ПП № 1272

Постановление Правительства РФ от 15.07.2022 N 1272
«Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)»

В соответствии с подпунктом "а" пункта 3 Указа от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" были разработаны типовые положения о заместители руководителя и о структурном подразделении, обеспечивающее информационную безопасность:

Для заместителя руководителя организации, ответственном за обеспечение информационной безопасности.

Кого касается

Типовое положение определяет цели, задачи и функции структурного подразделения федерального органа исполнительной власти, высшего исполнительного органа субъекта Российской Федерации, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры Российской Федерации (далее -– «орган (организация)»), обеспечивающего информационную безопасность органа (организации) (далее -– «подразделение»).

Ответственное лицо определяется руководителем органа (организации).

Квалификационные требования к ответственному лицу

Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. 

Если ответственное лицо имеет высшее образование по другому направлению подготовки , он должен пройти обучение по программе профессиональной переподготовки по направлению "Информационная безопасность".

Для ответственного лица требуются наличие следующих знаний, умений и профессиональных компетенций:

а) основные , производственные, бизнес и управленческие процессы органа (организации) и специфика обеспечения информационной безопасности органа (организации);

б) влияние информационных технологий на деятельность органа (организации);

в) информационно-телекоммуникационные технологии;

г) обеспечение информационной безопасности.

С учетом области и вида деятельности органа (организации) от ответственного лица требуется знание нормативных правовых актов Российской Федерации, методических документов, международных и национальных стандартов в области:

а) защиты государственной тайны;

б) защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе персональных данных;

в) обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

г) обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

д) создания и обеспечения безопасного функционирования государственных информационных систем и информационных систем в защищенном исполнении;

е) создания, обеспечения технических условий установки и эксплуатации средств защиты информации;

ж) иных нормативных правовых актов и стандартов в области информационной безопасности.

Трудовые (должностные) обязанности ответственного лица

1. Ответственное лицо принимает участие в формировании политики органа (организации), отвечает за согласование стратегии развития органа (организации) в части вопросов обеспечения информационной безопасности.

2. Ответственное лицо:

а) организует разработку политики, направленной в том числе на обеспечение и поддержание стабильной деятельности органа (организации) и его (ее) процессов функционирования в случае проведения компьютерных атак, отвечает за согласование и утверждение политики в органе (организации), реализацию мероприятий, предусмотренных политикой, отслеживает и контролирует результаты реализации политики;

б) организует работу по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, формулированию перечня негативных последствий, проведению мероприятий по их недопущению, отслеживанию и контролю эффективности (результативности) таких мероприятий, а также по необходимому информационному обмену;

в) организует реализацию и контроль проведения в органе (организации) организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю с учетом меняющихся угроз в информационной сфере, а также самостоятельно ответственным лицом в результате своей деятельности;

г) организует беспрепятственный доступ (в том числе удаленный) должностным лицам Федеральной службы безопасности Российской Федерации и ее территориальных органов к информационным ресурсам, принадлежащим органу (организации) либо используемым органом (организациями), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет", в целях осуществления мониторинга их защищенности, а также работникам структурного подразделения, осуществляющего функции по обеспечению информационной безопасности;

д) организует взаимодействие с должностными лицами Федеральной службы безопасности Российской Федерации и ее территориальных органов, в том числе контроль исполнения указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организациями), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет";

е) организует контроль за выполнением требований нормативных правовых актов, нормативно-технической документации, за соблюдением установленного порядка выполнения работ при решении вопросов, касающихся защиты информации;

ж) организует развитие информационной безопасности, формирование и развитие навыков работников органа (организации) в сфере информационной безопасности;

з) организует разработку и реализацию мероприятий по обеспечению информационной безопасности в органе (организации) в соответствии с требованиями к обеспечению информационной безопасности, установленными федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации;

и) организует контроль пользователей информационных ресурсов органа (организации) в части соблюдения ими режима конфиденциальности информации, правил работы со съемными машинными носителями информации, выполнения организационных и технических мер по защите информации;

к) организует планирование мероприятий по обеспечению информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах);

л) организует подготовку правовых актов, иных организационно-распорядительных документов по вопросам обеспечения информационной безопасности в органе (организации), осуществляет согласование иных документов органа (организации) в части обеспечения информационной безопасности;

м) организует проведение научно-исследовательских и опытно-конструкторских работ по вопросам обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах);

н) организует проведение контроля за состоянием обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах), включая оценку защищенности систем и сетей, оператором которых является орган (организация), подведомственные организации (филиалы, представительства).

3. Ответственное лицо:

а) осуществляет регулярный контроль текущего уровня (состояния) информационной безопасности в органе (организации), а также отвечает за реализацию мероприятий, направленных на поддержание и развитие уровня (состояния) информационной безопасности в органе (организации), в том числе с учетом появления новых угроз безопасности информации и современных способов и методов проведения компьютерных атак;

б) осуществляет регулярное и своевременное информирование руководства органа (организации) о компьютерных инцидентах, текущем уровне (состоянии) информационной безопасности в органе (организации) и результатах практических учений по противодействию компьютерным атакам;

в) осуществляет контроль за ведением организационно-распорядительной документации, статистического учета и отчетности по курируемым разделам работы;

г) осуществляет согласование требований к системам и сетям, оператором которых является орган (организация), подведомственные организации (филиалы, представительства), в части обеспечения информационной безопасности;

д) осуществляет руководство структурным подразделением органа (организации), обеспечивающим информационную безопасность органа (организации).

4. Ответственное лицо:

а) организует и контролирует проведение мероприятий по анализу и оценке состояния информационной безопасности органа (организации) и контролирует их результаты;

б) организует и контролирует функционирование системы обеспечения информационной безопасности в органе (организации), координирует функционирование систем обеспечения информационной безопасности в подведомственных организациях (филиалах, представительствах);

в) координирует деятельность иных структурных подразделений органа (организации), подведомственных организаций (филиалов, представительств) по вопросам обеспечения информационной безопасности.

5. Ответственное лицо согласовывает политику, технические задания и иную основополагающую документацию в сфере информационных технологий, цифровизации и цифровой трансформации органа (организации).

6. Ответственное лицо с использованием нормативных правовых документов и методических материалов Федеральной службы безопасности Российской Федерации организует обнаружение, предупреждение и ликвидацию последствий компьютерных атак, реагирование на компьютерные инциденты с информационными ресурсами органа (организации), а также взаимодействие с Национальным координационным центром по компьютерным инцидентам одним (или несколькими) из следующих способов:

а) силами структурного подразделения, ответственного за обеспечение информационной безопасности, с заключением соглашения (издания совместного акта) о взаимодействии с Федеральной службой безопасности Российской Федерации (Национальным координационным центром по компьютерным инцидентам), включающего в том числе права и обязанности сторон, порядок проведения совместных мероприятий, регламент информационного обмена, порядок и сроки представления отчетности, порядок и формы контроля;

б) силами структурного подразделения, ответственного за обеспечение информационной безопасности, с его аккредитацией как центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

в) силами организаций, являющихся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

7. Ответственное лицо обеспечивает планирование и реализацию мероприятий по переводу систем и сетей на отечественные средства защиты информации, а также контроль за соблюдением запрета на использование средств защиты информации, странами происхождения которых являются иностранные государства в соответствии с пунктом 6 Указа Президента Российской Федерации «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

8. Ответственное лицо сопровождает мероприятия по разработке (модернизации) систем и сетей в части информационной безопасности, а также требований нормативных правовых актов, нормативно-технических и методических документов по защите информации и выполнения этих требований.

9. Ответственное лицо проводит работу по унификации способов и средств по обеспечению информационной безопасности, иных технических решений в органе (организации), подведомственных организациях (филиалах, представительствах).

10. Ответственное лицо принимает меры по совершенствованию обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах).

11. Ответственное лицо повышает на постоянной основе профессиональную компетенцию, знания и навыки в области обеспечения информационной безопасности.

12. Ответственное лицо выполняет иные обязанности, исходя из возложенных полномочий и поставленных руководством органа (организации) задач в рамках обеспечения информационной безопасности органа (организации), подведомственных организаций (филиалов, представительств).

13. Ответственное лицо:

а) соблюдает законодательство Российской Федерации и обеспечивает его выполнение;

б) в случаях, установленных законодательством Российской Федерации, согласовывает политику с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю;

в) представляет по запросам Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю достоверные сведения о результатах реализации политики (фактически достигнутый эффект и результат) и текущем уровне (состояние) информационной безопасности в органе (организации);

г) поддерживает уровень квалификации и постоянно развивает свои навыки в области информационной безопасности, необходимые для обеспечения информационной безопасности в органе (организации);

д) организовывает при необходимости проведение и участвует в пределах своей компетенции в отраслевых, межотраслевых, межрегиональных и международных выставках, семинарах, конференциях, работе межведомственных рабочих групп, отраслевых экспертных сообществ, международных органов и организаций;

е) участвует в пределах компетенции в осуществлении закупок товаров, работ, услуг для обеспечения нужд в сфере информационной безопасности.

