖЕНО: |
|
||
|
Начальник юридичного відділу |
|
||
|
|
|
|
|
|
(підпис) |
(прізвище, ініціали) |
|
|
|
|
|
|
|
|
00.00.2000 |
|
|
|
|
|
|
|
|
|
З інструкцією ознайомлений: |
|
|
|
|
|
(підпис) |
(прізвище, ініціали) |
|
|
|
00.00.00 |
|
|