Положение об отделе по защите информации

Положение об отделе по защите информации Положение
Политика безопасности

Положение об отделе по защите информации

Положение об отделе информационной безопасности (расширенный комплект)

1.1. Отдел информационной безопасности (далее Отдел) является структурным подразделением «ВАШ БАНК» (далее — Банк) и в соответствии с организационной структурой Банка подчиняется непосредственно Председателю Правления.

1.2. Управление в своей деятельности руководствуется:

  • Уставом Банка;
  • Решениями Совета Директоров и Правления Банка;
  • Настоящим Положением;
  • Нормами действующего законодательства, регулирующими деятельность Отдела;
  • Внутренними нормативными и распорядительными документами Банка, регулирующими деятельность Отдела.

1.3.Управление возглавляет Начальник Отдела, который назначается и освобождается от занимаемой должности приказом Председателя Правления Банка.

На должность начальника Отдела назначается лицо, имеющее высшее образование и стаж работы в Банке не менее 5 лет.

1.4.На период отсутствия Начальника Отдела руководство Отделом осуществляется Заместителем начальника Отдела или лицом, назначенным приказом по Банку.

1.5.Сотрудники Отдела принимаются на работу приказом Председателя Правления Банка.

Содержание
  1. 2. Задачи и функции
  2. 3. Права и обязанности
  3. 4. Ответственность
  4. 5. Порядок утверждения, внесения изменений и дополнений
  5. Положение об отделе по защите информации
  6. Приложение. ПОЛОЖЕНИЕ ОБ ОТДЕЛЕ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АДМИНИСТРАЦИИ ГУБЕРНАТОРА И ПРАВИТЕЛЬСТВА ОРЛОВСКОЙ ОБЛАСТИ
  7. I. Общие положения
  8. II. Основная задача отдела
  9. III. Функции отдела
  10. Защита информации. Положение о мерах по обеспечению
  11. Общие положения
  12. 1. Защита аппаратных средств
  13. 2. Соблюдением норм безопасности на рабочих местах
  14. 3. Защита на уровне локальной вычислительной сети
  15. 4. Разграничение прав доступа на уровне прикладных программ
  16. 5. Использование корпоративной почтовой системы
  17. 6. Меры безопасности при работе c Интернет
  18. 7. Защита при передаче финансовой информации
  19. 8. Дополнительные требования к соблюдению норм безопасности при эксплуатации системы «Клиент-Банк»
  20. 9. Обеспечение целостности и достоверности информации
  21. Положение об отделе информационной безопасности
  22. IV. Права отдела
  23. Общие положения
  24. Цели, задачи и функции Отдела
  25. Структура Отдела
  26. Взаимоотношения Отдела с другими структурными подразделениями организации
  27. Ответственность
  28. 🎥 Видео

2. Задачи и функции

2.1. Задачами Отдела являются:

  • 2.1.1. эффективное осуществление основных видов деятельности Отдела, а именно:
    • разработка единой политики (концепции) обеспечения информационной безопасности Банка, определение требований к системе защиты информации Банка и документообороту на бумажных и электронных носителях;
    • организация мероприятий и координация работ всех подразделений Банка по комплексной защите информации на всех этапах технологических циклов ее создания, переноса на носитель (бумажный или электронный), обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности Банка;
    • контроль и оценка эффективности принятых мер и применяемых средств защиты информации.
  • 2.1.2. Обеспечение увеличения доходов и снижения расходов Банка, его структурных подразделений, по основным видам деятельности Отдела.
  • 2.1.3. Развитие направлений деятельности Банка, входящих в компетенцию Отдела.

2.2. Отдел в соответствии с возложенными на него задачами выполняет следующие функции:

  • разработка концепции и политики информационной безопасности Банка, включая разработку регламентов, корпоративных стандартов, руководств и должностных инструкций;
  • выработка принципов классификации информационных активов Банка и оценки их защищенности;
  • оценка и управление информационными рисками;
  • обучение сотрудников Банка по вопросам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками Банка;
  • консультирование менеджеров Банка по вопросам управления информационными рисками;
  • согласование частной политики и отдельных регламентов безопасности среди подразделений Банка;
  • участие в рабочих группах или экспертных советах для оценки рисков исполнения и развития бизнеса Банка;
  • контроль работы служб качества и автоматизации Банка с правом проверки и утверждения внутренних отчетов и документов;
  • сотрудничество со службой персонала Банка для проверки личных данных сотрудников при найме на работу;
  • в случае возникновения нештатных ситуаций или чрезвычайных происшествий в области защиты информации руководство действиями по их устранению;
  • информационное обеспечение руководства Банка регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности, выдержками о результатах проверки выполнения политики безопасности;
  • обеспечение сотрудников Банка информационной поддержкой по вопросам ИБ, в частности, об изменениях в законодательстве и нормативной базе в области защиты информации, технических новинках и т.д.

