Отдел информационной безопасности

Иванова Эмилия Вячеславовна
Заместитель начальника отдела тел. 260-010(внутр. 2669)
miac69@med.cap.ru
Баканов Денис Владимирович Ведущий инженер-программист
тел. 260-010 (внутр. 2668)
miac68@med.cap.ru

УТВЕРЖДЕНА приказом БУ «Медицинский информационно-аналитический центр» Минздрава Чувашии от ____________ № _____

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ 

начальника отдела информационной безопасности

I. Общие положения

1. Начальник отдела информационной безопасности (далее – Отдел) бюджетного учреждения Чувашской Республики «Медицинский информационно-аналитический центр» Министерства здравоохранения Чувашской Республики (далее – Учреждение) относится к категории руководителей. 2. На должность начальника Отдела назначается лицо, имеющее высшее профессиональное (техническое) образование по специальности «Информационная безопасность» либо прохождение курсов профессиональной переподготовки по специальности «Информационная безопасность» в объеме не менее 512 часов и стаж работы в области защиты информации не менее 5 лет. 3. Назначение на должность начальника Отдела и освобождение от нее производится приказом директора Учреждения. 4. Начальник Отдела должен знать: - принципы организации комплексной защиты информации в отрасли, в Учреждении; - специализацию Учреждения и особенности его деятельности; - организацию работы со средствами криптографической защиты информации (далее – СКЗИ); - перспективы и направления развития технических средств защиты информации; - методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки; - методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации; - порядок финансирования, методы планирования и организации проведения научных исследований и разработок, выполнения работ по защите информации; - порядок заключения договоров на проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации; - достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации; - экономику, организацию производства, труда и управления; - действующие системы оплаты труда и материального стимулирования; - действующее законодательство о государственной и коммерческой тайне и защите информации; - нормативные правовые акты, определяющие основные направления экономического и социального развития отрасли, а также руководящие, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации; - перспективы развития, специализацию и направления деятельности учреждения и его подразделений; - характер взаимодействия подразделений в процессе исследований и разработок и порядок прохождения служебной информации; - основы трудового законодательства; - правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты. 5. Начальник Отдела в своей деятельности руководствуется действующим законодательством Российской Федерации об информации, информационных технологиях и о защите информации, приказами ФСБ России, ФСТЭК России, нормативными документами, положениями, руководящими документами, методическими рекомендациями, локальными нормативными актами, регламентирующими деятельность Учреждения, положением об Отделе, настоящей должностной инструкцией. 6. На время отсутствия начальника Отдела (командировка, отпуск, болезнь, пр.) его обязанности исполняет лицо, назначенное в установленном порядке, который приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.

