совместно с Управлением информационных систем и технологий и заинтересованными подразделениями разрабатывает требования и решения по защите информации для вновь принимаемых в эксплуатацию систем и средств информатизации;
заказывает и закупает специальные средства защиты информации, контролирует и сопровождает их эксплуатацию после внедрения;
контролирует эффективность принимаемых мер по обеспечению информационной безопасности, проводит общую оценку ее состояния;
проводит плановые и внезапные проверки состояния информационной безопасности в подразделениях;
консультирует и обучает сотрудников по вопросам информационной безопасности.
2.2.2. Руководители подразделений
ХХХХ Руководители структурных подразделений ХХХХ несут персональную ответственность за организацию системы информационной безопасности в подчиненном подразделении и решают следующие задачи:
осуществляют руководство работой по обеспечению информационной безопасности в подразделении;
организуют проведение первичного и контрольных информационных обследований подразделения, совместно с начальником Управления по защите информации утверждают Актами результаты информационных обследований;
после согласования с Членом Правления Директором по безопасности принимают решение о предоставлении прав доступа к информации подразделения сотрудникам подчиненного подразделения и передают эти решения администратору сети для реализации;
ходатайствуют перед руководителями других подразделений о предоставлении прав доступа к информации этих подразделений сотрудникам подчиненного подразделения;
совместно с Управлением по защите информации и Управлением информационных систем и технологий участвует в разработке решений по защите информации для вновь принимаемых в эксплуатацию в подразделении объектов информатизации;
готовят и направляют в Управление по защите информации заявки на установку специальных средств защиты информации, обучение сотрудников по вопросам информационной безопасности;
взаимодействуют с Управлением по защите информации по вопросам организации информационной безопасности.
2.2.3. Сотрудники подразделений
ХХХХ Сотрудники подразделений несут ответственность за соблюдение информационной безопасности на закрепленных участках работы. Сотрудники подразделений:
выполняют индивидуальные процедуры получения доступа к объектам информатизации и защищаемой информации;
эксплуатируют пользовательские средства защиты информации, установленные на рабочих местах (если такие имеются);
контролируют состояние информационной безопасности на своих рабочих местах.
2.2.4. Администратор сети
Функции администратора сети возлагаются на штатного сотрудника Управления информационных систем и технологий, в обязанности которого входит администрирование локальной вычислительной сети ХХХХ. По вопросам обеспечения безопасности информации администратор сети подчиняется начальнику Управления по защите информации. Администратор сети:
составляет и ведет информационную схему сети;
проводит совместно с сотрудниками Управления по защите информации первичное и контрольные информационные обследования сети, подписывает протоколы и частные Акты обследований;
эксплуатирует централизованные средства защиты информации в сети (если такие есть);
контролирует выполнение пользователями сети требований информационной безопасности и правильность эксплуатации пользовательских средств защиты информации (если такие есть), принимает меры к устранению недостатков и письменно сообщает о замеченных недостатках начальнику Управления по защите информации;
выполняет технологические операции по предоставлению прав доступа к ресурсам сети пользователям, которым эти права предоставлены решениями руководителей подразделений, согласованными с Управлением по защите информации;
взаимодействует с Управлением по защите информации по всем перечисленным вопросам.
2.3. Информационное обследование
Информационное обследование включает в себя первичное обследование, проводящееся однократно при создании системы информационной безопасности, и контрольные обследования, проводящиеся по мере необходимости актуализации сведений об информационной системе.
Первичное информационное обследование имеет целью составление полной информационной схемы и категорирование информации, объектов информатизации, помещений и сотрудников подразделений ХХХХ.
Обследование состоит в полной проверке всех имеющихся рабочих мест на наличие на них информации, средств информатизации, программных продуктов и составления комплекта документов, содержащих спецификацию этих средств с точки зрения информационной безопасности и закрепляющих их текущее состояние.
Обследование проводится отдельно по подразделениям, а также в локальной вычислительной сети.
Мероприятия обследования подразделения организует руководитель подразделения, а непосредственно проводят сотрудники Управления по защите информации, администратор сети и, при необходимости, сотрудники подразделения. Результатом обследования подразделения являются документы:
1) Информационная схема подразделения (исполняется руководителем подразделения) в составе:
инвентарный план размещения средств информатизации и средств защиты информации подразделения с указанием их технических характеристик;
перечень программных продуктов, установленных на каждом из средств информатизации или доступных с этого средства в сети и информации, обрабатываемой этими программными продуктами;
список сотрудников подразделения с указанием закрепленных за ними средств информатизации и выделенных для них прав доступа;
2) Протоколы категорирования:
информации;
средств информатизации;
помещений подразделения;
сотрудников управления;
3) Протокол выявленных недостатков по обеспечению информационной безопасности с рекомендациями по ее совершенствованию;
4) Частный Акт информационного обследования подразделения, закрепляющий текущее состояние информационной системы, описанное в Информационной схеме, подписываемый администратором сети и сотрудником Управления по защите информации и утверждаемый начальником Управления по защите информации;
5) План устранения недостатков и реализации рекомендаций информационного обследования.
Мероприятия обследования локальной вычислительной сети организует начальник Управления информационных систем и технологий, а непосредственно проводят сотрудники Управления по защите информации и администратор сети. Результатом обследования сети являются документы:
1) Информационная схема локальной вычислительной сети (исполняется администратором сети) в составе:
топологическая схема сети с указанием трасс прокладки кабелей, мест размещения серверов, сетевого оборудования и рабочих станций, привязанная к поэтажному плану здания;
перечень программных продуктов, установленных в сети и информации, обрабатываемой этими программными продуктами;
список пользователей сети с указанием выделенных им прав доступа;
2) Протокол категорирования программных продуктов и информации сети;
3) Протокол выявленных недостатков по обеспечению информационной безопасности с рекомендациями по ее совершенствованию;
4) Частный Акт информационного обследования локальной вычислительной сети, закрепляющий текущее состояние информационной системы, описанное в Информационной схеме, подписываемый администратором сети и сотрудником Управления по защите информации и утверждаемый начальником Управления по защите информации;
5) План устранения недостатков и реализации рекомендаций информационного обследования.
Контрольные информационные обследования проводятся по планам Управления по защите информации и вне планов в случаях:
реорганизации подразделений;
крупных изменений в системе делопроизводства, составе оборудования и программного обеспечения;
перемещений подразделений в другие помещения.
2.4. Категорирование
Категорирование это специальная классификация различных объектов, имеющих отношение к информационной системе ХХХХ, по признаку конфиденциальности используемой информации и, соответственно, требуемого уровня ее защиты. В ходе категорирования все объекты разбиваются на группы (категории), для каждой из которых разрабатывается собственный уникальный комплекс мер защиты.
Категорированию подвергаются:
используемая информация;
средства;
помещения;
сотрудники подразделений.