Положение об отделе информационной безопасности пример

Политики информационной безопасности компании

Положение об отделе информационной безопасности пример

Политикой информационной безопасности (ИБ) называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.

За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации).

Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать. Хотя не все из этих документов в итоге становятся эффективными.

Ниже мы рассмотрим все составляющие политики информационной безопасности и определим основные аспекты, которые необходимы для ее эффективности.

Для чего нужна формализация защиты информации

Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора – организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.

Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных).

Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации.

Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.

Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации.

Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем.

Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.

Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.

В DLP-системах политика безопасности – алгоритм проверки перехвата на соблюдение внутренних ИБ-правил. Для «КИБ СёрчИнформ» разработано 250 готовых политик безопасности, которые предназначены компаниям из разных сфер.

Несостоявшиеся политики

Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.

Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.

Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным.

Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д.

Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.

К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений.

Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой».

Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение.

В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.

Разработка эффективной системы информационной безопасности

Для создания эффективной системы информационной безопасности должны быть разработаны:

  • концепция информационной безопасности (определяет в целом политику, ее принципы и цели);
  • стандарты (правила и принципы защиты информации по каждому конкретному направлению);
  • процедура (описание конкретных действий для защиты информации при работе с ней: персональных данных, порядка доступа к информационным носителям, системам и ресурсам);
  • инструкции (подробное описание того, что и как делать для организации информационной защиты и обеспечения имеющихся стандартов).

Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.

Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.

Структура концепции защиты

Сразу заметим: концепция информационной защиты не тождественна стратегии. Первая статична, в то время как вторая – динамична.

Основными разделами концепции безопасности являются:

  • определение ИБ;
  • структура безопасности;
  • описание механизма контроля над безопасностью;
  • оценка риска;
  • безопасность информации: принципы и стандарты;
  • обязанности и ответственность каждого отдела, управления или департамента в осуществлении защиты информационных носителей и прочих данных;
  • ссылки на иные нормативы о безопасности.

Помимо этого не лишним будет раздел, описывающий основные критерии эффективности в сфере защиты важной информации. Индикаторы эффективности защиты необходимы, прежде всего, топ-менеджменту.

Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы.

Ответственному за организацию безопасности также необходимо знать четкие критерии оценки эффективности ИБ, дабы понимать, каким образом руководство будет оценивать его работу.

Перечень основных требований к документации по безопасности

Политику безопасности надо формулировать с учетом двух основных аспектов:

  1. Целевая аудитория, на которую рассчитана вся информация по безопасности – руководители среднего звена и рядовые сотрудники не владеют специфической технической терминологией, но должны при ознакомлении с инструкциями понять и усвоить предоставляемую информацию.
  2. Инструкция должна быть лаконичной и при этом содержать всю необходимую информацию о проводимой политике. Объемный «фолиант» никто подробно изучать не будет, а тем более запоминать.

Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:

  • они должны быть составлены простым русским языком, без использования специальных технических терминов;
  • текст по безопасности должен содержать цели, пути их достижения с указанием назначения меры ответственности за несоблюдение ИБ. Все! Никакой технической или иной специфической информации.

Организация и внедрение ИБ

После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:

  • ознакомить коллектив с утвержденной политикой обработки информации;
  • знакомить с данной политикой обработки информации всех новых работников (например, проводить информационные семинары или курсы, на которых предоставлять исчерпывающие разъяснения);
  • тщательно изучить имеющиеся бизнес-процессы ради обнаружения и минимизации рисков;
  • активно участвовать в продвижении новых бизнес-процессов, дабы не стать безнадежно отстающим в сфере ИБ;
  • составить подробные методические и информационные материалы, инструкции, дополняющие политику обработки информации (например, правила предоставления доступа к работе в Интернете, порядок входа в помещения с ограниченным доступом, перечень информационных каналов, по которым можно передавать конфиденциальные данные, инструкция по работе с информсистемами и т. д.);
  • раз в три месяца пересматривать и корректировать доступ к информации, порядок работы с ней, актуализировать принятую по ИБ документацию, постоянно мониторить и изучать существующие угрозы ИБ.

Развертывание DLP-системы в компании также требует бумажной подготовки. Чтобы ускорить процесс внедрения системы компании, у которых нет выделенной ИБ-службы, могут воспользоваться услугой аутсорсинг информационной безопасности. 

Лица, пытающиеся получить несанкционированный доступ к информации

В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.