3. Права и обязанности

3.1. Права Начальника Отдела и его заместителя

  • управлять всеми планами по обеспечению ИБ Банка;
  • разрабатывать и вносить предложения по изменению политики ИБ Банка;
  • изменять существующие и принимать новые нормативно-методические документы по обеспечению ИБ Банка;
  • выбирать средства управления и обеспечения ИБ Банка;
  • контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;
  • контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также связанную с применением других средств обеспечения ИБ;
  • осуществлять мониторинг событий, связанных с ИБ;
  • расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ Банка;
  • участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;
  • создавать, поддерживать и совершенствовать систему управления ИБ Банка.

3.2. Обязанности Начальника Отдела и его заместителя

  • обеспечивает исполнение отделом задач и функций, определенных настоящим положением, в соответствии с действующим законодательством и нормативными документами Банка;
  • обеспечивает соблюдение сотрудниками отдела установленных правил трудового распорядка, производственной и технологической дисциплины;
  • разрабатывает и вносит на рассмотрение Председателя Правления предложения по совершенствованию структуры отдела и повышению уровня подготовки сотрудников отдела, улучшение работы и иные предложения по вопросам, входящим в его компетенцию;
  • организует техническое обучение и повышение квалификации сотрудников отдела;
  • обеспечивает реализацию мероприятий по созданию безопасных условий труда сотрудников отдела на всех технологических участках;
  • обеспечивает контроль за соблюдением сотрудниками отдела правил электро- и пожарной безопасности;
  • распределяет обязанности и разрабатывает должностные инструкции сотрудников отдела;
  • представляет сотрудников отдела для назначения или освобождения от должности, поощрения отличившихся работников, наложения дисциплинарных взысканий в соответствии с действующим законодательством о труде и правилами внутреннего трудового распорядка;
  • разрабатывает, представляет на утверждение и обеспечивает контроль за порядком доступа в служебные помещения отдела;
  • устанавливает регламент проведения профилактических, ремонтных и аварийных работ на установленном в отделе оборудовании;
  • координирует совместную деятельность сотрудников отдела со структурными подразделениями Банка;
  • участвует в совещаниях по вопросам информационной безопасности Банка и представляет Отдел информационной безопасности в других учреждениях и организациях.

3.3. Обязанности сотрудников отдела

  • проводить практические мероприятия по предотвращению незаконного вмешательства в процесс функционирования системы и несанкционированного доступа (НСД) к информации, обрабатываемой, хранимой и отображаемой в банковской системе;
  • периодически контролировать правильность ведения журналов учета нештатных ситуаций и формуляров АРМ в подразделениях Банка;
  • проводить занятия с сотрудниками подразделений Банка по правилам работы на компьютере и по изучению руководящих документов по вопросам обеспечения безопасности информации;
  • контролировать выполнение обязанностей администраторами безопасности, ответственными за информационную безопасность в подразделениях, ответственными за эксплуатацию конкретных АРМ, за обслуживание определенных технических и программных средств;
  • участвовать в работе по определению необходимых мер защиты при проектировании программных средств автоматизации решения прикладных задач, по оценке качества реализации необходимых защитных механизмов в банковской системе при испытаниях и внедрении данного программного обеспечения (в части обеспечения безопасности информации и процессов ее обработки);
  • контролировать исполнение порядка учета, хранения, использования и уничтожения отчуждаемых магнитных носителей конфиденциальной информации;
  • контролировать выполнение установленных правил создания, хранения и использования эталонных копий программных средств, соблюдение порядка формирования и использования информационных массивов и баз данных, резервного и архивного копирования данных;
  • координировать действия должностных лиц по своевременному восстановлению процесса обработки данных в кризисных (аварийных) ситуациях;
  • участвовать в расследовании причин возникновения серьезных кризисных ситуаций;
  • постоянно проводить работу по выявлению возможных каналов утечки конфиденциальных сведений при эксплуатации банковской системы и несанкционированного вмешательства в процесс ее функционирования, готовить предложения по совершенствованию системы защиты и пересмотру Плана защиты;
  • участвовать в работе комиссий по пересмотру Плана защиты.

4. Ответственность

Степень ответственности сотрудников отдела устанавливается должностными инструкциями.

4.1. Начальник Отдела и его заместитель отвечает за:

  • планирование и организацию практических мероприятий по предотвращению попыток несанкционированного вмешательства в процесс нормального функционирования банковской системы и попыток НСД к обрабатываемой, хранимой и отображаемой на компьютерах банковской системы информации;
  • организацию постоянного контроля за соблюдением сотрудниками Банка требований Планов защиты конкретных систем и других организационно-распорядительных документов по вопросам обеспечения безопасности информации;
  • определение особых обязанностей должностных лиц Банка по обеспечению безопасности информации при их работе в банковской системе;
  • организацию проведения занятий с персоналом Банка по изучению организационно-распорядительных документов по всему комплексу вопросов обеспечения безопасности информации при работе в банковской системе;
  • организацию проведения работ по выявлению возможных каналов нарушения информационной безопасности при эксплуатации банковской системы и принятие своевременных мер по их перекрытию;
  • организацию контроля за выполнением специальных требований по размещению технических средств банковской системы, прокладке кабельных трасс и инженерных систем, за организацией резервного дублирования и архивирования информации, а также созданием и использованием эталонных копий программного обеспечения в части обеспечения безопасности информации и процессов ее обработки;
  • определение и пересмотр порядка установки и модернизации аппаратных и программных средств Банка в части обеспечения безопасности информации и процессов ее обработки;
  • определение и пересмотр порядка проектирования, разработки, отладки, проверки, внедрения и использования программного обеспечения в части обеспечения безопасности информации и процессов ее обработки.

