АДМИНИСТРАЦИЯ АРГАЯШСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ЧЕЛЯБИНСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
" 09 " января 2019 г. № 2
Об утверждении положения о порядке
организации и проведения работ по
защите информации ограниченного
доступа, не содержащей сведений,
составляющих государственную тайну,
в администрации Аргаяшского
муниципального района
В соответствии с Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 г. № 282:
администрация Аргаяшского муниципального района ПОСТАНОВЛЯЕТ:
1. Утвердить положение о порядке организации и проведения работ по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в Администрации Аргаяшского муниципального района.
2. Настоящее распоряжение вступает в силу с момента его подписания.
3. Начальнику отдела информационных технологий Сорокину Д. В. опубликовать настоящее распоряжение на официальном сайте администрации Аргаяшского муниципального района.
4. Контроль за исполнением данного распоряжения возложить на заместителя Главы района по вопросам экономического развития, руководителя аппарата Ишимова И. В.
Глава Аргаяшского
Муниципального района И. М. Валишин
Утверждено постановлением
администрации Аргаяшского
муниципального района
от " 09" января 2019 г. № 2
Положение
о порядке организации и проведения работ по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну,
в администрации Аргаяшского муниципального района Челябинской области
I. Общие положения
1. Настоящее Положение о порядке организации и проведения работ по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в администрации Аргаяшского муниципального района Челябинской области (далее именуется - Положение) разработано в соответствии с Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 г. № 282, и другими нормативнометодическими документами по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
2. Настоящее Положение определяет порядок организации и проведения работ по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (далее именуется - информация ограниченного доступа), в администрации Аргаяшского муниципального района Челябинской области (далее именуется -Администрация).
3. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её собственника.
4. При определении конфиденциальности документов, в том числе в электронной форме, необходимо руководствоваться Перечнем сведений конфиденциального характера администрации Аргаяшского муниципального района (далее именуется - Перечень), утверждённым распоряжением Администрации Аргаяшского муниципального района.
5. Муниципальные служащие и работники администрации Аргаяшского муниципального района, которые в силу служебной необходимости должны иметь доступ к информации конфиденциального характера, обязаны ознакомиться с настоящим Положением, Перечнем и подписать обязательство о неразглашении информации конфиденциального характера.
6. Ознакомление муниципальных служащих и работников администрации Аргаяшского муниципального района с Положением и Перечнем, а также их инструктаж по работе с информацией конфиденциального характера, производятся их непосредственными руководителями.
Подписанное муниципальным служащим или работником Администрации Аргаяшского муниципального района обязательство о неразглашении информации конфиденциального характера (далее именуется - Обязательство) хранится в его личном деле.
8. За общее состояние и организацию работ по технической защите информации ограниченного доступа в администрации Аргаяшского муниципального района ответственность возложена на Заместителя Главы Аргаяшского муниципального района по вопросам экономического развития, руководителя аппарата.
Ответственность за выполнение мероприятий по защите информации ограниченного доступа в Администрации Аргаяшского муниципального района возложена на начальника отдела информационных технологий Администрации Аргаяшского муниципального района.
II. Информация, подлежащая защите, и потенциальные угрозы информационной безопасности объектов защиты
9. Защите подлежит информация ограниченного доступа (речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде носителей на бумажной, магнитной, магнито-оптической и иной основе).
Объектами защиты при этом являются:
- автоматизированные системы (далее именуется - АС);
- средства изготовления и размножения документов (далее именуется - СИРД);
- защищаемые помещения (далее именуется - ЗП).
10. В качестве угроз информационной безопасности объектов защиты необходимо рассматривать:
- использование разведками иностранных государств технических средств для получения информации ограниченного доступа, перехват информации, обсуждаемой в защищаемых помещениях и циркулирующей в основных технических средствах и системах, а также воздействие на информационные ресурсы автоматизированных систем с целью разрушения, искажения и блокирования информации;
- использование криминальными структурами технических средств для получения информации, представляющей ценность в интересах планирования криминальных акций;
- преднамеренные действия нарушителей и злоумышленников, незаконным путем проникших на объекты посредством контактного несанкционированного доступа к элементам автоматизированных систем, к носителям информации, к вводимой и выводимой информации, к программному обеспечению, а также подключения к линиям связи;
- непреднамеренные действия персонала, приводящие к утечке, искажению, разрушению информации, подлежащей защите, в том числе ошибки эксплуатации технических и программных средств автоматизированных систем.