II. Должностные обязанности Начальник Отдела должен:

1. Организовать разработку регламентов, приказов, положений, инструкций и иных организационных и распорядительных документов по защите информации в Учреждении. 2. Осуществлять организацию мероприятий и координацию работ структурных подразделений Учреждения по комплексной защите информации на всех этапах технологических циклов ее создания, переноса на носитель (бумажный или электронный), обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности. 3. Определять требования к системам защиты информации и документообороту на бумажных и электронных носителях в Учреждении. 3.1. Создавать ключи электронных подписей, ключи проверки электронных подписей и сертификаты ключей проверки электронных подписей; 3.2. Выдавать ключи электронных подписей, ключи проверки электронных подписей и сертификаты ключей проверки электронных подписей в форме документов на бумажных носителях и/или в форме электронных документов с информацией об их действии; 4. Организовать согласование частной политики и отдельных регламентов безопасности среди структурных подразделений Учреждения. 5. Осуществляет подбор, изучение и обобщение научно-технической литературы, нормативных и методических материалов по техническим средствам и способам защиты информации. 6. Участвует в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности. 7. Осуществлять руководство органом криптографической защиты Учреждения. 7.1. Организовать проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ; 7.2. Организовать разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам; 7.3. Организовать обучение лиц, использующих СКЗИ, правилам работы с ними; 7.4. Организовать поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, в том числе средств организации защищенного электронного документооборота; 7.5. Организовать учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ; 7.6. Организовать подачу заявок лицензиату ФСБ России, имеющему лицензию на работы по изготовлению и распределению ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств; 7.7. Контролировать соблюдение условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом соответствия ФСБ России и инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну; 7.8. Организовать расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; 7.9. Организовать разработку схемы организации криптографической защиты конфиденциальной информации. 8. Принимать участие во внедрении и организовать сопровождение специальных технических и программно-математических средств защиты информации в Учреждении; 9. Организовать поэкземплярный учет используемых средств защиты информации, эксплуатационной и технической документации к ним. 10. Вносить предложения директору Учреждения о допуске пользователей на работу с СКЗИ. 11. Организовать обучение сотрудников Учреждения по вопросам обеспечения информационной безопасности, проводить инструктажи и осуществлять контроль знаний и практических навыков выполнения политики безопасности сотрудниками Учреждения. 12. Организовать проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков и возможных каналов утечки информации, в том числе по техническим каналам, и принятие необходимых мер по их устранению и предотвращению, а также составление актов и другой технической документации о степени защищенности технических средств и помещений. 13. Принимать участие в разработке и согласовании технических заданий, проектной и иной технической документации в части выполнения требований по защите информации. 14. Организовать аттестацию объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ с информацией ограниченного доступа. 15. Осуществлять консультации сотрудников Учреждения, Министерства здравоохранения Чувашской Республики и иных организаций, подведомственных Министерству здравоохранения Чувашской Республики по вопросам информационной безопасности, в частности, об изменениях в законодательстве и нормативной базе в области защиты информации, технических новинках и т.д.. 16. Вносить предложения директору Учреждения по составу и периодичности сбора статистической информации о состоянии и динамике развития, внедрения современных информационных технологий по обеспечению информационной безопасности, обработке и анализу статистической информации. 17. Осуществлять информационное обеспечение руководства Учреждения регулярными обзорами и аналитическими справками о текущем состоянии информационной безопасности в Учреждении, выдержками о результатах проверки выполнения политики безопасности. 18. Проводить оценку и управление информационными рисками. 19. Принимать участие в рабочих группах для оценки рисков исполнения и развития проектов Учреждения. 20. Организовать в установленном порядке расследование причин и условий появления нарушений в области защиты информации и разработку предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществлять контроль за устранением этих нарушений. 21. Осуществлять организацию и проведение работ по контролю эффективности проводимых мероприятий и принимаемых мер по защите информации в Учреждении; 22. Разрабатывать предложения по организации и совершенствованию системы защиты информации в Учреждении. 23. Обеспечивать ведение делопроизводства в Отделе в соответствии с требованиями документооборота. 24. Руководить сотрудниками Отдела.

III. Права Начальник Отдела имеет право:

1. Осуществлять ознакомление с проектами решений руководства Учреждения, касающимися деятельности Отдела. 2. Осуществлять взаимодействие с руководителями всех структурных подразделений Учреждения по вопросам защиты информации. 3. Подписывать и визировать документы в пределах своей компетенции. 4. Вносить на рассмотрение руководства Учреждения представления о назначении, перемещении и освобождении от занимаемых должностей подчиненных ему сотрудников, предложения о поощрении отличившихся сотрудников и привлечении к материальной и дисциплинарной ответственности лиц, действие (бездействие) которых привело к утечке информации ограниченного доступа. 5. Уведомлять специалиста по кадрам о фактах нарушения работниками Отдела трудовой дисциплины и правил внутреннего трудового распорядка Учреждения. 6. Требовать от руководства Учреждения оказания максимального содействия в исполнении своих должностных обязанностей и прав. 7. Запрашивать и получать от руководителей структурных подразделений Учреждения, сотрудников, информацию и материалы, необходимые для организации работы Отдела. 8. Вносить предложения директору Учреждения по улучшению работы Отдела.

IV. Ответственность Начальник Отдела несет ответственность:

1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, - в пределах, определенных действующим трудовым законодательством Российской Федерации. 2. За правонарушения, совершенные в процессе осуществления своей деятельности – в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации. 3. За причинение материального ущерба – в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации. 4. За сохранность СКЗИ, ключевой документации и документов, а также за порученные участки работы.