Правилник за отдел "Сигурност на информацията".

За отдела за защита

Аз. Общи разпоредби

1. Отделът по информационна сигурност е самостоятелно* структурно подразделение на предприятието.

*Отделът за информационна сигурност може да бъде част от службата за сигурност на предприятието.

2. Отделът се създава и ликвидира със заповед на директора на предприятието.

3. Отделът е на пряко подчинение на директора на предприятието.

4. Отделът се ръководи от началник, назначен на длъжността със заповед на директора на предприятието.

5. В своята дейност отделът се ръководи от:

5.1. Хартата на дружеството.

5.2. Сегашната позиция.

1. Съставът и персоналът на отдела за защита на информацията се одобрява от директора на предприятието въз основа на условията и характеристиките на дейността на предприятието по предложение на ръководителя на отдела и съгласувано с ____________________ (отдел ЧР; отдел Организация и възнаграждения)

2. Отделът включва групи от специалисти*: инженери по информационна сигурност, софтуерни инженери, инженери по електроника, софтуерни техници, техници по информационна сигурност, отговарящи за определени области на работа (за анализиране на състоянието на информационните бази, определяне на изискванията за сигурност на различни подсистеми на автоматизирана система на предприятието и избор на методи и средства за осигуряване на тяхната защита, както и за разработване на необходимите нормативни, методически и организационни и административни документи за осигуряване на информационна сигурност; за ефективно използване и администриране на персонала за работа системи и системи за управление на бази данни и допълнителни специализирани средства за защита и анализ на сигурността на ресурсите на автоматизираните системи).

*Трябва да се помни, че приложенитена практика наименованията "Администратор на средства за защита, контрол и управление на сигурността", "Системен администратор", "Аналитик по въпросите на техническата защита на информацията и компютърната сигурност" не трябва да се въвеждат в правилника за отдела, длъжностните характеристики и други кадрови документи. Факт е, че Общобългарският класификатор на професиите, длъжностите и разрядите на работната заплата (ОКПДТР) не съдържа такива наименования и съответно използването им преди промени в ОКПДТР е недопустимо.

3. Ръководителят на отдела по сигурността на информацията разпределя задълженията между служителите на отдела и утвърждава длъжностните им характеристики.

1. Комплексна защита на информацията в предприятието.

2. Осигуряване на спазване на режима на работа и запазване на поверителността на документираната информация.

3. Осигуряване на конфиденциалност на преговори, разговори и срещи от затворен характер.

4. Разработване на проекти на текущи и дългосрочни работни планове.

5. Организация, координация и извършване на работа по защита на информацията, разработване на технически средства за контрол.

6. Осигуряване на взаимодействието и необходимото сътрудничество на съизпълнителите на работата по организирането и провеждането на научноизследователска и развойна работа.

7. Организация и контрол на изпълнението на плановите цели, договорните задължения, както и сроковете, пълнотата и качеството на работата, извършена от съизпълнителите.

8. Сключване на договори за работа по защита на информацията.

9. Разработване и приемане на мерки за осигуряване на финансирането на работите, включително извършваните по договори.

10. Участие в разработването на технически спецификации за научноизследователска и развойна дейност, извършвана от предприятието.

11. Определяне на цели и поставяне на задачи за създаванесигурни информационни технологии, отговарящи на изискванията за цялостна защита на информацията.

12. Провеждане на специални проучвания и контролни проверки за идентифициране на демаскиращи признаци, възможни канали за изтичане на информация, включително по технически канали, и разработване на мерки за тяхното отстраняване и предотвратяване.

13. Съставяне на актове и друга техническа документация за степента на сигурност на технически съоръжения и помещения.

14. Контрол за спазване на нормативните изисквания за защита на информацията.

15. Осигуряване на комплексно използване на технически средства, методи и организационни мерки.

16. Разглеждане на прилагани и предложени методи за защита на информацията, междинни и крайни резултати от научноизследователска и развойна дейност.

17. Съгласуване на проектна и друга техническа документация за новопостроени и реконструирани сгради и съоръжения по отношение на изискванията за защита на информацията.

18. Рационално използване и опазване на оборудването, инструментите и друго оборудване.

19. Осигуряване на високо научно-техническо ниво на работа, ефективност и качество на научноизследователската и развойна дейност.

20. Контрол върху изпълнението на предвидените мерки, анализ на контролни материали, откриване на нарушения.

21. Разработване и прилагане на мерки за отстраняване на констатираните пропуски в защитата на информацията.

22. Извършване на сертифициране на обекти, помещения, технически средства, програми, алгоритми за съответствие с изискванията за защита на информацията за съответните класове на сигурност.

23. Разработване на правила за допускане на служители на предприятието до отделни канали за информация, план за информационна сигурност, разпоредби за определяне на степента на сигурност на ресурсите на автоматизираните системи.

24. Избор, инсталиране, конфигуриране и експлоатация на системи за защита в съответствие с организационни и разпоредителни документи.

25. Търсене на информация за възникващи уязвимости, откриване и отстраняване на уязвимости в информационните системи.

26. Формиране на Списъка на информацията, представляваща търговска тайна, както и на Списъка на информацията, класифицирана като държавна тайна.

