Отдела по защите информации (положение)

ПОЛОЖЕНИЕ

 об отделе защите информации

I. Общие положения

1. Отдел по защите информации (далее — отдел) является структурным подразделением ГУЗ ЯО «МИАЦ» (далее — МИАЦ).

2. Настоящее положение определяет назначение, цели, задачи, функции, права, ответственность и основы деятельности отдела.

3. Основной целью деятельности отдела является осуществление комплексной защиты информации информационных систем МИАЦ (учреждений здравоохранения) в формировании единой информационной системы здравоохранения Ярославской области.

4. В своей деятельности отдел руководствуется законодательством Российской Федерации, Ярославской области, нормативно-правовыми актами и методическими материалами по вопросам защиты информации, Уставом МИАЦ, организационно-распорядительными документами МИАЦ, иными нормативными правовыми актами, а также настоящим Положением.

5. Отдел непосредственно подчиняется директору МИАЦ и заместителю директора по информационному обеспечению.

6. Квалификационные требования, функциональные обязанности, права, ответственность начальника и других сотрудников отдела определены должностными регламентами, утверждаемыми директором МИАЦ.

7. Отдел возглавляет начальник, назначаемый на должность и освобождаемый от должности приказом директора МИАЦ по согласованию с первым заместителем директора по информационному обеспечению в установленном трудовым законодательством порядке.

II. Задачи

1. Соблюдение законодательства и нормативно-правовых актов в области защиты информации Практическая реализация единой политики (концепции) обеспечения информационной безопасности МИАЦ, определение требований к системе защиты информации, документообороту на бумажных и электронных носителях.

2. Осуществление защиты конфиденциальной информации от несанкционированного доступа на всех этапах технологических циклов ее создания, обработки, переноса и передачи на носитель.

3. Разработка и внедрение организационных и технических мероприятий по комплексной защите и обеспечению безопасности информационных систем персональных данных в соответствии с выработанной политикой по информационной безопасности, выбор необходимых механизмов защиты, основанных на программных и аппаратных решениях.

4. Организационно-методическое руководство, координация и контроль соблюдения нормативных требований структурными подразделениями МИАЦ по защите информации.

5. Подготовка и представление руководству информационно-аналитических материалов о состоянии и перспективах развития системы защиты информации в МИАЦ.

6. Совершенствование и внедрение новых методов организации работы, в том числе на основе использования современных информационных технологий.

7. Организация взаимодействия между структурными подразделениями МИАЦ, с учреждениями здравоохранения Ярославской области и другими органами и организациями по вопросам защиты информации.

8. Участие в пределах своей компетенции в подготовке и исполнении управленческих решений руководства МИАЦ.

9. По поручению руководства МИАЦ отдел может заниматься решением иных задач, для реализации которых необходимо применение знаний, навыков и опыта сотрудников отдела.

III. Функции 

1. Реализация концепции и программы информатизации здравоохранения Ярославской области по комплексной защите информации.

2. Разработка проектов приказов, регламентов, инструкций и других нормативных и организационно-распорядительных документов по обеспечению режима информационной безопасности персональных данных при их обработке в информационных системах.

3. Определение необходимого уровня информационной защищённости. Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.

4. В соответствии с заданным уровнем защищённости разработка, внедрение и совершенствование организационных и технических мероприятий по комплексной защите информации в МИАЦ.

5. Проведение работ по организации, координации, методическому руководству и контролю их выполнения по вопросам защиты информации и разработка технических средств контроля.

6. Организация работ по оказанию услуг по защите информации, выполняемых сторонними организациями; оценка проектной и сметной документации, контроль и приемка выполненных работ.

7. Определение в пределах своей компетенции режима и правил обработки, защиты информационных ресурсов и доступа к ним.

8. Обеспечение защиты информации в выделенном и защищаемом помещении МИАЦ, а также при передаче по техническим каналам связи.

9. Организация проведения аттестации объектов, помещений, технических средств, программ, на предмет соответствия требованиям защиты информации по соответствующим классам безопасности.

10. Участие в проектировании, приемке, сдаче в эксплуатацию программных и аппаратных средств (в части требований к средствам защиты информации).

11. Осуществление контроля соблюдения нормативных требований безопасной эксплуатации аппаратно-программных средств, нормативных требований, сертификатов и лицензий на программные и аппаратные средства, предусмотренных мер защиты информации комплексным использованием технических средств, методов и организационных мероприятий по предотвращению несанкционированного доступа к закрытой информации.

