Основная информация
| Дата опубликования: | 06 февраля 2012г. |
| Номер документа: | RU44000201200033 |
| Текущая редакция: | 5 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Костромская область |
| Принявший орган: | Губернатор Костромской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ГУБЕРНАТОР КОСТРОМСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
ОТ 6 ФЕВРАЛЯ 2012 ГОДА № 25
ОБ ОРГАНИЗАЦИИ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ, ОБРАБОТКЕ И ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ АДМИНИСТРАЦИИ КОСТРОМСКОЙ ОБЛАСТИ
(в редакции постановлений губернатора Костромской области от 08.06.2015 года № 101, от 03.07.2020 № 125, от 13.08.2020 № 167, от 13.10.2020 № 204)
В соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации», Указом Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
(преамбула в редакции постановления губернатора Костромской области от 08.06.2015 года № 101 (НГР RU44000201500604)
ПОСТАНОВЛЯЮ:
1. Утвердить:
1) исключен постановлением губернатора Костромской области от 13.10.2020 № 204.
2) Положение об обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области (приложение № 2).
2. Настоящее постановление вступает в силу со дня его официального опубликования.
Губернатор области
И. Слюняев
Приложение № 1
Утверждено
постановлением губернатора
Костромской области
от 06 февраля 2012г. № 25
(приложение № 1 исключено постановлением губернатора Костромской области от 13.10.2020 № 204)
Приложение № 2
Утверждено
постановлением губернатора
Костромской области
от 06 февраля 2012 г. № 25
Положение
об обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области
Глава 1. Общие положения
1. Настоящее Положение об обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области (далее - Положение) разработано в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К)», утвержденными приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 года № 282, национальным стандартом Российской Федерации «Защита информации. Основные термины и определения. ГОСТ Р 50922-2006», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 года № 373-ст, приказами Федеральной службы по техническому и экспортному контролю Российской Федерации от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденными приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 года № 282.
(п. 1 в редакции постановления губернатора Костромской области от 08.06.2015 года № 101 (НГР RU44000201500604))
2. Настоящее Положение определяет цели обработки и защиты конфиденциальной информации, объекты защиты конфиденциальной информации, организационную систему обработки и защиты конфиденциальной информации, в том числе персональных данных в автоматизированных информационных системах администрации Костромской области, основные направления и методы защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области, обязанности и ответственность пользователей и должностных лиц при обработке конфиденциальной информации в автоматизированных информационных системах администрации Костромской области, а также ответственность за разглашение конфиденциальной информации.
3. Настоящее Положение не распространяется на вопросы защиты информации, содержащей государственную тайну.
4. В Положении используются термины и определения, установленные в актах, указанных в пункте 1 настоящего Положения.
Глава 2. Цели обработки и защиты конфиденциальной информации
5. Основной целью обработки конфиденциальной информации в автоматизированных информационных системах администрации Костромской области является повышение эффективности исполнения администрацией Костромской области установленных законодательством полномочий.
6. Основными целями защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области являются:
1) предотвращение неконтролируемого распространения конфиденциальной информации в результате ее разглашения сотрудниками или получения несанкционированного доступа к информации;
2) предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации;
3) предотвращение утрат, несанкционированного уничтожения или сбоев функционирования машинных носителей информации, обеспечение полноты, целостности, достоверности информации;
4) соблюдение правового режима использования автоматизированных информационных систем администрации Костромской области;
5) обеспечение возможности обработки и использования конфиденциальной информации сотрудниками администрации Костромской области, имеющими соответствующие полномочия.
Глава 3. Объекты защиты конфиденциальной информации
7. Объектами защиты конфиденциальной информации в информационных системах администрации Костромской области являются: информация, ее материальные носители, программные и технические средства обработки, передачи и защиты информации (далее - Активы).
8. Защите подлежат следующие Активы:
1) информационные ресурсы, содержащие сведения, отнесенные к категории информации конфиденциального характера, представленные в виде отдельных документов, информационных массивов и баз данных, зафиксированных на машинных носителях;
2) основные технические средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и программное обеспечение), телекоммуникационные системы, используемые для обработки и передачи информации, содержащей сведения, отнесенные к конфиденциальной информации;
3) вспомогательные технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к конфиденциальной информации.
