МИНИСТЕРСТВО ОБРАЗОВАНИЯ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ТИПОВОЕ
ПОЛОЖЕНИЕ О СЛУЖБЕ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ВУЗА
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. В высших учебных заведениях, осуществляющих свою
деятельность с использованием сведений с ограниченным доступом, для разработки
и проведения технических мероприятий по защите информации в соответствии с
порядком, установленным Уставом ВУЗа, создаются соответствующие службы.
По Закону “О Государственной Тайне” и Положения–93
они поименованы:
·
Структурные
подразделения по защите государственной тайны.
·
Структурные
подразделения по защите информации.
·
Учитывая
специфику высшей школы Положения ВУЗ–95 они именуются: структурные
подразделения по защите государственной тайны и информации.
1.2. Конкретное наименование службы определяется в
зависимости от объема и характера выполняемых работ. Такими наименованиями
могут быть: служба защиты информации, отдел защиты информации, служба
информационной безопасности и др. Конкретное наименование службы
согласовывается со Специальным отделом Минобразование России.
1.3. Служба защиты информации как правило является
самостоятельным структурным подразделением, подчиненным непосредственно ректору
и (при наличии) проректору по безопасности (режиму). При наличии в вузе службы
безопасности служба защиты информации входит в ее структуру.
В структурных подразделениях вуза при необходимости
могут создаваться части, группы службы защиты информации или назначаться
приказом ректора уполномоченные, на которых распространяются права и
обязанности работников указанной службы.
1.4. Служба защиты информации относится к
подразделениям, непосредственно участвующим деятельности по выполнению вузами
работ с использованием сведений с ограниченным доступом.
Мероприятия по защите информации являются составной
частью управленческой, научной, учебной и производственной деятельности и
осуществляются комплексно по совокупности всех направлений защиты. Конкретные
методы и средства защиты информации применяются в зависимости от степени
возможного ущерба в случае ее утечки и утраты.
1.5. Структура и штаты службы защиты информации
определяются ректором вуза в зависимости от объема и сложности работ по защите
информации. При определении (уточнении) организационно-штатной структуры службы
защиты информации необходимо руководствоваться "Общероссийским
классификатором профессий рабочих и должностей служащих" (1994г.),
"Квалификационными характеристиками должностей руководителей и
специалистов, обеспечивающих защиту информации" (1993 г.) и
"Квалификационными характеристиками работников режимно-секретных органов
министерств, ведомству учреждений, предприятий и организаций Российской
Федерации" (1992 г.)
1.6. Назначение и освобождение от должности
руководителя службы защиты информации производится ректором вуза по письменному
согласованию со Специальным отделом Минобразования России.
Вновь назначенный руководитель службы защиты
информации, а также его заместителя до приема дел обязаны пройти инструктаж в
Специальном отделе Минобразования России.
Работники подразделений службы защиты информации по
оплате труда льготам и премирования приравниваются к соответствующим категориям
работников основных структурных подразделений.
1.7. Служба защиты информации комплектуется соответствующими
работниками, отвечающими требованиям квалификационных характеристик на
специалистов по комплексной защите информация.
1.8. Лица, принятые на работу в службу защиты
информации, допускаются к самостоятельной работе после изучения ими требований
соответствующих нормативных документов, настоящего положения и проверки знания
этих требований.
1.9. Обязанности и права работников службы защиты
информации определяются положением о службе и должностными инструкциями
работников, разрабатываемыми в соответствии с требованиями нормативных
документов и настоящим положением.
1.10. Руководитель службы защиты информации обязан
организовывать и систематически проводить учебу работников службы и
уполномоченных по защите информации в целях повышения деловой квалификации,
уровня знаний и приобретения практических навыков в выполнении возложенных на
службу защиты информации задач.
1.11. Работа службы защиты информации проводится в
соответствии с перспективными, годовыми и квартальными планами работ.
1.12. Проведение любых мероприятий и работ с
использованием сведений с ограниченным доступом без принятия необходимых мер
защиты не допускается. С этой целью служба защиты информации обеспечивается
необходимыми производственными помещениями, оборудованием, вычислительной
техникой, контрольно-измерительной аппаратурой и расходными материалами.
1.13. Служба защиты информации в своей деятельности
руководствуется законодательством Российской Федерации, нормативными
документами по защите информации, приказами и указаниями Минобразования России
и ректора вуза.
