Куперс

Бухучет и анализ

Требования по защите информации на абонентских пунктах

Зарегистрирован в Минюсте РФ 13 октября 2010 г. Регистрационный N 18704

В соответствии с пунктом 3 постановления Правительства Российской Федерации от 18 мая 2009 г. N 4241 приказываем:

1. Утвердить прилагаемые Требования о защите информации, содержащейся в информационных системах общего пользования.

2. Контроль за исполнением настоящего приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.

Директор Федеральной службы безопасности Российской Федерации А. Бортников

Директор Федеральной службы по техническому и экспортному контролю С. Григоров

1 Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573.

Приложение

Требования о защите информации, содержащейся в информационных системах общего пользования

1. Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации1 (далее — информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.

2. Информационные системы общего пользования должны обеспечивать:

сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее — целостность информации);

беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее — доступность информации);

защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих, в том числе к уничтожению, модификации и блокированию информации (далее — неправомерные действия).

3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.

5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.

5.1. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.

5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.

6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.

7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.

Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.

9. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.

11. В информационных системах общего пользования должны быть обеспечены:

поддержание целостности и доступности информации;

предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

своевременное обнаружение фактов неправомерных действий в отношении информации;

недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;

возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

проведение мероприятий по постоянному контролю за обеспечением их защищенности;

возможность записи и хранения сетевого трафика.

12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:

определение угроз безопасности информации, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;

проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание системы их защиты.

13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.

15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.

17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:

17.1. В информационных системах общего пользования I класса:

использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;

осуществление регистрации действий обслуживающего персонала и пользователей;

обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;

использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

17.2. В информационных системах общего пользования II класса:

использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;

осуществление регистрации действий обслуживающего персонала;

обеспечение частичного резервирования технических средств и дублирования массивов информации;

использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

1 Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).

Содержание комплекта GTS 1035 v2

  1. GTS 0001 Политика информационной безопасности
  2. GTS 0002 Концепция обеспечения информационной безопасности
  3. GTS 0003 Положение о службе информационной безопасности
  4. GTS 0004 План защиты информационных активов от несанкционированного доступа
  5. GTS 0005 Правила обеспечения безопасности при работе пользователей в корпоративной сети
  6. GTS 0006 План обеспечения непрерывности бизнеса и Аварийные процедуры
  7. GTS 0007 Политика резервного копирования и восстановления данных
  8. GTS 0008 Политика управления доступом к ресурсам корпоративной сети
  9. GTS 0009 Политика управления инцидентами информационной безопасности
  10. GTS 0010 Политика обеспечения безопасности удаленного доступа
  11. GTS 0011 Политика обеспечения безопасности при взаимодействии с сетью Интернет
  12. GTS 0012 Политика антивирусной защиты
  13. GTS 0013 Парольная политика
  14. GTS 0014 Политика аудита информационной безопасности
  15. GTS 0015 Политика контроля состояния СУИБ со стороны руководства
  16. GTS 0016 Политика контроля эффективности СУИБ
  17. GTS 0017 Процедура планирования и реализации превентивных и корректирующих мер
  18. GTS 0018 Политика обеспечения безопасности платежных систем организации
  19. GTS 0019 Политика установки обновлений программного обеспечения
  20. GTS 0020 Руководство по защите конфиденциальной информации
  21. GTS 0021 Процедура управления документами и записями
  22. GTS 0022 Регламент использования мобильных устройств
  23. GTS 0023 Регламент работы с цифровыми носителями конфиденциальной информации
  24. GTS 0024 Политика контроля защищенности корпоративной сети
  25. GTS 0025 Политика инвентаризации информационных активов
  26. GTS 0026 Политика обеспечения физической безопасности помещений и оборудования
  27. GTS 0027 Политика обеспечения пропускного и внутриобъектового режима
  28. GTS 0028 Политика в области обучения и повышения осведомленности персонала по ИБ
  29. GTS 0029 Политика обеспечения ИБ при взаимодействии с третьими сторонами
  30. GTS 0030 Политика предотвращения утечки информации по каналам связи
  31. GTS 0031 Политика обеспечения безопасности электронного документооборота
  32. GTS 0032 Политика обеспечения целостности информационных активов
  33. GTS 0033 Технический стандарт безопасности ИТ-инфраструктуры
  34. GTS 0034 Политика регистрации и мониторинга событий ИБ
  35. GTS 0035 Политика обеспечения безопасности при разработке ПО
  36. GTS 0036 Политика обеспечения безопасного хранения защищаемой информации
  37. GTS 0037 Регламент администрирования сетевого оборудования

Типовые документы для внедрения системы управления информационной безопасностью организации

В основе организационных мер защиты информации лежат политики безопасности. В современной практике термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова. В широком смысле, политика безопасности определяется как система документированных управленческих решений по обеспечению безопасности организации. В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения безопасности. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения безопасности при взаимодействии с сетью Интернет» и т.п.

Разработка политик безопасности собственными силами – длительный и трудоемкий процесс, требующий высокого профессионализма, отличного знания нормативной базы в области безопасности и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Большинство организаций не располагают собственными людскими ресурсами, необходимыми для квалифицированной разработки и внедрения политик безопасности. Отыскать готовые политики безопасности, которые бы оказались применимыми в вашей организации, соответствовали бы ее структуре и требованиям безопасности нереально. Несмотря на доступность соответствующих, в основном англоязычных, ресурсов в сети Интернет, они зачастую являются непригодными для практического использования.

Мы предоставляем набор регулярно обновляемых шаблонов типовых организационно-распорядительных документов в формате MS Word, которые могут использоваться для разработки локальной нормативной базы организации в области информационной безопасности (политик, инструкций, концепций, положений, стандартов, регламентов и т.п.). Все предлагаемые документы успешно прошли стадию практического внедрения.

Эти документы необходимы любой организации для разработки локальной нормативной базы в области информационной безопасности (политик, процедур, инструкций, концепций, положений, стандартов, регламентов, планов, протоколов и т.п.) при внедрении системы управления информационной безопасностью, документировании процессов и требований безопасности, распределении ролей и назначении ответственных за безопасность. Все разрабатываемые GlobalTrust документы в обязательном порядке проходят практическую апробацию и являются завершенными рабочими документами.

Особенности второй редакции комплекта GTS 1035 v2

Вторая редакция комплекта типовых документов по информационной безопасности GTS 1035 v2, доступная для приобретения с начала 2015 года, существенным образом усовершенствована и дополнена по сравнению с предыдущими редакциями, в том числе:

  • Исправлены ошибки, улучшена структура и оформление документов
  • Унифицирован понятийный и терминологический аппарат
  • Актуализировано и дополнено содержание документов с целью приведения их в соответствие с современными нормативными документами и стандартами ИБ
  • Добавлено более десятка новых современных политик безопасности и приложений к ним
  • Учтены замечания и предложения, полученные от клиентов GlobalTrust

Приобретение комплектов документов

Приобрести комплект документов по информационной безопасности GTS 1035 v2, а также стандарты, руководства, книги, инструменты и методики, которые легли в основу его разработки, можно в интернет-магазине GTrust.ru. Поставка документов осуществляется в электронном виде в формате MS Word на CD-ROM или по e-mail.

Поддержка внедрения

Мы обеспечиваем полную поддержку внедрения системы управления информационной безопасностью (СУИБ) организации, предоставляя услуги по обучению, консалтингу, аудиту и аутсорсингу.

Онлайн поддержка внедрения и консультации по документам на форуме портала ISO27000.ru

Правила лицензирования

Лицензирование шаблонов типовых документов по информационной безопасности производится по количеству систем управления информационной безопасностью (СУИБ), в рамках которых производится использование этих шаблонов. Одна лицензия дает право использования шаблонов в одной организации в рамках одной СУИБ.

Компаниям, предполагающим использование шаблонов документов для оказания услуг другим организациям, требуется приобрести специальную консалтинговую лицензию, либо отдельно приобретать лицензии для каждой организации с учетом скидки на количество приобретаемых лицензий.

УТВЕРЖДАЮ

(наименование предприятия,

(руководитель предприятия

организации, учреждения)

организации, учреждения)

ПОЛОЖЕНИЕ

00.00.0000

№ 00

(подпись)

(фамилия, инициалы)

00.00.0000

Об отделе по защите

информации

I. Общие положения

1. Отдел по защите информации является самостоятельным* структурным подразделением предприятия.

*Отдел по защите информации может входить в состав службы безопасности предприятия.

2. Отдел создается и ликвидируется приказом директора предприятия.

3. Отдел подчиняется непосредственно директору предприятия.

4. Отдел возглавляет начальник, назначаемый на должность приказом директора предприятия.

5. В своей деятельности отдел руководствуется:

5.1. Уставом предприятия.

5.2. Настоящим положением.

5.3. …

6. …

II. Структура

1. Состав и штатную численность отдела по защите информации утверждает директор предприятия исходя из условий и особенностей деятельности предприятия по представлению начальника отдела и по согласованию с ____________________ (отделом кадров; отделом организации и оплаты труда)

2. В состав отдела входят группы специалистов*: инженеров по защите информации, инженеров-программистов, инженеров-электроников, техников-программистов, техников по защите информации, отвечающих за отдельные на-правления в работе (за анализ состояния информационных баз, определение требований к защищенности различных подсистем автоматизированной системы предприятия и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам обеспечения информационной безопасности; за эффективное применение и администрирование штатных для операционных систем и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных систем).

*Следует помнить, что применяемые на практике наименования «Администратор средств защиты, контроля и управления безопасностью», «Системный администратор», «Аналитик по вопросам технической защиты информации и компьютерной безопасности» вводить в положение об отделе, должностные инструкции и иные кадровые документы не следует. Дело в том, что Общероссийский классификатор профессий рабочих, должностей служащих и тарифных разрядов (ОКПДТР) не содержит таких наименований и, соответственно, их применение до внесения изменений в ОКПДТР недопустимо.

3. Начальник отдела по защите информации распределяет обязанности между сотрудниками отдела и утверждает их должностные инструкции.

4. …

III. Задачи

1. Комплексная защита информации на предприятии.

2. …

IV. Функции

1. Разработка и внедрение организационных и технических мероприятий по комплексной защите информации на предприятии по работам, содержание которых составляет государственную или коммерческую тайну.

2. Обеспечение соблюдения режима проводимых работ и сохранения конфиденциальности документированной информации.

3. Обеспечение конфиденциальности переговоров, бесед и совещаний закрытого характера.

4. Разработка проектов текущих и перспективных планов работы.

5. Организация, координация и выполнение работ по защите информации, разработка технических средств контроля.

6. Обеспечение взаимодействия и необходимой кооперации соисполнителей работ по вопросам организации и проведения научно-исследовательских и опытно-конструкторских работ.

7. Организация и контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ, выполняемых соисполнителями.

8. Заключение договоров на работы по защите информации.

9. Разработка и принятие мер по обеспечению финансирования работ, в том числе выполняемых по договорам.

10. Участие в разработке технических заданий на выполняемые предприятием исследования и разработки.

11. Определение целей и постановка задач по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации.

12. Проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков, возможных каналов утечки информации, в том числе по техническим каналам, и разработка мер по их устранению и предотвращению.

13. Составление актов и другой технической документации о степени защищенности технических средств и помещений.

14. Контроль за соблюдением нормативных требований по защите информации.

15. Обеспечение комплексного использования технических средств, методов и организационных мероприятий.

16. Рассмотрение применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов исследований и разработок.

17. Согласование проектной и другой технической документации на вновь строящиеся и реконструируемые здания и сооружения в части выполнения требований по защите информации.