27. Получаване по установения ред на лицензи за извършване на работа в областта на информационната сигурност.

28. Съставяне и подаване по установения ред на отчетност.

29. Водене на деловодство по установения ред.

30. Спазване на действащите инструкции за режима на работа и предприемане на своевременни мерки за недопускане на нарушения.

31. Осигуряване на съответствие на извършената работа с правилата за безопасност, правилата и разпоредбите за защита на труда.

Отдел "Защита на информацията" има право:

1. Да упражнява контрол върху дейността на структурните подразделения на предприятието за изпълнение на техните изисквания за информационна сигурност.

2. Да дава на структурни подразделения на предприятието и отделни специалисти задължителни указания по въпроси от компетентността на отдела.

3. Изисква и получава от структурните подразделения информация, справочни и други материали, необходими за осъществяване на дейността на отдела.

4. Води самостоятелна кореспонденция с държавни и общински органи по правни въпроси.

5. Представлява предприятието по установения ред пред държавни органи, други институции и организации по въпроси от компетентността на отдела.

6. Вземете мерки при установяване на неоторизиран достъп до информация както вътре в предприятието, така и отвън и докладвайтеотносно предприетите мерки към ръководителя на предприятието с предоставяне на информация за субектите, които са нарушили режима на достъп.

7. В съгласие с ръководителя на предприятието или заместник-директора на предприятието по търговските въпроси, привличайте експерти и специалисти в областта на информационната сигурност за консултации, изготвяне на заключения, препоръки и предложения.

VI. Взаимоотношения (служебни отношения)

За изпълнение на функциите и упражняване на правата, предвидени с тази наредба, отделът за защита на информацията сътрудничи на:

1. С отдел Човешки ресурси на:

- лични досиета на служители на предприятието;

- информация за кандидатите за длъжностите специалисти по информационна сигурност;

- информация за нарушения и нарушители на режима за достъп до информация;

- характеристики на служителите, които са били виновници за изтичане, увреждане на информация;

- предложения и препоръки за търсене на специалисти, чиито длъжностни задължения включват работа с информация, представляваща държавна или търговска тайна;

- установени ограничения по медицински причини за извършване на работа с използване на информация, представляваща държавна или търговска тайна;

2. С отдела за организация и заплащане на труда по следните въпроси:

- изчисления на средствата за заплати;

- предложения за осигуряване в длъжностни характеристики и други документи за персонала на повишена степен на отговорност за неизпълнение от отделни специалисти на задълженията им за използване на информация, която е търговска или държавна тайна за неслужебни цели;

- проект на задължения на служителите за неразгласяване на информация, представляваща държавна или търговска тайна;

- проекти на писмено съгласие на специалистите на фирмата зачастни, временни ограничения на техните права;

- списък на видовете, размерите и реда за предоставяне на обезщетения и допълнителни плащания на служители, допуснати до информация, която е търговска или държавна тайна (процентни надбавки към заплатите, преимуществено право, при равни други условия, да останат на работа по време на организационни и (или) работни събития и др.);

- копия от решения, взети от ръководителя на предприятието за допускане на служител до информация, представляваща държавна или търговска тайна;

- бележки до служителите на предприятието относно опазването на търговската тайна на предприятието за одобрение и издаване на служителите на предприятието;

- отчети за разходването на фонд заплати;

3. С отдела за обучение на:

- резултати от тестове, изпити на служители, които са преминали обучение в центрове за обучение за преквалификация на служители на предприятието;

- предложения за изпращане на служители на отдела на курсове за напреднали, както и в центрове за обучение, на курсове за изучаване на нови технологии за информационна сигурност;

4. С финансовия отдел на:

- финансови и кредитни планове с оценка на степента на поверителност и списък на ръководители на отдели и специалисти, които разполагат с тези документи;

- информация за подготовката за наддаване или търгове, резултатите от тях, условията на търговските договори, плащанията и услугите, информация за начините на плащане, системите за ценообразуване, нивата на цените на продуктите, информация за инвестициите, за предприемане на мерки за защитата им;

- определяне на нуждите на звеното от техника, материални, финансови и други средства, необходими за работата;

- списък от мерки за защита на финансовата и икономическа информация;

5. Вправен отдел за:

- проверка на съответствието със закона на ограниченията, приети от отдела за защита на информацията;

- разработване на процедура за привличане към отговорност на служители и трети лица, виновни за разкриване на информация, която е търговска и служебна тайна, изтичане на информация, увреждане на информационните бази на предприятието;

- информация за планове за разширяване или ограничаване на производството на различни видове продукти;

- информация за особеностите на използваните и разработваните технологии и спецификата на тяхното приложение;

- друга информация, подлежаща на защита;

- списъци на служителите на предприятието, които извършват работа, свързана с използването на информация, която е търговска или държавна тайна;

- докладва за реда и състоянието на организацията за защита на търговската тайна;

- данни за сигурността на корпоративните информационни бази от неоторизиран достъп;

- оценка на надеждността на защитата на информацията на предприятието, прехвърлена на контрагентите в рамките на договорните отношения;

- оценка на бизнес и моралните качества на служителите на отделите;

---