ПОЛОЖЕННЯ ПРО СЛУЖБУ ЗАХИСТУ ІНФОРМАЦІЇ

За основу даного документа взято НД ТЗІ 1.4–001-2000, тому дана редакція максимально наближена до НД, але під час створення КСЗІ необхідно враховувати особливості ОЕОТ.

ПОЛОЖЕННЯ ПРО СЛУЖБУ ЗАХИСТУ ІНФОРМАЦІЇ

1.ГАЛУЗЬ ВИКОРИСТАННЯ

Даний документ регламентує діяльність СЗІ в інформаційно-телекомунікаційних системах (далі – ІТС або АС).

Вимоги цього документу є обов'язковими для СЗІ, підрозділів і окремих співробітників, які здійснюють діяльність, пов'язану зі створенням та обслуговуванням КСЗІ, підтримкою визначеного режиму роботи з інформацією, що циркулює і обробляється в АС.

2.ВИЗНАЧЕННЯ

В цьому документі використані терміни та визначення, встановлені ДСТУ 3396.2-96 «Захист інформації. Технічний захист інформації. Терміни та визначення», НД ТЗІ 1.1-003-99 «Термінологія у галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу» та ДСТУ 2226-93 «Автоматизовані системи. Терміни та визначення».

3.НОРМАТИВНІ ПОСИЛАННЯ

У цьому положенні наведено посилання на такі нормативні документи:

-Закон України «Про інформацію»;

-Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»;

-Закон України «Про захист персональних даних»;

-Кодекс законів про працю України (КЗпП);

-Концепція технічного захисту інформації в Україні, затверджена постановою Кабінету Міністрів України від 08.10.97 р., № 1126;

-Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27.09.99 р. №1229;

-НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22;

-НД ТЗІ 1.1-003-99 Термінологія у галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22;

-НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22;

-НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. №22;

-НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення системи захисту інформації в автоматизованій системі, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99. р. № 22;

-НД ТЗІ 1.4–001-2000 Типове положення про службу захисту інформації в автоматизованій системі, затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 04.12.2000 р. № 53.

4.ЗАГАЛЬНІ ПОЛОЖЕННЯ 

4.1 Дане Положення є нормативним документом Служби захисту інформації (СЗІ) і визначає завдання, функції, штатну структуру СЗІ, повноваження та відповідальність співробітників служби, взаємодію з іншими підрозділами та зовнішніми організаціями.

4.2 СЗІ створюється на підставі наказу директора.

4.3 Метою створення СЗІ є організаційне забезпечення завдань керування КСЗІ АС та здійснення контролю за її функціонуванням. На СЗІ покладається виконання робіт з визначення вимог із захисту інформації АС, приймання участі у проектуванні та розробленні, експлуатації, обслуговуванні, підтримки працездатності, проведенні модернізацій АС, а також контролюванні стану захищеності інформації в ІТС.

5.ЗАВДАННЯ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ

Завданнями СЗІ є:

-забезпечення виконання в АС послуг конфіденційності, цілісності, доступності та спостереженості інформації, що циркулює в АС; 

-дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, внесення змін до моделі загроз; 

-дотримання вимог політики безпеки інформації, проведення заходів, спрямованих на її реалізацію;

-організація та координація робіт, пов’язаних із захистом інформації в АС, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;-розроблення нормативних і розпорядчих документів, чинних у межах АС, згідно з якими повинен забезпечуватися захист інформації в АС;

-організація та участь у роботах зі створення і використання КСЗІ на всіх етапах життєвого циклу АС;

-участь в організації професійної підготовки і підвищенні кваліфікації персоналу АС та користувачів функціональних підсистем АС з питань захисту інформації;

-формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів АС, що стосуються сфери захисту інформації;-проведення профілактичних заходів спрямованих на попередження та виявлення загроз інформаційним ресурсам АС;

-забезпечення та контроль виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів із захисту інформації АС.