4.2. Сотрудники отдела отвечают за:

  • личное нарушение информационной безопасности и за не использование своих прав при выполнении функциональных обязанностей по обеспечению информационной безопасности в Банке.

5. Порядок утверждения, внесения изменений и дополнений

5.1. Настоящее Положение вступает в законную силу с даты утверждения Советом Директоров Банка.

5.2. Изменения и дополнения в настоящее Положение вносятся по инициативе Правления, Председателя Правления, Руководителя Службы внутреннего контроля, Начальника Управления Информационных Технологий, Управления экономической защиты и утверждаются решением Совета Директоров Банка.

5.3. В случае вступления отдельных пунктов настоящего Положения в противоречие с новыми законодательными актами и Уставом Банка, эти пункты утрачивают юридическую силу и Положение действует в части, не противоречащей законодательным Актам и Уставу Банка.

Видео:Информационная безопасность. Основы информационной безопасности.Скачать

Информационная безопасность. Основы информационной безопасности.

Положение об отделе по защите информации

Положение об отделе по защите информации

В целях реализации указа Губернатора Орловской области от 21 марта 2016 года N 129 «Об утверждении Положения об Администрации Губернатора и Правительства Орловской области, ее структуры и штатного расписания» постановляю:

1.

Утвердить прилагаемое Положение об отделе по обеспечению информационной безопасности Администрации Губернатора и Правительства Орловской области.

2.

Признать утратившим силу указ Губернатора Орловской области от 12 января 2015 года N 13 «Об утверждении Положения об отделе по обеспечению информационной безопасности Аппарата Губернатора и Правительства Орловской области, его структуры и штатного расписания».

3.

Контроль за исполнением указа возложить на руководителя Администрации Губернатора и Правительства Орловской области В.В. Соколова.

https://www.youtube.com/watch?v=r7o0bipbAEk

ГубернаторОрловской областиВ.В.ПОТОМСКИЙ

Приложение. ПОЛОЖЕНИЕ ОБ ОТДЕЛЕ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АДМИНИСТРАЦИИ ГУБЕРНАТОРА И ПРАВИТЕЛЬСТВА ОРЛОВСКОЙ ОБЛАСТИ

Приложениек указуГубернатора Орловской области

от 18 мая 2016 года N 236

I. Общие положения

1. Отдел по обеспечению информационной безопасности Администрации Губернатора и Правительства Орловской области (далее — отдел) является структурным подразделением Администрации Губернатора и Правительства Орловской области.

2.

В своей деятельности отдел руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, Уставом (Основным Законом) Орловской области, законами Орловской области, указами и распоряжениями Губернатора Орловской области, постановлениями и распоряжениями Правительства Орловской области, а также настоящим Положением.

3.

Должностные регламенты государственных гражданских служащих Орловской области, замещающих должности государственной гражданской службы Орловской области в отделе (далее — государственные гражданские служащие — сотрудники отдела), согласовываются с начальником Управления государственной гражданской службы, кадров и противодействия коррупции Орловской области и утверждаются руководителем Администрации Губернатора и Правительства Орловской области.

4. Отдел осуществляет свою деятельность во взаимодействии с другими структурными подразделениями Администрации Губернатора и Правительства Орловской области, органами исполнительной государственной власти специальной компетенции Орловской области, иными государственными органами, органами местного самоуправления Орловской области, организациями, физическими лицами.

II. Основная задача отдела

5. Основной задачей отдела является проведение в пределах своих полномочий работ по технической защите информации ограниченного доступа, составляющей государственную тайну, иную охраняемую законом тайну, обеспечению конфиденциальности персональных данных (далее — информация ограниченного доступа) в органах исполнительной государственной власти специальной компетенции Орловской области.

III. Функции отдела

6. Отдел выполняет следующие функции:

1) участвует в реализации государственной политики в сфере обеспечения безопасности информации ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области;

2) осуществляет организацию, координацию и выполнение работ по обеспечению информационной безопасности в органах исполнительной государственной власти специальной компетенции Орловской области;

3) разрабатывает и реализует мероприятия по обеспечению безопасности информационных систем обработки информации ограниченного доступа, в том числе персональных данных, в органах исполнительной государственной власти специальной компетенции Орловской области;

4) принимает меры по предотвращению утечки информации ограниченного доступа на объектах информатизации органов исполнительной государственной власти специальной компетенции Орловской области;

