Разработка проекта комплексной системы защиты информации для информационной системы Netschool

Определение этапов и работ по созданию программного средстваПроцесс разработки комплекса разбивается на несколько следующих этапов, согласно специальным требованием и рекомендациям по технической защите конфиденциальной информации (СТР-К)•описание текущего состояние информационной безопасности•определение необходимого уровня защищенности•определение типа угроз•разработка комплекса защитных мер•разработка регламентов, нормативных документов•эксплуатация и сопровождение.Все эти работы выполняются одним исполнителем – администратором информационной безопасности.Содержание основных работ по всем стадиям разработки приведены в таблице 5.1.Таблица 5.1 – Перечень работ по стадиям разработки Наименование работЭтапПостановка задачиТЗСбор материалов и анализ существующих разработокПодбор литературыОпределение требований к системеОпределение стадий, этапов и сроков разработки электРассмотрение и анализ существующих регламентовЭПСбор информации о текущем состоянии системыОпределение требований к криптографическим программамТПВыбор программных средствОпределение основных регламентов и документовИнструктаж сотрудниковРПУстановка программного обеспеченияТестирование и отладка информационной системыРазработка программной документацииОпытная эксплуатацияВПАнализ данных, полученных в результате эксплуатацииКорректировка технической документации по результатам испытаний4.2 Расчет трудоемкости и продолжительности работТрудоемкость выполнения работ по разработке комплекса защитных мер на каждой из стадий определяется в соответствии с [4.2] и [4.3].Трудоемкость выполнения работ по разработке защитных мер по сумме трудоемкости этапов и видов работ, оцениваемых экспертным путем в человеко-днях, и носит вероятностный характер, так как зависит от множества трудно учитываемых факторов.Трудоемкость каждого вида работ определяется по формуле ,(4.1) гдеTmin – минимально возможная трудоемкость выполнения отдельного вида работ [5.1];Tmax – максимально возможная трудоемкость выполнения отдельного вида работ.Продолжительность каждого вида работ в календарных днях (ti) определяется в днях по формуле: ,(4.2)где Ti – трудоемкость работ, человек-дней;Чi – численность исполнителей, человек;Kвых – коэффициент, учитывающий выходные и праздничные дни:гдеКкал – число календарных дней;Краб – рабочие дни;Согласно производственному и налоговому календарю на 2014 год, количество рабочих дней составляет 249 дней, количество предпраздничных дней – 7, таким образом: Kвых=1,5.Полный список видов и этапов работ по созданию ПО, экспертные оценки и расчетные величины их трудоемкости, а также продолжительность каждого вида работ, рассчитанные по формулам (4.1) и (4.2), представлены в таблице 5.2Таблица 5.2 - Расчет трудоемкости и продолжительности работ по созданию ПО№ работыСтадии разработкиТрудоемкость, чел.дниКоличество работников, чел.Продолжительность работ, календарные дниTminTmaxTiЧiti1234517Техническое задание1-постановка задачи11111,511,52-сбор материалов и анализ существующих разработок11111,511,53-подбор литературы11111,511,54-определение требований к системе11111,511,5Эскизный проект6-анализ программных средств для защиты информационной системы11111,5117-разработка документов и регламентов12233,6138-разработка должностных инструкций2233,613Технический проект123456710-определение возможного списка угроз11222,71211-выбор программных средств11111,511,512-определение свойств и требований к аппаратному обеспечению11111,511Рабочий проект13-установка программного обеспечения11111,51114-разработка инструкций, регламентов12333,61315-тестирование комплекса защитных мер11222,71216-ввод режимно-пропускного контроля233,61317-проведение инструктажа сотрудников22333,613Внедрение18-опытная эксплуатация233,61319-анализ данных, полученных в результате эксплуатации122,71220-корректировка технической документации по результатам испытаний22333,613Общая трудоемкость разработки--44,3--Таким образом, общая продолжительность проведения работ составит 44 рабочих дней, при последовательном выполнении всех вышеозначенных в таблице 4.2 этапов работы4.3 Расчет затрат на разработку комплекса защитных мерСметная стоимость проектирования и внедрения программы включает в себя следующие затраты, определяемые по формуле:Спр=Сосн + Сдоп + Ссоц + См + Смаш.