Задачи и функции органов системы защиты информации на предприятии

В организации, обрабатывающей защищаемую информацию, необходимым является наличие структурного подразделения, в задачи которого входит обеспечение безопасности информации. Регламент данного подразделения, его функции, права и обязанности определены следующими нормативными документами:

• «Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)». (Одобрено решением Гостехкомиссии России от 14 марта 1995 г. № 32)
• «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам». (Утверждено постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. № 912–51)
• «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». (Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282)
• Квалификационный справочник должностей руководителей, специалистов и других служащих (Утвержден постановлением Минтруда России от 21 августа 1998 г. № 37 с изменениями от 21 января, 4 августа 2000 г., 20 апреля 2001 г.)

В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации, либо назначаются штатные специалисты по этим вопросам. Подразделение по защите информации является самостоятельным структурным подразделением. Штатная численность подразделения по защите информации и его структура определяются руководителем предприятия. Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю.

Данное структурное подразделение занимается планированием работ и согласовании мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации, организует данные работы и выполняет. Определяет возможности несанкционированного доступа к информации, её уничтожения или искажения, определяет возможные технические каналы утечки конфиденциальной информации, разрабатывает соответствующие меры по защите информации. Так же участие в разработке модели «нарушителя». Разрабатывает (самостоятельно или совместно с режимными органами и др.) проекты распорядительных документов по вопросам организации защиты информации на предприятии, организует специальные проверки ТС и ЗП (при необходимости), разрабатывает предложения по совершенствованию системы защиты информации на предприятии. К функциям подразделения по защите информации можно отнести еще и разработку руководства по защите информации на предприятии, участие в разработке требований по защите информации, участие при создании системы защиты конфиденциальной информации на предприятии, участие в согласовании ТЗ (ТТЗ) на проведение работ связанных с конфиденциальной информацией, проведение периодического контроля, учет и анализ результатов контроля, участие в расследовании нарушений, разработка предложений по устранению недостатков системы защиты информации, подготовка отчетов о состоянии работ по защите информации, проведение занятий с руководством и специалистами по вопросам защиты информации.

Права предоставляемые подразделению по защите информации:

• Допуска к работам основных структурных подразделений предприятия, использующих в работе КИ
• Готовить предложения о привлечении к проведению работ по ЗИ предприятий (учреждений, организаций), имеющих лицензии на соответствующие виды деятельности
• Контролировать деятельность любого структурного подразделения предприятия по выполнению требований по ЗИ
• Участвовать в работе технических комиссий предприятий при рассмотрении вопросов ЗИ
• Вносить предложения руководителю предприятия о приостановке работ в случае обнаружения факта утечки (или предпосылки к утечке) конфиденциальной информации
• Получать установленным порядком лицензии на выполнение работ по защите информации и при её получении оказывать услуги в этой области другим предприятиям

Рекомендуется закреплять за специалистами по защите информации конкретные направления деятельности в данной области.