5) осуществляет контроль за выполнением в органах исполнительной государственной власти специальной компетенции Орловской области требований действующего законодательства по обеспечению защиты информации ограниченного доступа и эффективности проводимых организационно-технических мероприятий по комплексной защите информации ограниченного доступа от технических средств разведки, по технической защите информации от утечки по техническим каналам, а также за организацией работ на объектах информатизации в соответствии с нормативно установленными требованиями;

6) организует подготовку информационно-аналитических материалов о состоянии информационной безопасности в органах исполнительной государственной власти специальной компетенции Орловской области, предложений о решении актуальных проблем обеспечения безопасности информации ограниченного доступа, совершенствовании системы защиты информации ограниченного доступа;

7) организует выполнение решений Комиссии по информационной безопасности Совета при полномочном представителе Президента Российской Федерации в Центральном федеральном округе и Комиссии по информационной безопасности в Орловской области;

8) выполняет комплекс мероприятий при организации работ на объектах информатизации (в автоматизированных системах — АС, на автоматизированных рабочих местах — АРМ, в выделенных помещениях — ВП, защищаемых помещениях — ЗП), обрабатывающих информацию ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области (далее — объекты информатизации):

а) ведет реестр объектов информатизации, обрабатывающих информацию ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области, осуществляет мониторинг обрабатываемой на них информации;

б) анализирует и оценивает реальную опасность перехвата информации ограниченного доступа техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации ограниченного доступа путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах;

в) определяет возможные технические каналы утечки информации ограниченного доступа, подлежащие защите, и проводит обобщенное моделирование наиболее опасных технических каналов утечки информации ограниченного доступа и способов несанкционированного доступа к ней для выработки эффективных мер защиты информации ограниченного доступа на объектах информатизации;

д) разрабатывает и реализует мероприятия по обеспечению безопасности информационных систем обработки информации ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области;

е) организует подготовку и проведение обучающих мероприятий по вопросам организации и обеспечения защиты информации ограниченного доступа, противодействия иностранным техническим разведкам, технической защиты информации органов исполнительной государственной власти специальной компетенции Орловской области;

9) изучает деятельность органов исполнительной государственной власти специальной компетенции Орловской области с целью предотвращения каналов утечки информации ограниченного доступа, ведет учет и анализ нарушений в работе;

10) вносит предложения руководителю Администрации Губернатора и Правительства Орловской области о перспективных и текущих планах мероприятий — обоснования потребностей на целевое финансирование мероприятий по технической защите информации ограниченного доступа в органах исполнительной государственной власти специальной компетенции Орловской области — при формировании областного бюджета на очередной финансовый год.

Видео:Законодательные требования РФ по информационной безопасности 2023 | Алексей ЛукацкийСкачать

Законодательные требования РФ по информационной безопасности 2023 | Алексей Лукацкий

Защита информации. Положение о мерах по обеспечению

Положение об отделе по защите информации

Положение о мерах по обеспечению Защиты информации.

Общие положения

Использование автоматизированных систем значительно повышает эффективность работы организации и одновременно создает предпосылки искажения и потери информации за счет отказов, сбоев, ошибочных или злонамеренных действий обслуживающего персонала, несанкционированных действий третьих лиц, компьютерных преступлений.

Использование сетевых технологий в обработке информации выдвигает проблему безопасности на первый план.

В данном документе определяются следующие аспекты обеспечения безопасности:

  • ограничение доступа к аппаратным средствам;
  • соблюдение норм безопасности на рабочих местах;
  • доступ пользователей к сетевым ресурсам;
  • разграничение прав на уровне прикладных программ;
  • безопасность при работе с электронной почтой;
  • безопасность при работе с Интернет;
  • защита информации при работе с электронными финансовыми документами;
  • обеспечение защиты при передаче финансовой информации.

1. Защита аппаратных средств

Компьютерное оборудование должно располагаться в местах, которые исключают возможность доступа посторонних лиц без ведома сотрудников организации.

Основные серверы должны располагаться в отдельных комнатах серверных, в которые имеет доступ ограниченный круг сотрудников службы автоматизации организации.

Перечень этих сотрудников должен утверждаться уполномоченным руководителем организации.

https://www.youtube.com/watch?v=bCK4NwWMszw

Структура сети должна сводить к минимуму вероятность несанкционированного подключения к магистральным кабелям и/или коммутирующим устройствам.

Для защиты компьютеров, установленных вне территории, контролируемой организацией, должны быть выполнены следующие дополнительные требования:

  • корпус компьютера должен быть опломбирован;
  • настройка BIOS компьютера должна быть защищена паролем администратора;
  • запуск компьютера должен осуществляться после ввода пароля пользователя (этот пароль контролируется BIOS);
  • пароли администратора BIOS и пользователя должны иметь длину не менее 6 знаков и не должны совпадать друг с другом;
  • если специфика работы пользователя позволяет это, то должны быть заблокированы (отключены физически или путем соответствующей настройки BIOS) такие устройства, как CD-дисковод, дисковод гибкого диска (дискеты), порты USB;

2. Соблюдением норм безопасности на рабочих местах

Каждый сотрудник обязан в течение рабочего времени обеспечить защиту от несанкционированного доступа к информации на своем компьютере. На рабочих местах пользователей системы это достигается применением аутентификации при загрузке ОС компьютера и блокировкой клавиатуры при временном уходе с рабочего места.