вр + Сн, (4.3)гдеСпр – стоимость разработки документов, руб.;Сосн – основная заработная плата исполнителей, руб.;Сдоп – дополнительная заработная плата исполнителей, учитывающая потери времени на отпуска, руб.;Ссоц – отчисления на социальные нужды, руб.;См – затраты на используемые материалы, руб.;Смаш.вр – затраты на машинное время, руб.;Сн – накладные расходы включают затраты на управление, уборку, ремонт, электроэнергию, отопление и др., руб.Основная заработная плата исполнителей определяется по формуле:,(4.4) гдеСосн – заработная плата исполнителей (руб.);Сср – средняя дневная оплата труда специалиста по информационной безопасности (3000 руб./чел.дн.); Т – трудоемкость разработки программного продукта (чел.дн.).руб.Таблица 5.3 – Расчет основной заработной платы ИсполнительОклад,руб/мес.Оклад,руб./дн.Трудоемкость,чел.-дн.СуммаРуб.Разработчик 63000300044,3132900Основная заработная плата исполнителя Сосн114000Дополнительная заработная плата исполнителей, учитывающая потери времени на отпуска и болезни (принимается в среднем 15% от основной заработной платы); , (4.5)Ставка налога рассчитывается, исходя из зарплаты сотрудника, при этом действует регрессивная шкала: чем больше зарплата, тем меньше налог.Обычный размер ставки — для наемного работника, имеющего годовой доход менее 280 тыс. руб. — составляет 30 %. Типичный пример распределения этих денег для такого работника выглядит так:- Пенсионный фонд Российской Федерации — 22 %- ФСС — 2,9 %- Фонды обязательного медицинского страхования — 5,1 %Всего - 30%.[4.2] Обязательное страхование от несчастных случаев на производстве и профессиональных заболеваний составляет 0,2% (для 1-й группы риска). Отчисления на социальные нужды рассчитываются относительно выплаченной заработной платы (суммы основной и дополнительной заработной платы) и составляют таким образом 30,2%: ,(4.6)К затратам на используемые материалы относят все затраты на магнитные носители данных, бумагу, для печатных устройств, канцтовары и др. Затраты по ним определяются по экспертным оценкамТаблица 5.4- Расчет стоимости материаловМатериалыКоличество, шт.Стоимость, руб.Бумага писчая, пачек3900Картридж для принтера, шт12100Другие канцтовары-1000Общая стоимость материалов, См4000Затраты на машинное время, необходимое для разработки ПО, расходы на приобретение и подготовку материалов научно-технической информации. Расчет затрат на машинное время осуществляется по формуле:Смаш.вр = Цмаш.вр * Тмаш.вр , (4.7)гдеЦмаш.вр– себестоимость одного часа машинного времени, включающая в себя амортизацию технических средств, затраты на техническое обслуживание и стоимость электроэнергии Тмаш.вр – машинное время, используемое на проведение работ.Стоимость машинного дня принимается равным исходя из стандартного комплекта персонального компьютера. Стандартный монитор и системный блок производителя HP принимается равным 35000 руб. Норма амортизации 3 года, и отсутствие затрат на ремонт, т.к. в течении всего срока использования действует гарантия производителя. Потребление подобного комплекта оборудования принимается равным 300 вт/час. При стоимости 1 кВт*ч равной по тарифам «Мосэнергосбыта» на 2014 год 3,83 руб., при расходе менее 500кВт*ч в месяц, получаем Цмаш.вр= 30,6 руб/дн.Необходимое количество машинного времени для реализации проекта по разработке программы рассчитывается по формуле:Tмаш.вр = Ti * tсм * Tср.маш, (4.8)гдеTi – трудоемкость работ, чел-дн;tсм– продолжительность рабочей смены (При пятидневной рабочей неделе tсм = 8 ч);Tср.маш- средний коэффициент использования машинного времени (Tср.маш = 1).Тогда Tмаш.вр= 44,3 * 1 = 44,3 ч.Стоимость машинного времени составит:Смаш.вр = 31,9 * 44,3 = 1413,17 руб.К статье «Накладные расходы» относят расходы, связанные с управлением и организацией работ. Накладные расходы рассчитываются относительно основной заработной платы. Величина накладных расходов принимается равной 85% от основной зарплаты исполнителей. Формула расчета:Сн = Сосн * kнакл, (4.9)гдеСн – накладные расходы, руб.;Сосн – основная заработная плата исполнителей, руб.;kнакл. – коэффициент учета накладных расходов (К = 0,85).Сн = 132900 * 0,85 = 112965 руб.