МИКОЛАЇВСЬКА ОБЛАСНА ДЕРЖАВНА АДМІНІСТРАЦІЯ

РОЗПОРЯДЖЕННЯ

від 07.06.2011 р. N 177-р

Про створення в апараті облдержадміністрації позаштатної групи технічного захисту інформації

Відповідно до статті 2, пункту 12 статті 16 Закону України "Про місцеві державні адміністрації", статті 35 Закону України "Про державну таємницю", статті 9 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах", пункту 12 Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року N 1229/99, пункту 18 Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року N 373, пункту 168 Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженого постановою Кабінету Міністрів України від 2 жовтня 2003 року N 1561-12:

1. Створити позаштатну групу технічного захисту інформації апарату Миколаївської облдержадміністрації у складі згідно з додатком.

2. Затвердити Положення про позаштатну групу технічного захисту інформації апарату Миколаївської облдержадміністрації (додається).

3. Визнати таким, що втратило чинність, розпорядження голови облдержадміністрації від 21 березня 2001 року N 106-р-дск "Про створення в апараті облдержадміністрації позаштатного підрозділу технічного захисту інформації з обмеженим доступом".

4. Контроль за виконанням цього розпорядження покласти на заступника голови - керівника апарату облдержадміністрації Рукоманова В. М.

 

Голова облдержадміністрації

М. П. Круглов


 

Додаток
до розпорядження Миколаївської обласної державної адміністрації
07.06.2011 N 177-р


СКЛАД
позаштатної групи технічного захисту інформації апарату Миколаївської облдержадміністрації

Керівник групи:

Василенко
Михайло Олександрович

заступник керівника апарату - начальник організаційного відділу апарату облдержадміністрації

Заступник керівника групи:

Кірічек
Андрій Анатолійович

завідувач сектора режимно-секретної роботи апарату облдержадміністрації

Секретар групи:

Кузьмічов
Володимир Сергійович

головний спеціаліст сектора мобілізаційної роботи апарату облдержадміністрації

Члени групи:

Богаченко
Євгеній Валерійович

завідувач сектора комп'ютерного забезпечення апарату облдержадміністрації

Михайлова
Антоніна Іванівна

головний спеціаліст відділу фінансового забезпечення апарату облдержадміністрації

Албул
Світлана Олександрівна

головний спеціаліст відділу кадрової роботи апарату облдержадміністрації

Бандурко
Василь Михайлович

начальник відділу копіювально-розмножувальної техніки КП "Госптехобслуговування"(за узгодженням)


 

ЗАТВЕРДЖЕНО
Розпорядження Миколаївської обласної державної адміністрації
07.06.2011 N 177-р


ПОЛОЖЕННЯ
про позаштатну групу технічного захисту інформації апарату Миколаївської облдержадміністрації

1. Загальні положення

1.1. Положення про позаштатну групу технічного захисту інформації апарату Миколаївської облдержадміністрації (далі - Положення) визначає завдання, функції, структуру позаштатної групи технічного захисту інформації апарату облдержадміністрації (далі - група ТЗІ), повноваження та відповідальність членів групи, порядок взаємодії з управліннями, відділами, іншими структурними підрозділами облдержадміністрації, підприємствами, установами та організаціями.

1.2. Група ТЗІ є позаштатним структурним підрозділом апарату облдержадміністрації, який безпосередньо підпорядковується заступнику голови - керівнику апарату облдержадміністрації.

1.3. Метою створення групи ТЗІ є організаційне забезпечення завдань протидії технічним розвідкам (далі - ПД ТР) та технічного захисту інформації (далі - ТЗІ), керування комплексною системою захисту інформації (далі - КСЗІ) на об'єктах інформаційної діяльності (далі - ОІД) та в автоматизованих системах (далі - АС) та здійснення контролю за їх функціонуванням. На групу ТЗІ покладається виконання робіт з визначення вимог з захисту інформації на ОІД та в АС, проектування, розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації з обмеженим доступом на ОІД та в АС.