6.ФУНКЦІЇ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ

6.1 Функції під час створення КСЗІ:

-визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об’єктів захисту в АС, класифікація інформації за важливістю для визначення необхідних рівнів захищеності інформації, порядку введення (виведення), використання та розпорядження інформацією в АС;

-участь в розробці та коригування моделі загроз інформації в АС, політики безпеки інформації АС;

-визначення і формування вимог до КСЗІ;

-організація і координація робіт з проектування та розробки КСЗІ, приймання безпосередньої участі у проектних роботах зі створення КСЗІ;

7. ПОВНОВАЖЕННЯ ТА ВІДПОВІДАЛЬНІСТЬ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ

7.1. ПраваСЗІ має право:

-здійснювати контроль за діяльністю будь-якого структурного підрозділу щодо виконання ним вимог нормативно-правових актів і нормативних документів з захисту інформації в АС;

-подавати керівництву підрозділів пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки у випадку виявлення порушень політики безпеки або реальних загроз її порушення;

-складати і подавати керівництву підрозділів акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення;-проводити службові розслідування у випадках виявлення порушень;

-готувати пропозиції з обґрунтуваннями щодо залучення на договірній основі до виконання робіт з захисту інформації інших організацій, які мають ліцензії на відповідний вид діяльності;-готувати пропозиції щодо забезпечення КСЗІ необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення інформаційної безпеки.

7.2 Обов’язки СЗІ зобов’язана:

-організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів з захисту інформації в АС;

-вчасно і в повному обсязі доводити до персоналу і користувачів АС інформацію про зміни в галузі захисту інформації, які їх стосуються;-перевіряти на відповідність внутрішній політиці безпеки прийняті правила та інструкції щодо обробки інформації, здійснювати контроль за виконанням цих вимог;

-здійснювати контрольні перевірки стану захищеності інформації в АС;

-забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС.

7.3 Відповідальність

7.3.1 Керівництво та співробітники СЗІ за невиконання або неналежне виконання службових обов’язків та допущені ними порушення встановленого порядку захисту інформації в АС несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність згідно з законодавством України. Персональна відповідальність керівника та співробітників СЗІ визначається посадовими (функціональними) інструкціями.

7.3.2 Відповідальність за діяльність СЗІ покладається на її керівника. Керівник СЗІ відповідає за:

-організацію робіт з захисту інформації в АС;

-своєчасне виконання Плану захисту інформації;

-якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у цьому Положенні, посадових інструкціях, а також планових заходів з захисту інформації, затверджених керівництвом підрозділів.

8.ВЗАЄМОДІЯ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ З ІНШИМИ ПІДРОЗДІЛАМИ ОРГАНІЗАЦІЇ ТА ЗОВНІШНІМИ ОРГАНІЗАЦІЯМИ

8.1 СЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, що займаються питаннями захисту інформації.

9.ШТАТНИЙ РОЗКЛАД ТА СТРУКТУРА СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ

9.1 СЗІ безпосередньо підпорядковується директору установи. За відсутності директора установи керівник СЗІ приймає рішення пов’язані з захистом інформації самостійно.

9.2 Структура СЗІ, її склад і чисельність визначається фактичними потребами для виконання вимог політики безпеки інформації та затверджується керівництвом. Чисельність і склад СЗІ мають бути достатніми для виконання усіх завдань із захисту інформації в АС. Достатність визначається та затверджуються керівництвом.

10.ОРГАНІЗАЦІЯ РОБІТ СЛУЖБИ ЗАХИСТУ ІНФОРМАЦІЇ

10.1 Трудові відносини в СЗІ будуються на основі законодавства України з урахуванням положень та встановлених в установі норм техніки безпеки праці, інших розпорядчих документів установи.

10.2 СЗІ здійснює свою роботу з реалізації основних організаційних та організаційно-технічних заходів зі створення і забезпечення функціонування КСЗІ у відповідності з планами робіт.