В подразделениях организации должен быть обеспечен постоянный визуальный контроль сотрудников за компьютерами временно отлучившихся коллег.

При выводе информации на печатающее устройство сотрудники обязаны контролировать процесс печати, при этом принтер не должен оставаться без присмотра. Все распечатанные документы необходимо забирать на рабочее место.

Бумажные документы, необходимость дальнейшего использования которых отпала, должны уничтожаться в установленном в организации порядке, т.е.

с использованием соответствующего оборудования, исключающего возможность восстановления их содержания.

При необходимости установки на компьютере новой программы пользователь обязан обратиться в Управление автоматизации для выполнения соответствующих действий.

Самостоятельная установка программ, равно как и самостоятельное изменение настроек компьютера, операционной системы и прикладных программ, изменение конфигурации компьютера не допускаются.

Каждый сотрудник организации несет ответственность за наличие на своей машине посторонних программ и другой неслужебной электронной информации.

При работе сотрудников организации с клиентами желательно исключить возможность просмотра клиентами содержимого экрана монитора. Это достигается взаимным расположением сотрудника и обслуживаемого клиента «лицом к лицу» и соответствующим разворотом монитора.

Особую осторожность необходимо соблюдать при вводе паролей: как сетевых, так и паролей, используемых в прикладных программах. Запрещается записывать или сохранять в файлах информацию о паролях пользователей.

3. Защита на уровне локальной вычислительной сети

3.1. Регистрация пользователей в сети

Система контроля доступа к локальной сети определяет:

  • какие пользователи могут работать на файловом сервере;
  • в какие дни и в какое время пользователи могут работать;
  • с каких рабочих станций пользователи могут работать.

Регистрация учётной записи пользователя на Сервере ЛВС производится Администратором на основании заявки, подписанной руководителем подразделения, в котором работает сотрудник.

Для контроля доступа к сети организации каждому пользователю присваивается один уникальный идентификатор (сетевое имя), который выдается ему Администратором ЛВС при регистрации, и временный пароль для первичного подключения к сети.

При первом подключении к сети система контроля доступа проверит правильность временного пароля и, при положительном результате проверки, предложит сменить пароль на постоянный. Длина пароля, выбираемого пользователем, должна быть достаточной для обеспечения разумной стойкости к подбору, как правило это 6 и более символов.

Срок действия пароля должен быть ограничен и составляет, как правило, один год или менее.

https://www.youtube.com/watch?v=qXQYd9y0neU

Заявка на доступ пользователя к ресурсам ЛВС подписывается руководителем подразделения.

При увольнении сотрудника, отстранении его от работы, изменении его служебных обязанностей и функций, его непосредственный руководитель обязан своевременно письменно известить об этом администратора ЛВС. Администратор обязан немедленно произвести соответствующие изменения в настройках учетной записи и/или в наборе полномочий (прав) пользователя.

Каждому пользователю ЛВС при его регистрации может устанавливаться ограничение на количество соединений с каждым из серверов – как правило, одно подключение к каждому из серверов, необходимых для работы пользователя. В качестве дополнительной защиты может использоваться привязка сетевых имён к MAC-адресам рабочих станций.

В случае необходимости временной передачи полномочий одного пользователя ЛВС другому руководитель соответствующего подразделения обязан своевременно письменно известить об этом администратора ЛВС.

В извещении указываются дата начала и дата отмены делегирования полномочий одного пользователя другому. Администратору запрещается делегирование полномочий пользователей по устной просьбе руководителей подразделений и сотрудников.

Не допускается передача сетевого имени и/или пароля от одного пользователя другому.

Заявки на подключение, делегирование полномочий и отключение (блокировку) пользователей к ресурсам сети сохраняются администратором.

Обо всех попытках несанкционированного доступа к информации в ЛВС Администратор обязан немедленно сообщать начальнику управления автоматизации.

Администратор обязан иметь возможность оперативного получения списка пользователей, групп и структуру их доступа к сетевым ресурсам.

3.2. Разграничение доступа к ресурсам сети

Разграничение прав доступа к определенным базам данных и программам, расположенным на файловых серверах, производится на уровне сетевых устройств и директорий. В случае использования серверных СУБД следует использовать их внутренние механизмы аутентификации пользователей и защиты данных.

Для организации совместной работы с ресурсами Сервера и обмена данными через Сервер создаются группы пользователей (например, по принципу административного деления, по используемым приложениям, каталогам и т.п.). Каждая группа имеет права доступа к определённым ресурсам. Права доступа групп, как правило, не пересекаются.

Каждый пользователь в соответствии с его функциональными обязанностями принадлежит к одной или нескольким группам пользователей.

На Серверах должны отсутствовать учетные записи общего пользования, такие как Guest.

4. Разграничение прав доступа на уровне прикладных программ

Для работы с системами организации каждый пользователь должен иметь свой уникальный идентификатор и/или пароль.