Потенциальные внешние нарушители:

  1. Посетители офиса.
  2. Ранее уволенные сотрудники (особенно те, кто ушел со скандалом и знает, как получить доступ к информации).
  3. Хакеры.
  4. Сторонние структуры, в том числе конкуренты, а также криминальные группировки.

Потенциальные внутренние нарушители:

  1. Пользователи компьютерной техники из числа сотрудников.
  2. Программисты, системные администраторы.
  3. Технический персонал.

Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала – создать незарегистрированную точку входа и выхода из ЛВС.

Каждый из случаев – утечка информации.

В первом случае достаточно выработать правила поведения персонала в офисе, во втором – прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.

При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.

Мы уверены в своих продуктах и предоставляем для тестирования полнофункциональные версии ПО.

Источник: https://searchinform.ru/products/kib/politiki-informatsionnoj-bezopasnosti/

Как разработать Положение об отделе

Положение об отделе информационной безопасности пример

Положение об отделе – локальный нормативный акт, которым устанавливается статус и функционал внутреннего структурного подразделения организации. Этим документам также определяются зоны ответственности, что облегчает адресацию управляющих решений и контроль их выполнения.

Вид внутренней организационно-распорядительной документации – положение об отделе

В структуру любой организации входят отдельные подразделения, в функции которых входит управление отдельными участками и видами деятельности.

Перед каждым таким структурным подразделением (отделом) руководство предприятия ставит свои задачи и определяет свою зону ответственности.

Но все эти отделы, составляющие организацию, взаимосвязаны между собою и являются частью единого управленческого и производственного механизма. Регламентируется деятельность каждого из этих структурных подразделений локальным нормативным актом – положением об отделе.

Такие внутренние организационно-распорядительные документы разрабатываются для всех структурных подразделений предприятия, в том числе, отделов, рабочих групп, служб, лабораторий, бюро. Положением об отделе определяется:

  • порядок формирования подразделения;
  • правовой и административный статус в общей иерархии предприятия;
  • стоящие перед ним цели и задачи;
  • функционал;
  • горизонтальные и вертикальные взаимосвязи с другими структурными подразделениями;
  • зона ответственности как подразделения в целом, так и его руководителя.

Разработка положения об отделе позволяет конкретизировать функционал и выполняемые подразделением задачи. В итоге утверждение таких локальных нормативных актов позволяет равномерно распределить функции между подразделениями и исключить их дублирование.

Это выгодно всем. Исполнители — руководитель и сотрудники каждого отдела получают четкое представление о задачах и функциях подразделения, зонах его ответственности. Руководство предприятия,в свою очередь, получает возможность конкретной адресации управленческих решений и контроля их выполнения.

Обратите внимание! Чем более подробно прописаны в положении об отделе его функции и задачи, тем белее оптимальным будет распределение поручений руководства и эффективнее работа всего предприятия в целом.

Кто занимается разработкой положения об отделе

Если обратиться к Квалификационному справочнику должностей руководителей, специалистов и других служащих, утвержденному постановлением Минтруда России от 21.08.

1998 № 37, разработка  положений о структурных подразделениях входит в перечень задач, стоящих перед отделами организации и оплаты труда. Но такие подразделения имеются даже не на каждом крупном предприятии.

Поэтому на практике чаще всего положения об отделах разрабатываются специалистами службы по персоналу и кадров.

Но, даже когда такая обязанность будет вменена этим службам, к разработке положений об отделах необходимо в обязательном порядке привлечь руководителей соответствующих структурных подразделений, юридической или правовой службы.

Структурные подразделения могут и сами разрабатывать свои положения об отделе. Но в этом случае на предприятии предварительно необходимо разработать и утвердить методические указания.

В них должны быть установлены единые правила и требования, в соответствии с которыми подразделения смогут составить и оформить свои положения об отделах.

В этом случае удастся обеспечить единообразие всех таких локальных нормативных актов.

Однако, при описании в положениях об отделах подчиненности, определении горизонтальных и вертикальных связей и зон ответственности все равно потребуется согласованная работа с привлечением представителей других подразделений. Поэтому, как правило, общее руководство при разработке таких регламентов осуществляется руководителем предприятия или его заместителем, курирующем административные вопросы.

Как разработать положение об отделе

В действующем законодательстве не содержится упоминаний о таком виде организационно-распорядительных документов, как положение об отделе. Не упоминается оно и в числе локальных нормативных актов, которые работодатель должен разработать в обязательном порядке.

Поэтому, если руководство предприятия пришло к мнению о необходимости разработки положений об отделах или других структурных подразделений, оно вправе самостоятельно определять круг вопросов, которые этими актами будут регламентироваться.