1.4. Правову основу для створення і діяльності групи ТЗІ становлять Закон України "Про захист інформації в інформаційно-телекомунікаційних системах", Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27 вересня 1999 року N 1229/99, Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету Міністрів України від 29 березня 2006 року N 373.

1.5. Група ТЗІ у своїй діяльності керується Конституцією України, законами України, актами Президента України і Кабінету Міністрів України, нормативно-правовими актами та іншими документами з питань захисту інформації, державними стандартами, розпорядженнями голови облдержадміністрації, наказами керівника апарату, а також цим Положенням.

Група ТЗІ здійснює діяльність відповідно до Плану основних заходів щодо технічного захисту інформації з обмеженим доступом, яка циркулює (обробляється) на ОІД, плану захисту інформації в АС, календарних, перспективних та інших планів робіт, затверджених заступником голови - керівником апарату облдержадміністрації.

1.6. У своїй роботі група ТЗІ взаємодіє з управліннями, відділами, іншими структурними підрозділами облдержадміністрації, а також з державними органами, установами та організаціями, що займаються питаннями захисту інформації.

У разі потреби до виконання робіт можуть залучатися підприємства, установи та організації, які мають ліцензії на відповідний вид діяльності у сфері захисту інформації.

2. Завдання групи ТЗІ

Завданнями групи ТЗІ є:

дослідження технології обробки інформації на ОІД та в АС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення плану захисту інформації, визначення заходів, спрямованих на його реалізацію;

організація та координація робіт, пов'язаних з захистом інформації на ОІД та в АС, необхідність захисту якої визначається її власником або чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;

розроблення проектів нормативних і розпорядчих документів, згідно з якими повинен забезпечуватися захист інформації на ОІД та в АС;

організація робіт зі створення і використання КСЗІ на ОІД та в АС;

організація та впровадження заходів з ПД ТР;

участь в організації професійної підготовки і підвищенні кваліфікації працівників облдержадміністрації (користувачів АС) з питань захисту інформації;

організація забезпечення виконання працівниками облдержадміністрації (користувачами АС) вимог нормативно-правових актів, інших документів з технічного захисту інформації на ОІД та в АС, протидії технічним розвідкам і проведення контрольних перевірок їх виконання;

захист законних прав щодо безпеки інформації організації, окремих її структурних підрозділів, персоналу в процесі інформаційної діяльності та взаємодії між собою, а також у взаємовідносинах з зовнішніми вітчизняними і закордонними організаціями;

формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, інших документів, що стосуються сфери захисту інформації.

3. Функції групи ТЗІ

3.1. Функції групи ТЗІ під час створення комплексів технічного захисту інформації:

визначення переліків відомостей, які підлягають технічному захисту, інших об'єктів захисту від технічних розвідок, класифікація інформації за вимогами до її конфіденційності або важливості для облдержадміністрації;

розробка та коригування моделі загроз інформації на ОІД та в АС, плану захисту інформації на ОІД та в АС;

визначення і формування вимог до КСЗІ;

організація і координація робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ;

підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та запобігання спробам несанкціонованого доступу до інформації під час створення КСЗІ;

організація робіт і участь у випробуваннях КСЗІ, проведенні її атестації (експертизи);

участь у розробці проектів нормативних документів, які визначають порядок, норми, правила з захисту інформації та протидії технічним розвідкам, а також здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій та ін.).

вибір організацій-виконавців робіт з створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт з захисту інформації, погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт та ін.);

участь у розробці проектів нормативних документів, які встановлюють дисциплінарну відповідальність за порушення вимог з безпеки інформації та встановлених правил експлуатації КСЗІ;

участь у розробці проектів нормативних документів, які встановлюють правила доступу користувачів до ресурсів АС, визначають порядок, норми, правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій).