В зависимости от выполняемых операций пользователю дается доступ к определенным компонентам системы. При этом ограничивается доступ на уровне используемых функций и выполняемых операций.

На самом низком уровне для исполнителей определяются группы доступных счетов и полномочия по работе с этими счетами.

Заявка на доступ пользователя к программам подписывается руководителем подразделения и визируется главным бухгалтером организации.

Функции по назначению прав доступа пользователей к прикладным системам возлагаются на Администраторов систем и программ.

5. Использование корпоративной почтовой системы

Каждый пользователь почтовой системы должен иметь свой уникальный идентификатор и пароль. За подключение пользователей к системе и проведение необходимых регламентных работ отвечает Администратор почтовой системы.

Запрещается использование почтовой системы для пересылки сообщений, не относящихся к работе организации: личной переписки, спама и т.п.

Запрещается пересылка сообщений, содержащих коммерческую и др. виды тайны, в открытом (не защищенном СКЗИ) виде.

При получении сообщений, содержащих присоединенные файлы, сотрудник должен обеспечить антивирусный контроль этих файлов до момента их использования в прикладных программах.

https://www.youtube.com/watch?v=8qp6rBGpMX0

На корпоративном почтовом сервере целесообразно использование антиспам и антивирусного фильтров.

6. Меры безопасности при работе c Интернет

Основной задачей при взаимодействии с Интернет является защита внутренней сети. Обязательно использование межсетевых экранов (firewall), физическое разделение ресурсов внешней сети от внутренней сети организации.

Поскольку объединение сетей организации, филиалов и доп.

офисов осуществляется посредством VPN, построенной на базе Интернет, необходимо обеспечить надежную защиту периметра объединенной сети в каждом из обособленных подразделений.

Это достигается использованием соответствующих технических и/или программных средств: VPN-роутеров, брандмауэров, применением антивирусного программного обеспечения.

Запрещается использование доступа в Интернет в личных целях или для неслужебных задач.

В случае появления признаков нестандартного поведения или нестабильной работы компьютера при доступе в интернет, а также при сигналах о попытке заражения от антивирусной системы, необходимо немедленно известить об этом администратора ЛВС организации.

7. Защита при передаче финансовой информации

При обмене платежными документами должны использоваться средства криптозащиты передаваемой информации: шифрование и электронная цифровая подпись (ЭЦП). Разрешается использовать только сертифицированные средства криптозащиты.

Сотрудники, ответственные за формирование ключевых дискет для средств криптозащиты (администраторы безопасности), назначаются приказом по организации. Все действия по генерации и передаче ключей должны документироваться администраторами безопасности в специальных журналах.

8. Дополнительные требования к соблюдению норм безопасности при эксплуатации системы «Клиент-Банк»

Требуется соблюдение мер безопасности, предписанных соответствующими документами уполномоченных органов, для обеспечения безопасности в организации, занимающейся техническим обеспечением, распространением и эксплуатацией программ защиты информации по классу «С».

Требуется соблюдение мер безопасности с работой в системе «Клиент-Банк».

Доступ в помещение, в котором установлен компьютер, который передаёт и принимает документы по системе «Клиент-Банк» должен быть предоставлен лишь ограниченному кругу лиц, список которых отражен в соответствующих приказах по организации.

В связи с тем, что компьютер с программным обеспечением передачи и приема файлов от участников системы «Клиент-Банк» напрямую подключен к внешним вычислительным сетям, необходимо:

1. Предпринять меры, обеспечивающие невозможность для внешнего пользователя входа с этого компьютера во внутреннюю сеть организации.

2. Вся конфиденциальная информация, хранящаяся на этом компьютере, должна подвергаться шифрованию или иному преобразованию с целью невозможности ее несанкционированного использования.

Все операции и действия, происходящие в системе «Клиент-Банк», должны записываться в файлы (журналы) протоколов.

С целью быстрого восстановления системы, необходимо ежедневное создание ее резервных копий, которые должны храниться на другом компьютере, физически расположенном в другом помещении организации.

9. Обеспечение целостности и достоверности информации

Периодически должны осуществляться профилактические сканирования жестких дисков компьютеров с помощью антивирусных программ. При использовании съёмных носителей электронной информации обязательна их проверка антивирусной программой при первой установке (а для перезаписываемых носителей – при каждой установке) в компьютер.

Резервное копирование основной информации, хранящейся в электронном виде на серверах организации, должно осуществляться ежедневно. Необходимо иметь копию баз данных операционной деятельности на начало дня.

Архивная информация подлежит копированию в двух экземплярах на носители длительного хранения (CD-ROM, DVD-ROM магнитооптические диски и т.п.). Хранить копии архивной информации следует в отдельно стоящих хранилищах, обеспечивающих надлежащие условия их содержания и невозможность несанкционированного доступа к ним.

https://www.youtube.com/watch?v=wcQvJ2lEJMA

Скачать ZIP файл (20862)

Пригодились документы — поставь «лайк» или поддержи сайт материально:

Видео:Специалист по информационной безопасности — кто это и как им стать | GeekBrainsСкачать

Специалист по информационной безопасности — кто это и как им стать | GeekBrains

Положение об отделе информационной безопасности

Положение об отделе по защите информации

В целях реализации указа Губернатора Орловской области от 21 марта 2016 года N 129 «Об утверждении Положения об Администрации Губернатора и Правительства Орловской области, ее структуры и штатного расписания» постановляю:

1.

