Приказ ФСТЭК 227

Приказ ФСТЭК 227

Приказ ФСТЭК России от 21 декабря 2017 г. N 235 248 КБ 8649
Приказ ФСТЭК России от 21 декабря 2017 г. N 235 155 КБ 2808

Зарегистрировано в Минюсте России 22 февраля 2018 г. N 50118

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 21 декабря 2017 г. N 235

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СОЗДАНИЮ СИСТЕМ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ И ОБЕСПЕЧЕНИЮ ИХ ФУНКЦИОНИРОВАНИЯ

В соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) приказываю:

Утвердить прилагаемые Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования.

Директор

Федеральной службы по техническому

и экспортному контролю

В.СЕЛИН

Утверждены

приказом ФСТЭК России

от 21 декабря 2017 г. N 235

ТРЕБОВАНИЯ К СОЗДАНИЮ СИСТЕМ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ И ОБЕСПЕЧЕНИЮ ИХ ФУНКЦИОНИРОВАНИЯ

I. Общие положения

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и устанавливают требования к созданию субъектами критической информационной инфраструктуры Российской Федерации (далее — критическая информационная инфраструктура) систем безопасности значимых объектов критической информационной инфраструктуры (далее — системы безопасности) и по обеспечению их функционирования.

2. Системы безопасности создаются субъектами критической информационной инфраструктуры и включают в себя правовые, организационные, технические и иные меры, направленные на обеспечение информационной безопасности (защиты информации) субъектов критической информационной инфраструктуры.

3. Создание и функционирование систем безопасности должно быть направлено на обеспечение устойчивого функционирования значимых объектов критической информационной инфраструктуры при проведении в отношении них компьютерных атак.

Системы безопасности создаются в отношении всех значимых объектов критической информационной инфраструктуры субъектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры для одного или группы значимых объектов критической информационной инфраструктуры могут создаваться отдельные системы безопасности.

4. Системы безопасности включают силы обеспечения безопасности значимых объектов критической информационной инфраструктуры и используемые ими средства обеспечения безопасности значимых объектов критической информационной инфраструктуры.

К силам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся:

подразделения (работники) субъекта критической информационной инфраструктуры, ответственные за обеспечение безопасности значимых объектов критической информационной инфраструктуры;

подразделения (работники), эксплуатирующие значимые объекты критической информационной инфраструктуры;

подразделения (работники), обеспечивающие функционирование (сопровождение, обслуживание, ремонт) значимых объектов критической информационной инфраструктуры;

иные подразделения (работники), участвующие в обеспечении безопасности значимых объектов критической информационной инфраструктуры.

К средствам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся программные и программно-аппаратные средства, применяемые для обеспечения безопасности значимых объектов критической информационной инфраструктуры.

5. Системы безопасности должны функционировать в соответствии с организационно-распорядительными документами по обеспечению безопасности значимых объектов критической информационной инфраструктуры, разрабатываемыми субъектами критической информационной инфраструктуры в соответствии с настоящими Требованиями (далее — организационно-распорядительные документы по безопасности значимых объектов).

6. Системы безопасности должны обеспечивать:

предотвращение неправомерного доступа к информации, обрабатываемой значимыми объектами критической информационной инфраструктуры, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимых объектов критической информационной инфраструктуры;

восстановление функционирования значимых объектов критической информационной инфраструктуры, в том числе за счет создания и хранения резервных копий необходимой для этого информации;

непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, которое осуществляется в соответствии со статьей 5 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

7. Создаваемые системы безопасности должны соответствовать требованиям, предъявляемым к:

силам обеспечения безопасности значимых объектов критической информационной инфраструктуры;

программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры;

организационно-распорядительным документам по безопасности значимых объектов;

функционированию системы безопасности в части организации работ по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

II. Требования к силам обеспечения безопасности значимых объектов критической информационной инфраструктуры

8. Руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо, на которое возложены функции обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее — уполномоченное лицо), создает систему безопасности, организует и контролирует ее функционирование.