3.2. Функції групи ТЗІ під час експлуатації комплексів технічного захисту інформації:

керування, експлуатація, обслуговування, підтримка працездатності КСЗІ, а також здійснення поточного контролю за станом захищеності інформації;

організація роботи з категоріювання, обстеження об'єктів, підготовка заявок та забезпечення проведення інструментальних перевірок та атестації КСЗІ, впровадження та експлуатація засобів ТЗІ;

участь у періодичних перевірках стану режиму секретності в облдержадміністрації;

забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

організація керування доступом до ресурсів АС (розподілення між користувачами необхідних реквізитів захисту інформації - паролів, привілеїв, ключів та ін.);

спостереження (реєстрація і аудит подій в АС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;

організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій АС або КСЗІ;

участь в роботах з модернізації АС - узгодженні пропозицій з введення до складу АС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

інформування власників інформації про технічні можливості захисту інформації в АС і типові правила, встановлені для персоналу і користувачів АС;

негайне втручання в процес роботи АС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника;

регулярне подання звітів заступнику голови - керівнику апарату облдержадміністрації про виконання користувачами АС вимог з захисту інформації;

контроль за виконанням персоналом і користувачами АС вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі контроль за забезпеченням режиму секретності у разі обробки в АС інформації, що становить державну таємницю;

контроль за забезпеченням охорони і порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту;

розробка і реалізація спільно з режимно-секретним органом апарату облдержадміністрації комплексних заходів з безпеки інформації під час проведення заходів з науково-технічного, економічного, інформаційного співробітництва з іноземними фірмами, а також під час проведення нарад, переговорів та ін., здійснення їхнього технічного та інформаційного забезпечення;

розслідування випадків порушення вимог нормативних документів з ТЗІ та ПД ТР, плану захисту інформації, здійснення аналізу причин, що призвели до них;

підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації та протидії, впровадження нових технологій захисту і модернізації КСЗІ;

участь в роботах з модернізації або реконструкції ОІД - узгодженні пропозицій із створення нових ОІД, введення до складу ОІД нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

проведення аналітичної оцінки поточного стану захищеності інформації на ОІД (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.);

аналіз відомостей щодо технічних засобів захисту інформації нового покоління, обґрунтування пропозицій щодо їх придбання;

розробка та коригування планів технічного захисту інформації, проектів посадових інструкцій, організаційно-технічних, розпорядчих та інших документів.

3.3. Функції групи ТЗІ з організації навчання персоналу з питань забезпечення захисту інформації:

розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу АС;

розроблення спеціальних програм навчання, які б враховували особливості технології обробки інформації в організації (АС), необхідний рівень її захищеності та ін.;

участь в організації і проведенні навчання користувачів і персоналу АС правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами;

взаємодія з державними органами, навчальними закладами, іншими організаціями з питань навчання та підвищення кваліфікації;

участь в організації забезпечення навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, іншими документами, методичною літературою та ін.

4. Повноваження та відповідальність групи ТЗІ

4.1. Права групи ТЗІ.

Посадові особи групи ТЗІ мають право:

здійснювати контроль за діяльністю будь-якого структурного управління, відділу, іншого структурного підрозділу облдержадміністрації щодо виконання ним вимог нормативно-правових актів з питань технічного захисту інформації та ПД ТР на ОІД;

вимагати від працівників облдержадміністрації виконання заходів плану захисту інформації та вимог нормативно-правових актів з питань збереження державної таємниці та технічного захисту інформації;

подавати заступнику голови - керівнику апарату облдержадміністрації пропозиції щодо призупинення обробки інформації, заборони обробки, зміни режимів обробки у випадку виникнення реальної загрози порушення конфіденційності, цілісності і доступності інформації або її витоку технічними каналами;

доповідати керівництву підприємства про виявлені порушення режиму секретності, плану захисту інформації, складати акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення;

проводити службові розслідування у випадках виявлення порушень;

