МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

 

ТИПОВОЕ ПОЛОЖЕНИЕ О СЛУЖБЕ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ВУЗА

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. В высших учебных заведениях, осуществляющих свою деятельность с использованием сведений с ограниченным доступом, для разработки и проведения технических мероприятий по защите информации в соответствии с порядком, установленным Уставом ВУЗа, создаются соответствующие службы.

По Закону “О Государственной Тайне” и Положения–93 они поименованы:

·      Структурные подразделения по защите государственной тайны.

·      Структурные подразделения по защите информации.

·      Учитывая специфику высшей школы Положения ВУЗ–95 они именуются: структурные подразделения по защите государственной тайны и информации.

1.2. Конкретное наименование службы определяется в зависимости от объема и характера выполняемых работ. Такими наименованиями могут быть: служба защиты информации, отдел защиты информации, служба информационной безопасности и др. Конкретное наименование службы согласовывается со Специальным отделом Минобразование России.

1.3. Служба защиты информации как правило является самостоятельным структурным подразделением, подчиненным непосредственно ректору и (при наличии) проректору по безопасности (режиму). При наличии в вузе службы безопасности служба защиты информации входит в ее структуру.

В структурных подразделениях вуза при необходимости могут создаваться части, группы службы защиты информации или назначаться приказом ректора уполномоченные, на которых распространяются права и обязанности работников указанной службы.

1.4. Служба защиты информации относится к подразделениям, непосредственно участвующим деятельности по выполнению вузами работ с использованием сведений с ограниченным доступом.

Мероприятия по защите информации являются составной частью управленческой, научной, учебной и производственной деятельности и осуществляются комплексно по совокупности всех направлений защиты. Конкретные методы и средства защиты информации применяются в зависимости от степени возможного ущерба в случае ее утечки и утраты.

1.5. Структура и штаты службы защиты информации определяются ректором вуза в зависимости от объема и сложности работ по защите информации. При определении (уточнении) организационно-штатной структуры службы защиты информации необходимо руководствоваться "Общероссийским классификатором профессий рабочих и должностей служащих" (1994г.), "Квалификационными характеристиками должностей руководителей и специалистов, обеспечивающих защиту информации" (1993 г.) и "Квалификационными характеристиками работников режимно-секретных органов министерств, ведомству учреждений, предприятий и организаций Российской Федерации" (1992 г.)

1.6. Назначение и освобождение от должности руководителя службы защиты информации производится ректором вуза по письменному согласованию со Специальным отделом Минобразования России.

Вновь назначенный руководитель службы защиты информации, а также его заместителя до приема дел обязаны пройти инструктаж в Специальном отделе Минобразования России.

Работники подразделений службы защиты информации по оплате труда льготам и премирования приравниваются к соответствующим категориям работников основных структурных подразделений.

1.7. Служба защиты информации комплектуется соответствующими работниками, отвечающими требованиям квалификационных характеристик на специалистов по комплексной защите информация.

1.8. Лица, принятые на работу в службу защиты информации, допускаются к самостоятельной работе после изучения ими требований соответствующих нормативных документов, настоящего положения и проверки знания этих требований.

1.9. Обязанности и права работников службы защиты информации определяются положением о службе и должностными инструкциями работников, разрабатываемыми в соответствии с требованиями нормативных документов и настоящим положением.

1.10. Руководитель службы защиты информации обязан организовывать и систематически проводить учебу работников службы и уполномоченных по защите информации в целях повышения деловой квалификации, уровня знаний и приобретения практических навыков в выполнении возложенных на службу защиты информации задач.

1.11. Работа службы защиты информации проводится в соответствии с перспективными, годовыми и квартальными планами работ.

1.12. Проведение любых мероприятий и работ с использованием сведений с ограниченным доступом без принятия необходимых мер защиты не допускается. С этой целью служба защиты информации обеспечивается необходимыми производственными помещениями, оборудованием, вычислительной техникой, контрольно-измерительной аппаратурой и расходными материалами.

1.13. Служба защиты информации в своей деятельности руководствуется законодательством Российской Федерации, нормативными документами по защите информации, приказами и указаниями Минобразования России и ректора вуза.