9. Руководитель субъекта критической информационной инфраструктуры определяет состав и структуру системы безопасности, а также функции ее участников при обеспечении безопасности значимых объектов критической информационной инфраструктуры в зависимости от количества значимых объектов критической информационной инфраструктуры, а также особенностей деятельности субъекта критической информационной инфраструктуры.

10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее — структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее — специалисты по безопасности).

Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:

разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);

проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;

обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — требования по безопасности);

обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;

осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»;

организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;

готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.

Структурное подразделение по безопасности, специалисты по безопасности реализуют указанные функции во взаимодействии с подразделениями (работниками), эксплуатирующими значимые объекты критической информационной инфраструктуры, и подразделениями (работниками), обеспечивающими функционирование значимых объектов критической информационной инфраструктуры.

11. Для выполнения функций, предусмотренных пунктом 10 настоящих Требований, субъектами критической информационной инфраструктуры могут привлекаться организации, имеющие в зависимости от информации, обрабатываемой значимым объектом критической информационной инфраструктуры, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (далее — лицензии в области защиты информации).

12. Работники структурного подразделения по безопасности, специалисты по безопасности должны обладать знаниями и навыками, необходимыми для обеспечения безопасности значимых объектов критической информационной инфраструктуры в соответствии с настоящими Требованиями и требованиями по безопасности.

13. Не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры или обеспечением информационной безопасности субъекта критической информационной инфраструктуры в целом.

Обязанности, возлагаемые на работников структурного подразделения по безопасности, специалистов по безопасности, должны быть определены в их должностных регламентах (инструкциях).

14. Подразделения, эксплуатирующие значимые объекты критической информационной инфраструктуры, должны обеспечивать безопасность эксплуатируемых ими значимых объектов критической информационной инфраструктуры. Объем возлагаемых на подразделения задач определяется субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов.

По решению субъекта критической информационной инфраструктуры в подразделениях, эксплуатирующих значимые объекты критической информационной инфраструктуры, могут также назначаться работники, на которых возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры. Обязанности, возлагаемые на работников, должны быть определены в их должностных регламентах (инструкциях).

Координацию и контроль деятельности указанных работников по вопросам обеспечения безопасности значимых объектов критической информационной инфраструктуры должны осуществлять структурное подразделение по безопасности, специалисты по безопасности.

15. Работники, эксплуатирующие значимые объекты критической информационной инфраструктуры (пользователи), а также работники, обеспечивающие функционирование значимых объектов критической информационной инфраструктуры, должны выполнять свои обязанности на значимых объектах критической информационной инфраструктуры в соответствии с правилами безопасности, установленными организационно-распорядительными документами по безопасности значимых объектов (инструкциями, руководствами).

До работников должны быть доведены положения организационно-распорядительных документов по безопасности значимых объектов в части, их касающейся.

Субъект критической информационной инфраструктуры должен проводить не реже одного раза в год организационные мероприятия, направленные на повышение уровня знаний работников по вопросам обеспечения безопасности критической информационной инфраструктуры и о возможных угрозах безопасности информации.

16. Представители организаций, привлекаемых субъектом критической информационной инфраструктуры для эксплуатации, обеспечения функционирования значимых объектов критической информационной инфраструктуры и (или) для обеспечения их безопасности, должны быть ознакомлены с организационно-распорядительными документами по безопасности значимых объектов.

III. Требования к программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры

17. К программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры, относятся средства защиты информации, в том числе средства защиты информации от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений (компьютерных атак), средства антивирусной защиты, средства (системы) контроля (анализа) защищенности, средства управления событиями безопасности, средства защиты каналов передачи данных.

Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.

19. Параметры и характеристики применяемых средств защиты информации должны обеспечивать реализацию технических мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры, принимаемыми в соответствии с требованиями по безопасности.

В качестве средств защиты информации в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов критической информационной инфраструктуры (при их наличии).

20. Средства защиты информации должны применяться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией на средства защиты информации.

21. Применяемые средства защиты информации должны быть обеспечены гарантийной, технической поддержкой со стороны разработчиков (производителей).

