2014-10-30
4511
Общий макет положения о подразделении по защите информации представлен на рис.1.
Рис. 1. Макет о подразделении по защите информации
Наименование организации составившей документ, должно соответствовать тому, которое закреплено в учредительных документах.Если в учредительных документах закреплено сокращенное наименование, его также указывают в документе, но помещают (в скобках) ниже полного наименования.В том случае, если составителем является обособленное структурное подразделение организации (филиал[2], представительство[3]), его наименование располагают ниже наименования организации.
Положение о подразделении по защите информации утверждает руководитель организации или его заместитель, имеющий на то право. Положение о подразделении по защите информации в составе основной структурнойединицы (например, отделапо защите информации в составе службы по защите информации) может утверждать руководитель основного подразделения, если такое полномочие отражено в егодолжностной инструкции или в положении о возглавляемом им подразделении по защите информации.
|
|
|
Подразделение по защите информации является структурным подразделением организации — официально выделенный орган управления частью организации с самостоятельными задачами, функциями и ответственностью за выполнение возложенных на него задач, т.е. структурной единицей организации, не обладающей полными признаками юридического лица и не являющимися обособленными подразделениями организации.
Различают следующие виды структурных подразделений по защите информации:
1. Служба по защите информации.
2. Отдел по защите информации.
3. Отделение по защите информации.
4. Лаборатория по защите информации.
5. Сектор (группа) по защите информации.
Служба по защите информации – это централизованно управляемая совокупность структурных подразделений по защите информации, объединенных общими целями, функциями и объектами управления.
Лаборатория по защите информации – структурное подразделение по защите информации, осуществляющее исполнительные и организационно-распорядительные функциипо исследованию вопросов защиты информации, возможностей реализации средств и технологий защиты информации.
Отдел(отделение) по защите информации –функциональное структурное подразделение по защите информации, осуществляющее исполнительные и организационно-распорядительные функции, отнесенные к его ведению в пределах всех направлений (одного из направлений) деятельности по защите информации в соответствии с общими целями и задачами организации.
Сектор (группа) по защите информации – структурное подразделение отдела по защите информации, осуществляющее исполнительную деятельность, возглавляемое главным специалистом и объединяющее двух и более специалистов в одном тематическом направления деятельности отдела по защите информации.
|
|
|
Создание того или иного подразделения по защите информации зависит от различных факторов. Прежде всего, это штатная численность работников по защите информации. Обоснование создания подразделения по защите информации, как правило, увязывается с нормативами его численности, которые как раз и предназначены для определения необходимой численности работников того или иного подразделения по защите информации,установления должностных обязанностей, распределения работы между исполнителями[4].
Нормативы штатной численности работников организация определяет самостоятельно[5].
Теперь кратко о наименовании структурного подразделения по защите информации. Оно содержит указание вида подразделения и основное его функциональное направление, например, «Отдел по защите информации от несанкционированного доступа».
Прейдем к рассмотрению содержаний разделов «Положения».
Содержание раздела «Общие положения». В данном разделе отражаются:
1. Место подразделения по защите информации в структуре организации. Как ранее было сказано подразделение по защите информации может быть как самостоятельным, так и входить в состав более крупной структурной единицы. Например, отдел по защите информации является самостоятельным структурным подразделением, а в его составмогут входить более мелкие подразделения по защите информации - секторы, группы по защите информации.
2. Порядок создания и ликвидации подразделения по защите информации. Как правило, подразделение по защите информации создается по приказу руководителя организации. Однако решение о создании подразделения по защите информации поможет приниматься и учредителями. Если в первом случае распорядительным документом является приказ, то во втором — это может быть протокол собрания учредителей или решение.
3. Подчиненность подразделения по защите информации. В зависимости от того, насколько самостоятельно подразделение по защите информации, определяется его подчиненность.
Как правило, подразделенияпо защите информации подчиняются начальнику службы безопасности организации – заместителю начальника организации. Если же у руководителя организации нет заместителей, на которых возлагается обязанность управления подразделениями по защите информации, то подразделение по защите информации ему подчиняется напрямую.
В том случае, если подразделение по защите информации входит в состав более крупного подразделения по защите информации, то оно подчиняется руководителю этого подразделения.
4. Руководство подразделением по защите информации. Этот подраздел положения по защите информации может содержать только один пункт, адресованный руководству. Например, «Отдел по защите информации возглавляет начальник». В том случае, если разработчики положения о подразделении по защите информации хотят ограничиться одним предложением, то следует указать и порядок назначения на должность руководителя данным подразделением, например: «Отдел по защите информации возглавляет начальник, назначаемый приказом руководителя организации».