отримувати доступ до об'єктів та документів будь-якого управління, відділу, іншого структурного підрозділу облдержадміністрації, необхідних для оцінки вжитих заходів з захисту інформації та підготовки пропозицій щодо їхнього подальшого удосконалення;

готувати пропозиції щодо залучення на договірній основі до виконання робіт з захисту інформації інших організацій, які мають ліцензії на відповідний вид діяльності;

готувати пропозиції щодо забезпечення КСЗІ необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації;

узгоджувати умови створення нових ОІД або включення до складу ОІД нових компонентів та подавати пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ОІД;

готувати пропозиції щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації;

узгоджувати умови включення до складу АС нових компонентів та подавати пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів АС;

надавати висновки з питань, що належать до компетенції СЗІ, які необхідні для здійснення виробничої діяльності організації, особливо технологій, доступ до яких обмежено, інших проектів, що потребують технічної підтримки з боку співробітників СЗІ;

вносити пропозиції щодо узгодження планів і регламенту відвідування АС сторонніми особами;

інші права, які надані групі ТЗІ у відповідності з специфікою та особливостями діяльності облдержадміністрації.

4.2. Обов'язки групи ТЗІ.

Посадові особи групи ТЗІ зобов'язані:

організовувати забезпечення повного та якісного виконання організаційно-технічних заходів з технічного захисту інформації та ПД ТР на ОІД та АС;

вчасно і в повному обсязі доводити до працівників облдержадміністрації (користувачів АС) інформацію про зміни в галузі захисту інформації, які їх стосуються;

перевіряти відповідність прийнятих правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог;

здійснювати контрольні перевірки стану захищеності інформації на ОІД та в АС;

забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС;

сприяти і, у разі необхідності, брати безпосередню участь у проведенні перевірок стану захищеності інформації в АС;

періодично, не рідше одного разу на квартал, подавати звіт про стан захищеності інформації в АС і дотримання користувачами та персоналом АС встановленого порядку і правил захисту інформації;

готувати документи з категоріювання ОІД для розгляду їх відповідною комісією;

проводити обстеження ОІД;

брати участь у розробці плану захисту інформації та інструкцій щодо забезпечення захисту інформації та ПД ТР на ОІД та в АС;

здійснювати технічне обслуговування і контроль функціонування засобів технічного захисту інформації;

проводити періодичний контроль відомостей, внесених до атестаційних паспортів на ОІД;

проводити інструктаж і навчання працівників облдержадміністрації з питань дотримання вимог забезпечення режиму секретності під час обробки інформації на ОІД;

доповідати керівництву про всі порушення режиму секретності під час обробки інформації на ОІД;

4.3. Відповідальність.

4.3.1. Керівник та члени групи ТЗІ за невиконання або неналежне виконання службових обов'язків, допущення ними порушення встановленого порядку захисту інформації на ОІД та в АС несуть відповідальність згідно з законодавством України.

Персональна відповідальність керівника та членів групи ТЗІ визначається посадовими (функціональними) інструкціями.

4.3.2. Відповідальність за діяльність групи ТЗІ покладається на її керівника.

Керівник групи ТЗІ відповідає за:

організацію робіт з захисту інформації на ОІД та в АС, ефективність захисту інформації відповідно до діючих нормативно-правових актів;

своєчасне розроблення і виконання Плану захисту інформації в автоматизованій системі;

якісне виконання членами групи ТЗІ завдань, функцій та обов'язків, визначених у цьому Положенні, посадових інструкціях, а також планових заходів з захисту інформації, затверджених заступником голови - керівником апарату облдержадміністрації;

створення системи навчання працівників, користувачів, персоналу ОІД та АС з питань захисту інформації;

виконання особисто та членами групи ТЗІ розпоряджень голови облдержадміністрації, наказів заступника голови - керівника апарату облдержадміністрації, правил внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та протипожежної охорони.