Утвердить прилагаемое Положение об отделе по обеспечению информационной безопасности Администрации Губернатора и Правительства Орловской области.

2.

Признать утратившим силу указ Губернатора Орловской области от 12 января 2015 года N 13 «Об утверждении Положения об отделе по обеспечению информационной безопасности Аппарата Губернатора и Правительства Орловской области, его структуры и штатного расписания».

3.

Контроль за исполнением указа возложить на руководителя Администрации Губернатора и Правительства Орловской области В.В. Соколова.

https://www.youtube.com/watch?v=r7o0bipbAEk

ГубернаторОрловской областиВ.В.ПОТОМСКИЙ

IV. Права отдела

7. Отдел в целях осуществления своей основной задачи и функций имеет право:

1) запрашивать и получать в установленном порядке необходимые материалы по вопросам безопасности информации ограниченного доступа от органов исполнительной государственной власти специальной компетенции Орловской области, территориальных органов федеральных органов исполнительной власти, структурных подразделений Администрации Губернатора и Правительства Орловской области, органов местного самоуправления Орловской области, организаций;

Общие положения

1.1. Отдел информационной безопасности (далее Отдел) представляет собой отдельное структурное подразделение организации. Он формируется, реструктуризируется и ликвидируется приказом руководства организации (директора либо другого уполномоченного лица).

1.2. Отдел находится в подчинении непосредственного начальника, которого назначает на данную должность руководитель организации. В его отсутствие управление осуществляет заместитель начальника либо другое уполномоченное лицо. Вышестоящим начальником Отдела является руководитель организации.

1.3. Работа службы защиты информации выстраивается в соответствии с требованиями законодательства и иных нормативно-правовых актов, в том числе – уставной документации организации. 

1.4. Обязанности сотрудников службы защиты информации, их полномочия и степень ответственности за сохранность информационных ресурсов организации определяются данным положением, уставной документацией организации, условиями трудового договора и должностными инструкциями. 

1.5. Отдел взаимодействует с другими структурными подразделениями организации в пределах своей компетенции. 

Цели, задачи и функции Отдела

2.1. Цель работы Отдела – обеспечить защиту информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения. 

2.2. В задачи Отдела входит разработка и внедрение системы безопасности, а также контроль за ее работой и анализ эффективности используемых средств защиты информации. 

2.3. В перечень функций службы защиты информации входит:

  • разработка комплексной системы безопасности, включающей использование разнообразных методов и способов защиты конфиденциальной информации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 
  • внедрение режима конфиденциальности и контроль за его соблюдением;
  • взаимодействие с контрагентами, обеспечение конфиденциальности передачи данных и информации, сообщаемой партнерам в процессе открытых переговоров; 
  • разработка документов, предписывающих соблюдение режима конфиденциальности штатными сотрудниками организации и прикомандированными работниками;
  • оценка эффективности внедренной системы защиты информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 
  • проведение аттестации сотрудников с последующим присвоением им необходимой степени допуска к чтению и использованию конфиденциальной информации; 
  • составление актов проверки техники, оборудования, помещений на предмет их соответствия требованиям безопасности; 
  • другие функции, выполнение которых поспособствует реализации целей и задач работы Отдела. 

Структура Отдела

3.1. Сотрудников Отдела нанимают на работу в соответствии со штатным расписанием, установленным кадровой службой и согласованным с вышестоящим руководством организации. Штатное расписание разрабатывается в соответствии с целями и задачами структурного подразделения. 

3.2. В перечень специалистов, которые могут быть сотрудниками Отдела, входят инженеры и техники по защите информации, программисты, системные администраторы, другие специалисты, отвечающие за выполнение отдельных функций по защите информации.

3.3. Обязанности сотрудников службы защиты информации определяет непосредственный начальник Отдела. 
Права и обязанности

4.1. Служба защиты информации уполномочена: 

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности, введенного в организации;
  • пользоваться информацией для служебного пользования, запрашивать ее у сотрудников других структурных подразделений организации;
  • вступать во взаимодействие с органами исполнительной, законодательной и судебной власти для решения правовых вопросов, касающихся функций службы;
  • принимать все необходимые меры для обеспечения защиты конфиденциальной информации;
  • привлекать сторонних специалистов для разработки, внедрения и анализа эффективности системы защиты конфиденциальной информации;
  • давать указания сотрудникам других структурных подразделений организации по вопросам, входящим в компетенцию службы;
  • проводить внутренние служебные расследования при обнаружении фактов намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации; 
  • осуществлять другие действия, предусмотренные должностными инструкциями и направленные на реализацию целей и задач службы.