Между тем, руководство подразделением по защите информации не ограничивается указанием руководящего лица. Дело в том, что положение о подразделении по защите информации - это своего рода должностная инструкция руководителя данного подразделения. Поэтому здесь можно указать квалификационные требования к руководителю (образование, стаж, квалификационную категорию), наличие заместителей, их количество, порядок распределения между ними должностных обязанностей. Поэтому в ряде положений по защите информации руководству подразделениями посвящены целые разделы, в которых указываются обязанности и права руководителя подразделения и определяется его персональная ответственность.
|
|
|
5. Основополагающие организационно-правовые документы, которыми руководствуется подразделение по защите информациив своей деятельности. В зависимости от того, какие функции выполняет подразделение, определяется и перечень внешних и внутренних документов.
6. Иное. В положениях о подразделениях по защите информации может приводиться перечень основных понятий и определений, т.к.они выполняют специфические функции и трактовка основных понятий и определений особенно необходима для работников других подразделений или должностных лиц подразделения по защите информации, выполняющих работы, не связанные с основными задачами подразделения.
Содержание раздела «Структура». Здесь необходимо отобразить структуру подразделения по защите информации, указать порядок ее формирования и утверждения. Первоначальное предложение о дроблении подразделения на более мелкие функциональные единицы, как правило, вносится руководителем подразделения по защите информации. Оно согласовывается с отделом организации и оплаты труда, отделом кадров и представляется должностному лицу, которому подчиняется подразделение по защите информации, либо напрямую руководителю организации для утверждения.
Необходимость отраженияв положении о подразделении по защите информациипорядка формирования и утверждения структуры подразделения объясняется тем, что в процессе деятельности подразделения по защите информации его структура может пересматриваться, и, соответственно, изменяться вплоть до полного упразднения.
Порядок утверждения штатной численности подразделения по защите информации практически тот же. Между тем, штатная численность подразделения может утверждаться тем же приказом (решением), что и само подразделение, и оформляться в виде приложения к положению.
|
|
|
Структуру подразделения по защите информации можно отразить различными способами. Прежде всего – это текстовой способ. Так, пункт о структуре отдела по защите информации в организацииможет быть следующим.
«Всоставслужбыпо защите информациивходятследующиеподразделения: отдел инженерно-технической защиты, отдел защиты от несанкционированного доступа.
Структуру подразделения по защите информации можно также представить в виде схемы, в которой отражены его структурные единицы и, по возможности, указаны взаимосвязи между ними.
Не всегда структурное подразделение по защите информации может подвергаться дроблению. В этом случае в разделе «Структура» указывают либо группы специалистов по защите информации, выполняющих работы по отдельным направлениям защиты информации, либо отдельных специалистов по защите информации. При выполнении конкретных функций группам по защите информации могут присваиваться определенные наименования (например, «Группа защиты информации от несанкционированного доступа в составе отдела по защите информации»). Возглавляется группа, как правило, главным (ведущим) специалистом или специалистом более высокой категории по должностному наименованию в данной группе.
В этом же разделе следует отразить порядок утверждения положений о структурных единицах подразделения по защите информации, распределения обязанностей между работниками данного подразделения, утверждения должностных (функциональных) инструкций работников и т.д.
Содержание раздела «Задачи». В этом разделе перечисляются основные задачи, решаемые подразделением по защите информации и определяющие направление его деятельности.
Задачи подразделения по защите информации можно определить из функций руководителей структурных подразделений по защите информации, которые можно узнать из квалификационных характеристик руководителей структурных подразделений по защите информации. Например:
«1. Предотвращение утечки сведений, составляющих коммерческую тайну организации.
2. Предотвращение хищения, утраты носителей сведений, составляющих коммерческую тайну организации.
3. Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации при их обработке на АРМах организации.
4. Предотвращение различных форм незаконного вмешательства в информационные ресурсы и системы организации.
5. Обеспечение правового режима документированной информации как объекта собственности данных, имеющихся в информационных системах;
6. Сохранение, конфиденциальности документированной информации организации в соответствии с законодательством».
Или:
«1. Своевременное выявление угроз защищаемым сведениям организации, причин и условий их возникновения и реализации.
2. Выявление и максимальное перекрытие потенциально возможных каналов утечки и методов несанкционированного доступа к конфиденциальным сведениям организации.
3. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности конфиденциальным сведениям организации.
4. Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальныхсведений».
Задачи подразделения по защите информации могут и «выходить» за пределы должностных обязанностей его руководителя. Чаще всего это имеет место при создании объединенных подразделений по защите информации (например, службы по защите информации). В этом случае задачи объединяются.
Если в состав подразделения по защите информации входят структурные подразделения, отвечающие за отдельные направления по защите информации, то задачи по защите информации регламентируются подробно для того, чтобы затем, в соответствии с каждой из выделенных задач, можно было определить функции каждой такогоструктурного подразделения.