При выборе средств защиты информации должно учитываться возможное наличие ограничений со стороны разработчиков (производителей) или иных лиц на применение этих средств на любом из принадлежащих субъекту критической информационной инфраструктуры значимых объектов критической информационной инфраструктуры.

22. Порядок применения средств защиты информации определяется субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов с учетом особенностей деятельности субъекта критической информационной инфраструктуры.

IV. Требования к организационно-распорядительным документам по безопасности значимых объектов

23. Субъектом критической информационной инфраструктуры в рамках функционирования системы безопасности должны быть утверждены организационно-распорядительные документы по безопасности значимых объектов, определяющие порядок и правила функционирования системы безопасности значимых объектов, а также порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры.

Организационно-распорядительные документы по безопасности значимых объектов являются частью документов по вопросам обеспечения информационной безопасности (защиты информации) субъекта критической информационной инфраструктуры. При этом положения, определяющие порядок и правила обеспечения безопасности значимых объектов критической информационной инфраструктуры, могут быть включены в общие документы по вопросам обеспечения информационной безопасности (защиты информации), а также могут являться частью документов по вопросам функционирования значимого объекта критической информационной инфраструктуры.

24. Организационно-распорядительные документы по безопасности значимых объектов разрабатываются исходя из особенностей деятельности субъекта критической информационной инфраструктуры на основе настоящих Требований, требований по безопасности, иных нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры и защиты информации.

25. Организационно-распорядительные документы по безопасности значимых объектов должны определять:

а) цели и задачи обеспечения безопасности значимых объектов критической информационной инфраструктуры, основные угрозы безопасности информации и категории нарушителей, основные организационные и технические мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, проводимые субъектом критической информационной инфраструктуры, состав и структуру системы безопасности и функции ее участников, порядок применения, формы оценки соответствия значимых объектов критической информационной инфраструктуры и средств защиты информации требованиям по безопасности;

б) планы мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры, модели угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры, порядок реализации отдельных мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры, порядок проведения испытаний или приемки средств защиты информации, порядок реагирования на компьютерные инциденты, порядок информирования и обучения работников, порядок взаимодействия подразделений (работников) субъекта критической информационной инфраструктуры при решении задач обеспечения безопасности значимых объектов критической информационной инфраструктуры, порядок взаимодействия субъекта критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

в) правила безопасной работы работников субъекта критической информационной инфраструктуры на значимых объектах критической информационной инфраструктуры, действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций.

Состав и формы организационно-распорядительных документов по безопасности значимых объектов определяются субъектом критической информационной инфраструктуры с учетом особенностей его деятельности.

26. Организационно-распорядительные документы по безопасности значимых объектов утверждаются руководителем субъекта критической информационной инфраструктуры (уполномоченным лицом). По решению руководителя субъекта критической информационной инфраструктуры отдельные организационно-распорядительные документы по безопасности значимых объектов могут утверждаться иными уполномоченными на это лицами субъекта критической информационной инфраструктуры.

27. Организационно-распорядительные документы по безопасности значимых объектов должны быть доведены до руководства субъекта критической информационной инфраструктуры, подразделения по безопасности, специалистов по безопасности, а также до иных подразделений (работников), участвующих в обеспечении безопасности значимых объектов критической информационной инфраструктуры, в части, их касающейся.

V. Требования к функционированию системы безопасности в части организации работ по обеспечению безопасности значимых объектов критической информационной инфраструктуры

28. В рамках функционирования системы безопасности субъектом критической информационной инфраструктуры должны быть внедрены следующие процессы:

планирование и разработка мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;

реализация (внедрение) мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;

контроль состояния безопасности значимых объектов критической информационной инфраструктуры;

совершенствование безопасности значимых объектов критической информационной инфраструктуры.

29. В рамках планирования мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры осуществляются разработка и утверждение ежегодного плана мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее — план мероприятий).

По решению субъекта критической информационной инфраструктуры план мероприятий может разрабатываться на более длительный срок с учетом имеющихся программ (планов) по модернизации, оснащению значимых объектов критической информационной инфраструктуры.

План мероприятий разрабатывается структурным подразделением по безопасности, специалистами по безопасности с участием подразделений (работников), эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений (работников), обеспечивающих функционирование значимых объектов критической информационной инфраструктуры.

