Решение о применении средств защиты информации в подразделении оформляется совместным документом этого подразделения и Управления по защите информации, утверждается Членом Правления – Директором по безопасности и защите информации и представляется руководителем подразделения, защищающего свою информацию, для утверждения и выделения необходимых финансовых и технических средств Председателю Правления ХХХХ.

Закупку средств защиты информации производит Управление по защите информации. Если поставляемые средства защиты входят в состав средств информатизации (систем), их закупку (заказ разработки) выполняет подразделение, закупающее (заказывающее разработку) по согласованию с Управлением по защите информации.

Ответственность за использование средств защиты информации несут:

– за средства защиты коллективного пользования – специально назначаемые сотрудники;

– за средства защиты индивидуального пользования – сотрудники, на рабочих местах которых эти средства установлены;

– за сетевые средства защиты – администратор сети.

Закрепление средств защиты информации за ответственными за них сотрудниками производится письменным распоряжением руководителя соответствующего подразделения, первый экземпляр которого представляется и хранится в Управлении по защите информации.

Порядок приемки в эксплуатацию средств защиты информации:

– средство устанавливается администратором сети на рабочем месте и проверяется в соответствии с инструкцией по эксплуатации;

– сотрудник Управления по защите информации и администратор сети производят совместную приемку средства с проверкой функционирования, разрабатывают организационные и технические меры по его эффективному использованию;

– сотрудник Управления по защите информации и администратор сети составляют и подписывают совместный Акт о приемке с приложением необходимых материалов и утверждают его у руководителя принимающего подразделения и начальника Управления по защите информации, после чего средство считается принятым в эксплуатацию;

– средство защиты информации передается в эксплуатацию назначенному ответственному сотруднику.

Сотрудник, ответственный за средство защиты информации, обязан:

– изучить средство в объеме, необходимом для правильной его эксплуатации;

– обеспечить установленный порядок использования средства: своевременно включать и выключать его, поддерживать эффективный режим работы;

– не допускать несанкционированного применения средства кем бы то ни было, обеспечить его сохранность, сообщать в Управление по защите информации обо всех попытках несанкционированного использования средства или подозрениях на такие попытки;

– проводить техническое обслуживание, обеспечивать его исправность, организовывать ремонт в случае выхода из строя и выполнять другие эксплуатационные операции.

Учет средств защиты информации ведется отделом связи Управления по защите информации в отдельном разделе Журнала учета средств информатизации в соответствии с их инвентарными номерами, которые присваиваются им при приемке в эксплуатацию.

3.7. Контроль состояния информационной безопасности

Контроль состояния информационной безопасности проводится с целью проверки ее организации, а также предупреждения и своевременного выявления случаев ее нарушения.

Обязанности по контролю распределяются между исполнительными органами системы информационной безопасности следующим образом:

– Управление по защите информации проводит проверки организации и состояния информационной безопасности в подразделениях;

– сотрудники контролируют текущее состояние информационной безопасности на своих рабочих местах;