Источник: https://www.sekretariat.ru/article/211186-razrabotat-polojenie-ob-otdele-17-m12

Начальник отдела по защите информации

Положение об отделе информационной безопасности пример

Вы можете скачать должностную инструкцию начальника отдела по защите информации бесплатно. Должностные обязанности начальника отдела по защите информации

Утверждаю

_____________________________                                                      (Фамилия, инициалы)

(наименование организации, ее                                        ________________________________

организационно – правовая форма)                              (директор; иное лицо, уполномоченное

утверждать должностную инструкцию)

00.00.201_г.

м.п.

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ

НАЧАЛЬНИКА ОТДЕЛА ПО ЗАЩИТЕ ИНФОРМАЦИИ

——————————————————————-

(наименование учреждения)

00.00.201_г. №00

I. Общие положения

1.1. Данная должностная инструкция устанавливает права, ответственность и должностные обязанности начальника отдела по защите информации __________________________________________________ (далее – «предприятие»). Название учреждения

1.2. Начальник отдела по защите информации относится к категории руководителей.

1.3. Лицо, назначаемое на должность начальника отдела по защите информации должен иметь высшее профессиональное (техническое) образование и стаж работы по защите информации на инженерно-технических и руководящих должностях не менее _________ лет.

1.4. Назначение на должность начальника отдела по защите информации и освобождение от неё осуществляется на основании приказа директора предприятия.

1.5. Подчиняется начальник отдела по защите информации непосредственно _________________________________________.

1.6. Если начальник отдела по защите информации отсутствует, то временно его обязанности исполняет лицо, назначенное в установленном порядке, которое несёт полную ответственность за надлежащее исполнение возложенных на него должностных обязанностей.

1.7. В своей деятельности начальник отдела по защите информации руководствуется:

– уставом предприятия и настоящей должностной инструкцией;

– методическими материалами по указанным вопросам;

– Положением об отделе по защите информации;

– приказами и распоряжениями директора предприятия и непосредственного руководителя;

– законодательными и нормативными актами, регулирующими вопросы о конфиденциальной информации

1.8. Начальник отдела по защите информации должен знать:

– перспективы развития, специализацию и направления деятельности предприятия и его подразделений;

– специфику выпускаемой на предприятиях отрасли продукции и технологические особенности ее изготовления;

– характер взаимодействия подразделений в процессе исследований и разработок и порядок прохождения служебной информации;

– организацию комплексной защиты информации в отрасли, на предприятии;

– законодательство о государственной тайне и защите информации;

– постановления правительства, определяющие основные направления экономического и социального развития отрасти;

– нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;

– перспективы и направления развития технических средств защиты информации;

– методы и средства контроля охраняемых сведений;

– выявления каналов утечки информации, организацию технической разведки;

– порядок финансирования;

– методы планирования и организации проведения научных исследований и разработок;

– выполнения работ по защите информации;

– порядок заключения договоров на проведение специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;

– правила и нормы охраны труда;

– экономику, организацию производства, труда и управления;

– системы оплаты труда и материального стимулирования;

– достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации.

II. Функции

На начальника отдела по защите информации возлагаются следующие функции:

2.1. Составление установленной отчетности.

2.2. Контроль за соблюдением нормативных требований по надежной защите информации.

2.3.Обеспечение эффективности и качества исследований и разработок в области защиты информации.

2.4.Подбор кадров, оценка деятельности и аттестации работников подразделения.

2.5.Принятие мер по повышению квалификации и творческой активности работников.

2.6.Обеспечение здоровых и безопасных условий труда для подчиненных работников.

2.7. Контроль за соблюдением работниками требований законодательных и нормативных правовых актов по охране труда.

2.8. Руководство отделом по защите информации.

2.9. Осуществление заключения договоров на работы по защите информации

III. Должностные обязанности

Начальник отдела по защите информации исполняет следующие должностные обязанности:

3.1. Руководство проведением работ по организации, координации, методическому руководству и контролю за их выполнением по вопросам защиты информации и разработкой технических средств контроля, определение перспектив их развития.

3.2. Организация разработки и внедрения организационных и технических мероприятий по комплексной защите информации на предприятиях, ведущих работы, содержание которых составляет государственную или коммерческую тайну.

3.3. Обеспечение соблюдения режима проводимых работ и сохранения конфиденциальности документированной информации.

3.4. Руководство разработкой проектов перспективных и текущих планов работы, составлением отчетов об их выполнении.