30. План мероприятий должен содержать наименования мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры, сроки их выполнения, наименования подразделений (работников), ответственных за реализацию каждого мероприятия.

В план мероприятий включаются мероприятия по обеспечению функционирования системы безопасности, а также организационные и технические мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры, направленные на решение задач, установленных пунктом 6 настоящих Требований.

31. Разработка мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры осуществляется в соответствии с настоящими Требованиями, требованиями по безопасности, иными нормативными правовыми актами по обеспечению безопасности критической информационной инфраструктуры, а также организационно-распорядительными документами по безопасности значимых объектов.

План мероприятий утверждается руководителем субъекта критической информационной инфраструктуры и доводится до подразделений (работников) субъекта критической информационной инфраструктуры в части, их касающейся.

В подразделениях, эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделениях, обеспечивающих функционирование значимых объектов критической информационной инфраструктуры, на основе утвержденного плана мероприятий могут разрабатываться соответствующие отдельные планы мероприятий.

32. Контроль за выполнением плана мероприятий осуществляется структурным подразделением по безопасности, специалистами по безопасности. Структурное подразделение по безопасности, специалисты по безопасности ежегодно должны готовить отчет о выполнении плана мероприятий, который представляется руководителю субъекта критической информационной инфраструктуры.

33. Мероприятия по обеспечению безопасности значимых объектов критической информационной инфраструктуры могут включаться в общий план деятельности субъекта критической информационной инфраструктуры (в случае его разработки) отдельным разделом.

Порядок разработки, утверждения и внесения изменений в план мероприятий определяется субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов.

34. Реализация (внедрение) мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры является результатом выполнения плана мероприятий и осуществляется в соответствии с организационно-распорядительными документами по безопасности значимых объектов.

В ходе реализации мероприятий по обеспечению безопасности значимых объектов должны приниматься организационные меры и (или) внедряться средства защиты информации на значимых объектах критической информации, направленные на блокирование (нейтрализацию) угроз безопасности информации.

Результаты реализации мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры подлежат документированию в порядке, установленном субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов.

35. В рамках контроля состояния безопасности значимых объектов критической информационной инфраструктуры должен осуществляться внутренний контроль организации работ по обеспечению безопасности значимых объектов критической информационной инфраструктуры и эффективности принимаемых организационных и технических мер.

В ходе проведения контроля проверяется выполнение настоящих Требований, требований по безопасности, иных нормативных правовых актов в области обеспечения безопасности критической информационной инфраструктуры, а также организационно-распорядительных документов по безопасности значимых объектов.

36. Контроль проводится ежегодно комиссией, назначаемой субъектом критической информационной инфраструктуры. В состав комиссии включаются работники структурного подразделения по безопасности, специалисты по безопасности, работники подразделений, эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений, обеспечивающих функционирование значимых объектов критической информационной инфраструктуры. По решению субъекта критической информационной инфраструктуры в состав комиссии могут включаться работники иных подразделений субъекта критической информационной инфраструктуры.

Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры могут применяться средства контроля (анализа) защищенности.

Результаты контроля оформляются актом, который подписывается членами комиссии и утверждается руководителем субъекта критической информационной инфраструктуры (уполномоченным лицом).

В случае проведения по решению руководителя субъекта критической информационной инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов критической информационной инфраструктуры внутренний контроль может не проводиться.

Для проведения внешней оценки привлекаются организации, имеющие лицензии на деятельность в области защиты информации (в части услуг по контролю защищенности информации от несанкционированного доступа и ее модификации в средствах и системах информатизации).

Замечания, выявленные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта критической информационной инфраструктуры (уполномоченным лицом).

37. В рамках совершенствования безопасности значимых объектов критической информационной инфраструктуры структурное подразделение по безопасности, специалисты по безопасности должны проводить анализ функционирования системы безопасности и состояния безопасности значимых объектов критической информационной инфраструктуры, по результатам которого разрабатывать предложения по развитию системы безопасности и меры по совершенствованию безопасности значимых объектов критической информационной инфраструктуры.

