Приказ публично-правовой компании "Роскадастр" от 25.07.2023 N П/345-23 "О назначении ответственных за обеспечение информационной безопасности в ППК "Роскадастр"

Во исполнение подпунктов "а", "б" пункта 1 Указа Президента Российской Федерации от 01.05.2022 N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" приказываю:

1. Назначить заместителя генерального директора - директора филиала ППК "Роскадастр" ЦИТ "Роскадастр-Инфотех" Устиновича А.Ю. ответственным за обеспечение информационной безопасности в ППК "Роскадастр", в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.

2. Утвердить прилагаемое Положение об ответственном за обеспечение информационной безопасности в ППК "Роскадастр".

3. Возложить обязанности по обеспечению информационной безопасности в ППК "Роскадастр", в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, на Управление информационной безопасности филиала ППК "Роскадастр" ЦИТ "Роскадастр-Инфотех" (Пандыклы Н.Р.).

4. Директорам филиалов ППК "Роскадастр" в месячный срок со дня издания настоящего приказа назначить ответственное лицо за обеспечение информационной безопасности в филиале ППК "Роскадастр", в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты, в целях оперативного решения задач в области защиты информации.

5. Контроль за исполнением настоящего приказа оставляю за собой.

Генеральный директор

В.Л. Жданов

УТВЕРЖДЕНО
приказом ППК "Роскадастр"
от 25 июля 2023 г. N П/345-23

Положение
об ответственном за обеспечение информационной безопасности в ППК "Роскадастр"

I. Общие положения

1. Настоящее Положение определяет полномочия, права и обязанности заместителя генерального директора - директора филиала ППК "Роскадастр" (далее - Компания) Центр информационных технологий "Роскадастр-Инфотех", ответственного за обеспечение информационной безопасности в Компании, в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты (далее - Ответственное лицо).

2. Ответственное лицо определяется генеральным директором Компании.

3. Ответственное лицо осуществляет свою деятельность в соответствии с приказом Компании от 30.12.2022 N П/068-22 "О распределении обязанностей между генеральным директором, заместителями генерального директора и главным бухгалтером - финансовым директором публично-правовой компании "Роскадастр" и подчиняется непосредственно генеральному директору Компании либо должностному лицу, его замещающему.

4. Ответственное лицо входит в состав правления Компании.

5. Указания и поручения Ответственного лица в части обеспечения информационной безопасности являются обязательными для исполнения всеми работниками Компании.

II. Квалификационные требования к Ответственному лицу

6. Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если Ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), оно должно пройти обучение по программе профессиональной переподготовки по направлению "Информационная безопасность".

7. Для Ответственного лица требуются наличие следующих знаний, умений и профессиональных компетенций:

а) основные (в том числе производственные, бизнес- и управленческие) процессы Компании и специфика обеспечения информационной безопасности Компании;

б) влияние информационных технологий на деятельность Компании, в том числе:

роль и место информационных технологий (в том числе степень интеграции информационных технологий) в процессах функционирования Компании;

зависимость основных процессов функционирования Компании от информационных технологий;

в) информационно-телекоммуникационные технологии, в том числе:

современные информационно-телекоммуникационные технологии, используемые в Компании;

способы построения информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления формирования информационных ресурсов (далее соответственно - системы, сети), в том числе ограниченного доступа;

типовые архитектуры систем и сетей, требования к их оснащенности программными (программно-техническими) средствами;

принципы построения и функционирования современных операционных систем, систем управления базами данных, систем и сетей, основных протоколов систем и сетей;

г) обеспечение информационной безопасности, в том числе:

цели, задачи, основы организации, ключевые элементы, основные способы и средства обеспечения информационной безопасности;

цели обеспечения информационной безопасности применительно к основным процессам функционирования Компании, реализации и контроля их достижения;

принципы и направления стратегического развития информационной безопасности в Компании;

правила разработки, утверждения и отмены организационно-распорядительных документов по вопросам обеспечения информационной безопасности в Компании, состав и содержание таких документов;

порядок организации работ по обеспечению информационной безопасности в Компании;

