Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

8.6.6. В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства ИСПДн подразделяются на классы.

Класс АС (ИСПДн) устанавливается в соответствии с «Порядком проведения классификации ИСНДн», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 №55/86/20, и оформляется актом.

Пересмотр класса защищенности АС (ИСПДНн) производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

8.6.7. На стадии проектирования и создания АС (ИСПДн, СЗПДн) проводятся следующие мероприятия:

– разработка задания и проекта проведения работ (в том числе строительных и строительно-монтажных) по созданию (реконструкции) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

– выполнение работ в соответствии с проектной документацией;

– обоснование и закупка совокупности используемых в ИСПДн серийно выпускаемых технических средств обработки, передачи и хранения информации;

– разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

– обоснование и закупка совокупности используемых в ИСПДн сертифицированных технических, программных и программно-технических СрЗИ и их установка;

– проведение сертификации по требованиям безопасности информации технических, программных и программно-технических СрЗИ, в случае когда на рынке отсутствуют требуемые сертифицированные СрЗИ;

– разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;

– определение подразделений и назначение лиц, ответственных за эксплуатацию СрЗИ, с их обучением по направлению обеспечения безопасности ПДн;

– разработка эксплуатационной документации на ИСПДн и СрЗИ, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

– выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.

8.6.8. На стадии ввода в действие АС (ИСПДн, СЗПДн) осуществляются:

– выполнение генерации пакета прикладных программ в комплексе с программными СрЗИ;

– опытная эксплуатация СрЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

– приемо-сдаточные испытания СрЗИ по результатам опытной эксплуатации;

– организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

– оценка соответствия ИСПДн требованиям безопасности ПДн.

9. Ответственность должностных лиц организации за обеспечение защиты информации, содержащей ПДн, на объекте информатизации

9.1. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн в Организации, являются:

– начальник Организации;

– начальник отдела безопасности;

– начальник отдела информационных технологий;

– системный администратор;

– администратор информационной безопасности;

– начальники отделов Организации;

– работники, допущенные к обработке ПДн в ИСПДн.

Они обязаны:

– не допускать проведения в Организации работ и мероприятий, связанных с использованием ПДн без принятия необходимых мер по защите ПДн;

– определять объекты информатизации, предназначенные для работы с ПДн, организовывать их защиту;

– контролировать работу структурных подразделений Организации и должностных лиц при обработке ПДн.

9.2. Начальник Организации несет ответственность за общую организацию работ по защите информации на объекте информатизации и созданию эффективной СЗПДн этих объектов.

9.3. Начальник отдела безопасности или администратор информационной безопасности несет ответственность за:

– руководство и координацию работ по защите информации на объекте информатизации;

– организацию выполнения требований по защите информации на объекте информатизации;

– обоснованность необходимости создания СЗПДн объекта информатизации;

– разработку организационно-распорядительных документов по защите информации на объекте информатизации;

– организацию разработки технического задания на создание СЗПДн, подготовку проектов договоров со сторонними организациями на выполнение работ по защите информации на объекте информатизации;

– организацию контроля состояния СЗПДн объекта информатизации, соблюдения работниками установленных норм и требований по защите информации;

– организацию контроля охраны помещений объекта;

– совершенствование СЗПДн.

Он имеет право:

– контролировать деятельность структурных подразделений Организации, должностных лиц по выполнению ими требований по защите ПДн;

– участвовать в работе различного рода заседаний, комиссий, экспертных групп Организации при рассмотрении вопросов защиты ПДн;

– вносить предложения начальнику Организации о приостановке работ с ПДн в случае нарушения требований по защите ПДн;

– готовить предложения о привлечении к проведению работ по защите ПДн сторонних организаций, имеющих лицензию на соответствующий вид деятельности.

9.4. Администратор информационной безопасности объекта информатизации Организации несет ответственность за:

сопровождение СрЗИ от несанкционированного доступа;