9.3. Начальник отдела безопасности или администратор информационной безопасности несет ответственность за:
руководство и координацию работ по защите информации на объекте информатизации;
организацию выполнения требований по защите информации на объекте информатизации;
обоснованность необходимости создания СЗПДн объекта информатизации;
разработку организационно-распорядительных документов по защите информации на объекте информатизации;
организацию разработки технического задания на создание СЗПДн, подготовку проектов договоров со сторонними организациями на выполнение работ по защите информации на объекте информатизации;
организацию контроля состояния СЗПДн объекта информатизации, соблюдения работниками установленных норм и требований по защите информации;
организацию контроля охраны помещений объекта;
совершенствование СЗПДн.
Он имеет право:
контролировать деятельность структурных подразделений Организации, должностных лиц по выполнению ими требований по защите ПДн;
участвовать в работе различного рода заседаний, комиссий, экспертных групп Организации при рассмотрении вопросов защиты ПДн;
вносить предложения начальнику Организации о приостановке работ с ПДн в случае нарушения требований по защите ПДн;
готовить предложения о привлечении к проведению работ по защите ПДн сторонних организаций, имеющих лицензию на соответствующий вид деятельности.
9.4. Администратор информационной безопасности объекта информатизации Организации несет ответственность за:
сопровождение СрЗИ от несанкционированного доступа;
непосредственное управление режимами работы и административную поддержку функционирования применяемых специальных программных и программно-аппаратных СрЗИ от несанкционированного доступа;
настройку и сопровождение в процессе эксплуатации подсистемы управления доступом;
проверку состояния используемых СрЗИ от несанкционированного доступа, правильности их настройки;
организацию разграничения доступа;
учет и контроль состава и полномочий пользователей;
выполнение требований по обеспечению безопасности при организации технического обслуживания и отправке в ремонт СВТ;
учет, хранение, прием и выдачу персональных идентификаторов и ключевых дискет ответственным исполнителям;
контроль учета, создания, хранения и использования резервных и архивных копий массивов данных.
Он обязан:
разрабатывать проекты годовых планов работ по защите ПДн в Организации, предусматривающих задачи структурным подразделениям по решению конкретных вопросов защиты ПДн, организацию их выполнения, а также контроль за их эффективностью;
организовывать разработку и согласование методической документации по защите ПДн;
согласовывать мероприятия по защите ПДн в ИСПДн с начальником Организации;
определять степень опасности технических каналов утечки информации, различных способов НСД к ПДн, их разрушения (уничтожения) или искажения;
определять необходимые меры по защите ПДн, организовывать их разработку и реализацию;
организовывать аттестацию ИСПДн;
организовывать проведение периодического контроля эффективности мер защиты ПДн, учет и анализ результатов контроля;
организовывать расследования нарушений в области защиты ПДн и разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений;
анализировать состояние работ по защите ПДн и разрабатывать предложения по совершенствованию системы защиты ПДн в Организации;
организовывать проведение занятий с работниками Организации по вопросам защиты информации.
9.5. Системный администратор объекта информатизации несет ответственность за:
выбор типа и версии серверных и клиентских операционных систем, установку, настройку, сопровождение операционных систем серверов;
обновление справочного и антивирусного программного обеспечения;
реализацию совместно с администратором информационной безопасности сетевой политики безопасности;
настройку аппаратной и программной составляющей серверного, коммутационного, телекоммуникационного оборудования, средств аппаратной безопасности сегментов, сетевого периферийного оборудования;
регистрацию пользователей и предоставление им прав доступа к сетевым информационным ресурсам, регистрацию компьютеров в сети;
реализацию адресной и маршрутной политики сети;
реализацию политики антивирусной защиты;
обеспечение работоспособности структурированной кабельной сети;
архивирование, резервное копирование информации;
ведение аудита системных событий и безопасности;
оперативное управление работой сети;
контроль физической сохранности средств и оборудования сети.
9.6. Начальники отделов, эксплуатирующих объект информатизации, несут ответственность за:
выполнение требований по защите информации на объекте информатизации;
осуществлять постоянный контроль за подчиненными, разъяснять и требовать от подчиненных выполнения требований нормативных правовых актов по вопросам защиты ПДн;
ведение необходимой документации объекта информатизации;
правильность определения пользователям своего подразделения необходимости и прав доступа к защищаемым информационным ресурсам.
9.7. Пользователи АС объекта информатизации несут ответственность за:
соблюдение мер по защите информации и правил эксплуатации СВТ;
обеспечение сохранности СВТ, машинных носителей информации и целостность установленного программного обеспечения;
соблюдение установленных требований по обращению с машинными носителями информации.
9.8. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, гражданско-правовой, административной, уголовной и иной предусмотренной законодательством РФ ответственности.
9.9. В случае замеченных нарушений требований данного положения работником, последний обязан немедленно сообщить об этом своему непосредственному руководителю, администратору информационной безопасностилибо начальнику отдела безопасности.
9.10. Отдел информационных технологий при эксплуатации и развертывании ИСПДн проводит следующие работы:
по согласованию с начальниками отделов проводит анализ возможности решения определенных задач на ИСПДн и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;
установку (развертывание, обновление версий) программных средств, необходимых для решения в ИСПДн конкретных задач;
удаление (затирание) программных пакетов, необходимость в использовании которых отпала;
установку (развертывание) новых ИСПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач.
9.11. Отдел безопасности при эксплуатации и развертывании ИСПДн проводит следующие работы:
организовывает аттестацию и контрольные проверки ИСПДн;
устанавливает и вводит в эксплуатацию средства защиты ПДн в соответствии с эксплуатационной и технической документацией к ним;
организовывает в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПДн и разрабатывает предложения по устранению недостатков и предупреждению подобного рода нарушений;
проводит анализ возможности решения (а также совмещения) указанных задач в конкретных ИСПДн (с точки зрения обеспечения безопасности) и принимает решение об отнесении их к той или иной группе по степени защищенности;
9.12. Любые планируемые изменения в составе основных или вспомогательных технических средств, изменения в системе электропитания, связи, заземления или конструкции ИСПДн должны быть в обязательном порядке согласовываться с отделом безопасности.
9.13. Иные права и обязанности работников Организации приведены в соответствующих положениях об отделах и должностных регламентах работников.
9.14 Права субъекта ПДн определяются гл. 3 Федерального закона «О персональных данных «от 27.07.2006 N 152-ФЗ.
9.15. Эксплуатация ИСПДн осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписанием на эксплуатацию технических средств, а также требованиями соответствующих документов по вопросам защиты ПДн.
10. Планирование работ по защите персональных данных
10.1. Основные мероприятия и работы по защите ПДн в ИСПДн Организации являются составной частью плана основных мероприятий по защите информации в Организации, разрабатываемого на очередной календарный год.