Содержание раздела «Функции». Здесь перечисляются основные действия или работы, которые должно выполнять подразделение по защите информации для решения поставленных перед ним задач. Например:
I. «Для выполнения задачи по обеспечению защиты информации от разглашения сведений, составляющих коммерческую тайну, на службу защиты информации возложены следующие функции:
1.
2. и т.д.».
II. «1.5. Защита сведений, составляющих коммерческую тайну, от утечки осуществляется по следующим направлениям:
- от разглашения;
- от несанкционированного доступа при обработке на АРМах;
- от технических средств разведки».
Содержание этого раздела может в полной мере основываться на квалификационной характеристике руководителя структурного подразделения по защите информации, пункт «Должностные обязанности».
В то же время именно в этом разделе положения должна отражаться специфика организации. Поэтому, наряду с общими функциями подразделения по защите информации, необходимо подробно определить специальные функции по защите информации, обусловленные деятельностью организации.
В ряде положений о подразделениях по защите информации следует подробно расписать и каждую функцию, и способы ее реализации. При этом надо не забыть об очередности выполнения каждой функции.
Содержание раздела «Права». Здесь приводится перечень прав как самого подразделения по защите информации, так и его руководителя. Права подразделения по защите информации делятся на общие и специальные.
Общие праваподразделения по защите информации следующие:
1. Даватьструктурнымподразделениямпо защите информации,отдельнымспециалистам по защите информацииуказанияповопросам, входящимвкомпетенциюподразделения по защите информации.
2. Требоватьиполучатьотдругихструктурныхподразделенийорганизациинеобходимыедокументыиматериалы (информацию) повопросам, входящимвкомпетенциюподразделения по защите информации.
3. Вестиперепискуповопросам, входящимвкомпетенциюподразделения по защите информации, атакжеподругимвопросам, нетребующимсогласованиясруководителеморганизации.
4. Представительствоватьотимениорганизацииповопросам, относящимсяккомпетенцииподразделения по защите информации, вовзаимоотношенияхсгосударственнымиимуниципальнымиорганами, атакжесдругимипредприятиями, организациями, учреждениями.
5. Проводитьсовещанияповопросам, входящимвкомпетенциюподразделения по защите информации, иучаствоватьвтакихсовещаниях.
6. Внеобходимыхслучаях, прирешениивопросов, связанныхспоручениемруководстваорганизации, привлекатьвустановленномпорядкексовместнойработесотрудниковдругихподразделенийорганизации.
7. Даватьразъяснения, рекомендациииуказанияповопросам, входящимвкомпетенциюподразделения по защите информации.
Специальные праваподразделения по защите информации зависят от его функций и задач и, по сути своей, представляют собой обязанности. Например:
«Служба защиты информации имеет право:
1. Осуществлять контроль за деятельностью структурных подразделений по выполнению ими требований по безопасности информации.
2.Принимать меры при обнаружении несанкционированного доступа к сведениям, составляющим коммерческую тайну, как внутри организации, так извне, и докладывать о принятых мерах руководителю организации с представлением сведений о субъектах, нарушивших режим доступа».
В разделе «Права» можно отразить и такой вопрос, как согласование с подразделением по защите информации отдельных документов. Например, «Проектыприказов, положений, инструкцийидругихдокументов, затрагивающихвопросыэкономическойработы, структурныхединицподразделенияиштатов, подлежатобязательномусогласованиюспланово-экономическимотделом».
Теперь о правах руководителя подразделенияпо защите информации. Поскольку в своей деятельности он руководствуется положением о подразделении по защите информации, необходимо более подробно определить его функциональные права. В перечень основных его прав могут входить, например, следующие:
1. Вноситьруководствупредложенияоперемещенииработниковподразделения по защите информации, ихпоощрениизауспешнуюработу, атакжепредложенияоналожениидисциплинарныхвзысканийнаработников, нарушающихтрудовую дисциплину.
2. Знакомитьсяспроектамирешенийруководства, касающихсядеятельностиподразделения по защите информации.
3. Выноситьнарассмотрениеруководителяорганизациипредложения поулучшениюдеятельностиорганизацииисовершенствованиюметодов работыколлектива, замечанияподеятельностидругихструктурныхподразделений организации.
Среди прав руководителя структурного подразделения по защите информации необходимо отразить и перечень документов, визируемых или подписываемых руководителем, например:
Начальникслужбы защит информациивизируетвседокументы, связанныесвопросами защиты информации.
Разработчики положения о подразделении по защите информации по согласованию с самим подразделением, могут оформить перечень визируемых или подписываемых руководителем данного подразделения документов в виде отдельного приложения.