3.5. Совершенствование планирования, контроля и организации выполнения работ.

3.6. Обеспечение использования в них достижений отечественной и зарубежной науки и техники, передового опыта.

3.7. Организация работы по заключению договоров на работы по защите информации.

3.8. Принятие мер по обеспечению финансирования работ, в том числе выполняемых по договорам.

3.9. Обеспечение взаимодействия и необходимой кооперации соисполнителей работ по вопросам организации и проведения научно-исследовательских и опытно-конструкторских разработок.

3.10. Организация и контроль выполнения плановых заданий, договорных обязательств, а также сроки, полноту и качество работ, выполняемых соисполнителями.

3.11. Обеспечение участия в разработке технических заданий на выполняемые на предприятии исследования и разработки.

3.12. Формулирование целей и задач работы по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации.

3.13. Контроль за выполнением предусмотренных мероприятий,

3.14 Анализ материалов контроля, выявление нарушений.

3.15. Разработка и участие в реализации мер по устранению выявленных недостатков по защите информации.

3.16.Организация проведения специальных исследований и контрольных проверок по выявлению демаскирующих признаков и возможных каналов утечки информации, в том числе по техническим каналам, разработка мер по их устранению и предотвращению, а также работы по составлению актов и другой технической документации о степени защищенности технических средств и помещений.

3.17. Руководство работниками подразделения.

3.18. Осуществление рациональной расстановки кадров с учетом квалификации и деловых качеств работников, принятие мер по повышению их квалификации и творческой активности.

3.19. Согласование проектной и другой технической документации на вновь строящиеся и реконструируемые здания и сооружения в части выполнения требований по защите информации.

3.20. Контроль за безопасным проведением работ, за соблюдением правил и норм охраны труда.

3.21. Обеспечение выполнения плановых заданий с наименьшими затратами материальных и финансовых ресурсов, рационального расходования фонда заработной платы.

3.22. Контроль за соблюдением нормативных требований по надлежащей защите информации.

3.23. Обеспечение комплексного использования технических средств, методов и организационных мероприятий.

3.24. Организация рассмотрения применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов исследований и разработок.

3.25. Обеспечение ведения делопроизводства в соответствии с установленным порядком, соблюдения действующих инструкций по режиму работ и своевременно принимать меры по предупреждению нарушений.

3.26. Определение потребностей подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ, и контроль за рациональным использованием и сохранностью аппаратуры, приборов и другого оборудования.

3.27. Обеспечение высокого научно-технического уровня работ, эффективности и качества исследований и разработок.

3.28. Участие в подборе кадров, оценке деятельности и аттестации работников подразделения.

3.29. Организация проведения аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности, обеспечение представления в установленном порядке действующей отчетности.

3.30. Определение направления деятельности подразделений, входящих в состав отдела, организация и координация их работу.

IV. Права

Начальник отдела по защите информации имеет право:

4.1. Обращаться к руководству:

– с требованиями оказания содействия в исполнении своих должностных обязанностей и прав;

– с представлениями о назначении, перемещении, увольнении работников отдела;

– с предложениями об их поощрении или наложении взысканий работников отдела;

– с предложениями по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.

4.2. Знакомиться с проектами решений руководства предприятия, касающимися деятельности отдела.

4.3. Подписывать и визировать документы в пределах своей компетенции.

4.4. Осуществлять взаимодействие с руководителями всех структурных подразделений предприятия, получать информацию и документы, необходимые для выполнения своих должностных обязанностей.

V. Ответственность

Начальник отдела по защите информации несет ответственность:

5.1. В случае причинения материального ущерба, в пределах, которые определены уголовным, гражданским, трудовым законодательством РФ.

5.2. В случае совершения в процессе осуществления своей деятельности правонарушения, в пределах, которые определены уголовным, гражданским, административным законодательством РФ.

5.3. В случае неисполнения или ненадлежащего исполнения своих должностных обязанностей, которые предусмотрены настоящей должностной инструкцией, в пределах, определенных трудовым законодательством РФ.

Руководитель структурного подразделения:       _____________      __________________

                                                                           (подпись)         (фамилия, инициалы)

                                                                                                00.00.201_г.

С инструкцией ознакомлен,

один экземпляр получил:                                        _____________      __________________

                                                                            (подпись)          (фамилия, инициалы)

                                                                                                     00.00.20__г.

Источник: https://www.kaus-group.ru/knowledge/duty/category/safety/material/172/

Адвокат Орлов
Добавить комментарий