Положение об отделе – Межрегиональный центр защиты информации

I. Общие положения

1.1.    Отдел – Межрегиональный центр защиты информации (далее – МЦЗИ) – структурное подразделение Управления Федерального казначейства по Кемеровской области – Кузбассу (далее – УФК) по противодействию техническим разведкам и защите информации от утечки по техническим каналам (далее – защита информации).

1.2.    МЦЗИ является составной частью системы защиты информации органов Федерального казначейства.

1.3.    Включение МЦЗИ в состав других структурных подразделений УФК или передача функций МЦЗИ иным структурным подразделениям УФК, а также возложение на МЦЗИ обязанностей, не относящихся к защите информации, запрещается.

1.4.    Планирование и контроль деятельности МЦЗИ, в части выполнения возложенных на него функций, осуществляется под оперативным руководством Управления режима секретности и безопасности информации Федерального казначейства.

1.5.    Для осуществления своей деятельности МЦЗИ обеспечивается необходимыми производственными площадями, контрольно-измерительной аппаратурой и материально-техническими средствами в соответствии с установленными нормами и требованиями по защите информации.

1.6.    Изменения в настоящее Положение вносятся, согласовываются и утверждаются в том же порядке и на том же уровне, что и основной документ.

II. Задачи МЦЗИ

Основными задачами МЦЗИ являются:

- аттестация объектов информатизации территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ;

- контроль состояния защиты информации на объектах информатизации территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ;

- оказание методической помощи территориальным органам Федерального казначейства, входящим в зону ответственности МЦЗИ, в создании и эксплуатации системы защиты информации объектов информатизации;

- оказание практической помощи по заявкам территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ, в выявлении технических каналов утечки информации на объектах информатизации;

- проведение анализа состояния защиты информации на объектах информатизации территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ.

III. Функции МЦЗИ

В соответствии с возложенными задачами МЦЗИ выполняет следующие функции:

3.1.    Планирует организацию выездов в территориальные органы Федерального казначейства, входящие в зону ответственности МЦЗИ, в соответствии с утвержденным Федеральным казначейством планом и установленными сроками проведения контрольных мероприятий.

3.2.    Представляет на утверждение в Федеральное казначейство план осуществления выездов в территориальные органы Федерального казначейства, входящие в зону ответственности МЦЗИ.

3.3.    Проводит аттестационные испытания объектов информатизации в территориальных органах Федерального казначейства, входящих в зону ответственности МЦЗИ, согласно Положению по аттестации объектов информатизации по требованиям безопасности информации, утвержденному председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г. (далее – Положение по аттестации).

3.4.    Выдает аттестат соответствия объекта информатизации по требованиям безопасности информации.

3.5.    Проводит контроль эффективности функционирования системы защиты информации объектов информатизации в территориальных органах Федерального казначейства, входящих в зону ответственности МЦЗИ, согласно утвержденного плана проверок, с составлением соответствующего акта.

3.6.    Проводит анализ выявленных в результате контроля недостатков, разрабатывает предложения по их устранению, осуществляет контроль их устранения.

3.7.    Представляет в Управление режима секретности и безопасности информации Федерального казначейства копии актов контроля эффективности функционирования системы защиты информации объектов информатизации проверенных территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ, а также предложения по совершенствованию системы защиты информации.

3.8.    По заявкам территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ, проводит контроль защищенности объектов информатизации с оформлением акта и протоколов.

3.9.    Ведет информационную базу аттестованных объектов информатизации по территориальным органам Федерального казначейства, входящим в зону ответственности МЦЗИ.

3.10.    Готовит предложения по совершенствованию системы защиты информации объектов информатизации территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ.

3.11.    По заявкам территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ, оказывает практическую помощь в выявлении технических каналов утечки информации на объектах информатизации и вырабатывает рекомендации по закрытию этих каналов.

3.12.    Консультирует территориальные органы Федерального казначейства, входящие в зону ответственности МЦЗИ, по вопросам информационной безопасности и организации работ по защите информации.

3.13.    Разрабатывает предложения по финансированию деятельности МЦЗИ на последующий год для включения в общую смету УФК.

3.14.    Осуществляет взаимодействие с ФСБ России, ее территориальными органами безопасности, с ФСТЭК России, ее территориальными органами, с Управлением режима секретности и безопасности информации Федерального казначейства и отделами режима секретности и безопасности информации территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ, по вопросам защиты информации.

3.15.    Информирует ежеквартально соответствующие территориальные органы ФСТЭК России о своей деятельности в области аттестации.

3.16.    Формирует фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвует в их разработке.

IV. Права МЦЗИ

МЦЗИ в рамках выполнения возложенных на него задач имеет право:

4.1.    Организовывать и проводить контроль состояния защиты информации объектов информатизации в территориальных органах Федерального казначейства, входящих в зону ответственности МЦЗИ.

4.2.    Доступа к информационным ресурсам, автоматизированным и телекоммуникационным системам объектов информатизации проверяемых территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ, для осуществления контроля выполнения установленных требований безопасности информации и проверки эффективности принимаемых мер защиты.

4.3.    Проводить, по согласованию с проверяемым территориальным органом Федерального казначейства, проверку эффективности системы защиты информации от несанкционированного доступа с использованием специализированного сертифицированного программного обеспечения, в том числе - путем моделирования попыток несанкционированного доступа к защищаемой информации.

4.4.    В случаях обнаружения утечки информации, содержащей сведения, ограниченного доступа, вносить предложения руководству территориального органа Федерального казначейства о запрещении или приостановлении ведения работ с информацией (документами) ограниченного доступа, до устранения выявленных недостатков.

4.5.    Вносить предложения в Управление режима секретности и безопасности информации Федерального казначейства и руководителям проверяемых территориальных органов Федерального казначейства по совершенствованию системы защиты информации и объектов информатизации.

4.6.    Запрашивать и получать от территориальных органов Федерального казначейства, входящих в зону ответственности МЦЗИ, необходимые материалы по вопросам защиты информации с целью проведения предварительного анализа состояния системы защиты информации объекта информатизации, а также выработки предложений по совершенствованию организации работ по обеспечению безопасности информации.

V. Организация работы МЦЗИ

5.1.    Организация и обеспечение деятельности МЦЗИ возлагается на заместителя руководителя УФК, координирующего его работу.

5.2.    МЦЗИ возглавляет начальник, назначение и освобождение от должности которого, производится приказом УФК по согласованию с Управлением режима секретности и безопасности информации Федерального казначейства. Начальник МЦЗИ подчиняется заместителю руководителя УФК, координирующему его деятельность.

5.3.    Начальник МЦЗИ осуществляет руководство деятельностью МЦЗИ, пользуется правами, предоставленными начальнику структурного подразделения УФК, и несет персональную ответственность за организацию работы МЦЗИ и выполнение возложенных на МЦЗИ задач и функций, подбор и расстановку кадров, состояние служебной дисциплины.

5.4.    Структура МЦЗИ формируется исходя из требований Положения по аттестации, Инструкции по организации контроля эффективности защиты информации в органах Федерального казначейства, утвержденной приказом Министерства финансов Российской Федерации от 27.03.2003 г. № 4дсп «О введении в действие нормативных документов по вопросам безопасности информации» и обеспечивает деятельность МЦЗИ по следующим направлениям работ:

5.4.1. контроль защищенности технических средств;

5.4.2. аттестационные испытания объектов вычислительной техники и/или выделенных помещений на соответствие требованиям по защите информации от утечки по возможным техническим каналам и несанкционированного доступа к ней;

5.4.3. контроль выполнения требований предписаний на эксплуатацию средств вычислительной техники (далее - СВТ) и других технических средств, задействованных в процессе обработки информации ограниченного доступа;

5.4.4. проверка выделенных и защищаемых помещений на наличие внедренных средств негласного съема информации.

5.5.    Структура и штатная численность МЦЗИ утверждается приказом УФК, исходя из конкретных условий и особенностей его деятельности, по представлению начальника МЦЗИ и по согласованию с заместителем руководителя УФК, координирующим его деятельность. Штатная численность МЦЗИ может меняться с изменением задач МЦЗИ, но не превышать предельной штатной численности, установленной приказом Федерального казначейства от 28.12.2005 г. № 353 «О совершенствовании структуры системы защиты информации Федерального казначейства». Распределение обязанностей между работниками проводится начальником МЦЗИ.

5.6.    Работники МЦЗИ назначаются на должность и освобождаются от должности руководителем УФК по представлению начальника МЦЗИ и по согласованию с заместителем руководителя УФК, координирующим деятельность МЦЗИ. Функциональные обязанности работников МЦЗИ определяются должностными регламентами, утвержденными руководителем УФК в установленном порядке.

5.7.    МЦЗИ комплектуется специалистами с опытом работы по защите информации от утечки по техническим каналам, отвечающими требованиям квалификационных характеристик к специалистам по комплексной защите информации, с оформлением соответствующей формы допуска к работе со сведениями, составляющими государственную тайну.

5.8.    Документы, направляемые от имени МЦЗИ, по вопросам, входящим в его компетенцию, подписываются начальником МЦЗИ.

5.9.    Материально-техническую основу деятельности МЦЗИ составляют: контрольно-измерительная аппаратура, СВТ, оргтехника, средства защиты информации, программное обеспечение и приборы, необходимые для всестороннего и полного выполнения возложенных задач и функций.

5.10.    Работники МЦЗИ в своей повседневной деятельности руководствуются положениями внутреннего трудового распорядка в УФК, нормами и правилами техники безопасности, пожарной безопасности и санитарными нормами, установленными в УФК.

5.11.    Деятельность МЦЗИ осуществляется на основании годовых планов работы, согласованных с Управлением режима секретности и безопасности информации Федерального казначейства и утверждаемых руководителем УФК.

5.12.    Отчет о деятельности МЦЗИ, за год представляется в Управление режима секретности и безопасности информации Федерального казначейства к 31 марта года, следующего за отчетным годом.

5.13.    Работники МЦЗИ, в случаях ненадлежащего исполнения должностных обязанностей, уклонения от их исполнения, превышения предоставленных прав и/или использования их для решения вопросов, не обусловленных служебной необходимостью, а также за разглашение информации ограниченного доступа, другой служебной информации, полученной ими при исполнении служебных обязанностей, могут привлекаться к уголовной, административной и/или дисциплинарной ответственности в соответствии с законодательством Российской Федерации.

5.14.    Начальник МЦЗИ в рамках реализации своих обязанностей:

5.14.1.   руководит деятельностью МЦЗИ на основе единоначалия, организует его работу и несет персональную ответственность за надлежащее выполнение возложенных на МЦЗИ задач и функций, распределяет обязанности между работниками МЦЗИ и устанавливает их полномочия по самостоятельному решению вопросов в соответствии с их функциональными обязанностями и должностными регламентами;

5.14.2.   совместно с отделом кадров УФК подготавливает и представляет в установленном порядке заместителю руководителя УФК, координирующему работу МЦЗИ, предложения по структуре и штатной численности МЦЗИ, по вопросам подбора и расстановки кадров, о назначении на должность и освобождении от должности, о поощрении работников МЦЗИ, отличившихся при исполнении служебных обязанностей, а также о применении дисциплинарных взысканий к работникам МЦЗИ, допустившим нарушения трудовой дисциплины;

5.14.3.   обеспечивает, в рамках своей компетентности, рассмотрение в МЦЗИ писем, заявлений и жалоб работников МЦЗИ, принимает меры к своевременному и правильному разрешению поступивших просьб и предложений;

5.14.4.   разрабатывает и осуществляет мероприятия по улучшению организации и методов работы МЦЗИ, укреплению исполнительской дисциплины, повышению квалификации его работников и внедрению современных технологий в практику работы МЦЗИ. Вносит предложения в Управление режима секретности и безопасности информации Федерального казначейства и руководителю УФК по совершенствованию организации деятельности МЦЗИ;

5.14.5.   формирует график отпусков работников МЦЗИ, планы служебных командировок и представляет их на утверждение руководству УФК;

5.14.6.   организует ведение делопроизводства МЦЗИ в соответствии с Инструкцией по делопроизводству, утвержденной в УФК и Инструкцией по обеспечению режима секретности в Российской Федерации, утвержденной постановлением Правительства Российской Федерации от 5 января 2004 г № 3-1;

5.14.7.   осуществляет контроль выполнения плана работ и исполнения входящих документов;

5.14.8.   запрашивает в территориальных органах Федерального казначейства, входящих в зону ответственности МЦЗИ, информацию и документы, необходимые для выполнения задач, входящих в компетенцию МЦЗИ;

5.14.9.   разрабатывает предложения и рекомендации территориальным органам Федерального казначейства, входящим в зону ответственности МЦЗИ, по вопросам совершенствования системы защиты информации объектов информатизации;

5.14.10.               участвует в рассмотрении и согласовании вопросов, связанных с внедрением новых информационных технологий (в части, касающейся безопасности информации).

5.15.    В случае отсутствия начальника МЦЗИ, его полномочия осуществляет лицо, его замещающее.

5.16.    Начальник МЦЗИ несет ответственность за:

5.16.1.   соблюдение и точное выполнение требований законодательства Российской Федерации, нормативных и руководящих документов ФСТЭК России, ФСБ России, организационно-распорядительных документов по безопасности информации Министерства финансов Российской Федерации, Федерального казначейства;

5.16.2.   надлежащее исполнение и своевременное выполнение функций, предусмотренным настоящим Положением;

5.16.3.   правильность и полноту выполнения задач, функций, прав и обязанностей, возложенных на МЦЗИ;

5.16.4.   своевременное выполнение возложенных на него обязанностей (определенных в должностном регламенте и в настоящем Положении), приказов и распоряжений УФК и вышестоящих органов;

5.16.5.   выполнение сроков контрольных, проверочных и других мероприятий, включенных в план работы МЦЗИ, полноту и качество документального оформления результатов работ;

5.16.6.   подбор кадров в МЦЗИ и уровень их квалификации в пределах предоставленных ему прав;

5.16.7.   соблюдение трудовой дисциплины работниками МЦЗИ;

5.16.8.   достоверность отчетных данных и других материалов, подготавливаемых в МЦЗИ;

5.16.9.   соответствие методического и инструктивного обеспечения, разработанного и/или подготовленного в МЦЗИ, организационно-распорядительным и нормативным документам, регламентирующим вопросы защиты информации;

5.16.10.               разглашение сведений ограниченного доступа, а также служебной информации, ставших известными работникам МЦЗИ в ходе проведения контроля и аттестационных испытаний в территориальных органах Федерального казначейства, входящих в зону ответственности МЦЗИ.