ПОЛОЖЕННЯ ПРО СЛУЖБУ ЗАХИСТУ ІНФОРМАЦІЇ
За основу даного документа взято НД ТЗІ 1.4–001-2000, тому дана редакція максимально наближена до НД, але під час створення КСЗІ необхідно враховувати особливості ОЕОТ.
ПОЛОЖЕННЯ ПРО СЛУЖБУ ЗАХИСТУ ІНФОРМАЦІЇ
1.ГАЛУЗЬ ВИКОРИСТАННЯ
Даний документ регламентує діяльність СЗІ в інформаційно-телекомунікаційних системах (далі – ІТС або АС).
Вимоги цього документу є обов'язковими для СЗІ, підрозділів і окремих співробітників, які здійснюють діяльність, пов'язану зі створенням та обслуговуванням КСЗІ, підтримкою визначеного режиму роботи з інформацією, що циркулює і обробляється в АС.
2.ВИЗНАЧЕННЯ
В цьому документі використані терміни та визначення, встановлені ДСТУ 3396.2-96 «Захист інформації. Технічний захист інформації. Терміни та визначення», НД ТЗІ 1.1-003-99 «Термінологія у галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу» та ДСТУ 2226-93 «Автоматизовані системи. Терміни та визначення».
3.НОРМАТИВНІ ПОСИЛАННЯ
У цьому положенні наведено посилання на такі нормативні документи:
-Закон України «Про інформацію»;
-Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»;
-Закон України «Про захист персональних даних»;
-Кодекс законів про працю України (КЗпП);
-Концепція технічного захисту інформації в Україні, затверджена постановою Кабінету Міністрів України від 08.10.97 р., № 1126;
-Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27.09.99 р. №1229;
-НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22;
-НД ТЗІ 1.1-003-99 Термінологія у галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22;
-НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22;
-НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. №22;
-НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення системи захисту інформації в автоматизованій системі, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99. р. № 22;
-НД ТЗІ 1.4–001-2000 Типове положення про службу захисту інформації в автоматизованій системі, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 04.12.2000 р. № 53.
4.ЗАГАЛЬНІ ПОЛОЖЕННЯ
4.1 Дане Положення є нормативним документом Служби захисту інформації (СЗІ) і визначає завдання, функції, штатну структуру СЗІ, повноваження та відповідальність співробітників служби, взаємодію з іншими підрозділами та зовнішніми організаціями.
4.2 СЗІ створюється на підставі наказу директора.
4.3 Метою створення СЗІ є організаційне забезпечення завдань керування КСЗІ АС та здійснення контролю за її функціонуванням. На СЗІ покладається виконання робіт з визначення вимог із захисту інформації АС, приймання участі у проектуванні та розробленні, експлуатації, обслуговуванні, підтримки працездатності, проведенні модернізацій АС, а також контролюванні стану захищеності інформації в ІТС.
5.ЗАВДАННЯ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ
Завданнями СЗІ є:
-забезпечення виконання в АС послуг конфіденційності, цілісності, доступності та спостереженості інформації, що циркулює в АС;
-дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, внесення змін до моделі загроз;
-дотримання вимог політики безпеки інформації, проведення заходів, спрямованих на її реалізацію;
-організація та координація робіт, пов’язаних із захистом інформації в АС, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;-розроблення нормативних і розпорядчих документів, чинних у межах АС, згідно з якими повинен забезпечуватися захист інформації в АС;
-організація та участь у роботах зі створення і використання КСЗІ на всіх етапах життєвого циклу АС;
-участь в організації професійної підготовки і підвищенні кваліфікації персоналу АС та користувачів функціональних підсистем АС з питань захисту інформації;
-формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів АС, що стосуються сфери захисту інформації;-проведення профілактичних заходів спрямованих на попередження та виявлення загроз інформаційним ресурсам АС;
-забезпечення та контроль виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів із захисту інформації АС.
6.ФУНКЦІЇ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ
6.1 Функції під час створення КСЗІ:
-визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об’єктів захисту в АС, класифікація інформації за важливістю для визначення необхідних рівнів захищеності інформації, порядку введення (виведення), використання та розпорядження інформацією в АС;
-участь в розробці та коригування моделі загроз інформації в АС, політики безпеки інформації АС;
-визначення і формування вимог до КСЗІ;
-організація і координація робіт з проектування та розробки КСЗІ, приймання безпосередньої участі у проектних роботах зі створення КСЗІ;
7. ПОВНОВАЖЕННЯ ТА ВІДПОВІДАЛЬНІСТЬ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ
7.1. ПраваСЗІ має право:
-здійснювати контроль за діяльністю будь-якого структурного підрозділу щодо виконання ним вимог нормативно-правових актів і нормативних документів з захисту інформації в АС;
-подавати керівництву підрозділів пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки у випадку виявлення порушень політики безпеки або реальних загроз її порушення;
-складати і подавати керівництву підрозділів акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення;-проводити службові розслідування у випадках виявлення порушень;
-готувати пропозиції з обґрунтуваннями щодо залучення на договірній основі до виконання робіт з захисту інформації інших організацій, які мають ліцензії на відповідний вид діяльності;-готувати пропозиції щодо забезпечення КСЗІ необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення інформаційної безпеки.
7.2 Обов’язки СЗІ зобов’язана:
-організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів з захисту інформації в АС;
-вчасно і в повному обсязі доводити до персоналу і користувачів АС інформацію про зміни в галузі захисту інформації, які їх стосуються;-перевіряти на відповідність внутрішній політиці безпеки прийняті правила та інструкції щодо обробки інформації, здійснювати контроль за виконанням цих вимог;
-здійснювати контрольні перевірки стану захищеності інформації в АС;
-забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС.
7.3 Відповідальність
7.3.1 Керівництво та співробітники СЗІ за невиконання або неналежне виконання службових обов’язків та допущені ними порушення встановленого порядку захисту інформації в АС несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність згідно з законодавством України. Персональна відповідальність керівника та співробітників СЗІ визначається посадовими (функціональними) інструкціями.
7.3.2 Відповідальність за діяльність СЗІ покладається на її керівника. Керівник СЗІ відповідає за:
-організацію робіт з захисту інформації в АС;
-своєчасне виконання Плану захисту інформації;
-якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у цьому Положенні, посадових інструкціях, а також планових заходів з захисту інформації, затверджених керівництвом підрозділів.
8.ВЗАЄМОДІЯ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ З ІНШИМИ ПІДРОЗДІЛАМИ ОРГАНІЗАЦІЇ ТА ЗОВНІШНІМИ ОРГАНІЗАЦІЯМИ
8.1 СЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, що займаються питаннями захисту інформації.
9.ШТАТНИЙ РОЗКЛАД ТА СТРУКТУРА СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ
9.1 СЗІ безпосередньо підпорядковується директору установи. За відсутності директора установи керівник СЗІ приймає рішення пов’язані з захистом інформації самостійно.
9.2 Структура СЗІ, її склад і чисельність визначається фактичними потребами для виконання вимог політики безпеки інформації та затверджується керівництвом. Чисельність і склад СЗІ мають бути достатніми для виконання усіх завдань із захисту інформації в АС. Достатність визначається та затверджуються керівництвом.
10.ОРГАНІЗАЦІЯ РОБІТ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ
10.1 Трудові відносини в СЗІ будуються на основі законодавства України з урахуванням положень та встановлених в установі норм техніки безпеки праці, інших розпорядчих документів установи.
10.2 СЗІ здійснює свою роботу з реалізації основних організаційних та організаційно-технічних заходів зі створення і забезпечення функціонування КСЗІ у відповідності з планами робіт.