III. Цели и задачи технической защиты информации ограниченного доступа
11. Целями технической защиты информации ограниченного доступа являются:
- исключение утечки информации ограниченного доступа с помощью технических средств разведки;
- предотвращение несанкционированного доступа (далее именуется - НСД) к информации ограниченного доступа, ее разрушения, искажения, уничтожения, блокировки и несанкционированного копирования в системах и средствах информатизации;
- обеспечение условий быстрого, полного и всестороннего расследования случаев утечки информации;
- устранение негативных последствий и условий в случае несанкционированной утечки или утраты информации.
12. Задачами технической защиты информации ограниченного доступа являются:
- проведение в администрации государственной политики по технической защите информации;
- подготовка предложений по совершенствованию правового, нормативно-методического и организационного обеспечения технической защиты информации в администрации;
- анализ состояния и прогнозирование источников угроз безопасности информации;
- разработка целевых программ по технической защите информации в администрации;
- учет информационных ресурсов, систем и средств формирования, передачи, хранения, обработки и распространения информации, подлежащих технической защите;
- контроль и анализ состояния технической защиты информации в администрации;
IV. Порядок аттестации, ввода в эксплуатацию объектов информатизации и взаимодействия администрации, специализированных сторонних организаций при эксплуатации объектов информатизации и системы защиты информации.
13. В администрации документально оформляется перечень объектов информатизации (АС, СИРД и ЗП), а также лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации.
14. Все объекты информатизации (далее именуется - ОИ), предназначенные для обработки (хранения, циркуляции) информации ограниченного доступа, должны быть аттестованы на соответствие установленным нормам и требованиям по защите информации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации.
15. Аттестационные испытания проводятся аттестационной комиссией предприятий (организаций), имеющих лицензию Федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации (организации-лицензиаты ФСТЭК России).
Для проведения испытаний аттестационной комиссии подготавливаются и представляются:
- технический паспорт на объект информатизации;
- акт классификации объекта информатизации по требованиям защиты информации;
состав технических и программных средств, входящих в автоматизированную систему (или технических средств, расположенных в защищаемом помещении);
- план контролируемой зоны;
- перечень защищаемых в АС ресурсов (или конфиденциальность обсуждаемых в защищаемых помещении вопросов);
- организационно-распорядительную документацию разрешительной системы доступа персонала к защищаемым ресурсам АС (обсуждаемым вопросам);
- инструкции пользователям и администратору безопасности информации;
- инструкции по эксплуатации средств защиты информации;
- сертификаты соответствия требованиям по безопасности информации на используемые средства защиты информации.
В результате аттестационных испытаний оформляется «Аттестат соответствия», которым подтверждается, что объект информатизации соответствует требованиям стандартов или иных нормативных документов по защите конфиденциальной информации, утвержденных Федеральной службой по техническому и экспортному контролю Российской Федерации и другими органами государственного управления в пределах их компетенции.
На основании выданного специализированной организацией аттестата соответствия издается приказ о разрешении обработки информации ограниченного доступа на объекте информатизации и назначении лиц, ответственных за обеспечение защиты информации при его эксплуатации.
Методическое руководство, разработку требований к мерам защиты и контроль за эффективностью использования предусмотренных мер защиты информации ограниченного доступа обеспечивает отдел информационных технологий администрации Аргаяшского муниципального района.
Отдел информационных технологий администрации Аргаяшского муниципального района осуществляет следующие основные функции:
- осуществляет методическое руководство и участвует в разработке (согласовании) конкретных требований по защите информации ограниченного доступа и разработке технического задания на аттестацию объекта информатизации;
- согласовывает степень участия персонала в обработке (обсуждении, передаче, хранении) защищаемой информации;
- определяет класс защищенности объектов информатизации;
- определяет перечень предполагаемых к использованию сертифицированных средств защиты информации;
- участвует в организации обучения должностных лиц, ответственных за эксплуатацию СЗИ, по направлению обеспечения безопасности информации.