Для структурного подразделения в органе (организации), обеспечивающем информационную безопасность органа (организации)

Кого касается

Типовое положение определяет цели, задачи и функции структурного подразделения федерального органа исполнительной власти, высшего исполнительного органа субъекта Российской Федерации, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры Российской Федерации (далее - орган (организация), обеспечивающего информационную безопасность органа (организации) (далее - подразделение).

Деятельность подразделения

Подразделение подчинено заместителю руководителя органа (организации), ответственному за обеспечение информационной безопасности в органе (организации).

Контроль за деятельностью подразделения осуществляет руководитель органа (организации).

Деятельность подразделения направлена:

а) на исключение или существенное снижение негативных последствий (ущерба) в отношении органа (организации) вследствие нарушения функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления в результате реализации угроз безопасности информации;

б) на обеспечение конфиденциальности информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации;

в) на повышение защищенности органа (организации) от возможного нанесения ему (ей) материального, репутационного или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных систем органа (организации) или несанкционированного доступа к циркулирующей в них информации и ее несанкционированного использования;

г) на обеспечение надежности и эффективности функционирования и безопасности информационных систем, производственных процессов и информационно-технологической инфраструктуры органа (организации);

д) на обеспечение выполнения требований по информационной безопасности при создании и функционировании информационных систем и информационно-телекоммуникационной инфраструктуры органа (организации).

Основными задачами деятельности подразделения являются:

а) планирование, организация и координация работ по обеспечению информационной безопасности и контроль за ее состоянием в органе (организации);

б) выявление угроз безопасности информации и уязвимостей информационных систем, программного обеспечения и программно-аппаратных средств;

в) предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;

г) поддержание стабильной деятельности органа (организации) и его (ее) производственных процессов в случае проведения компьютерных атак;

д) взаимодействие с Национальным координационным центром по компьютерным инцидентам;

е) обеспечение нормативно-правового обеспечения использования информационных ресурсов.

Функции подразделения

Подразделение выполняет следующие функции:

а) разработка, координация, управление и контроль за реализацией плана (программы) работ по обеспечению информационной безопасности в органе (организации) и подведомственных органах (организациях);

б) разработка предложений по совершенствованию организационно-распорядительных документов по обеспечению информационной безопасности в органе (организации) и представление их руководителю органа (организации);

в) выявление и проведение анализа угроз безопасности информации в отношении органа (организации), уязвимостей информационных систем, программного обеспечения программно-аппаратных средств и принятие мер по их устранению;

г) обеспечение в соответствии с требованиями по информационной безопасности, в том числе с целью исключения (невозможности реализации) негативных последствий, разработки и реализации организационных мер и применения средств обеспечения информационной безопасности;

д) обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;

е) представление в Национальный координационный центр по компьютерным инцидентам информации о выявленных компьютерных инцидентах;

ж) исполнение указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами, Федеральной службой по техническому и экспортному контролю по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организацией), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети Интернет;

з) проведение анализа и контроля за состоянием защищенности систем и сетей и разработка предложений по модернизации (трансформации) основных процессов органа (организации) в целях обеспечения информационной безопасности в органе (организации);

и) подготовка отчетов о состоянии работ по обеспечению информационной безопасности в органе (организации);

к) организация развития навыков безопасного поведения в органе (организации), в том числе проведение занятий с руководящим составом и специалистами органа (организации) по вопросам обеспечения информационной безопасности;

л) выполнение иных функций, исходя из поставленных руководством органа (организации) целей и задач в рамках обеспечения информационной безопасности в органе (организации), подведомственных органах (организациях).

Эффективность и результативность деятельности подразделения определяются по итогам выполнения органом (организацией), программы обеспечения информационной безопасности с учетом приоритетных целей.

Работники подразделения несут ответственность за выполнение возложенных на них обязанностей в соответствии с должностными регламентами, утверждаемыми руководителем органа (организации) либо должностным лицом, наделенным руководителем органа (организации) соответствующими полномочиями.