Должностная инструкция ответственного за обеспечение информационной безопасности

АДМИНИСТРАЦИЯ НИЖНЕБАЙГОРСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ ВЕРХНЕХАВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА

 ВОРОНЕЖСКОЙ ОБЛАСТИ

РАСПОРЯЖЕНИЕ

« 15 » февраля 2019 года                              № 5-р

  с. Нижняя Байгора

О назначении ответственных

за организацию обработки
и обеспечение безопасности

персональных данных и утверждении

их должностных инструкций

В соответствии с частью 1 статьи 22.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», подпунктами «а», «б» пункта 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 и пункта 9 «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11 февраля 2013 года № 17

1. Назначить Бугаенко Е.Н. – ведущего специалиста администрации Нижнебайгорского сельского поселения ответственным за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения.

2. Назначить Литвинову Т.А. – инспектора по земельным вопросам ответственным за обеспечение безопасности персональных данных в администрации Нижнебайгорского сельского поселения.

3. Утвердить должностную инструкцию ответственного за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения (приложение № 1).

4. Утвердить должностную инструкцию ответственного за обеспечение безопасности персональных данных в администрации Нижнебайгорского сельского поселения (приложение № 2).

5. Контроль за исполнением настоящего распоряжения оставляю за собой.

Глава администрации                                                               А.В.Требунских

Нижнебайгорского сельского поселения                                          

Приложение № 1

к распоряжению № 5-р

от « 15 » февраля 2019 года

Должностная инструкция
ответственного за организацию обработки персональных данных  в администрации Нижнебайгорского сельского поселения

Общие положения

Настоящая должностная инструкция определяет права, обязанности и ответственность лица, ответственного за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения.

Ответственный за организацию обработки персональных данных назначается главой  администрации Нижнебайгорского сельского поселения.

1. Специалист, ответственный за организацию обработки персональных данных, должен обладать следующими профессиональными знаниями:

знание федерального, областного законодательства и иных нормативных правовых актов в сфере персональных данных;

знание понятия персональных данных.

3.Ответственный за организацию обработки персональных данных в своей деятельности руководствуется:

• Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

• Постановлением Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

• Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

• Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

• Иными действующими нормативными правовыми актами в сфере организации обработки и обеспечения безопасности персональных данных, а также приказами руководителя Департамента.

Обязанности ответственного за организацию
обработки персональных данных

Ответственный за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения обязан:

обеспечивает уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (о намерении осуществлять обработку) персональных данных, изменении сведений, указанных в уведомлении, или о прекращении обработки персональных данных;

организовывает и контролирует разработку, а также поддержание в актуальном состоянии документов, определяющих политику органа государственной власти, органа местного самоуправления, организации[1] (далее – ГО/ОМСУ/организация) в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

обеспечивает ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организует обучение указанных работников;

осуществляет внутренний контроль за соблюдением ГО/ОМСУ/ организацией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, политики ГО/ОМСУ/организации в отношении обработки персональных данных, локальных актов ГО/ОМСУ/организации;

организовывает прием и обработку обращений и запросов субъектов персональных данных, или их представителей, поступивших в соответствии с частью 3 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

Права ответственного за организацию обработки
персональных данных

Ответственный за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения имеет право:

1. Требовать от сотрудников  администрации Нижнебайгорского сельского поселения выполнения документов, определяющих политику в отношении обработки персональных данных и регламентирующих обработку и обеспечение безопасности персональных данных в департаменте.
2. Контролировать деятельность структурных подразделений администрации Нижнебайгорского сельского поселения в части выполнения ими требований в области организации обработки и обеспечения безопасности персональных данных.
3. Участвовать в разработке мероприятий по совершенствованию мер по организации обработки и обеспечению безопасности персональных данных в администрации Нижнебайгорского сельского поселения.
4. Инициировать проведение служебных расследований по фактам нарушения установленных требований по защите персональных данных, нарушению конфиденциальности персональных данных, утраты технических средств из состава информационных систем персональных данных, машинных носителей персональных данных в администрации Нижнебайгорского сельского поселения.
5. Обращаться к руководителю  администрации Нижнебайгорского сельского поселения с предложением о приостановке процесса обработки персональных данных в информационных системах персональных данных или отстранению от работы с персональными данными сотрудников  администрации Нижнебайгорского сельского поселения в случаях нарушения установленной технологии обработки персональных данных или нарушения требований по защите персональных данных.

Ответственность

Ответственный за организацию обработки персональных данных в администрации Нижнебайгорского сельского поселения несет персональную ответственность, предусмотренную действующим законодательством за:

• выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;

• качество проводимых работ по организации обработки персональных данных в соответствии с функциональными обязанностями;

• разглашение персональных данных, ставшими известными ему по роду своей работы.

Приложение № 2

к распоряжению № 5-р

от « 15 » февраля 2019 года

Должностная инструкция

ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в администрации Нижнебайгорского сельского поселения

Общие положения

Настоящая должностная инструкция определяет права, обязанности и ответственность лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в администрации Нижнебайгорского сельского поселения.

Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных назначается главой  администрации Нижнебайгорского сельского поселения.

Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных в своей деятельности руководствуется:

• Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

• Постановлением Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

• Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

• Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

• Иными действующими нормативными правовыми актами в сфере организации обработки и обеспечения безопасности персональных данных, а также приказами главы  администрации Нижнебайгорского сельского поселения.

1. Специалисты, ответственные за обеспечение защиты информации, должны обладать следующими профессиональными знаниями:

знание федерального, областного законодательства и иных нормативных правовых актов по вопросам обеспечения информационной безопасности и государственной политики в сфере информатизации и защиты информации;

знание порядка и методов защиты информации, доступ к которой ограничен законодательством Российской Федерации и иной охраняемой законом информации;

знание современных информационно-коммуникационных технологий, аппаратного и программного обеспечения;

знание принципов работы сетевых протоколов, построения компьютерных сетей;

знание методов информационного обеспечения;

знание методов и средств получения, обработки и передачи информации;

знание понятий информационной системы, объекта информатизации, информационного ресурса;

знание понятий информационной безопасности и защиты информации;

знание программно-технических способов и средств обеспечения информационной безопасности;

знание принципов работы программных и программно-аппаратных средств защиты информации;

знание порядка разработки системы защиты информации объекта защиты;

знание понятия криптографической защиты информации;

знание порядка проведения аттестационных испытаний объекта информатизации.

Специалисты, ответственные за обеспечение защиты информации, должны обладать следующими профессиональными умениями:

умение определять потребность в обеспечении защиты информации и в применении средств защиты информации;

умение устанавливать и применять средства защиты информации;

умение устанавливать и поддерживать в рабочем состоянии системное и прикладное программное обеспечение;

умение проводить оценку защищенности и аттестационные испытания объекта информатизации;

умение рассчитывать, анализировать и обобщать результаты, составлять технические отчеты и аналитические материалы по вопросам обеспечения информационной безопасности.

Обязанности ответственного
за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в администрации Нижнебайгорского сельского поселения обязан:

2. Должностные обязанности специалистов, ответственных за обеспечение защиты информации:

исполняет обязанности сотрудника, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных ГО/ОМСУ/организации[2];

исполняет обязанности сотрудника, ответственного за обеспечение защиты информации в государственных/муниципальных информационных системах ГО/ОМСУ/организации[3];

исполняет обязанности сотрудника, ответственного за обеспечение технической защиты информации, содержащей сведения, составляющие государственную тайну, на объектах информатизации ГО/ОМСУ/организации[4];

исполняет обязанности сотрудника, ответственного за обеспечение безопасности значимых объектов критической информационной инфраструктуры ГО/ОМСУ/организации[5];

разрабатывает перечни информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации и предоставляет их на утверждение руководителю ГО/ОМСУ/организации;

подготавливает необходимые сведения для проведения категорирования и классификации информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации по требованиям защиты информации, оформляет полученные результаты актами и представляет их на утверждение руководителю ГО/ОМСУ/организации;

подготавливает необходимые сведения для определения уровней защищенности персональных данных при их обработке в информационных системах персональных данных ГО/ОМСУ/организации, оформляет полученные результаты актами и представляет их на утверждение руководителю ГО/ОМСУ/организации³;

подготавливает сведения для определения контролируемой зоны в ГО/ОМСУ/организации, оформляет полученные результаты документально и представляет их на утверждение руководителю ГО/ОМСУ/организации;

обеспечивает определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационных системах ГО/ОМСУ/организации, возможностей нарушителей по реализации угроз безопасности информации, а также разработку и утверждение моделей угроз безопасности информации;

осуществляет выбор мер защиты информации в ГО/ОМСУ/организации, в том числе определяет необходимость применения сертифицированных на соответствие требованиям по безопасности информации средств защиты информации, в том числе средств криптографической защиты информации, а также требуемые классы данных средств защиты информации;

осуществляет анализ имеющихся на рынке средств защиты информации и формирует предложения по их закупке;

устанавливает и настраивает средства защиты информации в ГО/ОМСУ/организации в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией на средства защиты информации с учетом установленных классов защищенности;

контролирует сроки действия сертификатов соответствия требованиям по безопасности информации на применяемые в ГО/ОМСУ/организации средства защиты информации;

организовывает проведение специальной проверки и специальных исследований технических средств и систем в ГО/ОМСУ/организации⁵;

обеспечивает проведение аттестации информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, и иной информации ограниченного доступа, по требованиям защиты информации, а также проведение периодической оценки эффективности защиты (защищенности) информации на данных объектах защиты;

обеспечивает проведение оценки эффективности принимаемых ГО/ ОМСУ/организацией мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ГО/ОМСУ/организации и документальное оформление ее результатов³;

осуществляет сопровождение функционирования систем защиты информации объектов защиты ГО/ОМСУ/организации в ходе их эксплуатации, включая ведение эксплуатационной документации и организационно-распорядительных документов по защите информации;