2. ЗАДАЧИ
Основными задачами службы защиты информации вуза
являются:
·
обеспечение
организация разработки перечней сведений конфиденциального характера;
·
выявление,
локализация и оперативное пресечение возможных каналов утечки защищаемой
информации в процессе повседневной производственной деятельности и в
экстремальных ситуациях;
·
анализ
возможностей возникновения новых каналов утечки и разработка методов и
рекомендаций по их пресечению;
·
профилактическая
деятельность, направленная на предотвращение открытия потенциальных каналов и
источников утечки информации;
·
анализ
и оценка реальной опасности перехвата информации техническими средствами
негласного съема информации, предотвращение возможных несанкционированных
действий по уничтожению, модификации, копированию и блокированию информации;
·
обеспечение
режима конфиденциальности при проведении всех видов деятельности, включая
различные встречи, переговоры, совещания, связанные с деловым сотрудничеством
как на национально, так и на международном уровне;
·
изучение,
анализ и оценка состояния системы технической защиты информации и разработка
предложений и рекомендаций по ее совершенствованию.
·
3. ФУНКЦИИ
3.1. В соответствии с задачами служба защиты
информации выполняет следующие общие функции:
3.1.1.
Организация и обеспечение режима ограничения доступа к источникам и носителям
защищаемой информации.
3.1.2. Организационно-правовое и методическое
обеспечение работ по регулированию отношений, связанных с использованием
сведений с ограниченным доступом.
3.1.3. Обследование производственной и
административной деятельности для выявления и закрытия возможных каналов утечки
конфиденциальной информации, ведение учета и анализ нарушений режима
безопасности информации.
3.1.4. Организация и проведение служебных
расследований по фактам нарушения правил функционирования системы технической
защиты информации.
3.1.5. Обеспечение строгого выполнения требований
нормативных документов по защите информации.
3.1.6. Осуществление руководства и контроля за
деятельностью подразделений защиты информации в структурных подразделениях вуза
при их наличии.
3.1.7. Регулярное проведение учебы сотрудников по
всем направлениям защиты информации.
3.1.8. Ведение учета технических средств, в том
числе, специальных хранилищ, средств вычислительной техники, используемых для
работы с данными ограниченного распространения.
3.1.9.
Разработка
совместно с руководителями структурных подразделений
организационно-распорядительных документов по вопросам защиты информации в
вузе, обеспечение их утверждения в установленном порядке.
3.1.10. Проведение профилактической работы с
сотрудниками структурных подразделений вуза по соблюдению требований работы с
защищаемой информацией ограниченного доступа.
3.1.11. Создание специального
информационно-справочного фонда по вопросам защиты информации.
3.1.12.
Сбор и анализ сведений по различным аспектам защиты информации в других вузах
для использования в работе.
3.1.13. Обеспечение своевременного выявления
недостатков и совершенствование комплекса мероприятий по реализации политики
защиты информации в вузе.
3.1.14. Сбор, аналитическая обработка и оценка
сведений о потенциальных и реальных конкурентах, в том числе зарубежных, с
целью выявления возможных противоправных действий по добыванию ими охраняемых
сведений и перекрытия каналов утечки информации.
3.2. Основными функциями службы защиты информации по
организации подготовки, издания, хранения и использования документов с
ограниченным доступом являются:
3.2.1. Обеспечения организации и ведения
делопроизводства конфиденциального характера.
3.2.2. Организация проведения служебных
расследованиях по фактам разглашения конфиденциальных сведений, а также утраты
документов, содержащих такие сведения.
3.2.3. Контроль за соблюдением установленного
порядка изменения условных и открытых наименований тем, работ, специзделий и
т.п.
3.2.4. Контроль за соблюдением исполнителями правил
обращения с конфиденциальными документами.
3.3. Основными функциями службы защиты информации по
организации и обеспечению режима ограничения доступа являются:
3.3.1. Разработка совместно с руководителями
структурных подразделений номенклатуры должностей работников, подлежащих
оформлению на допуск к сведениям конфиденциального характера.
3.3.2. Ограничение по режиму допуска и доступа к
сведениям конфиденциального характера.
3.3.3. Ведение учета специзделий, организация
контроля за обеспечением требований режима конфиденциальности уполномоченными
лицами в структурных подразделениях, проведение проверок наличия специзделий.
3.3.4.
Участие в проведении мероприятий по соблюдению режима конфиденциальности при
осуществлении прямых связей с зарубежными странами.
3.3.8. Участие в подготовке приказов и распоряжений
по вопросам обеспечения режима конфиденциальности проводимых работ.
3.4. Основными функциями службы защиты информации от
ее утечки по техническим каналам являются:
3.4.1. Обследование объекта с целью выявления
потенциально возможных каналов утечки информации.
3.4.2. Формирование перечней каналов утечки
информации на основе анализа моделей технических разведок и угроз.
3.4.3. Разработка и внедрение средств
инженерно-технической защиты информации и контроля их эффективности.
3.4.4. Анализ эффективности применения средств
защиты и контрольно-измерительной аппаратуры.
3.4.5. Установка, монтаж, наладка и эксплуатация
комплекса инженерно-технических средств защиты информации.