Результаты расчета затрат на проектирование программного обеспечения сведены в таблице 4.5.4.4 Затраты на программное обеспечение и дополнительное оборудованиеВ ходе разработки комплексной защиты для информационной безопасности системы было установлено, что требуется приобрести следующие программные продуктыKasperskyEndpointSecurity – 6250 руб. Advanced IP Scanner – бесплатно.Ideco ICS 3 – 3765 руб. IRTech Security – 5000 руб.Также дополнительно требуется приобрести следующее оборудование•OMNIVSINT1500XL – 2300 руб.•Transcend StoreJet 25M3 – 2500 руб. Итого, затраты на дополнительное оборудование и программные средства составили – 19815 руб.Таблица 5.5 - Смета затрат на разработку и внедрение программыНаименование статейОбозначениеСумма, руб.Основная заработная платаСосн132900Дополнительная заработная платаСдопОтчисления на социальные нуждыСсоцМатериалыСмат4000Стоимость машинного времениСмаш.вр1413,17Накладные расходыСн112965Дополнительное оборудование и программные средстваСоб+Спр19815ИтогоСраз321776,17Таким образом, себестоимость разработки составляет 321776,17 руб.Так как комплекс мер разрабатывается для внутреннего пользования и не будет продаваться в другие организации, то необходимости высчитывать ее оптовую и розничную цену отпадает.4.5 Экономическая эффективностьКак правило, затраты на информационную безопасность подразделяются на следующие категории:Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты).Затраты на контроль, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия.Внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут.Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (затраты на предупредительные мероприятия).При этом обычно выделяют единовременные и систематические затраты. К единовременным относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты.Таким образом оценив затраты на информационную безопасность и возможные финансовые потери в случае нарушения информационной безопасности, можно дать оценку экономической эффективности. Сорг=316776,17 руб.Сконт=25000 руб.Где Сконт мы подразумеваем заработную работу системного администратора (неполный рабочий день). Оценить затраты организации на ликвидацию последствий нарушения политики информационной безопасности фактически невозможно. К таким тратам надо относить ущерб от разглашения персональных данных. В случае, если произойдет компрометация базы данных, где хранится информации о 700 учениках, то к затратам на ликвидацию можно отнести:Траты на выяснение причины утечкиТраты на организации новой политики безопасностиВозможная компенсация морального ущерба, возникшая в ходе утечки информации.Данные траты можно оценить следующим образом:Свыяс+Сосн+Смор=50000 руб.+316776,17 +700000 руб.В данном случае, финансовые потери организации не сравнимы с тратами на организацию и поддержание информационной безопасности системы. Таким образом, организация информационной безопасности системы Netschool высокоэффективный проект.ЗаключениеВ работе мы провели исследование информационной безопасности системы Netschool. Исследование данного вопроса показало, что информационная система не отвечала всем требованиям в области безопасности. Согласно изученной нормативной базе, эксплуатироваться такая информационная система не может. Во время эксплуатация системы Netschool могут возникнуть «утечки» информации, в связи с чем будут нарушена права учеников и сотрудников. Проведенный анализ показал, что такие условия, как ограничение допуска в помещение третьим лицам, разграничение доступа к системе не были выполнены.Для того, чтобы привести защиту системы в состояние, отвечающее законам и нормативным актам, специалист по защите информации, изучил нормативную базу, ознакомился с нормативными актами. Определив необходимый уровень защищенности и возможный список угроз, аналитик разработал нормативную базу, установил необходимые программные продукты и произвел настройки информационной системы Netschool. Приведенная в третьей главе схема показывает, что на текущий момент, принятый комплекс защитных мер способен обеспечить достаточный уровень защищенности для обработки и предоставления персональной информации. Защитные меры приняты как в области противодействия физического проникновения в помещение, так и против атак по техническим каналам связи. Проведенная работа показывает, что в первоначальном состоянии система для обработки персональных данных, в большинстве случаев не отвечает требованиям,предъявляемым к системе, обрабатывающей конфиденциальные данные. Выявленные недостатки показывают, что проблема информационной безопасности вмуниципальных учреждениям стоит достаточно остро, так как очень часто руководители учреждений не уделяют достаточного внимания вопросам информационной безопасности. Для того,чтобы вопросам безопасности уделялось достаточно внимания, необходимо проводить семинары и конференции для руководителей, чтобы разъяснять им основы информационной безопасности, ее актуальности.