Анализ функционирования системы безопасности, а также разработка предложений по совершенствованию безопасности значимых объектов критической информационной инфраструктуры осуществляются структурным подразделением по безопасности, специалистами по безопасности с участием подразделений (работников), эксплуатирующих значимые объекты критической информационной инфраструктуры, и подразделений (работников), обеспечивающих функционирование значимых объектов критической информационной инфраструктуры.

Предложения по совершенствованию безопасности значимых объектов критической информационной инфраструктуры представляются руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу).

В соответствии с решением руководителя субъекта критической информационной инфраструктуры (уполномоченного лица) предложения по совершенствованию безопасности значимых объектов критической информационной инфраструктуры включаются в план мероприятий, разрабатываемый в соответствии с пунктами 29 — 33 настоящих Требований.

Полная программа для специалистов подразделений ТЗИ и лицензиатов ФСТЭК (4 пары, 8 часов)

1.Наименование НМД, область его действия, цели и задачи документа (раздел «Общие положения» и, частично, «Требования по ТЗИ»),

2.Понятие объекта информатизации (ОИ), типы ОИ (все разделы)

3.Общие требования по защите ОИ (требования к ОТСС и ВТСС, размещение, электропитание, связи с сетями общего пользования (интернет), прокладка и размещение коммуникаций (все разделы).

4.Средства защиты ОИ, основные требования и принципы применения, контроль эффективности средств защиты (все разделы).

6.Категорирование и классификация ОИ (объектов ЭВТ).

7.Перечень ТКУИ в отношении ОВТ.

8.Требование к составу ТС ОВТ, размещению в КЗ, электропитание, связи с сетями общего пользования (интернет), прокладка и размещение коммуникаций,

9.Категорирование и классификация ОИ (ВП).

10.Требования по НСД к ОИ типа АС.

11.Перечень ТКУИ в отношении ВП. Особенности защиты

12.Требование к ВП, размещение их в КЗ, системы электропитания, связи с сетями общего пользования (интернет), прокладка и размещение коммуникаций для ОТСС и ВТСС в ВП.

13.Специальные ОИ (цифровые сети, множительная техника, телефония, средства звукоусиления и конференцсвязь, средства измерения, средства магнитозаписи, ТВ и видеосистемы).

14.Отдельные специфические требования к перечисленным типам ОИ

15.Истолкование и рекомендации по отдельным требованиям НМД (по всем разделам)

16.Оформление документов (по Приложениям).

Дополнительно:

Семинар секретный.

Обязательно предъявление справки о допуске к ГТ и предписания.

По итогам выдается сертификат.

Не является курсом повышения квалификации. Договор на оказание консалтинговых услуг. Оплата по счету безнал.

Виды полной материальной ответственности

Материальная ответственность бывает двух видов:

  • индивидуальная;
  • коллективная.

В первом случае она перекладывается на кого-то из работников компании персонально, во втором — ответственность за товарно-материальные ценности несет группа сотрудников (обычно это коллеги по цеху, подразделению или участку).

Для того, чтобы при возложении материальной ответственности следовать букве закона, администрации предприятия нужно соблюдать определенный алгоритм действий:

  1. Первым делом по организации издается приказ о полной материальной ответственности.
  2. Затем с сотрудниками, в отношении которых он издан, заключаются дополнительные соглашения к трудовому договору (или коллективный договор).
  3. Формируются акты инвентаризации вверяемого им имущества.

На основе этих документов, при установлении фактов порчи или утраты указанных в акте инвентаризации товарно-материальных ценностей, руководство компании имеет полное право взыскать ущерб с ответственных лиц.

Автоматическая аннуляция

Окончание срока действия карательной меры означает ее автоматическую ликвидацию, не требующую официального оформления — выпуска приказа, равно как и уведомления сотрудника. Для ее наступления необходимо неукоснительное соблюдение правил внутреннего распорядка в течение всего срока и, как следствие, отсутствие повторных взысканий (п. 1 ст. 194 ТК РФ).

По трудовому законодательству сотруднику может быть применено дисциплинарное взыскание. Узнайте какой срок установлен для применения дисциплинарного взыскания.