 

2. ЗАДАЧИ

 

Основными задачами службы защиты информации вуза являются:

·      обеспечение организация разработки перечней сведений конфиденциального характера;

·      выявление, локализация и оперативное пресечение возможных каналов утечки защищаемой информации в процессе повседневной производственной деятельности и в экстремальных ситуациях;

·      анализ возможностей возникновения новых каналов утечки и разработка методов и рекомендаций по их пресечению;

·      профилактическая деятельность, направленная на предотвращение открытия потенциальных каналов и источников утечки информации;

·      анализ и оценка реальной опасности перехвата информации техническими средствами негласного съема информации, предотвращение возможных несанкционированных действий по уничтожению, модификации, копированию и блокированию информации;

·      обеспечение режима конфиденциальности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, связанные с деловым сотрудничеством как на национально, так и на международном уровне;

·      изучение, анализ и оценка состояния системы технической защиты информации и разработка предложений и рекомендаций по ее совершенствованию.

·       

3. ФУНКЦИИ

 

3.1. В соответствии с задачами служба защиты информации выполняет следующие общие функции:

3.1.1. Организация и обеспечение режима ограничения доступа к источникам и носителям защищаемой информации.

3.1.2. Организационно-правовое и методическое обеспечение работ по регулированию отношений, связанных с использованием сведений с ограниченным доступом.

3.1.3. Обследование производственной и административной деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведение учета и анализ нарушений режима безопасности информации.

3.1.4. Организация и проведение служебных расследований по фактам нарушения правил функционирования системы технической защиты информации.

3.1.5. Обеспечение строгого выполнения требований нормативных документов по защите информации.

3.1.6. Осуществление руководства и контроля за деятельностью подразделений защиты информации в структурных подразделениях вуза при их наличии.

3.1.7. Регулярное проведение учебы сотрудников по всем направлениям защиты информации.

3.1.8. Ведение учета технических средств, в том числе, специальных хранилищ, средств вычислительной техники, используемых для работы с данными ограниченного распространения.

3.1.9. Разработка совместно с руководителями структурных подразделений организационно-распорядительных документов по вопросам защиты информации в вузе, обеспечение их утверждения в установленном порядке.

3.1.10. Проведение профилактической работы с сотрудниками структурных подразделений вуза по соблюдению требований работы с защищаемой информацией ограниченного доступа.

3.1.11. Создание специального информационно-справочного фонда по вопросам защиты информации.

3.1.12. Сбор и анализ сведений по различным аспектам защиты информации в других вузах для использования в работе.

3.1.13. Обеспечение своевременного выявления недостатков и совершенствование комплекса мероприятий по реализации политики защиты информации в вузе.

3.1.14. Сбор, аналитическая обработка и оценка сведений о потенциальных и реальных конкурентах, в том числе зарубежных, с целью выявления возможных противоправных действий по добыванию ими охраняемых сведений и перекрытия каналов утечки информации.

3.2. Основными функциями службы защиты информации по организации подготовки, издания, хранения и использования документов с ограниченным доступом являются:

3.2.1. Обеспечения организации и ведения делопроизводства конфиденциального характера.

3.2.2. Организация проведения служебных расследованиях по фактам разглашения конфиденциальных сведений, а также утраты документов, содержащих такие сведения.

3.2.3. Контроль за соблюдением установленного порядка изменения условных и открытых наименований тем, работ, специзделий и т.п.

3.2.4. Контроль за соблюдением исполнителями правил обращения с конфиденциальными документами.

3.3. Основными функциями службы защиты информации по организации и обеспечению режима ограничения доступа являются:

3.3.1. Разработка совместно с руководителями структурных подразделений номенклатуры должностей работников, подлежащих оформлению на допуск к сведениям конфиденциального характера.

3.3.2. Ограничение по режиму допуска и доступа к сведениям конфиденциального характера.

3.3.3. Ведение учета специзделий, организация контроля за обеспечением требований режима конфиденциальности уполномоченными лицами в структурных подразделениях, проведение проверок наличия специзделий.

3.3.4. Участие в проведении мероприятий по соблюдению режима конфиденциальности при осуществлении прямых связей с зарубежными странами.

3.3.8. Участие в подготовке приказов и распоряжений по вопросам обеспечения режима конфиденциальности проводимых работ.

3.4. Основными функциями службы защиты информации от ее утечки по техническим каналам являются:

3.4.1. Обследование объекта с целью выявления потенциально возможных каналов утечки информации.

3.4.2. Формирование перечней каналов утечки информации на основе анализа моделей технических разведок и угроз.

3.4.3. Разработка и внедрение средств инженерно-технической защиты информации и контроля их эффективности.

3.4.4. Анализ эффективности применения средств защиты и контрольно-измерительной аппаратуры.

3.4.5. Установка, монтаж, наладка и эксплуатация комплекса инженерно-технических средств защиты информации.