3.4.6. Обеспечение защиты в системах связи от прослушивания, разрыва линий,
фальсификации и ложных сообщений; обеспечение юридической значимости
электронных документов.
3.4.7. Регистрация, сбор, хранение, обработка и
выдача сведений о событиях, касающихся законных обращений, ошибочных и
незаконных обращений; аналитико-синтетическая обработка зарегистрированных
сведений.
3.4.8. Оптимизация использования информационных и
вычислительных ресурсов путем контроля параметров надежности технических
средств, а также выявление и прогнозирование критических ситуаций.
3.4.9. Контроль и поддержание целостности ресурсов
АСОД и среды исполнения прикладных программ.
4. ПРАВА И ОТВЕТСТВЕННОСТЬ
4.1.
Служба защиты информации имеет право:
4.1.1. Запрашивать и получать в пределах своей
компетенции необходимые сведения и материалы для организации и проведения работ
по вопросам защиты информации.
4.1.2. Контролировать деятельность структурных
подразделений по выполнению ими требований по защите информации.
4.1.3. Разрабатывать и направлять на утверждение в
установленном порядке проекты организационных, распорядительных,
нормативно-методических документов по защите информации; принимать участие в
разработке организационно-технической документации в части формирования
требований по обеспечению защиты информации.
4.1.4. Привлекать в установленном порядке по
согласованию с руководством вуза необходимых специалистов и специальную
контрольно-измерительную аппаратуру для разработки решений, мероприятий,
нормативно-методических документов по вопросам защиты информации, а также для
проведения контроля и оценки эффективности принятых мер.
4.1.5. Вносить предложения руководителю вуза о
приостановке работ в случае обнаружения утечки или предпосылок к утечке
информации, содержащей сведения с ограниченным доступом и несанкционированного
доступа к ней.
4.1. 6. Получать установленным порядком лицензии на
выполнение работ по защите информации и при ее получении оказывать услуги в
этой области другим предприятиям.
4.1.7. Участвовать в расследовании причин выявленных
нарушений установленных требований и норм в области защиты информации.
4.1.8. Требовать, в необходимых случаях, от
должностных лиц вуза предоставления письменных объяснений по фактам
установленных нарушений режима ограничение доступа и правил по защите
информации.
4.2. На руководителя службы защиты информации
возлагается персональная ответственность за:
4.2.1. Обеспечение установленного порядка
функционирования системы защиты информации вуза.
4.2.2. Оформление разрешительной документации
(лицензий и т.д.) на выполнение специальных исследований и работ по защите
информации.
4.2.3. Выполнение указаний и поручений руководства,
плана работы службы.
4.2.4. Своевременную разработку положений о
структурных подразделениях службы и должностных инструкций ее работников.
4.2.5.
Соблюдение необходимых условий труда работников службы.
4.2.5. Соблюдение трудовой и производственной
дисциплины работниками службы.
4.3. На сотрудников службы защиты информации
возлагается персональная ответственность за обеспечение установленного порядка
функционирования системы защиты информации в пределах их функций, определяемых
в должностных инструкциях.
5. ВЗАИМОДЕЙСТВИЕ
5.1.
Служба защиты информации по характеру деятельности находится в тесном
взаимодействии:
5.1.1. С
руководителями структурных подразделений вуза и подведомственной сети - по
вопросам функционирования, контроля
и проверки системы защиты информации, подготовки и предоставления необходимых
руководству материалов по профилю деятельности служба.
5.1.2. С юридической службой - по правовым вопросам, связанным с
обеспечением защиты информации.
5.1.3. С службами кадров, труда и заработной платы,
бухгалтерией - по вопросам подбора, расстановки кадров, проведения проверочных
мероприятий, повышения квалификации сотрудников, оплаты труда.
5.1.4. С постоянно действующей технической комиссией
(ПДТК) -по вопросам эффективности и совершенствования системы защиты
информации.
5.1.5. Со службами материально-технического
снабжения и хозяйственного обслуживания - по вопросам обеспечения техническими
средствами, оборудованием, канцелярскими принадлежностями, бытового
обслуживания работников службы.
5.2. Служба защиты информации организует при
необходимости взаимодействие с аналогичными подразделениями сторонних
организаций, участвующими в выполнении совместных программ.
5.3. Служба защиты информации проводит свою работу
во взаимодействии с представителями территориальных органов ФСБ, ФАПСИ,
Гостехкомиссии России, военными представительствами,
правоохранительными органами, другими министерствами и ведомствами.
5.4. Служба защиты информации при выполнении работ, связанных с защитой информации применительно
к конкретным НИР и ОКР, производственным заказам или программам испытаний,
может являться соисполнителем этих работ на договорной основе.