Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 15 июля 2022 г. № 1272
МОСКВА
Об утверждении типового положения о заместителе руководителя органа (организации) , ответственном за обеспечение информационной безопасности в органе (организации) , и типового положения о структурном подразделении в органе (организации) , обеспечивающем информационную безопасность органа (организации)
В соответствии с подпунктом "а" пункта 3 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" Правительство Российской Федерации постановляет:
Утвердить прилагаемые:
типовое положение о заместителе руководителя органа (организации) , ответственном за обеспечение информационной безопасности в органе (организации) ;
типовое положение о структурном подразделении в органе (организации) , обеспечивающем информационную безопасность органа (организации) .
Председатель Правительства Российской Федерации М.Мишустин
УТВЕРЖДЕНО постановлением Правительства Российской Федерацииот 15 июля 2022 г. № 1272
ТИПОВОЕ ПОЛОЖЕНИЕ о заместителе руководителя органа (организации) , ответственном за обеспечение информационной безопасности в органе (организации)
I. Общие положения
1. Настоящее типовое положение определяет полномочия, права и обязанности заместителя руководителя федерального органа исполнительной власти, высшего исполнительного органа субъекта Российской Федерации, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры Российской Федерации (далее - орган (организация) , ответственного за обеспечение информационной безопасности в органе (организации) , в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты (далее - ответственное лицо) .
2. Ответственное лицо определяется руководителем органа (организации) .
3. Ответственное лицо осуществляет свою деятельность на основе должностных регламентов (инструкций) федеральных государственных гражданских служащих и государственных гражданских служащих субъекта Российской Федерации, должностных инструкций работников организаций всех форм собственности с учетом особенностей деятельности органа (организации) (далее - работники органа (организации) и подчиняется непосредственно руководителю органа (организации) либо должностному лицу, его замещающему.
4. Ответственное лицо входит в состав коллегиальных органов органа (организации) .
5. Указания и поручения ответственного лица в части обеспечения информационной безопасности являются обязательными для исполнения всеми государственными служащими, муниципальными служащими и работниками органа (организации) .
II. Квалификационные требования к ответственному лицу
6. Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности) , он должен пройти обучение по программе профессиональной переподготовки по направлению "Информационная безопасность".
7. Для ответственного лица требуются наличие следующих знаний, умений и профессиональных компетенций:
а) основные (в том числе производственные, бизнес и управленческие) процессы органа (организации) и специфика обеспечения информационной безопасности органа (организации) ;
б) влияние информационных технологий на деятельность органа (организации) , в том числе:
роль и место информационных технологий (в том числе степень интеграции информационных технологий) в процессах функционирования органа (организации) ;
зависимость основных процессов функционирования органа (организации) от информационных технологий;
в) информационно-телекоммуникационные технологии, в том числе:
современные информационно-телекоммуникационные технологии, используемые в органе (организации) ;
способы построения информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления формирования информационных ресурсов (далее - системы и сети) , в том числе ограниченного доступа;
типовые архитектуры систем и сетей, требования к их оснащенности программными (программно-техническими) средствами;
принципы построения и функционирования современных операционных систем, систем управления базами данных, систем и сетей, основных протоколов систем и сетей;
г) обеспечение информационной безопасности, в том числе:
цели, задачи, основы организации, ключевые элементы, основные способы и средства обеспечения информационной безопасности;
цели обеспечения информационной безопасности применительно к основным процессам функционирования органа (организации) , реализации и контроля их достижения;
принципы и направления стратегического развития информационной безопасности в органе (организации) ;
правила разработки, утверждения и отмены организационно-распорядительных документов по вопросам обеспечения информационной безопасности в органе (организации) , состав и содержание таких документов;
порядок организации работ по обеспечению информационной безопасности в органе (организации) ;
основные негативные последствия, наступление которых возможно в результате реализации угроз безопасности информации, способы и методы обеспечения и поддержания необходимого уровня (состояния) информационной безопасности органа (организации) для исключения (невозможности реализации) негативных последствий, а также порядок проведения практических проверок и контроля результативности применяемых способов и методов обеспечения информационной безопасности органа (организации) ;
основные угрозы безопасности информации, предпосылки их возникновения и возможные пути их реализации, а также порядок оценки таких угроз;
возможности и назначения типовых программных, программно-аппаратных (технических) средств обеспечения информационной безопасности;
способы и средства проведения компьютерных атак, актуальные тактики и техники нарушителей;
порядок организации взаимодействия структурных подразделений органа (организации) при решении вопросов обеспечения информационной безопасности;
управление проектами по информационной безопасности;
антикризисное управление и принятие управленческих решений при реагировании на кризисы и компьютерные инциденты;
планирование деятельности по обеспечению информационной безопасности в органе (организации) , подведомственных организациях (филиалах, представительствах) ;
формулирование измеримых и практических результатов деятельности по обеспечению информационной безопасности органа (организации) , подведомственных организаций (филиалов, представительств) ;
организация разработки политики (правил, процедур) , регламентирующей вопросы информационной безопасности в органе (организации) , в подведомственных организациях (филиалах, представительствах) (далее - политика) ;
внедрение политики;
организация контроля и анализа применения политики;
организация мероприятий по разработке единых инструментов и механизмов контроля деятельности по обеспечению информационной безопасности в органе (организации) , подведомственных организациях (филиалах, представительствах) ;
поддержка и совершенствование деятельности по обеспечению информационной безопасности в органе (организации) , подведомственных организациях (филиалах, представительствах) ;
организация мероприятий по определению угроз безопасности информации систем и сетей, а также по формированию требований к обеспечению информационной безопасности в органе (организации) ;
организация внедрения способов и средств для обеспечения информационной безопасности в органе (организации) , подведомственных организациях (филиалах, представительствах) ;
организация мероприятий по анализу и контролю состояния информационной безопасности органа (организации) и модернизации (трансформации) процессов функционирования органа (организации) в целях обеспечения информационной безопасности в органе (организации) ;
обеспечение информационной безопасности в ходе эксплуатации систем и сетей, а также при выводе их из эксплуатации;
организация мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы органа (организации) и реагированию на компьютерные инциденты;
организация мероприятий по отслеживанию и контролю достижения целей информационной безопасности (фактически достигнутый эффект и результат) в органе (организации) , подведомственных организациях (филиалах, представительствах) .
8. С учетом области и вида деятельности органа (организации) от ответственного лица требуется знание нормативных правовых актов Российской Федерации, методических документов, международных и национальных стандартов в области:
а) защиты государственной тайны;
б) защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе персональных данных;
в) обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
г) обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
д) создания и обеспечения безопасного функционирования государственных информационных систем и информационных систем в защищенном исполнении;
е) создания, обеспечения технических условий установки и эксплуатации средств защиты информации;
ж) иных нормативных правовых актов и стандартов в области информационной безопасности.
III. Трудовые (должностные) обязанности ответственного лица
9. Ответственное лицо принимает участие в формировании политики органа (организации) , отвечает за согласование стратегии развития органа (организации) в части вопросов обеспечения информационной безопасности.
10. Ответственное лицо:
а) организует разработку политики, направленной в том числе на обеспечение и поддержание стабильной деятельности органа (организации) и его (ее) процессов функционирования в случае проведения компьютерных атак, отвечает за согласование и утверждение политики в органе (организации) , реализацию мероприятий, предусмотренных политикой, отслеживает и контролирует результаты реализации политики;
б) организует работу по обеспечению информационной безопасности органа (организации) , в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, формулированию перечня негативных последствий, проведению мероприятий по их недопущению, отслеживанию и контролю эффективности (результативности) таких мероприятий, а также по необходимому информационному обмену;
в) организует реализацию и контроль проведения в органе (организации) организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю с учетом меняющихся угроз в информационной сфере, а также самостоятельно ответственным лицом в результате своей деятельности;
г) организует беспрепятственный доступ (в том числе удаленный) должностным лицам Федеральной службы безопасности Российской Федерации и ее территориальных органов к информационным ресурсам, принадлежащим органу (организации) либо используемым органом (организациями) , доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет", в целях осуществления мониторинга их защищенности, а также работникам структурного подразделения, осуществляющего функции по обеспечению информационной безопасности;
д) организует взаимодействие с должностными лицами Федеральной службы безопасности Российской Федерации и ее территориальных органов, в том числе контроль исполнения указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организациями) , доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет";
е) организует контроль за выполнением требований нормативных правовых актов, нормативно-технической документации, за соблюдением установленного порядка выполнения работ при решении вопросов, касающихся защиты информации;
ж) организует развитие информационной безопасности, формирование и развитие навыков работников органа (организации) в сфере информационной безопасности;
з) организует разработку и реализацию мероприятий по обеспечению информационной безопасности в органе (организации) в соответствии с требованиями к обеспечению информационной безопасности, установленными федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации;
и) организует контроль пользователей информационных ресурсов органа (организации) в части соблюдения ими режима конфиденциальности информации, правил работы со съемными машинными носителями информации, выполнения организационных и технических мер по защите информации;
к) организует планирование мероприятий по обеспечению информационной безопасности в органе (организации) , подведомственных организациях (филиалах, представительствах) ;
л) организует подготовку правовых актов, иных организационно-распорядительных документов по вопросам обеспечения информационной безопасности в органе (организации) , осуществляет согласование иных документов органа (организации) в части обеспечения информационной безопасности;
м) организует проведение научно-исследовательских и опытно-конструкторских работ по вопросам обеспечения информационной безопасности в органе (организации) , подведомственных организациях (филиалах, представительствах) ;
н) организует проведение контроля за состоянием обеспечения информационной безопасности в органе (организации) , подведомственных организациях (филиалах, представительствах) , включая оценку защищенности систем и сетей, оператором которых является орган (организация) , подведомственные организации (филиалы, представительства) .
11. Ответственное лицо:
а) осуществляет регулярный контроль текущего уровня (состояния) информационной безопасности в органе (организации) , а также отвечает за реализацию мероприятий, направленных на поддержание и развитие уровня (состояния) информационной безопасности в органе (организации) , в том числе с учетом появления новых угроз безопасности информации и современных способов и методов проведения компьютерных атак;
б) осуществляет регулярное и своевременное информирование руководства органа (организации) о компьютерных инцидентах, текущем уровне (состоянии) информационной безопасности в органе (организации) и результатах практических учений по противодействию компьютерным атакам;
в) осуществляет контроль за ведением организационно-распорядительной документации, статистического учета и отчетности по курируемым разделам работы;
г) осуществляет согласование требований к системам и сетям, оператором которых является орган (организация) , подведомственные организации (филиалы, представительства) , в части обеспечения информационной безопасности;
д) осуществляет руководство структурным подразделением органа (организации) , обеспечивающим информационную безопасность органа (организации) .
12. Ответственное лицо:
а) организует и контролирует проведение мероприятий по анализу и оценке состояния информационной безопасности органа (организации) и контролирует их результаты;
б) организует и контролирует функционирование системы обеспечения информационной безопасности в органе (организации) , координирует функционирование систем обеспечения информационной безопасности в подведомственных организациях (филиалах, представительствах) ;
в) координирует деятельность иных структурных подразделений органа (организации) , подведомственных организаций (филиалов, представительств) по вопросам обеспечения информационной безопасности.
13. Ответственное лицо согласовывает политику, технические задания и иную основополагающую документацию в сфере информационных технологий, цифровизации и цифровой трансформации органа (организации) .
14. Ответственное лицо с использованием нормативных правовых документов и методических материалов Федеральной службы безопасности Российской Федерации организует обнаружение, предупреждение и ликвидацию последствий компьютерных атак, реагирование на компьютерные инциденты с информационными ресурсами органа (организации) , а также взаимодействие с Национальным координационным центром по компьютерным инцидентам одним (или несколькими) из следующих способов:
а) силами структурного подразделения, ответственного за обеспечение информационной безопасности, с заключением соглашения (издания совместного акта) о взаимодействии с Федеральной службой безопасности Российской Федерации (Национальным координационным центром по компьютерным инцидентам) , включающего в том числе права и обязанности сторон, порядок проведения совместных мероприятий, регламент информационного обмена, порядок и сроки представления отчетности, порядок и формы контроля;
б) силами структурного подразделения, ответственного за обеспечение информационной безопасности, с его аккредитацией как центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
в) силами организаций, являющихся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
15. Ответственное лицо обеспечивает планирование и реализацию мероприятий по переводу систем и сетей на отечественные средства защиты информации, а также контроль за соблюдением запрета на использование средств защиты информации, странами происхождения которых являются иностранные государства в соответствии с пунктом 6 Указа Президента Российской Федерации "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".
16. Ответственное лицо сопровождает мероприятия по разработке (модернизации) систем и сетей в части информационной безопасности, а также требований нормативных правовых актов, нормативно-технических и методических документов по защите информации и выполнения этих требований.
17. Ответственное лицо проводит работу по унификации способов и средств по обеспечению информационной безопасности, иных технических решений в органе (организации) , подведомственных организациях (филиалах, представительствах) .
18. Ответственное лицо принимает меры по совершенствованию обеспечения информационной безопасности в органе (организации) , подведомственных организациях (филиалах, представительствах) .
19. Ответственное лицо повышает на постоянной основе профессиональную компетенцию, знания и навыки в области обеспечения информационной безопасности.
20. Ответственное лицо выполняет иные обязанности, исходя из возложенных полномочий и поставленных руководством органа (организации) задач в рамках обеспечения информационной безопасности органа (организации) , подведомственных организаций (филиалов, представительств) .
21. Ответственное лицо:
а) соблюдает и обеспечивает выполнение законодательства Российской Федерации;
б) в случаях, установленных законодательством Российской Федерации, согласовывает политику с Федеральной службой безопасности Российской Федерации и Федера