основные негативные последствия, наступление которых возможно в результате реализации угроз безопасности информации, способы и методы обеспечения и поддержания необходимого уровня (состояния) информационной безопасности Компании для исключения (невозможности реализации) негативных последствий, а также порядок проведения практических проверок и контроля результативности применяемых способов и методов обеспечения информационной безопасности Компании;

основные угрозы безопасности информации, предпосылки их возникновения и возможные пути их реализации, а также порядок оценки таких угроз;

возможности и назначения типовых программных, программно-аппаратных (технических) средств обеспечения информационной безопасности;

способы и средства проведения компьютерных атак, актуальные тактики и техники нарушителей;

порядок организации взаимодействия структурных подразделений Компании при решении вопросов обеспечения информационной безопасности;

управление проектами по информационной безопасности;

антикризисное управление и принятие управленческих решений при реагировании на кризисы и компьютерные инциденты;

планирование деятельности по обеспечению информационной безопасности в Компании, филиалах Компании;

формулирование измеримых и практических результатов деятельности по обеспечению информационной безопасности в Компании, филиалах Компании;

организация разработки политики (правил, процедур), регламентирующей вопросы информационной безопасности в Компании, филиалах Компании (далее - Политика);

внедрение Политики;

организация контроля и анализа применения Политики;

организация мероприятий по разработке единых инструментов и механизмов контроля деятельности по обеспечению информационной безопасности в Компании, филиалах Компании;

поддержка и совершенствование деятельности по обеспечению информационной безопасности в Компании, филиалах Компании;

организация мероприятий по определению угроз безопасности информации систем и сетей, а также по формированию требований к обеспечению информационной безопасности в Компании, филиалах Компании;

организация внедрения способов и средств для обеспечения информационной безопасности в Компании;

организация мероприятий по анализу и контролю состояния информационной безопасности Компании и модернизации (трансформации) процессов функционирования Компании в целях обеспечения информационной безопасности в Компании;

обеспечение информационной безопасности в ходе эксплуатации систем и сетей, а также при выводе их из эксплуатации;

организация мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Компании и реагированию на компьютерные инциденты;

организация мероприятий по отслеживанию и контролю достижения целей информационной безопасности (фактически достигнутый эффект и результат) в Компании, филиалах Компании.

8. С учетом области и вида деятельности Компании от Ответственного лица требуется знание нормативных правовых актов Российской Федерации, методических документов, международных и национальных стандартов в области:

а) защиты государственной тайны;

б) защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе персональных данных;

в) обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

г) обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

д) создания и обеспечения безопасного функционирования государственных информационных систем и информационных систем в защищенном исполнении;

е) создания, обеспечения технических условий установки и эксплуатации средств защиты информации;

ж) иных нормативных правовых актов и стандартов в области информационной безопасности.

III. Трудовые (должностные) обязанности Ответственного лица

9. Ответственное лицо принимает участие в формировании Политики Компании, отвечает за согласование стратегии развития Компании в части вопросов обеспечения информационной безопасности.

10. Ответственное лицо организует:

а) разработку Политики, направленной в том числе на обеспечение и поддержание стабильной деятельности Компании и процессов ее функционирования в случае проведения компьютерных атак, отвечает за согласование и утверждение Политики в Компании, реализацию мероприятий, предусмотренных Политикой, отслеживает и контролирует результаты реализации Политики;

б) работу по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, формулированию перечня негативных последствий, проведению мероприятий по их недопущению, отслеживанию и контролю эффективности (результативности) таких мероприятий, а также по необходимому информационному обмену;

в) реализацию и контроль проведения в Компании организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю с учетом меняющихся угроз в информационной сфере, а также самостоятельно Ответственным лицом в результате своей деятельности;

г) беспрепятственный доступ (в том числе удаленный) должностным лицам Федеральной службы безопасности Российской Федерации и ее территориальных органов к информационным ресурсам, принадлежащим Компании либо используемым Компанией, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет", в целях осуществления мониторинга их защищенности, а также работникам структурного подразделения, осуществляющего функции по обеспечению информационной безопасности;

д) взаимодействие с должностными лицами Федеральной службы безопасности Российской Федерации и ее территориальных органов, в том числе контроль исполнения указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами по результатам мониторинга защищенности информационных ресурсов, принадлежащих Компании либо используемых Компанией, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет";