12. Осуществление контроля разрешительной системы допуска исполнителей к работе с защищаемой информацией.

13. Осуществление мониторинга информации, циркулирующей в сетях, системах и защищаемом помещении МИАЦ.

14. Анализ применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов в данной области.

15. Выявление демаскирующих признаков и возможных каналов утечки информации, в том числе по техническим каналам, разработка мер по их устранению и предотвращению, составление актов и другой технической документации о степени защищенности технических средств и помещений.

16. Проверка степени защиты информационных потоков между структурными подразделениями МИАЦ и иными учреждениями и организациями.

17. Участие в проектировании, приемке и сдаче в эксплуатацию специальных средств и систем предотвращения утечки конфиденциальной информации по естественным и искусственно созданным каналам.

18. Проведение комплексного обследования информационной инфраструктуры на предмет соответствия требованиям информационной безопасности в учреждениях здравоохранения Ярославской области (в соответствии с договором).

19. Осуществление в пределах своей компетенции координации работ по обеспечению информационной безопасности и методическая помощь в учреждениях здравоохранения Ярославской области.

20. Расследование в установленном порядке причин и условий появления нарушений режима информационной безопасности и разработка предложений по устранению недостатков и предупреждению нарушений, а также осуществление контроля за устранением этих нарушений.

21. Определение потребности в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ по защите информации. Подготовка предложений по объемам и порядку финансирования работ в сфере информационной безопасности.

22. Подготовка информационных и иных материалов по вопросам, относящимся к компетенции отдела для принятия управленческих решений руководством МИАЦ.

23. Определение порядка учета, хранения и обращения с защищаемой информацией (документами и носителями информации).

24 Получение в установленном порядке лицензий на выполнение работ в сфере защиты информации.

25. Осуществление иных функций по поручениям руководства МИАЦ.

IV. Права и ответственность 

1. В установленном порядке получать доступ к информационным ресурсам МИАЦ.

2. Давать структурным подразделениям МИАЦ и отдельным специалистам обязательные для исполнения указания по вопросам информационной безопасности.

3. Получать поступающие в МИАЦ документы и иные информационные материалы по вопросам, входящим в компетенцию отдела для ознакомления, систематизированного учета и использования в работе.

4. Запрашивать и получать в установленном порядке у структурных подразделений МИАЦ, учреждений здравоохранения Ярославской области документы и материалы, необходимые для решения задач, возложенных на отдел.

5. Привлекать с согласия руководителей сотрудников структурных подразделений МИАЦ для подготовки документов, а также для осуществления мероприятий, проводимых отделом в соответствии с возложенными на него функциями. Создавать экспертные и рабочие группы по вопросам и проблемам защиты информации в МИАЦ

6. По согласованию с директором МИАЦ или заместителем директора по информационному обеспечению привлекать экспертов и специалистов в сфере защиты информации для консультаций, подготовки заключений, рекомендаций и предложений.

7. Разрабатывать проекты организационных и распорядительных документов по защите информации.

8. Проверять соблюдение законодательства и нормативно-правовых актов по вопросам защиты информации в деятельности структурных подразделений МИАЦ. При выявлении нарушений докладывать о принятых мерах руководству МИАЦ с представлением информации о субъектах, нарушивших режим защиты информации.

9. Рассматривать в установленном порядке жалобы субъектов персональных данных. Вносить предложения (ставить вопрос) о приостановлении выполнения каких-либо работ в случае выявления грубых нарушений режима информационной безопасности.

10. Проводить в установленном порядке совещания по вопросам, входящим в компетенцию отдела.

11. По поручению руководства представлять МИАЦ в установленном порядке в организациях и учреждениях.

12. Проводить в пределах своей компетенции в установленном порядке переговоры со сторонними организациями.

13. Начальник отдела вправе вносить руководству МИАЦ предложения по вопросам относящимся к компетенции отдела и МИАЦ в целом.

14. Начальник отдела имеет право подписи документов, направляемых от имени отдела по вопросам, входящим в его компетенцию.

15. Сотрудники отдела имеют право участвовать в проведении семинаров, конференций, иными способами повышать свой профессиональный уровень.

16. Начальник отдела несет персональную ответственность за:

— выполнение возложенных на отдел задач и функций, предусмотренных настоящим положением;

— соответствие визируемых им документов, представляемых на подпись руководству МИАЦ;

— правильность и объективность принимаемых решений;

— организацию работы отдела, своевременное и квалифицированное выполнение приказов, распоряжений, поручений вышестоящего руководства, действующих нормативно-правовых актов по своему профилю деятельности;

— соблюдение сотрудниками отдела трудовой и исполнительской дисциплины, охраны труда, выполнение своих функциональных обязанностей;

— соблюдение сотрудниками отдела правил внутреннего распорядка, санитарно-противоэпидемического режима, противопожарной безопасности и техники безопасности.

17. За неисполнение или ненадлежащее исполнение должностных обязанностей и нарушение трудовой дисциплины сотрудники отдела несут ответственность в порядке, предусмотренном действующим законодательством, и могут быть привлечены к ответственности.

V. Организация деятельности

1. Отдел создается и ликвидируется приказом директора МИАЦ.

2. Состав отдела определяется штатным расписанием МИАЦ.

3. Отдел по защите информации комплектуется специалистами, имеющими необходимые знания и опыт работы по защите информационных технологий и отвечающими требованиям квалификационных характеристик на специалистов по защите информации (за анализ состояния информационных баз, определение требований к защищенности различных подсистем информационной системы МИАЦ и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам обеспечения информационной безопасности; за эффективное применение и администрирование штатных для операционных систем и систем управления базами данных и специализированных средств защиты и анализа защищенности ресурсов информационных систем).

4. Организация деятельности отдела проводится в соответствии с приказами, распоряжениями, решениями оперативных совещаний, планами организационных мероприятий и иных планов МИАЦ, а также с планом работы отдела.

5. Должностные регламенты сотрудников отдела утверждаются директором и согласовываются с заместителем директора по информационному обеспечению МИАЦ.

6. Ведение делопроизводства в соответствии с установленным порядком и хранение документов отдела, формирование и отправление/получение корреспонденции и другой информации по электронным каналам связи.

7. Участие в выставках и презентациях по вопросам внедрения информационных технологий, проектов информационных, информационно-вычислительных и информационных систем и сетей, баз и банков данных в сфере информационной безопасности.

8. Размещение на официальном сайте МИАЦ материалов о защите информации.

9. Участие в обучении сотрудников МИАЦ, проведение семинаров, оказание практической помощи по вопросам информационной безопасности.

10. Начальник отдела:

10.1. Организует и осуществляет руководство работой отдела, распределяет функциональные обязанности между сотрудниками отдела и разрабатывает их должностные регламенты, принимает меры к обеспечению надлежащих условий труда.

10.2. Проводит совещания с сотрудниками отдела.

10.3. Организует взаимодействие отдела с другими структурными подразделениями МИАЦ.

10.4. Участвует в подборе и расстановке кадров, оценке деятельности и аттестации сотрудников отдела. Осуществляет подбор кандидатов в кадровый резерв МИАЦ на должности отдела.

10.5. Осуществляет контроль соблюдения законности, служебной дисциплины, поддержания уровня профессиональной подготовки сотрудниками отдела.

10.6. Вносит руководству МИАЦ предложения о поощрении либо привлечении к дисциплинарной ответственности сотрудников отдела.

10.7. Готовит предложения по размещению заказов в установленном порядке на закупку средств защиты информации.

10.8. Участвует в организации и проведении образовательного процесса по вопросу защиты информации.

10.9. Разрабатывает перспективные и текущие планы работы отдела, составляет отчеты об их выполнении;

10.10. Совершенствует систему трудовой мотивации сотрудников отдела.

11. Разработка методических рекомендаций по совершенствованию работы отдела на основе изучения и обобщения практики других регионов.

12. Подготовка информационных сообщений, аналитических записок для оперативного информирования департамента здравоохранения и фармации Ярославской области по вопросам защиты информации для принятия управленческих решений.

13. Осуществление в соответствии с законодательством Российской Федерации работы по комплектованию, хранению, учету и использованию архивных документов, образовавшихся в ходе деятельности отдела.

14. Деятельность отдела осуществляется на основе текущего и перспективного планирования, сочетания единоначалия в решении вопросов служебной деятельности и коллегиальности при их обсуждении, персональной ответственности сотрудников за надлежащее исполнение возложенных на них должностных обязанностей.

15. В период отсутствия начальника отдела его обязанности исполняет назначенный приказом директора МИАЦ другой сотрудник.