И хотя в России только недавно стали появляться электронные услуги, уже существует несколько учебных учреждений полностью отказавшихся от ведения бумажных журналов в пользу использования информационной системы Netschool. Пока такой подход носит экспериментальный характер, однако очень важно на самых первых этапах не допустить ошибок, которые могут привести к негативным ошибкам.Список информационных источниковru.wikipedia.org/Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и защите информации»Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональный данных»Приказ Гостехкомиссии России от 30.08.02 №282 «Специальные требования и рекомендации по технической защите конфиденциальных данных»Блинов А.М - Информационная безопасность часть 1.Прикладная Криптография – Брюс Шнайер.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 годМЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХРЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ (выписка)Методические указания по выполнению экономической части дипломного проекта - В. В. Сухинина, В.Д. ЧичкинаПРИКАЗот 18 февраля 2013 г. N 21. ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХПРИКАЗ11 февраля 2013 г. N 17. ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХОрганизация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий: учебное пособие - Автор: Сердюк В.А.Издательский дом Государственного университета – Высшей школы экономики, 2011 г. Журнал «Хакер» 2013 – 3. Журнал «Хакер» 2013 – 10.http://www.net-school.ru/index.php - сайт посвященный описанию системы Netschoolhttp://www.kaspersky.ru/ - сайт компании «Лаборатория Касперского»http://www.drweb.com/ - официальный сайт антивируса Dr.Webhttp://ideco.ru/ - официальный сайт компании Idecohttp://www.advanced-ip-scanner.com/ru/ - сайт посвященный продукту IPScannerhttp://ru.transcend-info.com/Products/No-293 - сайт посвященный продуктам Transcendhttp://fstec.ru/ - официальный сайт ФСТЭКhttp://zlonov.ru/certified_firewalls/ - сайт посвященный сертифицированным ФСТЭК МЭhttp://www.algo-s.ru/catalog/pdnprogs.php?SECTION_ID=118 – каталог сертифицированных антивирусовhttp://www.npo-echelon.ru/production/70/10123 - официальный сайт компании IRTechПриложенияПриложение А.Порядок действий в случае ошибочной модификации данныхВ случае, если ошибочные данные может исправить сотрудник их обнаруживший, то он должен исправить их, после чего доложить об этом директору образовательного учреждения.1.2 В случае, если сотрудник не может исправить ошибочные данные, он должен сообщить об этом специалисту по информационной безопасности.Если данные были удалены, то сотруднику необходимо поставить в известность специалиста информационной безопасности.В этом случае, специалист информационной безопасности должен восстановить данные, используя диск с копией базы данных.В случае, если с компьютера была удалена информационная система, то необходимо поставить в известность об этом директора образовательного учреждения и специалиста по информационной безопасности.Приложение БПользовательское соглашениеРаздел 1. Термины1.1. Система Netschool, далее «Система» – комплекс аппаратно-программных средств, установленных в Data - центре Учреждения , и предназначенных для технического обеспечения сервисов Системы.Раздел 1. Правила доступа в Систему1.1. Во время авторизации Пользователь обязан проверить точность своих данных: фамилию, имя и отчество, дату рождения, пол. В случае ошибок или несоответствия части данных следует обратиться к Администратору Школы после завершения сеанса или в Службу технической поддержки по адресу электронной почты team@company.school.ru. Любая иная персональная информация предоставляется Пользователем по собственному желанию при использовании Сервисов Системы.Любая иная персональная информация предоставляется Пользователем по собственному желанию при использовании Сервисов Системы.1.2. В случае утраты Пароля пользователь может пройти необходимую процедуру, предусмотренную на Сайте для восстановления Пароля, или обратиться к Администратору Школы.1.3. Подключение к Системе предоставляется Пользователю путем авторизированного доступа к клиентской части сайта Системы (Web - интерфейса) через сеть Интернет. Пользователь несет полную ответственность за безопасность выбранных Имени пользователя (логина) и Пароля, в частности за отсутствие к ним доступа у третьих лиц. Все действия в Системе, совершенные под Профилем Пользователя считаются совершенными Пользователем.1.4. Пользователь может быть «исключен из Системы» Администратором Школы. Процедура «исключения из Системы» подразумевает удаление у Пользователя только прав доступа к сервису «Школа» в конкретном Учреждении. Исключение Пользователя из «Школы» возможно в следующих случаях:окончание срока обучения Пользователя в Учреждении;исключение Пользователя из Учреждения;перевод Пользователя в другое Учреждение.Приложение ВИнструкция последовательности действия специалиста информационной безопасности, в случае отсутствия соединения программы Advanced IP Scanner с информационной системойПроверить работоспособность компьютера с установленной информационной системой.в случае, если компьютер отключен, необходимо его включить, дождаться загрузки операционной системы и проверить работоспособность информационной системы.В случае, если операционная система не запускается, необходимо посмотреть ошибку запуска (информационная сообщение при запуске системы) и сообщить о данном инциденте администратору информационной безопасности с описанием произведенных действий и описанием ошибки. 2. В случае, если информационная система не работает, необходимо выполнить перезапуск программы.2.1 После перезапуска программы убедиться в том, что программа работает.2.2 в случае, если программа не запускается или выдает ошибку при перезапуске, необходимо сделать скриншот ошибки, сохранить его. После этого обратиться к администратору информационной системы, с описанием произведенных действий и полученных результатов.3. В случае, если информационная система работает, необходимо проверить наличие работоспособного соединения с внешней сетью.3.1 Для этого нажмите комбинацию клавиш Windows+R, или на панели запуска найдите команду «Выполнить».3.2 Введите в строке соманду вызова командной строки cmd3.3 В открывшемся окне введите команду pingwww.yandex.ru3.4 В случае, если соединение отсутствует или работает с большими потерями, необходимо связаться с провайдером, сообщить ему о неполадках в сети.3.5 В случае, если соединение с Интернет есть, необходимо сообщить об ошибке администратору информационной безопасности.Приложение ГЖурнал копирования№Дата копированияРазмер скопированных данныхИсполнительПодпись                                                                Утверждаю___________________________________                   (инициалы, фамилия)(наименование организации,                     __________________________предприятия и т.п., его                        (директор   или       иноеорганизационно-правовая форма)                  должностное         лицо,                                                уполномоченное утверждать                                                должностную инструкцию)                                                "  " ____________ 20__г.                                                 м.п.                         Должностная инструкция                    специалиста по защите информации             ______________________________________________             (наименование организации, предприятия и т.п.)                 "  " ______________ 20__г.  N_________     Настоящая должностная  инструкция  разработана   и   утверждена   наосновании трудового договора с __________________________________________                               (наименование должности лица, на которого______________________________________________________ и в соответствии с    составлена настоящая должностная инструкция)положениями Трудового  кодекса  Российской  Федерации  и иных нормативныхактов, регулирующих трудовые правоотношения в Российской Федерации.                          I.Общие положения     1.1. Специалист   по   защите   информации   относится  к  категорииспециалистов, принимается  на  работу  и  увольняется  с   нее   приказомруководителя предприятия  по  представлению  начальника  отдела по защитеинформации.     1.2. На  должность  специалиста  по  защите  информации  I категорииназначается лицо,   имеющее   высшее    профессиональное    (техническое)образование и стаж работы в должности специалиста по защите информации IIкатегории не  менее  5 лет;  на  должность  специалиста  по защитеинформации II   категории   -   лицо,   имеющее  высшее  профессиональное(техническое) образование и стаж работы в должности специалиста по защитеинформации либо  других  должностях,  замещаемых  специалистами  с высшимпрофессиональным образованием,  не  менее  2   лет;  на  должностьспециалиста по защите информации - лицо,  имеющее высшее профессиональное(техническое) образование, без предъявления требований к стажу работы.     1.3. Специалист  по  защите  информации  непосредственно подчиняетсядиректору образовательного учреждения.     1.4. В   своей   деятельности   специалист   по   защите  информациируководствуется:     - законодательными    и   нормативными   документами   по   вопросамобеспечения защиты информации;     - методическими  материалами, касающимися соответствующих вопросов;     - уставом организации;     - правилами  трудового  распорядка;     - приказами      и      распоряжениями     директора     предприятия(непосредственного руководителя);     - настоящей должностной инструкцией.     1.5. Специалист по защите информации должен знать:     - законодательные акты,  нормативные  и  методические  материалы  повопросам, связанным с обеспечением защиты информации;     - специализацию предприятия и особенности его деятельности;     - технологию производства в отрасли;     - оснащенность  вычислительных  центров   техническими   средствами,перспективы их развития и модернизации;     - систему организации комплексной защиты информации,  действующей  вотрасли;     - методы и средства контроля охраняемых сведений,  выявления каналовутечки информации, организацию технической разведки;     - методы планирования  и  организации  проведения  работ  по  защитеинформации и обеспечению государственной тайны;     - технические средства контроля и защиты информации,  перспективы  инаправления их совершенствования;     - методы проведения специальных исследований и  проверок,  работ  позащите технических  средств передачи,  обработки,  отображения и храненияинформации;     - порядок   пользования  реферативными  и  справочно-информационнымиизданиями, а также другими источниками научно-технической информации;     - достижения  науки  и  техники  в  стране  и  за  рубежом в областитехнической разведки и защиты информации;     - методы и средства выполнения расчетов и вычислительных работ;     - основы экономики, организации производства, труда и управления;     - основы трудового законодательства Российской Федерации;     - правила    и    нормы    охраны    труда,  техники   безопасности,производственной санитарии и противопожарной защиты;     1.6. Во   время   отсутствия   специалиста   по   защите  информации(командировка,  отпуск,  болезнь и пр.) его обязанности  исполняет  лицо,назначенное в    установленном    порядке.    Данное   лицо   приобретаетсоответствующие права и несет ответственность  за  надлежащее  выполнениевозложенных на него обязанностей.                             II.Функции     На специалиста по защите информации возлагаются следующие функции:     2.1. Обеспечение   комплексной   защиты    информации,    соблюдениягосударственной тайны.     2.2. Участие в обследовании,  аттестации и категорировании  объектовзащиты.     2.3. Разработка     организационно-распорядительных      документов,регламентирующих работу по защите информации.     2.4. Определение  потребности  в  технических  средствах  защиты   иконтроля.     2.5. Проверка выполнения требований нормативных документов по защитеинформации.                      III. Должностные обязанности     Для выполнения  возложенных  на  него  функций  специалист по защитеинформации обязан:     3.1. Выполнять сложные работы,  связанные с обеспечением комплекснойзащиты информации на основе разработанных программ и методик,  соблюдениягосударственной тайны.     3.2. Проводить сбор и анализ материалов  учреждений,  организаций  ипредприятий отрасли  с  целью  выработки  и  принятия  решений  и  мер пообеспечению защиты  информации  и  эффективному   использованию   средствавтоматического контроля,  обнаружения возможных каналов утечки сведений,представляющих государственную, военную, служебную и коммерческую тайну.     3.3. Анализировать  существующие методы и средства,  применяемые дляконтроля и  защиты  информации,  и  разрабатывать   предложения   по   ихсовершенствованию и повышению эффективности этой защиты.     3.4. Участвовать в обследовании объектов  защиты,  их  аттестации  икатегорировании.     3.5. Разрабатывать и готовить к утверждению  проекты  нормативных  иметодических материалов,  регламентирующих работу по защите информации, атакже положений,  инструкций  и  других   организационно-распорядительныхдокументов.     3.6. Организовывать   разработку   и   своевременное   представлениепредложений для  включения  в  соответствующие  разделы  перспективных  итекущих планов работ и программ мер по контролю и защите информации.     3.7. Давать  отзывы  и  заключения  на  проекты  вновь  строящихся иреконструируемых зданий и сооружений  и  другие  разработки  по  вопросамобеспечения защиты информации.     3.8. Участвовать   в    рассмотрении    технических    заданий    напроектирование, эскизных, технических и рабочих проектов, обеспечивать ихсоответствие действующим нормативным и методическим документам, а также вразработке новых   принципиальных   схем   аппаратуры  контроля,  средствавтоматизации контроля,  моделей  и  систем  защиты  информации,   оценкетехнико-экономического уровня  и эффективности предлагаемых и реализуемыхорганизационно-технических решений.     3.9. Определять   потребность   в  технических  средствах  защиты  иконтроля, составлять   заявки   на   их   приобретение   с   необходимымиобоснованиями и   расчетами   к   ним,   контролировать   их  поставку  ииспользование.     3.10. Осуществлять  проверку  выполнения  требований межотраслевых иотраслевых нормативных документов по защите информации.                              IV.Права     Специалист по защите информации имеет право:     4.1. Знакомиться   с   проектами  решений  руководства  предприятия,касающимися его деятельности.     4.2. Вносить    на    рассмотрение    руководства   предложения   посовершенствованию работы,  связанной  с  обязанностями,  предусмотренныминастоящей инструкцией.     4.3. Получать    от    руководителей    структурных   подразделений,специалистов информацию  и  документы,  необходимые  для выполнения своихдолжностных обязанностей.     4.4. Привлекать    специалистов   всех   структурных   подразделенийпредприятия для  решения  возложенных  на  него  обязанностей  (если  этопредусмотрено положениями  о  структурных  подразделениях,  если  нет - сразрешения руководителя предприятия).     4.5. Требовать от  руководства  предприятия  оказания  содействия  висполнении своих должностных обязанностей и прав.                           V. Ответственность     Специалист по защите информации несет ответственность:     5.1. За  неисполнение  (ненадлежащее  исполнение)  своих должностныхобязанностей, предусмотренных  настоящей   должностной   инструкцией,   впределах, определенных трудовым законодательством Российской Федерации.     5.2. За совершенные  в  процессе  осуществления  своей  деятельностиправонарушения - в пределах,  определенных административным,  уголовным игражданским законодательством Российской Федерации.     5.3. За причинение материального ущерба - в  пределах,  определенныхтрудовым, уголовным и гражданским законодательством Российской Федерации.     Должностная инструкция разработана в соответствии с ________________                                                          (наименование,_____________________________.   номер и дата документа)Руководитель структурного                             (инициалы, фамилия)подразделения                                   _________________________                                                        (подпись)                                                "  " _____________ 20__г.