ПП № 1272

Постановление Правительства РФ от 15.07.2022 N 1272
«Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)»


В соответствии с подпунктом "а" пункта 3 Указа от 1 мая 2022 г. N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" были разработаны типовые положения о заместители руководителя и о структурном подразделении, обеспечивающее информационную безопасность:



Для заместителя руководителя организации, ответственном за обеспечение информационной безопасности.


Кого касается


Типовое положение определяет цели, задачи и функции структурного подразделения федерального органа исполнительной власти, высшего исполнительного органа субъекта Российской Федерации, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры Российской Федерации (далее -– «орган (организация)»), обеспечивающего информационную безопасность органа (организации) (далее -– «подразделение»).


Ответственное лицо определяется руководителем органа (организации).



Квалификационные требования к ответственному лицу


Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. 


Если ответственное лицо имеет высшее образование по другому направлению подготовки , он должен пройти обучение по программе профессиональной переподготовки по направлению "Информационная безопасность".


Для ответственного лица требуются наличие следующих знаний, умений и профессиональных компетенций:


а) основные , производственные, бизнес и управленческие процессы органа (организации) и специфика обеспечения информационной безопасности органа (организации);


б) влияние информационных технологий на деятельность органа (организации);


в) информационно-телекоммуникационные технологии;


г) обеспечение информационной безопасности.



С учетом области и вида деятельности органа (организации) от ответственного лица требуется знание нормативных правовых актов Российской Федерации, методических документов, международных и национальных стандартов в области:


а) защиты государственной тайны;


б) защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе персональных данных;


в) обеспечения безопасности критической информационной инфраструктуры Российской Федерации;


г) обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;


д) создания и обеспечения безопасного функционирования государственных информационных систем и информационных систем в защищенном исполнении;


е) создания, обеспечения технических условий установки и эксплуатации средств защиты информации;


ж) иных нормативных правовых актов и стандартов в области информационной безопасности.



Трудовые (должностные) обязанности ответственного лица


1. Ответственное лицо принимает участие в формировании политики органа (организации), отвечает за согласование стратегии развития органа (организации) в части вопросов обеспечения информационной безопасности.


2. Ответственное лицо:


а) организует разработку политики, направленной в том числе на обеспечение и поддержание стабильной деятельности органа (организации) и его (ее) процессов функционирования в случае проведения компьютерных атак, отвечает за согласование и утверждение политики в органе (организации), реализацию мероприятий, предусмотренных политикой, отслеживает и контролирует результаты реализации политики;


б) организует работу по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, формулированию перечня негативных последствий, проведению мероприятий по их недопущению, отслеживанию и контролю эффективности (результативности) таких мероприятий, а также по необходимому информационному обмену;


в) организует реализацию и контроль проведения в органе (организации) организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю с учетом меняющихся угроз в информационной сфере, а также самостоятельно ответственным лицом в результате своей деятельности;


г) организует беспрепятственный доступ (в том числе удаленный) должностным лицам Федеральной службы безопасности Российской Федерации и ее территориальных органов к информационным ресурсам, принадлежащим органу (организации) либо используемым органом (организациями), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет", в целях осуществления мониторинга их защищенности, а также работникам структурного подразделения, осуществляющего функции по обеспечению информационной безопасности;


д) организует взаимодействие с должностными лицами Федеральной службы безопасности Российской Федерации и ее территориальных органов, в том числе контроль исполнения указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организациями), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет";


е) организует контроль за выполнением требований нормативных правовых актов, нормативно-технической документации, за соблюдением установленного порядка выполнения работ при решении вопросов, касающихся защиты информации;


ж) организует развитие информационной безопасности, формирование и развитие навыков работников органа (организации) в сфере информационной безопасности;


з) организует разработку и реализацию мероприятий по обеспечению информационной безопасности в органе (организации) в соответствии с требованиями к обеспечению информационной безопасности, установленными федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации;


и) организует контроль пользователей информационных ресурсов органа (организации) в части соблюдения ими режима конфиденциальности информации, правил работы со съемными машинными носителями информации, выполнения организационных и технических мер по защите информации;


к) организует планирование мероприятий по обеспечению информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах);


л) организует подготовку правовых актов, иных организационно-распорядительных документов по вопросам обеспечения информационной безопасности в органе (организации), осуществляет согласование иных документов органа (организации) в части обеспечения информационной безопасности;


м) организует проведение научно-исследовательских и опытно-конструкторских работ по вопросам обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах);


н) организует проведение контроля за состоянием обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах), включая оценку защищенности систем и сетей, оператором которых является орган (организация), подведомственные организации (филиалы, представительства).


3. Ответственное лицо:


а) осуществляет регулярный контроль текущего уровня (состояния) информационной безопасности в органе (организации), а также отвечает за реализацию мероприятий, направленных на поддержание и развитие уровня (состояния) информационной безопасности в органе (организации), в том числе с учетом появления новых угроз безопасности информации и современных способов и методов проведения компьютерных атак;


б) осуществляет регулярное и своевременное информирование руководства органа (организации) о компьютерных инцидентах, текущем уровне (состоянии) информационной безопасности в органе (организации) и результатах практических учений по противодействию компьютерным атакам;


в) осуществляет контроль за ведением организационно-распорядительной документации, статистического учета и отчетности по курируемым разделам работы;


г) осуществляет согласование требований к системам и сетям, оператором которых является орган (организация), подведомственные организации (филиалы, представительства), в части обеспечения информационной безопасности;


д) осуществляет руководство структурным подразделением органа (организации), обеспечивающим информационную безопасность органа (организации).


4. Ответственное лицо:


а) организует и контролирует проведение мероприятий по анализу и оценке состояния информационной безопасности органа (организации) и контролирует их результаты;


б) организует и контролирует функционирование системы обеспечения информационной безопасности в органе (организации), координирует функционирование систем обеспечения информационной безопасности в подведомственных организациях (филиалах, представительствах);


в) координирует деятельность иных структурных подразделений органа (организации), подведомственных организаций (филиалов, представительств) по вопросам обеспечения информационной безопасности.


5. Ответственное лицо согласовывает политику, технические задания и иную основополагающую документацию в сфере информационных технологий, цифровизации и цифровой трансформации органа (организации).


6. Ответственное лицо с использованием нормативных правовых документов и методических материалов Федеральной службы безопасности Российской Федерации организует обнаружение, предупреждение и ликвидацию последствий компьютерных атак, реагирование на компьютерные инциденты с информационными ресурсами органа (организации), а также взаимодействие с Национальным координационным центром по компьютерным инцидентам одним (или несколькими) из следующих способов:


а) силами структурного подразделения, ответственного за обеспечение информационной безопасности, с заключением соглашения (издания совместного акта) о взаимодействии с Федеральной службой безопасности Российской Федерации (Национальным координационным центром по компьютерным инцидентам), включающего в том числе права и обязанности сторон, порядок проведения совместных мероприятий, регламент информационного обмена, порядок и сроки представления отчетности, порядок и формы контроля;


б) силами структурного подразделения, ответственного за обеспечение информационной безопасности, с его аккредитацией как центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;


в) силами организаций, являющихся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.


7. Ответственное лицо обеспечивает планирование и реализацию мероприятий по переводу систем и сетей на отечественные средства защиты информации, а также контроль за соблюдением запрета на использование средств защиты информации, странами происхождения которых являются иностранные государства в соответствии с пунктом 6 Указа Президента Российской Федерации «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».


8. Ответственное лицо сопровождает мероприятия по разработке (модернизации) систем и сетей в части информационной безопасности, а также требований нормативных правовых актов, нормативно-технических и методических документов по защите информации и выполнения этих требований.


9. Ответственное лицо проводит работу по унификации способов и средств по обеспечению информационной безопасности, иных технических решений в органе (организации), подведомственных организациях (филиалах, представительствах).


10. Ответственное лицо принимает меры по совершенствованию обеспечения информационной безопасности в органе (организации), подведомственных организациях (филиалах, представительствах).


11. Ответственное лицо повышает на постоянной основе профессиональную компетенцию, знания и навыки в области обеспечения информационной безопасности.


12. Ответственное лицо выполняет иные обязанности, исходя из возложенных полномочий и поставленных руководством органа (организации) задач в рамках обеспечения информационной безопасности органа (организации), подведомственных организаций (филиалов, представительств).


13. Ответственное лицо:


а) соблюдает законодательство Российской Федерации и обеспечивает его выполнение;


б) в случаях, установленных законодательством Российской Федерации, согласовывает политику с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю;


в) представляет по запросам Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю достоверные сведения о результатах реализации политики (фактически достигнутый эффект и результат) и текущем уровне (состояние) информационной безопасности в органе (организации);


г) поддерживает уровень квалификации и постоянно развивает свои навыки в области информационной безопасности, необходимые для обеспечения информационной безопасности в органе (организации);


д) организовывает при необходимости проведение и участвует в пределах своей компетенции в отраслевых, межотраслевых, межрегиональных и международных выставках, семинарах, конференциях, работе межведомственных рабочих групп, отраслевых экспертных сообществ, международных органов и организаций;


е) участвует в пределах компетенции в осуществлении закупок товаров, работ, услуг для обеспечения нужд в сфере информационной безопасности.