4.3.3. Члени групи ТЗІ відповідають за:

додержання вимог нормативно-правових актів, що визначають порядок організації робіт із захисту інформації та ПД ТР;

повноту та якість розроблення і впровадження організаційно-технічних заходів з захисту інформації, точність та достовірність отриманих результатів і висновків з питань, що належать до компетенції групи ТЗІ;

дотримання термінів проведення контрольних, інспекційних, перевірочних та інших заходів з оцінки стану захищеності інформації, які включені до плану робіт групи ТЗІ;

якість та правомірність документального оформлення результатів робіт окремих етапів створення КСЗІ, документального оформлення результатів перевірок;

виконання інших обов'язків, які покладені на керівника та членів групи ТЗІ у відповідності з їх посадовими (функціональними) інструкціями.

5. Структура групи ТЗІ

5.1. Структура групи ТЗІ, її склад і чисельність визначаються фактичними потребами ОІД та АС для виконання вимог політики безпеки інформації та затверджуються наказом заступника голови - керівника апарату облдержадміністрації. Чисельність і склад групи ТЗІ мають бути достатніми для виконання усіх завдань з захисту інформації на ОІД та в АС.

5.2. Безпосереднє керівництво роботою групою ТЗІ здійснює її керівник. На час відсутності керівника групи ТЗІ (у зв'язку з відпусткою, службовим відрядженням, тимчасовою непрацездатністю тощо) його обов'язки виконує заступник керівника групи ТЗІ.

5.3. До складу групи ТЗІ включаються спеціалісти, які мають спеціальну технічну освіту (вищу, середню спеціальну, спеціальні курси підвищення кваліфікації у галузі ТЗІ тощо) та практичний досвід роботи, володіють навичками з розробки, впровадження, експлуатації КСЗІ і засобів захисту інформації, а також реалізації організаційних, технічних та інших заходів з захисту інформації, знаннями і вмінням застосовувати нормативно-правові акти у сфері захисту інформації.

5.4. Функціональні обов'язки членів групи ТЗІ визначаються переліком і характером завдань, які покладаються на групу.

6. Організація робіт групи ТЗІ

6.1. Група ТЗІ здійснює свою роботу з реалізації основних організаційних та організаційно-технічних заходів з створення і забезпечення функціонування КСЗІ у відповідності з планами робіт.

6.2. До планів роботи групи ТЗІ включаться такі основні заходи:

організаційні;

організаційно-технічні;

технічні;

заходи контролю за станом ТЗІ.

6.3. Плани робіт складаються заступником керівника групи ТЗІ і затверджуються заступником голови - керівником апарату облдержадміністрації.

6.4. Матеріально-технічну базу для забезпечення діяльності групи складають засоби захисту інформації, програмне забезпечення, технічне і інженерне обладнання, засоби вимірювань і контролю, відповідна документація, а також інші засоби і обладнання, які необхідні для виконання групою ТЗІ покладених на неї завдань.

7. Взаємодія групи ТЗІ з управліннями, відділами, іншими структурними підрозділами облдержадміністрації, підприємствами, установами та організаціями

7.1. Група ТЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, що займаються питаннями захисту інформації.

7.2. Заходи з захисту інформації на ОІД та в АС повинні бути узгоджені групою ТЗІ з заходами режимно-секретної діяльності облдержадміністрації.

7.3. Група ТЗІ взаємодіє та узгоджує свою діяльність з:

режимно-секретним органом апарату облдержадміністрації;

управліннями, відділами, іншими структурними підрозділами облдержадміністрації, діяльність яких пов'язана з обробкою інформації з обмеженим доступом;

зовнішніми організаціями, які є партнерами, користувачами, постачальниками, виконавцями робіт;

іншими суб'єктами діяльності у сфері захисту інформації.




 
 
Copyright © 2003-2018 document.UA. All rights reserved. При використанні матеріалів сайту наявність активного посилання на document.UA обов'язково. Законодавство-mirror:epicentre.com.ua
RSS канали