Обязанности ответственного за обеспечение безопасности информации в подразделении

⇐ ПредыдущаяСтр 9 из 36Следующая ⇒

Ответственный за обеспечение безопасности информации подразделения (технологического участка) назначается из числа штатных сотрудников подразделения по представлению его руководителя, согласованному с подразделением обеспечения безопасности ИТ.

Ответственный за обеспечение безопасности информации непосредственно подчиняется руководителю подразделения, в штате которого он состоит, и осуществляет контроль за выполнением требований организационно-распорядительных документов по обеспечению безопасности информации при ее обработке на компьютерах подразделения дополнительно к своим непосредственным функциональным обязанностям.

Методическое руководство работой ответственного за обеспечение безопасности информации осуществляется подразделением обеспечения безопасности ИТ.

Ответственный за обеспечение безопасности информацииОБЯЗАН:

· знать перечень установленных в его подразделении компьютеров и перечень задач, решаемых с их использованием;

· обеспечивать постоянный контроль за выполнением сотрудниками подразделения установленного комплекса мероприятий по обеспечению безопасной автоматизированной обработки информации;

· контролировать целостность печатей (пломб) на устройствах защищенных компьютеров подразделения;

· немедленно сообщать руководителю подразделения и сотрудникам подразделения обеспечения безопасности ИТ об обнаруженных фактах (попытках) несанкционированного доступа к информации и техническим средствам, и принимать необходимые меры по пресечению нарушений;

· обеспечивать соблюдение сотрудниками своего подразделения, подразделений автоматизации и обеспечения безопасности ИТ утвержденного порядка проведения работ по установке и модернизации аппаратных и программных средств рабочих станций и серверов («Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС»), при их техническом обслуживании и отправке в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях) и лично присутствовать при выполнении данных работ (участвовать в работах);

· вести «Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций подразделения»;

· хранить формуляры защищенных рабочих станций, контролировать их соответствие реальным конфигурациям рабочих станций и вести учет изменений их аппаратно-программной конфигурации (заявки, на основании которых были произведены данные изменения);

· вести «Журнал учета ключевых дискет подразделения», хранить, осуществлять прием и выдачу ключевых дискет ответственным исполнителям подразделения в строгом соответствии с установленным порядком работы с ключевыми дискетами, осуществлять контроль за правильность использования ключевых дискет сотрудниками своего подразделения (технологического участка);

· осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов (в соответствии с Планом обеспечения непрерывной работы и восстановления (ОНРВ) АС);

· проводить работу по выявлению возможных каналов неправомерного вмешательства в процесс функционирования АС и осуществления НСД к информации и техническим средствам ПЭВМ. При выявлении таковых сообщать о них руководству подразделения и специалистам подразделения обеспечения безопасности ИТ;

· инструктировать сотрудников подразделения по вопросам обеспечения безопасности информации и правилам работы с используемыми СЗИ.

Ответственный за обеспечение безопасности информации имеетПРАВО:

· требовать от сотрудников подразделения - пользователей АС соблюдения установленных технологий обработки информации и выполнения инструкций по обеспечению безопасности информации в АС;

· инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения безопасности ИТ, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов АС;

· обращаться к руководителю подразделения с требованием прекращения работы на рабочих станциях при несоблюдении установленной технологии обработки информации и невыполнении требований по безопасности ИТ;

· подавать свои предложения по совершенствованию организационных, технологических и технических мер защиты на своем участке работы;

· обращаться в подразделение обеспечения безопасности ИТ за необходимой технической и методологической помощью в своей работе.

Ответственность за нарушения

Для создания необходимой юридической основы процедур привлечения сотрудников к ответственности за нарушения в области обеспечения безопасности ИТ необходимо, чтобы:

· в Уставе организации, во всех положениях о структурных подразделениях и в функциональных (технологических) обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, были отражены требования по обеспечению безопасности ИТ при работе в АС;

· каждый сотрудник (при приеме на работу) подписывал трудовой договор, в котором определены обязательства по соблюдению установленных требований по сохранению государственной, служебной и коммерческой тайны, а также об ответственности за нарушение правил работы с защищаемой информацией в АС;

· все пользователи, руководящий и обслуживающий персонал АС были ознакомлены с перечнем сведений, подлежащих защите, в части их касающейся (в соответствии со своим уровнем полномочий);

· доведение требований организационно-распорядительных документов по вопросам обеспечения безопасности ИТ до лиц, допущенных к обработке защищаемой информации, осуществлялось руководителями подразделений под роспись.

Сотрудники организации несут ответственность по действующему законодательству за разглашение сведений, составляющих (государственную, банковскую, коммерческую) тайну, и сведений ограниченного распространения, ставших им известными по роду работы.

Любое грубое нарушение порядка и правил работы в АС сотрудниками структурных подразделений должно расследоваться. К виновным должны применяться адекватные меры воздействия.

Нарушения установленных правил и требований по обеспечению безопасности ИТ являются основанием для применения к сотруднику (исполнителю) административных мер наказания, вплоть до увольнения и привлечения к уголовной ответственности.

Мера ответственности сотрудников за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться с учетом нанесенного ущерба, наличия злого умысла и других факторов по усмотрению руководства.

Для реализации принципа персональной ответственностисотрудников за свои действия необходимы:

· индивидуальная идентификация сотрудников и инициированных ими процессов при работе в АС, т.е. установление за ними уникальных идентификаторов пользователей, на основе которых будет осуществляться разграничение доступа и регистрация событий;

· проверка подлинности соответствия пользователей и сотрудников (аутентификация) на основе паролей, ключей, специальных устройств, биометрических характеристик личности сотрудников и т.п.;

· регистрация (протоколирование) работы механизмов контроля доступа пользователей к ресурсам информационных систем с указанием даты и времени, идентификаторов пользователя и запрашиваемых им ресурсов, вида взаимодействия и его результата;

· оперативная реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).

Дата добавления: 2018-02-28; просмотров: 283; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 4 5 6 7 8910 11 12 13 Следующая ⇒

Мы поможем в написании ваших работ!