3.4.6. Обеспечение защиты в системах связи от прослушивания, разрыва линий, фальсификации и ложных сообщений; обеспечение юридической значимости электронных документов.

3.4.7. Регистрация, сбор, хранение, обработка и выдача сведений о событиях, касающихся законных обращений, ошибочных и незаконных обращений; аналитико-синтетическая обработка зарегистрированных сведений.

3.4.8. Оптимизация использования информационных и вычислительных ресурсов путем контроля параметров надежности технических средств, а также выявление и прогнозирование критических ситуаций.

3.4.9. Контроль и поддержание целостности ресурсов АСОД и среды исполнения прикладных программ.

 

4. ПРАВА И ОТВЕТСТВЕННОСТЬ

 

4.1. Служба защиты информации имеет право:

4.1.1. Запрашивать и получать в пределах своей компетенции необходимые сведения и материалы для организации и проведения работ по вопросам защиты информации.

4.1.2. Контролировать деятельность структурных подразделений по выполнению ими требований по защите информации.

4.1.3. Разрабатывать и направлять на утверждение в установленном порядке проекты организационных, распорядительных, нормативно-методических документов по защите информации; принимать участие в разработке организационно-технической документации в части формирования требований по обеспечению защиты информации.

4.1.4. Привлекать в установленном порядке по согласованию с руководством вуза необходимых специалистов и специальную контрольно-измерительную аппаратуру для разработки решений, мероприятий, нормативно-методических документов по вопросам защиты информации, а также для проведения контроля и оценки эффективности принятых мер.

4.1.5. Вносить предложения руководителю вуза о приостановке работ в случае обнаружения утечки или предпосылок к утечке информации, содержащей сведения с ограниченным доступом и несанкционированного доступа к ней.

4.1. 6. Получать установленным порядком лицензии на выполнение работ по защите информации и при ее получении оказывать услуги в этой области другим предприятиям.

4.1.7. Участвовать в расследовании причин выявленных нарушений установленных требований и норм в области защиты информации.

4.1.8. Требовать, в необходимых случаях, от должностных лиц вуза предоставления письменных объяснений по фактам установленных нарушений режима ограничение доступа и правил по защите информации.

4.2. На руководителя службы защиты информации возлагается персональная ответственность за:

4.2.1. Обеспечение установленного порядка функционирования системы защиты информации вуза.

4.2.2. Оформление разрешительной документации (лицензий и т.д.) на выполнение специальных исследований и работ по защите информации.

4.2.3. Выполнение указаний и поручений руководства, плана работы службы.

4.2.4. Своевременную разработку положений о структурных подразделениях службы и должностных инструкций ее работников.

4.2.5. Соблюдение необходимых условий труда работников службы.

4.2.5. Соблюдение трудовой и производственной дисциплины работниками службы.

4.3. На сотрудников службы защиты информации возлагается персональная ответственность за обеспечение установленного порядка функционирования системы защиты информации в пределах их функций, определяемых в должностных инструкциях.

 

5. ВЗАИМОДЕЙСТВИЕ

 

5.1. Служба защиты информации по характеру деятельности находится в тесном взаимодействии:

5.1.1. С руководителями структурных подразделений вуза и подведомственной сети - по вопросам функционирования, контроля и проверки системы защиты информации, подготовки и предоставления необходимых руководству материалов по профилю деятельности служба.

5.1.2. С юридической службой - по правовым вопросам, связанным с обеспечением защиты информации.

5.1.3. С службами кадров, труда и заработной платы, бухгалтерией - по вопросам подбора, расстановки кадров, проведения проверочных мероприятий, повышения квалификации сотрудников, оплаты труда.

5.1.4. С постоянно действующей технической комиссией (ПДТК) -по вопросам эффективности и совершенствования системы защиты информации.

5.1.5. Со службами материально-технического снабжения и хозяйственного обслуживания - по вопросам обеспечения техническими средствами, оборудованием, канцелярскими принадлежностями, бытового обслуживания работников службы.

5.2. Служба защиты информации организует при необходимости взаимодействие с аналогичными подразделениями сторонних организаций, участвующими в выполнении совместных программ.

5.3. Служба защиты информации проводит свою работу во взаимодействии с представителями территориальных органов ФСБ, ФАПСИ, Гостехкомиссии России, военными представительствами, правоохранительными органами, другими министерствами и ведомствами.

5.4. Служба защиты информации при выполнении работ, связанных с защитой информации применительно к конкретным НИР и ОКР, производственным заказам или программам испытаний, может являться соисполнителем этих работ на договорной основе.