Положение о группе информационной безопасности отдела безопасности
1 Общие положения
1.1 Область применения
1.1.1 Настоящий документ является основным нормативным документом, устанавливающим цели, задачи, функции, права и ответственность Группы информационной безопасности Отдела безопасности ООО "ХХХ", регламентирующим организацию его деятельности, порядок делового взаимодействия с другими структурными подразделениями и должностными лицами ООО "ХХХ".
1.1.2 Группа информационной безопасности является структурным подразделением в составе Отдела безопасности ООО "ХХХ", выполняющим в Компании функции по организации и координации работ по комплексной защите информации, функции контроля и оценки эффективности, принятых мер по обеспечению информационной безопасности Компании.
1.1.3 В своей деятельности Группа информационной безопасности Отдела безопасности руководствуется:
- Законодательством Российской Федерации,
- Уставом ООО "ХХХ",
- Положением о кадровой номенклатуре ООО "ХХХ" (П-HR-445.04 от 28.06.2004 г.),
- Методическими рекомендациями руководителям отделов о нормах административного управления подразделением ООО "ХХХ" (М-99 от 08.05. 2003 г.),
- Положением «Об Отделе безопасности ООО "ХХХ" (ПП. HR-57.07 от 05.12.2007»;
- Настоящим Положением.
1.1.4 Настоящее Положение является документом прямого действия и обязательно для исполнения со дня его утверждения.
1.1.5 Изменения в Положении утверждаются Генеральным директором ООО "ХХХ".
1.2 Нормативные ссылки
В настоящем Положении использованы нормативные ссылки на следующие документы:
1. Положение о стратегическом планировании ООО "ХХХ" (П-230 от 30.05.00),
2. Положение о планировании деятельности отделов (П-283 от 05.06.01),
3. Положение об отчетах в ООО "ХХХ" (П-250 от 08.09.00),
4. Положение «Об Отделе безопасности ООО "ХХХ";
5. Политика информационной безопасности ООО "ХХХ" (ПЛ. РТ-10.06 от 01.09.2006 г.).
1.3 Термины, определения и сокращения
В настоящем Положении использованы следующие термины, определения и сокращения:
ОБ – Отдел безопасности
ИБ – информационная безопасность
Компания/ «ООО "ХХХ" – ООО "ХХХ"
ЗГД – Заместитель Генерального директора
2 Создание и ликвидация
2.1 Группа информационной безопасности Отдела безопасности создается и ликвидируется на основании приказа Генерального директора ЗАО Фирмы «ООО "ХХХ".
2.2 Организационная структура Группы информационной безопасности Отдела безопасности согласовывается ЗГД по персоналу, 1-ым ЗГД и утверждается приказом Генерального директора ООО "ХХХ". Предложения по изменению организационной структуры вносятся Начальником Отдела безопасности.
2.3 Штатное расписание Группы информационной безопасности ОБ согласовывается с ЗГД по персоналу, 1-ым ЗГД и утверждается приказом Генерального директора ООО "ХХХ". Предложения по изменению штатного расписания вносятся Начальником Отдела безопасности.
2.4 Численность работающих в Группе информационной безопасности Отдела безопасности сотрудников может меняться в зависимости от роста Компании, изменения специфики ее деятельности. Изменения целей, структуры и штатной численности Группы информационной безопасности Отдела безопасности согласовываются с ЗГД по персоналу, 1-ым ЗГД и утверждаются приказом Генерального директора ООО "ХХХ". Предложения вносятся Начальником Отдела безопасности.
3 Организационная структура
3.1 Организационная структура Группы информационной безопасности Отдела безопасности построена по линейно-функциональному принципу.
3.2 Организационно-функциональная структура Группы информационной безопасности Отдела безопасности приведена в Приложении А «Организационно-функциональная структура Группы информационной безопасности Отдела безопасности».
3.4 Руководит Группой информационной безопасности ОБ Руководитель Группы информационной безопасности, деятельность которого регламентируется Должностной инструкцией Руководителя Группы информационной безопасности Отдела безопасности.
3.5 В непосредственном подчинении у Руководителя Группы информационной безопасности Отдела безопасности находятся:
- Специалист,
- Администратор безопасности компьютерной сети,
- Системный аналитик.
3.6 Порядок назначения на должность и освобождения от должности, распределение обязанностей внутри Группы информационной безопасности Отдела безопасности определяются должностными инструкциями сотрудников подразделения, утверждаемыми ЗГД директора по персоналу ООО "ХХХ".
4 Цель и задачи
4.1 Главной целью Группы информационной безопасности Отдела безопасности является обеспечение защищенности служебной информации Компании и ее информационной инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации.
4.2 Подцели Группы информационной безопасности Отдела безопасности на каждый планируемый период устанавливаются в разбивке по подчиненным Руководителю Группы информационной безопасности Отдела безопасности:
· Исходя из закрепленных за подразделением функций;
· Исходя из собственных целей развития.
5 Функции
5.1 Функции, выполняемые Группой информационной безопасности Отдела безопасности приведены в Приложении А «Организационно-функциональная структура Группы информационной безопасности Отдела безопасности».
Актуализация функций Группы информационной безопасности Отдела безопасности производится в соответствии с действующими регламентирующими документами.
6 Взаимодействия
6.1 Взаимодействие со структурными подразделениями ООО "ХХХ"
6.1.1 Взаимодействие основано на принципах, закрепленных в документах, регламентирующих взаимоотношения с функциональными подразделениями по всем вопросам деятельности.