Это тоже важно знать:
По истечении какого срока происходит снятие дисциплинарного взыскания: порядок снятия

Автоматическое снятие не зависит от нахождения сотрудника на работе или в отпуске. Это касается лишь первых двух видов дисциплинарных воздействий: замечаний и выговоров, увольнение не может быть аннулировано.

Снятое взыскание не оставляет после себя никаких последствий. А именно, не может быть учтено при совершении работником нового нарушения, которое будет считаться первым. При этом возобновляется применение поощрительных мер. Например, при начислении заработной платы снова начинают учитываться премии и вознаграждения или продолжается прерванный отсчет времени, требуемый для присвоения очередного звания.

Автоматическое снятие замечания/выговора за нарушение трудовой дисциплины происходит, если работник в течение года со времени выхода приказа о наказании не нарушает повторно свод внутренних правил предприятия.

Кто составляет приказ

Непосредственная задача по составлению приказа о полной материальной ответственности может быть поручена любому работнику компании, знакомому с законодательством РФ (по части трудового и гражданского права), а также имеющему точное представление о том, как именно писать подобного рода распорядительные акты. Обычно эта функция входит в должностные обязанности юрисконсульта или секретаря.

В любом случае, независимо от того, кто именно будет занят составлением приказа, после окончательного его формирования, этот человек должен передать документ для удостоверения руководителю предприятия, т.к. без его подписи он не станет законным.

Виды взысканий

Существует несколько видов дисциплинарных взысканий. Если человек опоздал на работу, то ему может грозить письменное замечание. А если он несколько раз её прогулял без предупреждения, то может быть и вовсе уволен. Взыскание может быть применено в случае нарушения правил и требований по пожарной безопасности, за разглашение тайн компании и прочее.

Любое наказание, кроме увольнения, может быть отменено досрочно. Автоматическое снятие происходит через один год.

Это важно знать: Расчет больничного после декрета: как рассчитывается и оплачивается

Чем объяснить создание приказа

Для формирования приказа всегда должен быть повод, точнее даже два: основание и обоснование. Они присутствуют во всех начальственных распоряжениях.

  1. В обосновании пишутся фактические обстоятельства, послужившие причиной для создания документа – в данном случае это может быть необходимость обеспечения сохранности имущества фирмы или что-то подобное.
  2. Основание – это прямая ссылка на какой-либо внутренний документ (например, служебную записку руководителя структурного подразделения) или законодательный акт – здесь указывается его номер и дата.

Какие особенности есть у приказа

Если вам понадобилось составить приказ о возложении полной материальной ответственности, сначала ознакомьтесь с нашими советами и посмотрите образец документа.

В качестве вводной части немного общей информации. Этот приказ, как и все остальные распорядительные акты, не имеет унифицированного вида, а это означает, что писать его допускается в свободной форме или, если компании имеет свой утвержденный шаблон документа – по его типу. Текст может быть написан как от руки, так и набран на компьютере, при этом составлять распоряжение можно на простом листе любого удобного формата или на фирменном бланке организации.

Оформляя приказ, вам следует соблюсти лишь одно важное условие – он должен быть подписан директором предприятия (поскольку все приказы пишутся от его лица) или сотрудником, который в установленном порядке действует от имени руководителя. Кроме того, свои автографы под документом должны оставить и все перечисленные в нем сотрудники, а также те, кого он касается напрямую.

Следите за тем, чтобы приказ был составлен без ошибок, опечаток, помарок и исправлений. Удостоверять бланк приказа печатью строгой необходимости нет – это надо делать только тогда, когда правило по заверению локальных документов с помощью различного рода клише заложено в учетной политике предприятия.

Составляйте приказ в одном оригинальном экземпляре, а если надо будет сделать копии, просто подпишите их у ответственного сотрудника. По завершении не забудьте включить сведения о документе в журнал учета распорядительных бумаг.

После того, как приказ о полной материальной ответственности будет создан, подписан, выпущен и учтен, а все сотрудники, которых он коснулся, с ним ознакомятся, бланк надо вложить в отдельную папку с прочей распорядительной документацией. В ней документ следует держать весь период действия, который прописывается либо в самом документе, либо приравнивается к одному году с момента составления распоряжения.