осуществляет функции администратора безопасности в информационных (автоматизированных) системах ГО/ОМСУ/организации, в том числе осуществляет управление средствами защиты информации, параметрами настройки программного обеспечения средств защиты информации, восстановление работоспособности средств защиты информации, а также управление полномочиями пользователей информационных (автоматизированных) систем ГО/ОМСУ/организации и их учетными записями, поддерживает правила разграничения доступа в информационных (автоматизированных) системах, генерацию, смену и восстановление паролей;

осуществляет установку обновлений программного обеспечения средств защиты информации, применяемых на объектах защиты ГО/ОМСУ/организации;

поддерживает установленный порядок и правила антивирусной защиты информации в информационных (автоматизированных) системах ГО/ОМСУ/организации, включая периодическое обновление применяемых средств антивирусной защиты и баз данных признаков вредоносных компьютерных программ (вирусов);

обеспечивает резервное копирование информации, содержащейся в информационных (автоматизированных) системах ГО/ОМСУ/организации, включая программное обеспечение применяемых средств защиты информации, а также восстановление модифицированной или уничтоженной информации с использованием ее резервных копий;

учитывает машинные носители информации, используемые в ГО/ОМСУ/организации для обработки и хранения информации ограниченного доступа;

учитывает средства криптографической защиты информации, применяемые в ГО/ОМСУ/организации для обеспечения защиты информации;

осуществляет анализ и оценку функционирования информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации и их систем защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании систем защиты информации;

осуществляет мониторинг и анализ зарегистрированных событий в информационных (автоматизированных) системах, связанных с обеспечением безопасности;

осуществляет выявление фактов несанкционированного доступа к объектам защиты ГО/ОМСУ/организации и принимает меры по их устранению и предупреждению;

своевременно информирует непосредственного руководителя о несанкционированных действиях сотрудников ГО/ОМСУ/организации и иных лиц, эксплуатирующих информационные (автоматизированные) системы и иные объекты информатизации ГО/ОМСУ/организации;

принимает участие в расследовании инцидентов информационной безопасности в ГО/ОМСУ/организации, а также разрабатывает предложения по устранению недостатков и предупреждению данных инцидентов;

проводит инструктаж сотрудников ГО/ОМСУ/организации и иных лиц, эксплуатирующих информационные (автоматизированные) системы и иные объекты информатизации в ГО/ОМСУ/организации, в ходе которого информирует об угрозах безопасности информации, о правилах эксплуатации применяемых средств защиты информации, доводит требования и положения нормативных и организационно-распорядительных документов по защите информации, а также проводит их обучение правилам эксплуатации средств защиты информации;

осуществляет контроль исполнения нормативных требований по защите информации сотрудниками ГО/ОМСУ/организации, а также иными лицами, эксплуатирующими информационные (автоматизированные) системы и иные объекты информатизации в ГО/ОМСУ/организации;

проводит методические занятия по вопросам обеспечения информационной безопасности с сотрудниками ГО/ОМСУ/организации и подведомственных организаций[6];

обеспечивает проведение проверок организации работ по защите информации в ГО/ОМСУ/организации, а также внутреннего контроля состояния защиты информации в информационных (автоматизированных) системах и иных объектах информатизации ГО/ОМСУ/организации;

участвует во внутреннем контроле за соблюдением ГО/ОМСУ/организацией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, политики ГО/ОМСУ/организации в отношении обработки  персональных  данных, локальных  актов  ГО/ОМСУ/организации³;

осуществляет координацию обеспечения защиты информации в информационных (автоматизированных) системах подведомственных ГО/ОМСУ организациях[7];

осуществляет мониторинг состояния информационной безопасности в подведомственных ГО/ОМСУ организациях⁸;

разрабатывает и согласовывает проекты нормативных и правовых актов ГО/ОМСУ/организации по вопросам обеспечения информационной безопасности;

разрабатывает проекты методических документов по вопросам обеспечения информационной безопасности в ГО/ОМСУ/организации и в подведомственных организациях⁷;

подготавливает технические задания на выполнение работ по защите информации в ГО/ОМСУ/организации;

разрабатывает и поддерживает в актуальном состоянии документы, определяющие правила и процедуры, реализуемые ГО/ОМСУ/организацией для обеспечения защиты информации;

подготавливает решения о вводе информационных (автоматизированных) систем и иных объектов информатизации ГО/ОМСУ/организации в эксплуатацию и выводе их из эксплуатации;

подготавливает заявки в департамент связи и массовых коммуникаций Воронежской области на регистрацию, актуализацию сведений, отмену регистрации государственных информационных систем ОГВ, организации в едином реестре государственных информационных систем Воронежской области, в соответствии с положением, утвержденным постановлением правительства Воронежской области от 28.04.2011 № 340⁴;

контролирует выполнение нормативных требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных/муниципальных информационных систем в ГО/ОМСУ/организации⁴;

подготавливает аналитические материалы о состоянии защиты информации в ГО/ОМСУ/организации и подведомственных организациях⁷;

разрабатывает ежегодный план мероприятий по обеспечению защиты информации в ГО/ОМСУ/организации;

подготавливает информационные материалы об исполнении решений комиссии по информационной безопасности при губернаторе Воронежской области в ГО/ОМСУ/организации и в подведомственных организациях⁷;

подготавливает информацию для правительства Воронежской области по вопросам обеспечения информационной безопасности в ГО/ОМСУ/организации и в подведомственных организациях⁷.

Права ответственного за обеспечение безопасности

персональных данных, обрабатываемых в информационных

системах персональных данных

Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных  администрации Нижнебайгорского сельского поселения имеет право:

1. Запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности персональных данных.
2. Разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности персональных данных.
3. Контролировать деятельность структурных подразделений  администрации Нижнебайгорского сельского поселения в части выполнения ими требований в области организации обработки и обеспечения безопасности персональных данных.
4. Готовить предложения о привлечении к проведению работ по обеспечению безопасности персональных данных на договорной основе организаций, имеющих лицензии на право проведения работ в области защиты информации.
5. Участвовать в разработке мероприятий по совершенствованию мер по организации обработки и обеспечению безопасности персональных данных в администрации Нижнебайгорского сельского поселения.
6. Участвовать в проведении служебных расследований по фактам нарушения установленных требований по защите персональных данных, нарушению конфиденциальности персональных данных, утраты технических средств из состава информационных систем персональных данных, машинных носителей персональных данных в администрации Нижнебайгорского сельского поселения.
7. Обращаться к руководителю  администрации Нижнебайгорского сельского поселения с предложением о приостановке процесса обработки персональных данных в информационных системах персональных данных или отстранению от работы с персональными данными сотрудников  администрации Нижнебайгорского сельского поселения в случаях нарушения установленной технологии обработки персональных данных или нарушения требований по защите персональных данных.

Ответственность

Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных  администрации Нижнебайгорского сельского поселения несет персональную ответственность, предусмотренную действующим законодательством за:

• выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;

• качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями;

• разглашение персональных данных, ставшими известными ему по роду своей работы.

Инструкция ответственного за обеспечение информационной безопасности

1. Общие положения.

1.1.Настоящая инструкция разработана на основании статьи 24 Конституции Российской Федерации, главы 14 Трудового кодекса Российской Федерации, статьи 137 Уголовного кодекса Российской Федерации, Федерального закона от 27.07.2006г № 152-ФЗ «О персональных данных, Федерального закона от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Положения о защите прав персональных данных работников МОУ Иванковской СШ.

1.2.Ответственными лицами за обеспечения информационной безопасности ОУ являются директор МОУ Иванковской СШ, а также сотрудники образовательного учреждения, работающие с документами и базами данных.

 2. Основные задачи и обязанности.

2.1. Лица, ответственные за обеспечение информационной безопасности ОУ, при обработке персональных данных работника, то есть их получении, хранении, комбинировании, передаче или любом другом использовании персональных данных работника, обязаны соблюдать следующие общие требования:

• Обрабатывать персональные данных работника можно исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
• Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
• Лица, ответственные за обеспечение информационной безопасности ОУ не имеют права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев непосредственно связанных с вопросами трудовых отношений с письменного согласия работника, а также случаев предусмотренных федеральным законом.
• Использование персональных данных возможно только в соответствии с целями, определившими их получение.
• Все сотрудники, ответственные за обеспечение информационной безопасности должны быть ознакомлены с настоящей Инструкцией под расписку и обязаны подписать обязательство о неразглашении персональных данных.
• Допуск к информации ОУ имеют лица, ответственные за безопасность информации МОУ Иванковской СШ.
• Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
• Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
• Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
• Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 Федерального закона и законодательства о персональных данных.

 3. Обеспечение безопасности перед началом обработки персональных данных.

• Перед началом обработки персональных данных необходимо изучить настоящую Инструкцию.
• Перед началом обработки персональных данных необходимо убедиться в том, что:
• средства защиты персональных данных соответствуют классу информационной системы;
• в помещении, в котором ведется работа с персональными данными, отсутствуют посторонние лица;
• носители персональных данных не повреждены;
• к персональным данным не был осуществлен несанкционированный доступ;
• персональные данные не повреждены;
• технические средства автоматизированной обработки и защиты персональных данных находятся в исправном состоянии.

4. Обеспечение безопасности во время обработки персональных данных.

4.1. Во время обработки персональных данных необходимо обеспечить:

• недопущения воздействия на технические средства автоматизированной обработки персональных данных, способного нарушить их функционирование;
• недопущение нахождения в помещении, в котором ведется работа с персональными данными, посторонних лиц;
• постоянный контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• недопущение несанкционированного доступа к персональным данным;
• конфиденциальность персональных данных.

 5. Обеспечение безопасности в экстремальных ситуациях.

• При модификации или уничтожения персональных данных, вследствие несанкционированного доступа к ним необходимо обеспечить возможность их незамедлительного восстановления.
• При нарушении порядка предоставления персональных данных пользователям информационной системы необходимо приостановить их предоставление.
• При обнаружении несанкционированного доступа к персональным данным необходимо немедленно прервать этот доступ.
• В случае несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных необходимо произвести разбирательство и составление заключений по данным фактам, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
• Обо всех экстремальных ситуациях необходимо немедленно поставить в известность директора образовательного учреждения и произвести разбирательство.

 6. Обеспечение безопасности при завершении обработки персональных данных.

6.1. После завершения сеанса обработки персональных данных необходимо обеспечить:

• исключение возможности несанкционированного проникновения или нахождения в помещении, в котором размещены информационные системы и ведется работа с персональными данными;
• работоспособность средств защиты информации, функционирующих при отсутствии лиц, допущенных к обработке персональных данных;
• фиксацию всех случаев нарушения данной инструкции в журнале.

7. Ответственность.

7.1 .Ответственный за обеспечение информационной безопасности образовательного учреждения несет полную ответственность за:

• надлежащее и своевременное выполнение обязанностей, возложенных на него настоящей должностной инструкцией;
• единоличную ответственность за сохранность носителя и конфиденциальность информации;
• состояние делопроизводства по вверенному ему направлению работы.

Дата создания: 20-08-2021

УТВЕРЖДАЮ:

_______________________________

[Наименование должности]

_______________________________

_______________________________

[Наименование организации]

_______________________________

_______________________/[Ф.И.О.]/

«______» _______________ 20___ г.

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ

Заместителя руководителя, ответственного за обеспечение информационной безопасности

1. Общие положения

1.1. Настоящая должностная инструкция определяет и регламентирует полномочия, функциональные и должностные обязанности, права и ответственность заместителя руководителя, ответственного за обеспечение информационной безопасности [Наименование организации в родительном падеже] (далее — Компания).

1.2. Заместитель руководителя, ответственный за обеспечение информационной безопасности, назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке приказом руководителя Компании.

1.3. Заместитель руководителя, ответственный за обеспечение информационной безопасности, подчиняется непосредственно [наименование должности непосредственного руководителя в дательном падеже] Компании.

1.4. Заместитель руководителя, ответственный за обеспечение информационной безопасности, относится к категории руководителей, возглавляет кадровую работу Компании и имеет и имеет в подчинении [наименование должностей подчиненных в дательном падеже].

1.5. Заместитель руководителя, ответственный за обеспечение информационной безопасности, отвечает за:

• надлежащую организацию работы по обеспечению кадрами требуемой численности и квалификации в соответствии с потребностями Компании;
• исполнительскую и трудовую дисциплину сотрудников кадровой службы;
• сохранность документов (информации), содержащих сведения, составляющие коммерческую тайну Компании, иные конфиденциальные сведения, включая персональные данные сотрудников Компании;
• обеспечение безопасных условий труда, поддержание порядка, выполнение правил пожарной безопасности в помещениях кадровой службы.

1.6. Заместитель руководителя, ответственный за обеспечение информационной безопасности, осуществляет свою деятельность на основе должностных регламентов (инструкций) федеральных государственных гражданских служащих и государственных гражданских служащих субъекта Российской Федерации, должностных инструкций работников организаций всех форм собственности с учетом особенностей деятельности органа (организации) и подчиняется непосредственно руководителю органа (организации) либо должностному лицу, его замещающему.

1.7. Заместитель руководителя, ответственный за обеспечение информационной безопасности, входит в состав коллегиальных органов органа (организации).

1.8. Указания и поручения заместителя руководителя, ответственного за обеспечение информационной безопасности, в части обеспечения информационной безопасности являются обязательными для исполнения всеми [государственными служащими/муниципальными служащими/работниками органа (организации)].

1.9. На должность заместителя руководителя, ответственного за обеспечение информационной безопасности, назначается лицо, имеющее высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), он должен пройти обучение по программе профессиональной переподготовки по направлению «Информационная безопасность». Заместитель руководителя, ответственный за обеспечение информационной безопасности, на постоянной основе повышает профессиональную компетенцию, знания и навыки в области обеспечения информационной безопасности.

1.10. Для заместителя руководителя, ответственного за обеспечение информационной безопасности, требуется наличие следующих знаний, умений и профессиональных компетенций:

1.10.1. Основные (в том числе производственные, бизнес и управленческие) процессы органа (организации) и специфика обеспечения информационной безопасности органа (организации).

1.10.2. Влияние информационных технологий на деятельность органа (организации), в том числе:

• роль и место информационных технологий (в том числе степень интеграции информационных технологий) в процессах функционирования органа (организации);
• зависимость основных процессов функционирования органа (организации) от информационных технологий.

1.10.3. Информационно-телекоммуникационные технологии, в том числе:

• современные информационно-телекоммуникационные технологии, используемые в органе (организации);
• способы построения информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления формирования информационных ресурсов (далее — системы и сети), в том числе ограниченного доступа;
• типовые архитектуры систем и сетей, требования к их оснащенности программными (программно-техническими) средствами;
• принципы построения и функционирования современных операционных систем, систем управления базами данных, систем и сетей, основных протоколов систем и сетей.

1.10.4. Обеспечение информационной безопасности, в том числе:

• цели, задачи, основы организации, ключевые элементы, основные способы и средства обеспечения информационной безопасности;
• цели обеспечения информационной безопасности применительно к основным процессам функционирования органа (организации), реализации и контроля их достижения;
• принципы и направления стратегического развития информационной безопасности в органе (организации);
• правила разработки, утверждения и отмены организационно-распорядительных документов по вопросам обеспечения информационной безопасности в органе (организации), состав и содержание таких документов;
• порядок организации работ по обеспечению информационной безопасности в органе (организации);
• основные негативные последствия, наступление которых возможно в результате реализации угроз безопасности информации, способы и методы обеспечения и поддержания необходимого уровня (состояния) информационной безопасности органа (организации) для исключения (невозможности реализации) негативных последствий, а также порядок проведения практических проверок и контроля результативности применяемых способов и методов обеспечения информационной безопасности органа (организации);
• основные угрозы безопасности информации, предпосылки их возникновения и возможные пути их реализации, а также порядок оценки таких угроз;
• возможности и назначения типовых программных, программно-аппаратных (технических) средств обеспечения информационной безопасности;
• способы и средства проведения компьютерных атак, актуальные тактики и техники нарушителей;
• порядок организации взаимодействия структурных подразделений органа (организации) при решении вопросов обеспечения информационной безопасности;
• управление проектами по информационной безопасности;
• антикризисное управление и принятие управленческих решений при реагировании на кризисы и компьютерные инциденты;
• планирование деятельности по обеспечению информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах);
• формулирование измеримых и практических результатов деятельности по обеспечению информационной безопасности органа (организации), подведомственных организаций (филиалов, представительств);
• организация разработки политики (правил, процедур), регламентирующей вопросы информационной безопасности в органе (организации), в подведомственных организациях (филиалах, представительствах) (далее — политика);
• внедрение политики;
• организация контроля и анализа применения политики;
• организация мероприятий по разработке единых инструментов и механизмов контроля деятельности по обеспечению информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах);
• поддержка и совершенствование деятельности по обеспечению информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах);
• организация мероприятий по определению угроз безопасности информации систем и сетей, а также по формированию требований к обеспечению информационной безопасности в органе (организации);
• организация внедрения способов и средств для обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах);
• организация мероприятий по анализу и контролю состояния информационной безопасности органа (организации) и модернизации (трансформации) процессов функционирования органа (организации) в целях обеспечения информационной безопасности в органе (организации);
• обеспечение информационной безопасности в ходе эксплуатации систем и сетей, а также при выводе их из эксплуатации;
• организация мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы органа (организации) и реагированию на компьютерные инциденты;
• организация мероприятий по отслеживанию и контролю достижения целей информационной безопасности (фактически достигнутый эффект и результат) в органе (организации), подведомственных организациях (филиалах, представительствах).

1.11. В практической деятельности заместитель руководителя, ответственный за обеспечение информационной безопасности, должен руководствоваться:

• законодательством, нормативно-правовыми актами, а также локальными актами и организационно-распорядительными документами Компании, регламентирующими кадровую работу и деятельность кадровой службы;
• правилами внутреннего трудового распорядка;
• правилами охраны труда и техники безопасности, обеспечения производственной санитарии и противопожарной защиты;
• указаниями, приказаниями, решениями и поручениями директора организации;
• настоящей должностной инструкцией.

1.12. В период временного отсутствия заместителя руководителя, ответственного за обеспечение информационной безопасности (отпуск, болезнь), его обязанности возлагаются на [наименование должности заместителя].

2. Должностные обязанности

Заместитель руководителя, ответственный за обеспечение информационной безопасности, в ходе стратегического управления профессиональными рисками в организации выполняет следующие должностные обязанности:

2.1. Участие в формировании политики органа (организации) и согласование стратегии развития органа (организации) в части вопросов обеспечения информационной безопасности.

2.2. Организация разработки политики, направленной в том числе на обеспечение и поддержание стабильной деятельности органа (организации) и его (ее) процессов функционирования в случае проведения компьютерных атак, согласование и утверждение политики в органе (организации), реализация мероприятий, предусмотренных политикой, отслеживание и контроль результатов реализации политики.

2.3. Организация работы по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, формулированию перечня негативных последствий, проведению мероприятий по их недопущению, отслеживанию и контролю эффективности (результативности) таких мероприятий, а также по необходимому информационному обмену.

2.4. Организация реализации и контроля проведения в органе (организации) организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю с учетом меняющихся угроз в информационной сфере, а также самостоятельно ответственным лицом в результате своей деятельности.

2.5. Организация беспрепятственного доступа (в том числе удаленного) должностным лицам Федеральной службы безопасности Российской Федерации и ее территориальных органов к информационным ресурсам, принадлежащим органу (организации) либо используемым органом (организациями), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети «Интернет», в целях осуществления мониторинга их защищенности, а также работникам структурного подразделения, осуществляющего функции по обеспечению информационной безопасности.

2.6. Организация взаимодействия с должностными лицами Федеральной службы безопасности Российской Федерации и ее территориальных органов, в том числе контроль исполнения указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организациями), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети «Интернет».

2.7. Организация контроля за выполнением требований нормативных правовых актов, нормативно-технической документации, за соблюдением установленного порядка выполнения работ при решении вопросов, касающихся защиты информации.

2.8. Организация развития информационной безопасности, формирования и развития навыков работников органа (организации) в сфере информационной безопасности.

2.9. Организация разработки и реализации мероприятий по обеспечению информационной безопасности в органе (организации) в соответствии с требованиями к обеспечению информационной безопасности, установленными федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.

2.10. Организация контроля пользователей информационных ресурсов органа (организации) в части соблюдения ими режима конфиденциальности информации, правил работы со съемными машинными носителями информации, выполнения организационных и технических мер по защите информации.

2.11. Организация планирования мероприятий по обеспечению информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах).

2.12. Организация подготовки правовых актов, иных организационно-распорядительных документов по вопросам обеспечения информационной безопасности в органе (организации), осуществление согласования иных документов органа (организации) в части обеспечения информационной безопасности.

2.13. Организация проведения научно-исследовательских и опытно-конструкторских работ по вопросам обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах).

2.14. Организация проведения контроля за состоянием обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах), включая оценку защищенности систем и сетей, оператором которых является орган (организация), подведомственные организации (филиалы, представительства).

2.15. Осуществление регулярного контроля текущего уровня (состояния) информационной безопасности в органе (организации), а также реализация мероприятий, направленных на поддержание и развитие уровня (состояния) информационной безопасности в органе (организации), в том числе с учетом появления новых угроз безопасности информации и современных способов и методов проведения компьютерных атак.

2.16. Осуществление регулярного и своевременного информирования руководства органа (организации) о компьютерных инцидентах, текущем уровне (состоянии) информационной безопасности в органе (организации) и результатах практических учений по противодействию компьютерным атакам.

2.17. Осуществление контроля за ведением организационно-распорядительной документации, статистического учета и отчетности по курируемым разделам работы.

2.18. Осуществление согласования требований к системам и сетям, оператором которых является орган (организация), подведомственные организации (филиалы, представительства), в части обеспечения информационной безопасности.

2.19. Осуществление руководства структурным подразделением органа (организации), обеспечивающим информационную безопасность органа (организации).

2.20. Организация и контроль проведения мероприятий по анализу и оценке состояния информационной безопасности органа (организации) и контроль их результатов.

2.21. Организация и контроль функционирования системы обеспечения информационной безопасности в органе (организации), координация функционирования систем обеспечения информационной безопасности в подведомственных организациях (филиалах, представительствах).

2.22. Координация деятельности иных структурных подразделений органа (организации), подведомственных организаций (филиалов, представительств) по вопросам обеспечения информационной безопасности.

2.23. Согласование политики, технического задания и иной основополагающей документации в сфере информационных технологий, цифровизации и цифровой трансформации органа (организации).

2.24. Организация с использованием нормативных правовых документов и методических материалов Федеральной службы безопасности Российской Федерации обнаружения, предупреждения и ликвидации последствий компьютерных атак, реагирования на компьютерные инциденты с информационными ресурсами органа (организации), а также взаимодействия с Национальным координационным центром по компьютерным инцидентам одним (или несколькими) из следующих способов:

• силами структурного подразделения, ответственного за обеспечение информационной безопасности, с заключением соглашения (издания совместного акта) о взаимодействии с Федеральной службой безопасности Российской Федерации (Национальным координационным центром по компьютерным инцидентам), включающего в том числе права и обязанности сторон, порядок проведения совместных мероприятий, регламент информационного обмена, порядок и сроки представления отчетности, порядок и формы контроля;
• силами структурного подразделения, ответственного за обеспечение информационной безопасности, с его аккредитацией как центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
• силами организаций, являющихся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

2.25. Обеспечение планирования и реализации мероприятий по переводу систем и сетей на отечественные средства защиты информации, а также контроль за соблюдением запрета на использование средств защиты информации, странами происхождения которых являются иностранные государства в соответствии с пунктом 6 указа Президента РФ от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

2.26. Сопровождение мероприятий по разработке (модернизации) систем и сетей в части информационной безопасности, а также требований нормативных правовых актов, нормативно-технических и методических документов по защите информации и выполнения этих требований.

2.27. Проведение работы по унификации способов и средств по обеспечению информационной безопасности, иных технических решений в органе (организации), подведомственных организациях (филиалах, представительствах).

2.28. Принятие мер по совершенствованию обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах).

2.29. Соблюдение и обеспечение выполнения законодательства Российской Федерации.

2.30. Согласование политики органа (организации) с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в случаях, установленных законодательством Российской Федерации.

2.31. Представление по запросам Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю достоверных сведений о результатах реализации политики (фактически достигнутом эффекте и результате) и текущем уровне (состоянии) информационной безопасности в органе (организации).

2.32. Поддержание уровня квалификации и постоянное развитие своих навыков в области информационной безопасности, необходимых для обеспечения информационной безопасности в органе (организации).

2.33. Проведение и участие в пределах своей компетенции в отраслевых, межотраслевых, межрегиональных и международных выставках, семинарах, конференциях, работе межведомственных рабочих групп, отраслевых экспертных сообществ, международных органов и организаций.

2.34. Участие в пределах компетенции в осуществлении закупок товаров, работ, услуг для обеспечения нужд в сфере информационной безопасности.

Заместитель руководителя, ответственный за обеспечение информационной безопасности, обязан на основании распоряжений руководителя Компании, в случае отсутствия последнего (отпуск, болезнь, командировка), исполнять обязанности руководителя Компании, приобретая при этом соответствующие полномочия и права.

3. Права

Заместитель руководителя, ответственный за обеспечение информационной безопасности, имеет право:

3.1. Давать указания и поручения работникам органа (организации) в части обеспечения информационной безопасности.

3.2. Запрашивать от работников органа (организации) информацию и материалы, необходимые для реализации возложенных на ответственное лицо прав и обязанностей.

3.3. Участвовать в заседаниях (совещаниях) коллегиальных органов органа (организации), принятии решений по вопросам деятельности органа (организации), а также по внесению предложений по совершенствованию деятельности органа (организации).

3.4. Участвовать в разработке политики, выносить политику на обсуждение, утверждение коллегиальному органу органа (организации).

3.5. Представлять результаты реализации политики коллегиальному органу (органа) организации.

3.6. Принимать решения по вопросам обеспечения информационной безопасности органа (организации).

3.7. Взаимодействовать с Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и иными федеральными органами исполнительной власти по вопросам обеспечения информационной безопасности, в том числе по вопросам совершенствования законодательства Российской Федерации в области обеспечения информационной безопасности.

3.8. Вносить предложения о привлечении организаций, имеющих соответствующие лицензии на деятельность в области защиты информации, в соответствии с законодательством Российской Федерации к проведению работ по обеспечению информационной безопасности.

3.9. Инициировать проверки уровня (состояния) обеспечения информационной безопасности в органе (организации), ее подведомственных и дочерних организациях.

3.10. Организовывать на объектах органа (организации) мероприятия по информационной безопасности, разработку и представление руководителю органа (организации) предложений по внесению изменений в процессы функционирования, принятию других мер, направленных на недопущение реализации негативных последствий.

3.11. Получать доступ в установленном порядке к сведениям, составляющим государственную тайну, если исполнение обязанностей ответственного лица связано с использованием таких сведений и наличием необходимых прав и полномочий.

3.12. Получать доступ в установленном порядке в связи с исполнением своих обязанностей в государственные органы, органы местного самоуправления, общественные объединения и другие организации.

3.13. Обеспечивать надлежащие организационно-технические условия, необходимые для исполнения обязанностей ответственного лица.

3.14. На все предусмотренные законодательством Российской Федерации социальные гарантии.

3.15. Иные права, предусмотренные трудовым законодательством Российской Федерации.

4. Ответственность и оценка деятельности

4.1. Заместитель руководителя, ответственный за обеспечение информационной безопасности, несет административную, дисциплинарную и материальную (а в отдельных случаях, предусмотренных законодательством РФ, — и уголовную) ответственность за:

4.1.1. Невыполнение или ненадлежащее выполнение служебных указаний непосредственного руководителя.

4.1.2. Невыполнение или ненадлежащее выполнение своих трудовых функций и порученных ему задач.

4.1.3. Неправомерное использование предоставленных служебных полномочий, а также использование их в личных целях.

4.1.4. Недостоверную информацию о состоянии выполнения порученной ему работы.

4.1.5. Непринятие мер по пресечению выявленных нарушений правил техники безопасности, противопожарных и других правил, создающих угрозу деятельности предприятия и его работникам.

4.1.6. Не обеспечение соблюдения трудовой дисциплины.

4.2. Оценка работы заместителя руководителя, ответственного за обеспечение информационной безопасности, осуществляется:

4.2.1. Непосредственным руководителем — регулярно, в процессе повседневного осуществления работником своих трудовых функций.

4.2.2. Аттестационной комиссией предприятия — периодически, но не реже 1 раза в два года на основании документированных итогов работы за оценочный период.

4.3. Основным критерием оценки работы заместителя руководителя, ответственного за обеспечение информационной безопасности, является качество, полнота и своевременность выполнения им задач, предусмотренных настоящей инструкцией.

5. Условия работы

5.1. Режим работы заместителя руководителя, ответственного за обеспечение информационной безопасности, определяется в соответствии с правилами внутреннего трудового распорядка, установленными в Компании.

5.2. В связи с производственной необходимостью заместитель руководителя, ответственный за обеспечение информационной безопасности, обязан выезжать в служебные командировки (в том числе местного значения).

5.3. В связи с производственной необходимостью заместителю руководителя, ответственному за обеспечение информационной безопасности, для выполнения его трудовых функций может быть предоставлен служебный автотранспорт.

6. Право подписи

6.1. Заместителю руководителя, ответственному за обеспечение информационной безопасности для обеспечения его деятельности предоставляется право подписи организационно-распорядительных документов по вопросам, входящим в его функциональные обязанности.

С инструкцией ознакомлен ___________/____________/ «__» _______ 20__ г.

(подпись)