е) контроль за выполнением требований нормативных правовых актов, нормативно-технической документации, соблюдением установленного порядка выполнения работ при решении вопросов, касающихся защиты информации;

ж) развитие информационной безопасности, формирование и развитие навыков работников Компании в сфере информационной безопасности;

з) разработку и реализацию мероприятий по обеспечению информационной безопасности в Компании в соответствии с требованиями к обеспечению информационной безопасности, установленными федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации;

и) контроль пользователей информационных ресурсов Компании в части соблюдения ими режима конфиденциальности информации, правил работы со съемными машинными носителями информации, выполнения организационных и технических мер по защите информации;

к) планирование мероприятий по обеспечению информационной безопасности в Компании, филиалах Компании;

л) подготовку правовых актов, иных организационно-распорядительных документов по вопросам обеспечения информационной безопасности в Компании, осуществляет согласование иных документов Компании в части обеспечения информационной безопасности;

м) проведение научно-исследовательских и опытно-конструкторских работ по вопросам обеспечения информационной безопасности в Компании, филиалах Компании;

н) проведение контроля за состоянием обеспечения информационной безопасности в Компании, филиалах Компании, включая оценку защищенности систем и сетей, оператором которых являются Компания, филиалы Компании;

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

п) проведение мероприятий по анализу и оценке состояния информационной безопасности Компании и контроль их результатов;

р) функционирование системы обеспечения информационной безопасности в Компании, координацию функционирования систем обеспечения информационной безопасности в филиалах Компании;

с) координацию деятельности иных структурных подразделений Компании, филиалов Компании по вопросам обеспечения информационной безопасности.

11. Ответственное лицо осуществляет:

а) регулярный контроль текущего уровня (состояния) информационной безопасности в Компании, а также отвечает за реализацию мероприятий, направленных на поддержание и развитие уровня (состояния) информационной безопасности в Компании, в том числе с учетом появления новых угроз безопасности информации и современных способов и методов проведения компьютерных атак;

б) регулярное и своевременное информирование руководства Компании о компьютерных инцидентах, текущем уровне (состоянии) информационной безопасности в Компании и результатах практических учений по противодействию компьютерным атакам;

в) контроль за ведением организационно-распорядительной документации, статистического учета и отчетности по курируемым разделам работы;

г) согласование Политики, технических заданий, требований к системам и сетям, оператором которых являются Компания, филиалы Компании, в части обеспечения информационной безопасности и иной основополагающей документации в сфере информационных технологий, цифровизации и цифровой трансформации Компании.

12. Ответственное лицо, руководствуясь нормативными правовыми документами и методическими материалами Федеральной службы безопасности Российской Федерации, организует обнаружение, предупреждение и ликвидацию последствий компьютерных атак, реагирование на компьютерные инциденты с информационными ресурсами Компании, а также взаимодействие с Национальным координационным центром по компьютерным инцидентам одним (или несколькими) из следующих способов:

а) силами структурного подразделения, ответственного за обеспечение информационной безопасности, с заключением соглашения (издания совместного акта) о взаимодействии с Федеральной службой безопасности Российской Федерации (Национальным координационным центром по компьютерным инцидентам), включающего в том числе права и обязанности сторон, порядок проведения совместных мероприятий, регламент информационного обмена, порядок и сроки представления отчетности, порядок и формы контроля;

б) силами структурного подразделения, ответственного за обеспечение информационной безопасности, с его аккредитацией как центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

в) силами организаций, являющихся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

13. Ответственное лицо обеспечивает планирование и реализацию мероприятий по переводу систем и сетей на отечественные средства защиты информации, а также контроль за соблюдением запрета на использование средств защиты информации, странами происхождения которых являются иностранные государства, в соответствии с пунктом 6 Указа Президента Российской Федерации "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".

14. Ответственное лицо сопровождает мероприятия по разработке (модернизации) систем и сетей в части информационной безопасности, а также требований нормативных правовых актов, нормативно-технических и методических документов по защите информации и выполнения этих требований.

15. Ответственное лицо проводит работу по унификации способов и средств по обеспечению информационной безопасности, иных технических решений в Компании, филиалах Компании.

16. Ответственное лицо принимает меры по совершенствованию обеспечения информационной безопасности в Компании, филиалах Компании.

17. Ответственное лицо повышает на постоянной основе профессиональную компетенцию, расширяет знания и навыки в области обеспечения информационной безопасности.

18. Ответственное лицо выполняет иные обязанности, исходя из возложенных полномочий и поставленных руководством Компании задач в рамках обеспечения информационной безопасности Компании, филиалов Компании.

19. Ответственное лицо:

а) соблюдает и обеспечивает выполнение требований законодательства Российской Федерации;

б) в случаях, установленных законодательством Российской Федерации, согласовывает политику с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю;

в) представляет по запросам Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю достоверные сведения о результатах реализации политики (фактически достигнутом эффекте и результате) и текущем уровне (состоянии) информационной безопасности в Компании;

г) поддерживает уровень квалификации и постоянно развивает свои навыки в области информационной безопасности, необходимые для обеспечения информационной безопасности в Компании;

д) организовывает при необходимости проведение и участвует в пределах своей компетенции в отраслевых, межотраслевых, межрегиональных и международных выставках, семинарах, конференциях, работе межведомственных рабочих групп, отраслевых экспертных сообществ, международных органов и организаций;

е) участвует в пределах компетенции в осуществлении закупок товаров, работ, услуг для обеспечения нужд в сфере информационной безопасности.

IV. Права Ответственного лица

20. Ответственное лицо имеет право:

а) давать указания и поручения работникам Компании в части обеспечения информационной безопасности;

б) запрашивать от работников Компании информацию и материалы, необходимые для реализации возложенных на Ответственное лицо прав и обязанностей;

в) участвовать в заседаниях (совещаниях) коллегиальных органов Компании, принятии решений по вопросам деятельности Компании, а также вносить предложения по совершенствованию деятельности Компании;

г) участвовать в разработке политики, выносить политику на обсуждение, утверждение коллегиальному органу Компании;

д) представлять результаты реализации политики коллегиальному органу Компании;

е) принимать решения по вопросам обеспечения информационной безопасности Компании;

ж) взаимодействовать с Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и иными федеральными органами исполнительной власти по вопросам обеспечения информационной безопасности, в том числе по вопросам совершенствования законодательства Российской Федерации в области обеспечения информационной безопасности;

з) вносить предложения о привлечении организаций, имеющих соответствующие лицензии на деятельность в области защиты информации, в соответствии с законодательством Российской Федерации к проведению работ по обеспечению информационной безопасности;

и) инициировать проверки уровня (состояния) обеспечения информационной безопасности в Компании, филиалах Компании;

к) организовывать на объектах Компании мероприятия по информационной безопасности, разработку и представление генеральному директору Компании предложений по внесению изменений в процессы функционирования, принятию других мер, направленных на недопущение реализации негативных последствий;

л) получать доступ в установленном порядке к сведениям, составляющим государственную тайну, если исполнение обязанностей Ответственного лица связано с использованием таких сведений и наличием необходимых прав и полномочий;

м) получать доступ в установленном порядке в связи с исполнением своих обязанностей в государственные органы, органы местного самоуправления, общественные объединения и другие организации;

н) обеспечивать надлежащие организационно-технические условия, необходимые для исполнения обязанностей Ответственного лица.

V. Ответственность Ответственного лица

21. Ответственное лицо в соответствии с законодательством Российской Федерации несет ответственность:

а) за неисполнение или ненадлежащее исполнение своих обязанностей;

б) за действия (бездействие), ведущие к нарушению прав и законных интересов органа (организации);

в) за разглашение государственной тайны и иных сведений, ставших ему известными в связи с исполнением своих обязанностей;

г) за достижение целей обеспечения информационной безопасности;

д) за поддержание и непрерывное развитие информационной безопасности Компании для исключения (невозможности реализации) негативных последствий;

е) за организацию мероприятий по разработке (модернизации) систем и сетей в части информационной безопасности Компании;

ж) за нарушения требований по обеспечению информационной безопасности;

з) за нарушения в обеспечении защиты систем и сетей, повлекшие негативные последствия.