Впоследствии бланк можно передать в архив организации и по истечения срока хранения утилизировать с соблюдением процедуры, прописанной в законе.

Алгоритм оформления документа

Напомним, что единой формы приказа не существует. Вы можете его оформить самостоятельно, но действуя по следующей схеме:

  • Зарегистрируйте своё заявление в специальном журнале.
  • Зафиксируйте вердикт директора в форме резолюции.
  • Составьте распоряжение и завизируйте его у директора.
  • Уведомите об этом работника.

Мнение эксперта

Михайлов Евгений Александрович

Преподаватель гражданского права. Юрист с 20-летним стажем

В ходе составления документа кратко и по делу аргументируйте причины, по которым необходимо отменить взыскание. Например, менеджер по продажам может заключить выгодный контракт, адвокат — 100 процентов выиграет доверенное ему дело.

Образец

Для отмены санкций к директору компании может обратиться сам виновник, его непосредственный руководитель или коллектив, в котором он трудится. Необходимо предоставить заявление с просьбой о ликвидации взыскания с указанием мотивированных причин для этого.

Можно также составить ходатайство. Оно, как и само заявление, не имеет чёткой формы, поэтому писать его можно в произвольном виде. Обязательно укажите личные сведения виновного лица и причину для аннулирования штрафной меры.

Такую документацию необходимо зарегистрировать у секретаря. Именно его номер будет использован при составлении приказа.

Если директор согласен с доводами, то он создаёт приказ об отмене взыскания. Единой формы приказа также не существует, организации оформляют его произвольно, но с указанием следующей информации:

  1. ФИО виновника и его должность.
  2. Причины для аннулирования санкций.
  3. Дата отмены.
  4. Личные сведения о директоре и его подпись.

Директор обязан уведомить о новом приказе своего работника.

Период действия

Дисциплинарное взыскание может быть отменено в автоматическом режиме по прошествии одного года. Об этом сказано в статье номер 194 Трудового Кодекса Российской Федерации. Но если в течение этого периода работник снова нарушил трудовую дисциплину, то по желанию руководства его могут уволить.

Это важно знать: Как продать квартиру без риэлтора: порядок продажи, пошаговая инструкция

Если после отмены санкций сотрудник вновь является нарушителем порядка, то всё равно такая ошибка будет считаться первичной, так как предыдущее наказание уже не действует.

Важно отметить, что человека за неоднократные проступки могут даже уволить по статье. Такая мера впоследствии может иметь серьёзные неприятности при дальнейшем трудоустройстве.

Если во время действия взыскания работник перешёл на другую должность или в другое подразделение, то штрафные меры не прекращают своей силы. Только увольнение может освободить работника от наказания, так как руководство больше не сможет влиять на его профессиональную деятельность.

Оспаривание

Если работник не согласен с вынесенным решением, то он может обжаловать его в:

  • Комиссии по трудовым конфликтам.
  • Трудовой инспекции.
  • Суде.

Копия заявления должна быть оставлена у сотрудника. На расследование дела уходит около тридцати дней. Важно предоставить доказательства, которые укажут вашу правоту. В результате проверки могут быть два варианта решения:

  1. Отказ в удовлетворении претензии.
  2. Требование к компании отменить приказ о применении дисциплинарного взыскания.

Штрафные меры для компании

Если в пользу работника будет принято положительное заключение, то предприятие обязуется оплатить все исковые расходы истца. Если человек был уволен, то его восстанавливают в должности. А за время его отсутствия на рабочем месте ему полагается компенсировать прогулы.

Образец приказа о полной материальной ответственности

Формулируя текст приказа, не забывайте, что его состав и содержание должны отвечать определенным нормам деловой документации.

Вначале, в «шапке», укажите:

  • название своей фирмы;
  • наименование и номер документа с коротким обозначением его смысла;
  • место (населенный пункт) и дату его составления;
  • обоснование для создания распоряжения: например – невозможность разграничения материальной ответственности (если речь идет о группе сотрудников) или (в случае назначения персональной материальной ответственности) — необходимость обеспечения сохранности имущества предприятия и т.п.

