Должностная инструкция специалиста по защите информации в школе

Должностные обязанности. Выполняет сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны. Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну. Анализирует существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты. Участвует в обследовании объектов защиты, их аттестации и категорировании. Разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов. Организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации. Участвует в рассмотрении технических заданий на выполнение эскизных, технических и рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений. Определяет потребность в технических средствах защиты и контроля, составляет заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролирует их поставку и использование. Осуществляет проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.

Должен знать: законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации; специализацию учреждения, организации и особенности их деятельности; технологию производства в отрасли; оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации; систему организации комплексной защиты информации, действующую в отрасли; методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки; методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны; технические средства контроля и защиты информации, перспективы и направления их совершенствования; методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации; порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации; достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации; методы и средства выполнения расчетов и вычислительных работ; основы экономики, организации производства, труда и управления; основы трудового законодательства; правила и нормы охраны труда.

Требования к квалификации.

Специалист по защите информации I категории: высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации II категории не менее 3 лет.

Специалист по защите информации II категории: высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации или других должностях, замещаемых специалистами с высшим профессиональным образованием, не менее 3 лет.

Специалист по защите информации: высшее профессиональное (техническое) образование без предъявления требования к стажу работы.

Инструкция ответственного за обеспечение информационной безопасности

1. Общие положения.

1.1.Настоящая инструкция разработана на основании статьи 24 Конституции Российской Федерации, главы 14 Трудового кодекса Российской Федерации, статьи 137 Уголовного кодекса Российской Федерации, Федерального закона от 27.07.2006г № 152-ФЗ «О персональных данных, Федерального закона от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Положения о защите прав персональных данных работников МОУ Иванковской СШ.

1.2.Ответственными лицами за обеспечения информационной безопасности ОУ являются директор МОУ Иванковской СШ, а также сотрудники образовательного учреждения, работающие с документами и базами данных.

 2. Основные задачи и обязанности.

2.1. Лица, ответственные за обеспечение информационной безопасности ОУ, при обработке персональных данных работника, то есть их получении, хранении, комбинировании, передаче или любом другом использовании персональных данных работника, обязаны соблюдать следующие общие требования:

• Обрабатывать персональные данных работника можно исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
• Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
• Лица, ответственные за обеспечение информационной безопасности ОУ не имеют права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев непосредственно связанных с вопросами трудовых отношений с письменного согласия работника, а также случаев предусмотренных федеральным законом.
• Использование персональных данных возможно только в соответствии с целями, определившими их получение.
• Все сотрудники, ответственные за обеспечение информационной безопасности должны быть ознакомлены с настоящей Инструкцией под расписку и обязаны подписать обязательство о неразглашении персональных данных.
• Допуск к информации ОУ имеют лица, ответственные за безопасность информации МОУ Иванковской СШ.
• Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
• Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
• Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
• Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 Федерального закона и законодательства о персональных данных.

 3. Обеспечение безопасности перед началом обработки персональных данных.

• Перед началом обработки персональных данных необходимо изучить настоящую Инструкцию.
• Перед началом обработки персональных данных необходимо убедиться в том, что:
• средства защиты персональных данных соответствуют классу информационной системы;
• в помещении, в котором ведется работа с персональными данными, отсутствуют посторонние лица;
• носители персональных данных не повреждены;
• к персональным данным не был осуществлен несанкционированный доступ;
• персональные данные не повреждены;
• технические средства автоматизированной обработки и защиты персональных данных находятся в исправном состоянии.

4. Обеспечение безопасности во время обработки персональных данных.

4.1. Во время обработки персональных данных необходимо обеспечить:

• недопущения воздействия на технические средства автоматизированной обработки персональных данных, способного нарушить их функционирование;
• недопущение нахождения в помещении, в котором ведется работа с персональными данными, посторонних лиц;
• постоянный контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• недопущение несанкционированного доступа к персональным данным;
• конфиденциальность персональных данных.

 5. Обеспечение безопасности в экстремальных ситуациях.

• При модификации или уничтожения персональных данных, вследствие несанкционированного доступа к ним необходимо обеспечить возможность их незамедлительного восстановления.
• При нарушении порядка предоставления персональных данных пользователям информационной системы необходимо приостановить их предоставление.
• При обнаружении несанкционированного доступа к персональным данным необходимо немедленно прервать этот доступ.
• В случае несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных необходимо произвести разбирательство и составление заключений по данным фактам, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
• Обо всех экстремальных ситуациях необходимо немедленно поставить в известность директора образовательного учреждения и произвести разбирательство.

 6. Обеспечение безопасности при завершении обработки персональных данных.

6.1. После завершения сеанса обработки персональных данных необходимо обеспечить:

• исключение возможности несанкционированного проникновения или нахождения в помещении, в котором размещены информационные системы и ведется работа с персональными данными;
• работоспособность средств защиты информации, функционирующих при отсутствии лиц, допущенных к обработке персональных данных;
• фиксацию всех случаев нарушения данной инструкции в журнале.

7. Ответственность.

7.1 .Ответственный за обеспечение информационной безопасности образовательного учреждения несет полную ответственность за:

• надлежащее и своевременное выполнение обязанностей, возложенных на него настоящей должностной инструкцией;
• единоличную ответственность за сохранность носителя и конфиденциальность информации;
• состояние делопроизводства по вверенному ему направлению работы.

Дата создания: 20-08-2021

УТВЕРЖДАЮ:

_______________________________

[Наименование должности]

_______________________________

_______________________________

[Наименование организации]

_______________________________

_______________________/[Ф.И.О.]/

«______» _______________ 20___ г.

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ

Специалиста по защите информации

1. Общие положения

1.1. Настоящая должностная инструкция определяет и регламентирует полномочия, функциональные и должностные обязанности, права и ответственность специалиста по защите информации [Наименование организации в родительном падеже] (далее — Компания).

1.2. Специалист по защите информации назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке приказом руководителя Компании.

1.3. Специалист по защите информации относится к категории специалистов и имеет в подчинении [наименование должностей подчиненных в дательном падеже].

1.4. Специалист по защите информации подчиняется непосредственно [наименование должности непосредственного руководителя в дательном падеже] Компании.

1.5. На должность специалиста по защите информации назначается лицо, имеющее  высшее профессиональное (техническое) образование.

1.6. Требования к опыту практической работы специалиста по защите информации: не требуется.

1.7. Специалист по защите информации отвечает за:

• эффективное исполнение поручаемой ему работы;
• соблюдение требований исполнительской, трудовой и технологической дисциплины;
• сохранность находящихся у него на хранении (ставших ему известными) документов (сведений), содержащих (составляющих) коммерческую тайну Компании.

1.8. Специалист по защите информации должен знать:

• законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации;
• специализацию предприятия и особенности его деятельности;
• технологию производства в отрасли;
• оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации;
• систему организации комплексной защиты информации, действующей в отрасли;
• методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки;
• методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны;
• технические средства контроля и защиты информации, перспективы и направления их совершенствования;
• методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации;
• порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации;
• достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации;
• методы и средства выполнения расчетов и вычислительных работ;
• основы экономики, организации производства, труда и управления;
• основы трудового законодательства Российской Федерации;
• правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.

1.9. Специалист по защите информации в своей деятельности руководствуется:

• законодательными и нормативными документами по вопросам обеспечения защиты информации;
• методическими материалами, касающимися соответствующих вопросов;
• уставом предприятия;
• правилами трудового распорядка;
• приказами и распоряжениями директора предприятия (непосредственного руководителя);
• настоящей должностной инструкцией.

1.10. В период временного отсутствия специалиста по защите информации (отпуск, болезнь), его обязанности возлагаются на [наименование должности заместителя].

2. Функции

Специалист по защите информации осуществляет следующие функции:

2.1. Обеспечение комплексной защиты информации, соблюдения государственной тайны.

2.2. Участие в обследовании, аттестации и категорировании объектов защиты.

2.3. Разработка организационно-распорядительных документов, регламентирующих работу по защите информации.

2.4. Определение потребности в технических средствах защиты и контроля.

2.5. Проверка выполнения требований нормативных документов по защите информации.

3. Должностные обязанности

Специалист по защите информации выполняет следующие должностные обязанности:

3.1. Выполнять сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны.

3.2. Проводить сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.

3.3. Анализировать существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывать предложения по их совершенствованию и повышению эффективности этой защиты.

3.4. Участвовать в обследовании объектов защиты, их аттестации и категорировании.

3.5. Разрабатывать и готовить к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов.

3.6. Организовывать разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.

3.7. Давать отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.

3.8. Участвовать в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивать их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.

3.9. Определять потребность в технических средствах защиты и контроля, составлять заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролировать их поставку и использование.

3.10. Осуществлять проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.

В случае служебной необходимости специалист по защите информации может привлекаться к выполнению своих должностных обязанностей сверхурочно, в порядке, предусмотренном положениями федерального законодательства о труде.

4. Права

Специалист по защите информации имеет право:

4.1. Знакомиться с проектами решений руководства предприятия, касающимися его деятельности.

4.2. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с обязанностями, предусмотренными настоящей инструкцией.

4.3. Получать от руководителей структурных подразделений, специалистов информацию и документы, необходимые для выполнения своих должностных обязанностей.

4.4. Привлекать специалистов всех структурных подразделений предприятия для решения возложенных на него обязанностей (если это предусмотрено положениями о структурных подразделениях, если нет — с разрешения руководителя предприятия).

4.5. Требовать от руководства предприятия оказания содействия в исполнении своих должностных обязанностей и прав.

5. Ответственность и оценка деятельности

5.1. Специалист по защите информации несет административную, дисциплинарную и материальную (а в отдельных случаях, предусмотренных законодательством РФ, — и уголовную) ответственность за:

5.1.1. Невыполнение или ненадлежащее выполнение служебных указаний непосредственного руководителя.

5.1.2. Невыполнение или ненадлежащее выполнение своих трудовых функций и порученных ему задач.

5.1.3. Неправомерное использование предоставленных служебных полномочий, а также использование их в личных целях.

5.1.4. Недостоверную информацию о состоянии выполнения порученной ему работы.

5.1.5. Непринятие мер по пресечению выявленных нарушений правил техники безопасности, противопожарных и других правил, создающих угрозу деятельности предприятия и его работникам.

5.1.6. Не обеспечение соблюдения трудовой дисциплины.

5.2. Оценка работы специалиста по защите информации осуществляется:

5.2.1. Непосредственным руководителем — регулярно, в процессе повседневного осуществления работником своих трудовых функций.

5.2.2. Аттестационной комиссией предприятия — периодически, но не реже 1 раза в два года на основании документированных итогов работы за оценочный период.

5.3. Основным критерием оценки работы специалиста по защите информации является качество, полнота и своевременность выполнения им задач, предусмотренных настоящей инструкцией.

6. Условия работы

6.1. Режим работы специалиста по защите информации определяется в соответствии с правилами внутреннего трудового распорядка, установленными в Компании.

7. Право подписи

7.1. Специалисту по защите информации для обеспечения его деятельности предоставляется право подписи организационно-распорядительных документов по вопросам, отнесенным к его компетенции настоящей должностной инструкцией.

С инструкцией ознакомлен ___________/____________/ «____» _______ 20__ г.

(подпись)