4.2. В обязанности начальника службы защиты информации входит:

  • распределять задачи между подчиненными в соответствии с их специализацией, контролировать скорость и качество их выполнения;
  • участвовать в процессе подбора персонала;
  • разрабатывать проекты по усовершенствованию системы защиты конфиденциальной информации;
  • организовывать обучение сотрудников службы отдела защиты информации и работников других структурных подразделений организации;
  • устанавливать порядок ремонтных работ, направленных на скорейшее восстановление работоспособности системы защиты информации при возникновении технических сбоев или аварий;
  • координировать взаимодействие сотрудников службы защиты информации с работниками других структурных подразделений организации.

4.3. Сотрудники службы защиты информации обязаны:

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности;
  • проводить профилактику намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации путем проведения инструктажа сотрудников организации;
  • участвовать в разработке комплексной системы защиты конфиденциальной информации;
  • периодически проверять журналы инструктажа и оборудование организации;
  • проводить аттестацию всех сотрудников организации, проверять их знания в области существующих методов превентивной защиты конфиденциальной информации;
  • выполнять другую работу, направленную на реализацию целей и задач службы защиты информации.

Взаимоотношения Отдела с другими структурными подразделениями организации

Служба защиты информации в пределах свой компетенции взаимодействует с:

5.1. Кадровой службой (для участия в собеседованиях с соискателями на должности, предусматривающими допуск к конфиденциальной информации, отражения в личных делах результатов аттестации и сведений о выявленных нарушениях режима конфиденциальности, изучения личных дел сотрудников организации).

5.2. Бухгалтерией (для предоставления информации о льготах и надбавках, предусмотренных для сотрудников с допуском к конфиденциальной информации, получения информации о расходовании фонда оплаты труда и других данных, необходимых в работе службы защиты информации).

5.3. Финансовой службой (для предоставления плановой документации, касающейся закупки необходимого оборудования).

5.4. Юридическим отделом (для своевременного изучения изменений законодательства, касающихся защиты информации, а также для применения законодательно обоснованных наказаний за нарушение режима конфиденциальности).

5.5. Другими структурными подразделениями (для координации их работы и обеспечения необходимого уровня защиты конфиденциальной информации).

Ответственность

6.1. Ответственность за защиту информационных ресурсов организации от намеренного или ненамеренного разглашения, утери, искажения и похищения несет руководитель Отдела. 

6.2. Ответственность работников службы защиты информации определяется их должностными инструкциями.

16.06.2020

🎥 Видео

Защита информации / Белые хакеры и политики безопасности / Всё о кибербезопасностиСкачать

Защита информации / Белые хакеры и политики безопасности / Всё о кибербезопасности

Защита информации. Основы информационной безопасности.Скачать

Защита информации. Основы информационной безопасности.

Защита информации / Осмотр помещенияСкачать

Защита информации / Осмотр помещения

Необходимые хард и софт скиллы специалиста по ИБСкачать

Необходимые хард и софт скиллы специалиста по ИБ

Как строится система информационной безопасности крупных компанийСкачать

Как строится система информационной безопасности крупных компаний

В чем заключается работа ФСБ России? / Федеральная служба безопасности - кто они?Скачать

В чем заключается работа ФСБ России? / Федеральная служба безопасности - кто они?

Проблема информационной безопасности | Информатика 10-11 класс #41 | ИнфоурокСкачать

Проблема информационной безопасности | Информатика 10-11 класс #41 | Инфоурок

Всё, что нужно знать о должностных инструкциях за 6 минутСкачать

Всё, что нужно знать о должностных инструкциях за 6 минут

Информационная безопасность с нуля. Основы кибербезопасностиСкачать

Информационная безопасность с нуля. Основы кибербезопасности

Плюсы и минусы должности специалиста по охране трудаСкачать

Плюсы и минусы должности специалиста по охране труда

Законодательство в области защиты информации. Политика гос-ва в области инф-ой безопасности.Скачать

Законодательство в области защиты информации. Политика гос-ва в области инф-ой безопасности.

Чем занимается отдел информационной безопасности КОМПЛИТСкачать

Чем занимается отдел информационной безопасности КОМПЛИТ

Специалист по информационной безопасности: суть работы, обязанности, обучениеСкачать

Специалист по информационной безопасности: суть работы, обязанности, обучение

10 глупых вопросов СПЕЦИАЛИСТУ ПО КИБЕРБЕЗОПАСНОСТИСкачать

10 глупых вопросов СПЕЦИАЛИСТУ ПО КИБЕРБЕЗОПАСНОСТИ

Информатика 11 класс (Урок№18 - Информационное право и информационная безопасность.)Скачать

Информатика 11 класс (Урок№18 - Информационное право и информационная безопасность.)

Доктрина информационной безопасности. Политика гос-ва в области инф-ой безопасностиСкачать

Доктрина информационной безопасности. Политика гос-ва в области инф-ой безопасности

Основы информационной безопасности и защиты информации.Скачать

Основы информационной безопасности и защиты информации.
Поделиться или сохранить к себе: