Нікопольського району Дніпропетровської області

СЬОМЕ  СКЛИКАННЯ

СОРОК  ДЕВ’ЯТА ПОЗАЧЕРГОВА  СЕСІЯ 

Р І Ш Е Н Н Я  

від 07 лютого  2020 року № 1110 - 49/VІІ

с. Чкалове

Про створення служби захисту інформації в автоматизованій системі

__________________________________________________________________

Керуючись законами України „Про інформацію”, „Про захист інформації в інформаційно-телекомунікаційних мережах”, Постановою КМУ від 29.03 2006 року № 373 „Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах”, нормативним документом системи технічного захисту інформації 1.4-001-2000, з метою забезпечення захисту інформацій в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах Чкаловської сільської ради:

1. Затвердити Положення про службу захисту інформації в автоматизованих системах Чкаловської сільської ради (додається).

2. Затвердити склад служби захисту інформації в автоматизованих системах апарату Чкаловської сільської ради (додається).

3. Координацію робіт з виконання цього рішення покласти на голову Чкаловської сільської ради Чернова О.А.

Сільський голова                                                                  Чернов О.А.

                                                Додаток №1 до

                                                                          рішення сесії

                                                                          № 1110 - 49/VІІ від

                                                                          07.02.2020 року

Положення про службу захисту інформації
в автоматизованих системах Чкаловської сільської ради

1. Загальні положення.

Положення визначає завдання, функції, повноваження та відповідальність співробітників служби захисту інформації в автоматизованих системах Чкаловської сільської ради (далі – СЗІ), взаємодію з іншими підрозділами сільської ради та зовнішніми організаціями.

Виконання функціональних обов’язків СЗІ покладаються на штатних працівників апарату Чкаловської сільської ради.

Метою створення СЗІ є організаційне забезпечення завдань керування  захистом інформації в автоматизованих системах (далі – АС) сільської ради та здійснення контролю за її функціонуванням. На СЗІ покладається виконання робіт з визначення вимог з захисту інформації в АС, проектування, розроблення і модернізації комплексної системи захисту інформації (далі – КСЗІ), а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в АС.

Правову основу для створення і діяльності СЗІ становлять Закон України „Про захист інформації в інформаційно-телекомунікаційних системах”,  Положення про технічний захист інформації в Україні,  Правила забезпечення захисту інформації в інформаційно-телекомунікаційних системах.

СЗІ у своїй діяльності керується Конституцією України, законами України, нормативно-правовими актами Президента України і Кабінету Міністрів України, іншими нормативно-правовими актами з питань захисту інформації, державними і галузевими стандартами, розпорядчими та іншими документами Чкаловської сільської ради, а також цим Положенням.

СЗІ здійснює діяльність відповідно до „Плану захисту інформації в автоматизованій системі”, календарних, перспективних та інших планів робіт, затверджених головою (секретарем) Чкаловської сільської ради.

У разі потреби, до виконання робіт можуть залучатися зовнішні організації, що мають ліцензії на відповідний вид діяльності у сфері захисту інформації.

2. Завдання служби захисту інформації.

Завданнями СЗІ є:

– захист законних прав щодо безпеки інформації в АС сільської ради в процесі інформаційної діяльності;

– дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;

– організація та координація робіт, пов’язаних з захистом інформації в АС, необхідність захисту якої визначається її власником або чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;

– розроблення проектів нормативних і розпорядчих документів, чинних у межах сільської ради, згідно з якими повинен забезпечуватися захист інформації в АС;

– організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу АС;

– участь в  організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів АС з питань захисту інформації;

– формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів, що стосуються сфери захисту інформації;

– організація забезпечення виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів з захисту інформації в АС та проведення контрольних перевірок їх виконання.

3. Функції служби захисту інформації.

3.1. Функції під час створення комплексної системи захисту інформації:

– визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об’єктів захисту в АС, класифікація інформації за вимогами до  її конфіденційності або важливості для сільської ради,  необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в АС;

– розробка та коригування  моделі загроз і моделі захисту інформації в АС, політики безпеки інформації в АС;

– визначення і формування вимог до КСЗІ;

– організація і координація робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ;

– підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;

– організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи;

– вибір організацій-виконавців робіт з створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт з захисту інформації, що супроводжують процес створення КСЗІ;

– участь у розробці нормативних документів, чинних у межах сільської ради і АС, які встановлюють правила доступу користувачів до ресурсів АС, визначають порядок, норми, правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій).

3.2 Функції під час експлуатації комплексної системи захисту інформації:

– організація процесу керування КСЗІ;

– розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій;

– вжиття заходів у разі виявлення спроб НСД до ресурсів АС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;

– забезпечення контролю цілісності засобів захисту інформації  та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

– організація керування доступом до ресурсів АС (розподілення між користувачами необхідних реквізитів захисту інформації – паролів, привілеїв, ключів та ін.);

– супроводження і актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об’єктів, ідентифікатори користувачів тощо);

– спостереження (реєстрація і аудит подій в АС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;

– підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в АС, впровадження нових технологій захисту і модернізації КСЗІ;

– організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій АС  або КСЗІ;

– участь в роботах з модернізації АС – узгодженні пропозицій з введення до складу АС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

– забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;

– проведення аналітичної оцінки поточного стану безпеки інформації в АС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності  її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.);

– інформування власників інформації про технічні можливості захисту інформації в АС і типові правила, встановлені для персоналу і користувачів АС;

– негайне втручання в процес роботи АС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника;

– регулярне подання звітів керівництву організації-власника  (розпорядника) АС про виконання користувачами АС вимог з захисту інформації;

– аналіз відомостей щодо технічних засобів захисту інформації нового покоління, обґрунтування пропозицій щодо придбання засобів для сільської ради;

– контроль за виконанням персоналом і користувачами АС вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі контроль за забезпеченням режиму секретності у разі обробки в АС інформації, що становить державну таємницю;

– контроль за забезпеченням охорони і порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту;

– розробка і реалізація організації комплексних заходів з безпеки інформації під час проведення заходів з науково-технічного, економічного, інформаційного співробітництва з іноземними фірмами, а також під час проведення нарад, переговорів та ін.,  здійснення їхнього технічного та інформаційного забезпечення.