Привлечение для организации работ по созданию системы защиты информации (далее именуется - СЗИ) или ее отдельных компонентов сторонних специализированных организаций осуществляется в соответствии с порядком, устанавливаемым нормативными и организационно-распорядительными документами ФСТЭК России.
В случае привлечения для обеспечения безопасности информации сторонних специализированных организаций в соответствии с требованиями Федерального закона от 05.04.2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» рекомендуется выполнение следующих условий:
- наличие у организации лицензии на право проведения работ по технической защите конфиденциальной информации;
- проведение инструктажа исполнителей работ по вопросам информационной безопасности;
- другие условия, устанавливаемые соответствующими нормативными и организационно-распорядительными документами.
V. Контроль состояния защиты информации в администрации
16. Контроль состояния защиты информации в администрации осуществляется в целях:
- предупреждения и пересечения возможности получения техническими средствами разведки охраняемых сведений об объектах информатизации органа;
- выявления и предотвращения утечки информации по техническим каналам;
- исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации;
- предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности систем информатизации.
17. Основными задачами контроля являются:
- проверка организации выполнения мероприятий по защите информации в подразделениях Администрации, учета требований по защите информации в разрабатываемых плановых и распорядительных документах;
- проверка выполнения установленных норм и требований по защите информации;
- оценка достаточности и эффективности мероприятий по защите информации;
- проверка выполнения требований по защите автоматизированных систем от несанкционированного доступа;
- проверка выполнения требований по антивирусной защите автоматизированных рабочих мест;
- проверка знаний должностных лиц по вопросам защиты информации и их соответствия необходимому уровню подготовки для конкретного рабочего места;
- оперативное принятие мер по пресечению нарушений требований (норм) защиты информации на объектах информатизации администрации.
18. Повседневный контроль за выполнением мероприятий по защите информации осуществляет специалист, ответственный за эксплуатацию объекта информатизации.
19. Периодический контроль за выполнением мероприятий по защите информации проводится руководителями структурных подразделений, где эксплуатируется объект информатизации, совместно с администратором АС и специалистом, ответственным за эксплуатацию объекта информатизации не реже одного раза в три месяца.
В ходе контроля проверяется:
- соблюдение организационно-режимных требований;;
- выполнение требований по защите автоматизированных систем от несанкционированного доступа;
- выполнение требований по антивирусной защите автоматизированных систем.
20. Контроль эффективности принятых мер защиты информации на объектах информатизации администрации с использованием технических средств осуществляется не реже одного раза в год организацией-лицензиатом ФСТЭК России с оформлением протокола ежегодной проверки на соответствие требованиям по защите информации и заключения по результатам ежегодной проверки на соответствие требованиям по защите информации объекта информатизации.
Результаты контроля отражаются в техническом паспорте объекта информатизации.
VI. Ответственность должностных лиц
21. Ответственность за организацию работ по защите информации в администрации возлагается на должностное лицо, назначенное ответственным за непосредственное руководство работами по защите информации.
22. Ответственность за планирование работ по защите информации, организацию контроля за эффективностью их выполнения, организацию разработки нормативно-методических документов по технической защите информации, разработку (совместно со структурными подразделениями, эксплуатирующими ОИ) распорядительных документов по вопросам организации технической защиты информации, аттестацию объектов информатизации возлагается на отдел информационных технологий администрации).
23. Ответственность за выполнение установленных мероприятий по технической защите информации на введенных в эксплуатацию объектах информатизации, возлагается на руководителя структурного подразделения, эксплуатирующего объект информатизации и ответственного за эксплуатацию объекта информатизации.
24. Ответственность за формирование политики антивирусной защиты, организацию своевременной инсталляции средств антивирусной защиты информации и обновление баз данных вирусных описаний на АС возлагается на администратора безопасности.
25. Ответственность за своевременное ознакомление государственных гражданских служащих и работников администрации с руководящими документами по организации защиты информации и порядку работы с информацией ограниченного доступа несут их непосредственные руководители.
26. Должностные лица, допустившие разглашение информации ограниченного доступа, несут ответственность в соответствии с действующим законодательством Российской Федерации.