Для структурного подразделения в органе (организации), обеспечивающем информационную безопасность органа (организации)



Кого касается


Типовое положение определяет цели, задачи и функции структурного подразделения федерального органа исполнительной власти, высшего исполнительного органа субъекта Российской Федерации, государственного фонда, государственной корпорации (компании) и иной организации, созданной на основании федерального закона, стратегического предприятия, стратегического акционерного общества и системообразующей организации российской экономики, юридического лица, являющегося субъектом критической информационной инфраструктуры Российской Федерации (далее - орган (организация), обеспечивающего информационную безопасность органа (организации) (далее - подразделение).



Деятельность подразделения


Подразделение подчинено заместителю руководителя органа (организации), ответственному за обеспечение информационной безопасности в органе (организации).


Контроль за деятельностью подразделения осуществляет руководитель органа (организации).



Деятельность подразделения направлена:


а) на исключение или существенное снижение негативных последствий (ущерба) в отношении органа (организации) вследствие нарушения функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления в результате реализации угроз безопасности информации;


б) на обеспечение конфиденциальности информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации;


в) на повышение защищенности органа (организации) от возможного нанесения ему (ей) материального, репутационного или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных систем органа (организации) или несанкционированного доступа к циркулирующей в них информации и ее несанкционированного использования;


г) на обеспечение надежности и эффективности функционирования и безопасности информационных систем, производственных процессов и информационно-технологической инфраструктуры органа (организации);


д) на обеспечение выполнения требований по информационной безопасности при создании и функционировании информационных систем и информационно-телекоммуникационной инфраструктуры органа (организации).



Основными задачами деятельности подразделения являются:


а) планирование, организация и координация работ по обеспечению информационной безопасности и контроль за ее состоянием в органе (организации);


б) выявление угроз безопасности информации и уязвимостей информационных систем, программного обеспечения и программно-аппаратных средств;


в) предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;


г) поддержание стабильной деятельности органа (организации) и его (ее) производственных процессов в случае проведения компьютерных атак;


д) взаимодействие с Национальным координационным центром по компьютерным инцидентам;


е) обеспечение нормативно-правового обеспечения использования информационных ресурсов.



Функции подразделения


Подразделение выполняет следующие функции:


а) разработка, координация, управление и контроль за реализацией плана (программы) работ по обеспечению информационной безопасности в органе (организации) и подведомственных органах (организациях);


б) разработка предложений по совершенствованию организационно-распорядительных документов по обеспечению информационной безопасности в органе (организации) и представление их руководителю органа (организации);


в) выявление и проведение анализа угроз безопасности информации в отношении органа (организации), уязвимостей информационных систем, программного обеспечения программно-аппаратных средств и принятие мер по их устранению;


г) обеспечение в соответствии с требованиями по информационной безопасности, в том числе с целью исключения (невозможности реализации) негативных последствий, разработки и реализации организационных мер и применения средств обеспечения информационной безопасности;


д) обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;


е) представление в Национальный координационный центр по компьютерным инцидентам информации о выявленных компьютерных инцидентах;


ж) исполнение указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами, Федеральной службой по техническому и экспортному контролю по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организацией), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети Интернет;


з) проведение анализа и контроля за состоянием защищенности систем и сетей и разработка предложений по модернизации (трансформации) основных процессов органа (организации) в целях обеспечения информационной безопасности в органе (организации);


и) подготовка отчетов о состоянии работ по обеспечению информационной безопасности в органе (организации);


к) организация развития навыков безопасного поведения в органе (организации), в том числе проведение занятий с руководящим составом и специалистами органа (организации) по вопросам обеспечения информационной безопасности;


л) выполнение иных функций, исходя из поставленных руководством органа (организации) целей и задач в рамках обеспечения информационной безопасности в органе (организации), подведомственных органах (организациях).



Эффективность и результативность деятельности подразделения определяются по итогам выполнения органом (организацией), программы обеспечения информационной безопасности с учетом приоритетных целей.


Работники подразделения несут ответственность за выполнение возложенных на них обязанностей в соответствии с должностными регламентами, утверждаемыми руководителем органа (организации) либо должностным лицом, наделенным руководителем органа (организации) соответствующими полномочиями.

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией

Оставьте заявку на  бесплатную консультацию