3.3. Функції з організації навчання персоналу з питань забезпечення захисту інформації:

– розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу АС;

– розроблення спеціальних програм навчання, які б враховували особливості технології обробки інформації в сільській раді (АС), необхідний рівень її захищеності та ін.;

– участь в організації і проведенні навчання користувачів і персоналу АС правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами;

– взаємодія з державними органами, навчальними закладами, іншими організаціями з питань навчання та підвищення кваліфікації;

– участь в організації забезпечення навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, нормативними документами, методичною літературою  та ін.

4. Повноваження та відповідальність служби захисту інформації(СЗІ).

4.1. Права.

СЗІ має право:

– здійснювати контроль за діяльністю будь-якого структурного підрозділу сільської ради (АС) щодо виконання ним вимог нормативно-правових актів і нормативних документів з захисту інформації;

– подавати керівництву сільської ради пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки, тощо у випадку виявлення порушень політики  безпеки або у випадку виникнення реальної загрози порушення безпеки;

– складати і подавати керівництву сільської ради акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення;

– проводити службові розслідування у випадках виявлення порушень;  

– отримувати доступ до робіт та документів структурних підрозділів сільської ради (АС), необхідних для оцінки вжитих заходів з захисту інформації та підготовки пропозицій  щодо їхнього подальшого удосконалення;

– готувати пропозиції щодо залучення на договірній основі до виконання робіт з захисту інформації інших організацій;

– готувати пропозиції щодо забезпечення АС (КСЗІ) необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації;

– виходити до керівництва сільської ради з пропозиціями щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації;

– узгоджувати умови включення до складу АС нових компонентів та подавати керівництву пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів АС;

– надавати висновки з питань, що належать до компетенції СЗІ, які необхідні для здійснення виробничої діяльності сільської ради, особливо технологій, доступ до яких обмежено, інших проектів, що потребують технічної підтримки з боку співробітників СЗІ;

– виходити до керівництва сільської ради з пропозиціями щодо узгодження планів і регламенту відвідування АС сторонніми особами;

– інші права, які надані СЗІ у відповідності з специфікою та особливостями діяльності сільської ради (АС).

4.2. Обов’язки.

СЗІ зобов’язана:

– організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів з захисту інформації в АС;

– вчасно і в повному обсязі доводити до користувачів і персоналу АС інформацію про зміни в галузі захисту інформації, які їх стосуються;

– перевіряти відповідність прийнятих в АС (сільській раді) правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог;

– здійснювати контрольні перевірки стану захищеності інформації в АС;

– забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС (сільській раді);

– сприяти і, у разі необхідності, брати безпосередню участь у проведенні вищими органами перевірок стану захищеності інформації в АС;

– сприяти (технічними та організаційними заходами) створенню і дотриманню умов збереження інформації, отриманої організацією на договірних, контрактних або інших підставах від організацій-партнерів, постачальників, клієнтів та приватних осіб;

– періодично, не рідше одного разу на рік, подавати керівництву сільської ради звіт про стан захищеності інформації в АС і дотримання користувачами та персоналом АС встановленого порядку і правил захисту інформації;

– негайно повідомляти керівництво АС (сільської ради) про виявлені атаки та викритих порушників;

– інші обов’язки, покладені на керівника та співробітників СЗІ у відповідності з специфікою та особливостями діяльності АС (сільської ради).

3.3. Відповідальність.

3.3.1. Співробітники СЗІ за невиконання або неналежне виконання службових обов’язків, допущені ними  порушення встановленого порядку захисту інформації в АС несуть дисциплінарну, адміністративну, цивільно-правову відповідальність згідно з законодавством України.

3.3.2. Співробітники СЗІ відповідають за:

– додержання вимог нормативних документів, що визначають порядок організації робіт з захисту інформації, інформаційних ресурсів та технологій;

– повноту та якість розроблення і впровадження організаційно-технічних заходів з захисту інформації в АС, точність та достовірність отриманих результатів і висновків з питань, що належать до компетенції СЗІ;

– дотримання термінів проведення контрольних, інспекційних, перевірочних та інших заходів з оцінки стану захищеності інформації в АС, які включені до плану робіт СЗІ;

– якість та правомірність документального оформлення результатів робіт окремих етапів створення КСЗІ, документального оформлення результатів перевірок;

– інші питання персональної відповідальності, які покладені на керівника та співробітників СЗІ у відповідності з специфікою та особливостями діяльності АС (сільської ради).

4. Взаємодія служби захисту інформації з іншими підрозділами сільської ради та зовнішніми організаціями.

4.1 СЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, що займаються питаннями захисту інформації.

4.2. СЗІ координує свою діяльність з аудиторською службою під час проведення аудиторських перевірок.

4.3. Взаємодію з іншими підрозділами сільської ради з питань, що безпосередньо не пов’язані з захистом інформації, СЗІ здійснює у відповідності з наказами та (або) розпорядженнями голови сільської ради.

Секретар сільської ради                                                      Савченко А.В.

                                                Додаток №2 до

                                                                          рішення сесії

                                                                          № 1110 - 49/VІІ від

                                                                          07.02.2020 року

Склад служби захисту інформації
в автоматизованих системах апарату Чкаловської сільської ради

Секретар сільської ради                                                                 Савченко А.В.