18. Рациональное использование и обеспечение сохранности аппаратуры, приборов и другого оборудования.

19. Обеспечение высокого научно-технического уровня работ, эффективности и качества исследований и разработок.

20. Контроль за выполнением предусмотренных мероприятий, анализ материалов контроля, выявление нарушений.

21. Разработка и реализация мер по устранению выявленных недостатков по защите информации.

22. Проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности.

23. Разработка регламента допуска сотрудников предприятия к отдельным каналам информации, плана защиты информации, положений об определении степени защищенности ресурсов автоматизированных систем.

24. Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.

25. Поиск информации о появившихся уязвимостях, обнаружение и устранение уязвимостей в информационных системах.

26. Формирование Перечня сведений, составляющих коммерческую тайну, а также Перечня сведений, отнесенных к государственной тайне.

27. Получение в установленном порядке лицензий на выполнение работ в сфере защиты информации.

28. Составление и представление в установленном порядке отчетности.

29. Ведение делопроизводства в соответствии с установленным порядком.

30. Соблюдение действующих инструкций по режиму работ и принятие своевременных мер по предупреждению нарушений.

31. Обеспечение соответствия проводимых работ технике безопасности, правилам и нормам охраны труда.

32. …

V. Права

Отдел по защите информации имеет право:

1. Осуществлять контроль за деятельностью структурных подразделений предприятия по выполнению ими требований информационной безопасности.

2. Давать структурным подразделениям предприятия и отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию отдела.

3. Запрашивать и получать от структурных подразделений сведения, справочные и другие материалы, необходимые для осуществления деятельности отдела.

4. Вести самостоятельную переписку с государственными и муниципальными органами по правовым вопросам.

5. Представлять в установленном порядке предприятие в органах государственной власти, иных учреждениях и организациях, по вопросам, входящим в компетенцию отдела.

6. Принимать меры при обнаружении несанкционированного доступа к информации как внутри предприятия, так и извне и докладывать о принятых мерах руководителю предприятия с представлением информации о субъектах, нарушивших режим доступа.

7. По согласованию с руководителем предприятия или заместителем директора предприятия по коммерческим вопросам привлекать экспертов и специалистов в сфере защиты информации для консультаций, подготовки заключений, рекомендаций и предложений.

8. …

9. …

VI. Взаимоотношения (служебные связи)

Для выполнения функций и реализации прав, предусмотренных настоящим положением, отдел по защите информации взаимодействует:

1. С отделом кадров по вопросам:

1.1. Получения:

— личных дел сотрудников предприятия;

— сведений о кандидатурах на должности специалистов по защите информации;

— сведений о кандидатурах на должности специалистов, выполняющих работы, содержание которых является коммерческой или государственной тайной;

— …

1.2. Представления:

— оценок деятельности работников предприятия и соблюдения ими режима работ, содержание которых является коммерческой или государственной тайной;

— сведений о нарушениях и нарушителях режима доступа к информации;

— характеристик на работников, явившихся виновниками утечки, повреждения информации;

— предложений и рекомендаций по поиску специалистов, в должностные обязанности которых входит работа с информацией, являющейся государственной или коммерческой тайной;

— установленных ограничений по медицинским показаниям для осуществления работы с использованием сведений, составляющих государственную или коммерческую тайну;

— …

2. С отделом по организации и оплаты труда по вопросам:

2.1. Получения:

— расчетов фондов оплаты труда;

— копий должностных инструкций на работников, выполняющих работы, содержание которых является коммерческой или государственной тайной;

— предложений по закреплению в должностных инструкциях и иных кадровых документах повышенной степени ответственности за несоблюдение отдельными специалистами обязанностей по использованию информации, являющейся коммерческой или государственной тайной в неслужебных целях;

— …

2.2. Предоставления:

— проектов обязательств работников о неразглашении сведений, являющихся государственной или коммерческой тайной;

— проектов письменного согласия специалистов предприятия на частные, временные ограничения их прав;