Затем сформулируйте основную часть – ее лучше поделить на пункты:

  • включите сюда собственно распоряжение о полной материальной ответственности;
  • укажите структурное подразделение, в котором числятся ответственные лица, их должности и ФИО;
  • после этого нужно дать указание специалисту кадрового отдела заключить с данными сотрудниками либо доп. соглашение к трудовому договору, либо коллективный трудовой договор (в зависимости от ситуации);
  • назначить работника, который будет осуществлять контроль за исполнением данного приказа (это может быть кто-то из людей, приближенных к руководству фирмы или сам директор).

В заключение приказ следует подписать.

27.11.2018 06:59

Обеспеченность населения здоровым питанием, решение продовольственной проблемы в любом государстве характеризует жизненный уровень народа. Проблема питания была и остается одной из самых важных как в социально-экономическом, так и в медицинском аспектах.

Удовлетворение потребностей в высококачественных продуктах питания — одна из основных социально-экономических задач сегодняшнего дня.

Область здорового питания находится под контролем государства. Именно поэтому государством разработана нормативно-правовая база:

  • Кодекс Республики Казахстан «О здоровье народа и системе здравоохранения» ст.90;
  • Закон Республики Казахстан «О безопасности пищевой продукции» от 21 июля 2007 года № 301-ΙΙΙ ЗРК
  • Санитарные правила «Санитарно-эпидемиологические требования к осуществлению производственного контроля», утв. приказом Министра национальной экономики Республики Казахстан от 6 июня 2016 года № 239.

Для осуществления контроля за политикой по сохранению и укреплению здоровья населения, профилактике заболеваний, связанных с неправильным питанием детей и взрослых вышеуказанными нормативными документами предусмотрено проведение производственного контроля на предприятиях производства и оборота пищевой продукции

Производственный контроль – комплекс мероприятий, в том числе лабораторных исследований и испытаний производимой продукции, работ и услуг, выполняемых индивидуальным предпринимателем или юридическим лицом, направленных на обеспечение безопасности для человека и среды обитания.

Все объекты производства и оборота пищевой продукции обязаны проходить производственный контроль. Периодичность проведения контроля определяется в соответствии с «Санитарно-эпидемиологическими требованиями к осуществлению производственного контроля». Ежегодные, квартальные или ежемесячные исследования проводятся в зависимости от вредности производственных факторов.

Информация о результатах производственного контроля, проводимого на производственных объектах, представляются в территориальные подразделения ведомства государственного органа в сфере санитарно-эпидемиологического благополучия населения на соответствующей территории 1 раз в полугодие к 5 числу последующего месяца.

Для проведения производственного контроля разрабатывается и утверждается программа производственного контроля.

Программа включает в себя лабораторные исследования и замеры в случаях, установленных документами нормирования: контроль сырья, полуфабрикатов, упаковочных материалов, изделий, контактирующих с пищевой продукцией и водой; контроль наличия документов, подтверждающих их безопасность.

Производственный контроль – объёмный и сложный комплекс мер исследования органолептических, микробиологических, физико-химических, радиологических, токсичных показателей пищевых продуктов.

Испытательный центр Павлодарского филиала АО «НаЦЭкС» предлагает свои услуги в части разработки программы и проведения производственного контроля предприятиям пищевой промышленности и приглашает к сотрудничеству всех заинтересованных лиц.

За более подробной информацией обращаться по адресу:

г. Павлодар, ул. Жамбылская, 2, тел.: 8 (7182) 60-49-41, 390-688 (вн. 9035, 9034),

Принят Государственной Думой 12 июля 2017 года

Одобрен Советом Федерации 19 июля 2017 года

Статья 1

«Статья 2741. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации, —

наказываются принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет,

2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации, —

наказывается принудительными работами на срок до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.

3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, —

наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, —

наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия, —

наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.».

Статья 2

1) пункт 2 части второй после цифр «2291,» дополнить цифрами «2741,»;

2) в части пятой цифры «272 — 274» заменить цифрами «272 — 2741».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *