законодательства Российской Федерации;
б) в случаях, установленных законодательством Российской Федерации, согласовывает политику с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю;
в) представляет по запросам Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю достоверные сведения о результатах реализации политики (фактически достигнутом эффекте и результате) и текущем уровне (состоянии) информационной безопасности в органе (организации) ;
г) поддерживает уровень квалификации и постоянно развивает свои навыки в области информационной безопасности, необходимые для обеспечения информационной безопасности в органе (организации) ;
д) организовывает при необходимости проведение и участвует в пределах своей компетенции в отраслевых, межотраслевых, межрегиональных и международных выставках, семинарах, конференциях, работе межведомственных рабочих групп, отраслевых экспертных сообществ, международных органов и организаций;
е) участвует в пределах компетенции в осуществлении закупок товаров, работ, услуг для обеспечения нужд в сфере информационной безопасности.
IV. Права ответственного лица
22. Ответственное лицо имеет право:
а) давать указания и поручения работникам органа (организации) в части обеспечения информационной безопасности;
б) запрашивать от работников органа (организации) информацию и материалы, необходимые для реализации возложенных на ответственное лицо прав и обязанностей;
в) участвовать в заседаниях (совещаниях) коллегиальных органов органа (организации) , принятии решений по вопросам деятельности органа (организации) , а также по внесению предложений по совершенствованию деятельности органа (организации) ;
г) участвовать в разработке политики, выносить политику на обсуждение, утверждение коллегиальному органу органа (организации) ;
д) представлять результаты реализации политики коллегиальному органу (органа) организации;
е) принимать решения по вопросам обеспечения информационной безопасности органа (организации) ;
ж) взаимодействовать с Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и иными федеральными органами исполнительной власти по вопросам обеспечения информационной безопасности, в том числе по вопросам совершенствования законодательства Российской Федерации в области обеспечения информационной безопасности;
з) вносить предложения о привлечении организаций, имеющих соответствующие лицензии на деятельность в области защиты информации, в соответствии с законодательством Российской Федерации к проведению работ по обеспечению информационной безопасности;
и) инициировать проверки уровня (состояния) обеспечения информационной безопасности в органе (организации) , ее подведомственных и дочерних организациях;
к) организовывать на объектах органа (организации) мероприятия по информационной безопасности, разработку и представление руководителю органа (организации) предложений по внесению изменений в процессы функционирования, принятию других мер, направленных на недопущение реализации негативных последствий;
л) получать доступ в установленном порядке к сведениям, составляющим государственную тайну, если исполнение обязанностей ответственного лица связано с использованием таких сведений и наличием необходимых прав и полномочий;
м) получать доступ в установленном порядке в связи с исполнением своих обязанностей в государственные органы, органы местного самоуправления, общественные объединения и другие организации;
н) обеспечивать надлежащие организационно-технические условия, необходимые для исполнения обязанностей ответственного лица.
V. Ответственность ответственного лица
23. Ответственное лицо в соответствии с законодательством Российской Федерации несет ответственность:
а) за неисполнение или ненадлежащее исполнение своих обязанностей;
б) за действия (бездействие) , ведущие к нарушению прав и законных интересов органа (организации) ;
в) за разглашение государственной тайны и иных сведений, ставших ему известными в связи с исполнением своих обязанностей;
г) за достижение целей обеспечения информационной безопасности;
д) за поддержание и непрерывное развитие информационной безопасности органа (организации) для исключения (невозможности реализации) негативных последствий;
е) за организацию мероприятий по разработке (модернизации) систем и сетей в части информационной безопасности органа (организации) ;
ж) за нарушения требований по обеспечению информационной безопасности;
з) за нарушения в обеспечении защиты систем и сетей, повлекшие негативные последствия.
____________
УТВЕРЖДЕНО постановлением Правительства Российской Федерацииот 15 июля 2022 г. № 1272
ТИПОВОЕ ПОЛОЖЕНИЕ о структурном подразделении органа (организации) , обеспечивающем информационную безопасность органа (организации)
I. Общие положения
1. Настоящее типовое положение определяет цели, задачи и функции структурного подразделения федерального органа исполнительной власти, высшего исполнительного органа субъекта Российской Федерации, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры Российской Федерации (далее - орган (организация) , обеспечивающего информационную безопасность органа (организации) (далее - подразделение) .
2. Подразделение в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и актами Правительства Российской Федерации, международными договорами Российской Федерации, нормативными правовыми актами федеральных органов исполнительной власти, уполномоченных в области обеспечения информационной безопасности, другими нормативными правовыми документами в сфере обеспечения информационной безопасности, указаниями руководителя органа (организации) и настоящим типовым положением.
3. Подразделение подчинено заместителю руководителя органа (организации) , ответственному за обеспечение информационной безопасности в органе (организации) , либо иным лицам из состава руководства органа (организации) при условии осуществления курирования со стороны руководителя органа (организации) .
4. Контроль за деятельностью подразделения осуществляет руководитель органа (организации) .
II. Цели и задачи деятельности подразделения
5. Деятельность подразделения направлена:
а) на исключение или существенное снижение негативных последствий (ущерба) в отношении органа (организации) вследствие нарушения функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления в результате реализации угроз безопасности информации;
б) на обеспечение конфиденциальности информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации;
в) на повышение защищенности органа (организации) от возможного нанесения ему (ей) материального, репутационного или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных систем органа (организации) или несанкционированного доступа к циркулирующей в них информации и ее несанкционированного использования;
г) на обеспечение надежности и эффективности функционирования и безопасности информационных систем, производственных процессов и информационно-технологической инфраструктуры органа (организации) ;
д) на обеспечение выполнения требований по информационной безопасности при создании и функционировании информационных систем и информационно-телекоммуникационной инфраструктуры органа (организации) .
6. Основными задачами деятельности подразделения являются:
а) планирование, организация и координация работ по обеспечению информационной безопасности и контроль за ее состоянием в органе (организации) ;
б) выявление угроз безопасности информации и уязвимостей информационных систем, программного обеспечения и программно-аппаратных средств;
в) предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
г) поддержание стабильной деятельности органа (организации) и его (ее) производственных процессов в случае проведения компьютерных атак;
д) взаимодействие с Национальным координационным центром по компьютерным инцидентам;
е) обеспечение нормативно-правового обеспечения использования информационных ресурсов.
III. Функции подразделения
7. Подразделение выполняет следующие функции:
а) разработка, координация, управление и контроль за реализацией плана (программы) работ по обеспечению информационной безопасности в органе (организации) и подведомственных органах (организациях) ;
б) разработка предложений по совершенствованию организационно-распорядительных документов по обеспечению информационной безопасности в органе (организации) и представление их руководителю органа (организации) ;
в) выявление и проведение анализа угроз безопасности информации в отношении органа (организации) , уязвимостей информационных систем, программного обеспечения программно-аппаратных средств и принятие мер по их устранению;
г) обеспечение в соответствии с требованиями по информационной безопасности, в том числе с целью исключения (невозможности реализации) негативных последствий, разработки и реализации организационных мер и применения средств обеспечения информационной безопасности;
д) обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;
е) представление в Национальный координационный центр по компьютерным инцидентам информации о выявленных компьютерных инцидентах;
ж) исполнение указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами, Федеральной службой по техническому и экспортному контролю по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организацией) , доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет";
з) проведение анализа и контроля за состоянием защищенности систем и сетей и разработка предложений по модернизации (трансформации) основных процессов органа (организации) в целях обеспечения информационной безопасности в органе (организации) ;
и) подготовка отчетов о состоянии работ по обеспечению информационной безопасности в органе (организации) ;
к) организация развития навыков безопасного поведения в органе (организации) , в том числе проведение занятий с руководящим составом и специалистами органа (организации) по вопросам обеспечения информационной безопасности;
л) выполнение иных функций, исходя из поставленных руководством органа (организации) целей и задач в рамках обеспечения информационной безопасности в органе (организации) , подведомственных органах (организациях) .
IV. Права подразделения
8. С целью реализации функций подразделение имеет право:
а) запрашивать и получать в установленном порядке доступ к работам и документам структурных подразделений органа (организации) , необходимым для принятия решений по всем вопросам, отнесенным к компетенции подразделения;
б) готовить предложения о привлечении к проведению работ по обеспечению информационной безопасности организаций, имеющих лицензии на соответствующий вид деятельности;
в) контролировать деятельность любого структурного подразделения органа (организации) по выполнению требований к обеспечению информационной безопасности;
г) постоянно повышать профессиональные компетенции, знания и навыки работников в области обеспечения информационной безопасности;
д) участвовать в пределах своей компетенции в отраслевых, межотраслевых, межрегиональных и международных выставках, семинарах, конференциях, в работе межведомственных рабочих групп, отраслевых экспертных сообществ, международных органов и организаций;
е) участвовать в работе комиссий органа (организации) при рассмотрении вопросов обеспечения информационной безопасности;
ж) вносить предложения руководству органа (организации) о приостановлении работ в случае обнаружения факта нарушения информационной безопасности;
з) вносить представления руководству органа (организации) в отношении государственных служащих, муниципальных служащих и работников органа (организации) (далее - работники) при обнаружении фактов нарушения работниками установленных требований безопасности информации в органе (организации) , в том числе ходатайствовать о привлечении указанных работников к административной или уголовной ответственности;
и) вносить на рассмотрение руководству органа (организации) предложения по вопросам деятельности подразделения.
V. Взаимоотношения и связи подразделения
9. Подразделение осуществляет свои полномочия во взаимодействии со структурными подразделениями органа (организации) и подведомственными ему органами (организациями) , а также в пределах своей компетенции с иными органами (организациями) и гражданами в установленном порядке.
10. По указанию руководства осуществляет взаимодействие с Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по вопросам информационной безопасности.
VI. Показатели эффективности и результативности подразделения
11. Эффективность и результативность деятельности подразделения определяются по итогам выполнения органом (организацией) , а также подведомственными ему органами (организациями) программы обеспечения информационной безопасности с учетом приоритетных целей, предусмотренных разделом II настоящего типового положения.
12. Работники подразделения несут ответственность за выполнение возложенных на них обязанностей в соответствии с должностными регламентами, утверждаемыми руководителем органа (организации) либо должностным лицом, наделенным руководителем органа (организации) соответствующими полномочиями.
____________