— перечня видов, размеров и порядка предоставления льгот и доплат работникам, допущенным к сведениям, являющимся коммерческой или государственной тайной (процентных надбавок к заработной плате, преимущественного права при прочих равных условиях на оставление на работе при проведении организационных и (или) штатных мероприятий, пр.);

— копий принятых В руководителем предприятия решений о допуске работника к сведениям, составляющим государственную или коммерческую тайну;

— памяток работникам предприятия о сохранении коммерческой тайны предприятия для согласования и выдачи работникам предприятия;

— отчетов о расходовании фонда заработной платы;

— …

3. С отделом подготовки кадров по вопросам:

3.1. Получения:

— итогов зачетов, экзаменов работников, прошедших обучение в учебных центрах по переквалификации работников предприятия;

— …

3.2. Предоставления:

— предложений о направлении сотрудников отдела на курсы повышения квалификации, а также в учебные центры, на курсы для изучения новых технологий защиты информации;

— …

4. С финансовым отделом по вопросам:

4.1. Получения:

— финансовых и кредитных планов с приложением оценки степени конфиденциальности и перечнем руководителей подразделений и специалистов, которым эти документы попадают в распоряжение;

— информации о подготовке к торгам или аукционам, их результатах, условиях коммерческих контрактов, платежей и услуг, сведений о методах расчетов, системах ценообразования, уровнях цен на продукцию, сведений об инвестициях, для принятия мер по их защите;

— …

4.2. Предоставления:

— определения потребности подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ;

— перечня мер по защите финансовой и экономической информации;

— …

5. С юридическим отделом по вопросам:

— проверки соответствия закону ограничений принимаемых отделом по защите информации;

— разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся коммерческой и служебной тайной, утечке информации, повреждении информационных баз предприятия;

— …

6. Со всеми производственными и технологическими подразделениями, выполняющими работы, содержание которых составляет государственную или коммерческую тайну, по вопросам:

6.1. Получения:

— сведений о планах расширения или свертывания производства различных видов продукции;

— сведений об особенностях используемых и разрабатываемых технологий и специфике их применения;

— прочей информации, подлежащей защите;

— списков сотрудников предприятия, выполняющих работы, связанные с использованием информации, являющийся коммерческой или государственной тайной;

— …

6.2. Предоставления:

— отчетов о порядке и состоянии организации защиты коммерческой тайны;

— данных о защищенности информационных баз предприятия от несанкционированного доступа;

— оценки надежности защиты информации предприятия, переданной контрагентам в рамках договорных отношений;

— оценки деловых и моральных качеств сотрудников подразделений;

— …

7. С

по вопросам:

(наименование структурного подразделения)

7.1. Получения:

— …

— …

7.2. Предоставления:

— …

— …

VII. Ответственность

1. Ответственность за надлежащее и своевременное выполнение функций отдела несет начальник отдела по защите информации.

2. На него, в частности, возлагается персональная ответственность в случае:

2.1. Необеспечения сохранности принятых на ответственное хранение программных и технических средств.

2.2. Необеспечения сохранности принимаемой информации и достоверности передаваемой.

2.3. Несвоевременного, а также некачественного исполнения документов и поручений руководства предприятия.

2.4. Допущения использования информации сотрудниками отдела в неслужебных целях.

2.5. Ненадлежащего контроля за режимом доступа к информации, повлекшего утечку информации, повреждение информационных баз данных.

2.6. Несоблюдения трудового распорядка сотрудниками отдела.

2.7. …

2.8.

3. Ответственность сотрудников отдела по защите информации устанавливается олжностными инструкциями.

4. …

(руководитель структурного

(подпись)

(фамилия, инициалы)

подразделения)

00.00.0000

СОГЛАСОВАНО

(должностное лицо, с которым

согласовывается Положение)

(подпись)

(фамилия, инициалы)

00.00.0000

Начальник юридического отдела

(подпись)

(фамилия, инициалы)

00.00.0000

В начало

Интересные материалы:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Наверх