6.2 Взаимодействие с внешними компаниями
1.1.2 При выполнении задач и функций, указанных в разделах № 4; 5 настоящего Положения, связанных с вопросами следующего характера:
· Вопросы построения сложных комплексных систем информационной безопасности;
· Вопросы консультационного характера по системам обеспечения ИБ уже внедренным в Компании;
· Вопросы межфирменного характера (т. е. затрагивающие интересы разных компаний группы);
· Вопросы, с которыми сотрудники подразделения в своей практике встречается впервые;
· Другие вопросы, которые сотрудники подразделения не могут решить по причине нехватки рабочего и временного ресурса, Руководитель группы информационной безопасности имеет право рекомендовать перед Начальником Отдела безопасности привлечение специалистов – внешних консультантов для консультаций по данным вопросам, в соответствии с Положением ООО "ХХХ" «О привлечении внешних консультантов для оказания консультационных и информационных услуг».
1.1.3 Взаимодействие с внешними компаниями основано на принципах, закрепленных в следующих документах:
· «Порядок информационного обмена с контрагентами» от 24.07.2002 № ПР-502;
· «Порядок участия сотрудников фирмы во внешних проверках» от 17.04.2003 № ПР-606;
· «Порядок работы с личными обращениями сотрудников ООО "ХХХ" и внешних контрагентов» от 31.12.2003 № ПР-636.
7 Планирование деятельности Подразделения
7.1 Планирование деятельности Группы информационной безопасности Отдела безопасности осуществляется на основании «Положения о стратегическом планировании ООО "ХХХ" (П-230 от 30.05.00), «Положения о планировании деятельности отделов» (П-283 от 05.06.01), Плана мероприятий по достижению Стратегических целей компании на год, ежемесячных оперативных планов и бюджетов, Приказов и Распоряжений Генерального директора ООО "ХХХ".
7.2 Стратегические цели Группы информационной безопасности ОБ на год устанавливаются Начальником Отдела Безопасности, согласовываются с 1-ым Заместителем генерального директора и утверждаются Генеральным директором ООО "ХХХ".
8 Отчетность по работе Подразделения
8.1 Отчетность Группы информационной безопасности Отдела безопасности ведется в соответствии с «Положением об отчетах в ООО "ХХХ" (П-250 от 08.09.00).
8.2 По результатам выполнения оперативного (ежеквартального) плана работы Руководитель Группы информационной безопасности Отдела безопасности предоставляет отчет Начальнику Отдела Безопасности.
8.3 Отчетные и аналитические материалы Группы информационной безопасности Отдела безопасности могут предоставляться другим подразделениям и сотрудникам Компании по согласованию с Начальником Отдела Безопасности или с Генеральным директором ООО "ХХХ".
9 Ключевые показатели деятельности
9.1 В качестве ключевых показателей деятельности Группы информационной безопасности Отдела безопасности, на основе которых оцениваются результаты его деятельности, принимаются:
9.1.1 Степень соответствия инфраструктуры защиты информации корпоративным потребностям;
9.1.2 Количество/масштаб инцидентов нарушения ИБ Компании.
9.2 Абсолютные и относительные значения ключевых показателей деятельности планируются для Группы информационной безопасности Отдела безопасности в рамках стратегического планирования на год вперед и фиксируются в стратегических планах Компании. Фиксация фактических значений показателей происходит в рамках отчетов об исполнении стратегических планов.
10 Права
Группа информационной безопасности Отдела безопасности наделяется всеми правами и полномочиями, необходимыми для выполнения своих функций. Права и Группы информационной безопасности Отдела безопасности осуществляет Руководитель Группы информационной безопасности Отдела безопасности:
10.1 Дает предложения по совершенствованию системы обеспечения информационной безопасности Компании и ее структурных подразделений;
10.2 Дает предложения по корректировке перспективных планов развития информационной инфраструктуры Компании в части обеспечения информационной безопасности при составлении бюджета;
10.3 Знакомится с проектами решений руководства Компании, касающимися развития информационно-телекоммуникационной инфраструктуры Компании и дает предложения по их корректировке;
10.4 Получает от руководства ООО "ХХХ" информацию, необходимую для полноценной работы Группы информационной безопасности Отдела безопасности;
10.6 Привлекает к работе в пределах утвержденного бюджета консультантов, физических и юридических лиц, с заключением соответствующих договоров;
10.7 Направляет в структурные подразделения ООО "ХХХ" методические рекомендации, дает указания и экспертные советы в вопросах, отнесенных к компетенции Группы информационной безопасности Отдела безопасности;
10.8 Дает заключения, в рамках своей компетенции, по проектам нормативных документов, предоставляемых на согласование;
10.9 Направляет в структурные подразделения ООО "ХХХ" для доработки нормативные документы, если их исполнение влечет за собой риски нарушения информационной безопасности. Реализация;
10.11 Запрашивает и получает из структурных подразделений ООО "ХХХ" необходимую информацию в пределах, необходимых для решения задач Группы информационной безопасности Отдела безопасности;
10.13 Вносит на рассмотрение Начальника Отдела безопасности предложения о поощрении отличившихся сотрудников и применении в установленном порядке предусмотренных законом и внутренними нормативными документами дисциплинарных мер к сотрудникам, виновным в нарушениях законодательства, Правил внутреннего распорядка и других нормативных документов Компании;
10.14 Визирует все документы, связанные с деятельностью Компании по вопросам обеспечения информационной безопасности;
10.15 Запрашивает и получает все необходимые для работы товарно-материальные ресурсы.
11 Ответственность
11.1 Руководитель Группы информационной безопасности Отдела безопасности несет ответственность перед Генеральным директором «ООО "ХХХ"» за достижение поставленных целей и выполнение Плана стратегического развития в части обеспечения информационной безопасности Компании в соответствии с Трудовым Кодексом и законодательством РФ.
11.2 Руководитель Группы информационной безопасности Отдела безопасности несет ответственность за риски, возникающие в сфере компетенции Группы информационной безопасности Отдела безопасности.
