Закупку средств защиты информации производит Управление по защите информации. Если поставляемые средства защиты входят в состав средств информатизации (систем), их закупку (заказ разработки) выполняет подразделение, закупающее (заказывающее разработку) по согласованию с Управлением по защите информации.
Ответственность за использование средств защиты информации несут:
за средства защиты коллективного пользования специально назначаемые сотрудники;
за средства защиты индивидуального пользования сотрудники, на рабочих местах которых эти средства установлены;
за сетевые средства защиты администратор сети.
Закрепление средств защиты информации за ответственными за них сотрудниками производится письменным распоряжением руководителя соответствующего подразделения, первый экземпляр которого представляется и хранится в Управлении по защите информации.
Порядок приемки в эксплуатацию средств защиты информации:
средство устанавливается администратором сети на рабочем месте и проверяется в соответствии с инструкцией по эксплуатации;
сотрудник Управления по защите информации и администратор сети производят совместную приемку средства с проверкой функционирования, разрабатывают организационные и технические меры по его эффективному использованию;
сотрудник Управления по защите информации и администратор сети составляют и подписывают совместный Акт о приемке с приложением необходимых материалов и утверждают его у руководителя принимающего подразделения и начальника Управления по защите информации, после чего средство считается принятым в эксплуатацию;
средство защиты информации передается в эксплуатацию назначенному ответственному сотруднику.
Сотрудник, ответственный за средство защиты информации, обязан:
изучить средство в объеме, необходимом для правильной его эксплуатации;
обеспечить установленный порядок использования средства: своевременно включать и выключать его, поддерживать эффективный режим работы;
не допускать несанкционированного применения средства кем бы то ни было, обеспечить его сохранность, сообщать в Управление по защите информации обо всех попытках несанкционированного использования средства или подозрениях на такие попытки;
проводить техническое обслуживание, обеспечивать его исправность, организовывать ремонт в случае выхода из строя и выполнять другие эксплуатационные операции.
Учет средств защиты информации ведется отделом связи Управления по защите информации в отдельном разделе Журнала учета средств информатизации в соответствии с их инвентарными номерами, которые присваиваются им при приемке в эксплуатацию.
3.7. Контроль состояния информационной безопасности
Контроль состояния информационной безопасности проводится с целью проверки ее организации, а также предупреждения и своевременного выявления случаев ее нарушения.
Обязанности по контролю распределяются между исполнительными органами системы информационной безопасности следующим образом:
Управление по защите информации проводит проверки организации и состояния информационной безопасности в подразделениях;
сотрудники контролируют текущее состояние информационной безопасности на своих рабочих местах;
администратор сети повседневно контролирует текущее состояние информационной безопасности в локальной вычислительной сети;
руководители подразделений повседневно контролируют текущее состояние информационной безопасности в своих подразделениях;
сотрудники контролируют текущее состояние информационной безопасности на своих рабочих местах.
Проверки организации и состояния информационной безопасности проводятся Управлением по защите информации в подразделениях и в сетях и могут быть:
плановыми;
внезапными;
по фактам нарушения информационной безопасности.
Плановые проверки проводятся в соответствии с годовым Планом проверок, который составляется на очередной год в декабре текущего года, подписывается Членом Правления Директором по безопасности и защите информации и утверждается Председателем Правления ХХХХ. В ходе плановых проверок должна полностью проверяться вся организация системы информационной безопасности.
Внезапные проверки проводятся Управлением по защите информации в соответствии с внутренними планами работы. Внезапные проверки проводятся по отдельным вопросам организации информационной безопасности.
Плановые проверки проводятся в соответствии с годовым Планом проверок, который составляется на очередной год в декабре текущего года, подписывается Членом Правления Директором по безопасности и защите информации и утверждается Председателем Правления ХХХХ. В ходе плановых проверок должна полностью проверяться вся организация системы информационной безопасности.
Внезапные проверки проводятся Управлением по защите информации в соответствии с внутренними планами работы. Внезапные проверки проводятся по отдельным вопросам организации информационной безопасности.
Проверки по фактам нарушения информационной безопасности проводятся Управлением по защите информации после того, как нарушение устранено. Проверка проводится с целью выявления причин и предпосылок нарушения и выработки мер по предупреждению подобных нарушений в дальнейшем. Проверка проводится в обязательном порядке по каждому факту нарушения независимо от его последствий.