Глава 4. Организационная система обработки и защиты конфиденциальной информации
9. Организационную систему обработки и защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области образуют:
1) губернатор Костромской области - осуществляет общее руководство по вопросам обработки и защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области;
2) должностное лицо, определяемое губернатором Костромской области, курирующее вопросы по защите информации, - осуществляет распорядительные функции по организации работ по обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области, взаимодействует с надзорными органами по общим вопросам обработки и защиты конфиденциальной информации в администрации Костромской области;
3) руководители структурных подразделений аппарата администрации Костромской области, в которых производится обработка конфиденциальной информации, – организуют обработку конфиденциальной информации в своем структурном подразделении;
4) управление цифрового развития администрации Костромской области - организует работу по технической защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области, производит оценку эффективности применяемых мер технической защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области;
(п.п. 4 в редакции постановления губернатора Костромской области от 03.07.2020 № 125)
5) пользователи (потребители) информации (далее - Пользователи) – сотрудники структурных подразделений аппарата администрации Костромской области, наделенные соответствующими правами по доступу к конфиденциальной информации и непосредственно использующие эту информацию для исполнения своих должностных обязанностей или выполняющие непосредственные действия по вводу, хранению, обработке и передаче конфиденциальной информации;
6) технические специалисты - сотрудники сторонних организаций, привлекаемые к работам в администрации Костромской области на основании договоров, осуществляющие технические действия по эксплуатации средств вычислительной техники и автоматизированных информационных систем администрации Костромской области.
10. Для проведения работ по защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области могут привлекаться на договорной основе специализированные организации, имеющие соответствующие лицензии на право проведения работ в области защиты информации.
Глава 5. Основные направления и методы защиты конфиденциальной информации
11. Основными направлениями работ по защите конфиденциальной информации являются:
1) физическая защита помещений, в которых обрабатывается конфиденциальная информация, от проникновения посторонних лиц;
2) физическая защита Активов от хищения, разрушения, уничтожения;
3) защита от несанкционированного доступа к конфиденциальной информации, несанкционированного или непреднамеренного воздействия;
4) защита от преднамеренных или непреднамеренных действий Пользователей, ведущих к утечке или утрате конфиденциальной информации.
12. Мероприятия по защите конфиденциальной информации включают в себя организационно-распорядительные, технические и контрольно-корректирующие.
13. Организационно-распорядительные мероприятия по защите конфиденциальной информации включают в себя:
1) разработку организационно-распорядительных документов по защите конфиденциальной информации;
2) ограничение числа лиц, допущенных к обработке конфиденциальной информации;
3) организацию контролируемой зоны, размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ, ограничение доступа лиц, не допущенных к обработке конфиденциальной информации, внутрь контролируемой зоны;
4) размещение дисплеев и других средств отображения, исключающее несанкционированный просмотр информации;
5) документальное оформление перечня сведений конфиденциального характера, Реестра автоматизированных информационных систем администрации Костромской области, обрабатывающих конфиденциальную информацию;
6) инвентаризацию, учет и надежное хранение Активов, содержащих конфиденциальную информацию или посредством которых производится обработка конфиденциальной информации;
7) классификацию и категорирование автоматизированных информационных систем администрации Костромской области, обрабатывающих конфиденциальную информацию, исходя из требований законодательства и критичности для обеспечения государственного управления, в необходимых случаях - аттестацию автоматизированных информационных систем администрации Костромской области;
8) выявление угроз несанкционированного доступа к конфиденциальной информации, разработку мероприятий по нейтрализации угроз;
9) организацию и соблюдение правил парольной защиты в автоматизированных информационных системах администрации Костромской области;
10) повышение квалификации, совершенствование знаний и навыков Пользователей в вопросах защиты конфиденциальной информации;
11) дисциплинарную практику.
14. Мероприятия по технической защите информации включают в себя:
1) организацию физической защиты помещений и технических средств обработки информации с использованием организационных мер и технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;
2) сегментацию локальных вычислительных сетей в администрации Костромской области, применение в сегментах локальных вычислительных сетей, в которых обрабатывается конфиденциальная информация, технических средств защиты информации, соответствующих требуемому классу защиты;
3) техническую реализацию системы парольной защиты для автоматизированных информационных систем администрации Костромской области, в которой обрабатывается конфиденциальная информация;
4) использование сертифицированных средств защиты информации в автоматизированных информационных системах администрации Костромской области при передаче информации по открытым каналам связи в соответствии с установленными законодательством требованиями;
5) регистрацию действий Пользователей, технических специалистов, контроль несанкционированного доступа и действий Пользователей, технических специалистов и посторонних лиц;
6) использование защищенных каналов связи, реализацию технологии частных виртуальных сетей в корпоративной вычислительной сети администрации Костромской области;
7) реализацию мероприятий по антивирусной защите в автоматизированных информационных системах администрации Костромской области;
8) реализацию системы резервного копирования информации.
15. Контрольно-корректирующие мероприятия по защите конфиденциальной информации включают в себя:
1) контроль исполнения законодательства в области защиты конфиденциальной информации;
2) контроль исполнения организационно-распорядительных документов;
3) контроль выполнения мероприятий по технической защите информации, оценку эффективности выполнения мероприятий по технической защите информации;
4) выработку корректирующих воздействий, реализуемых путем издания и последующего исполнения организационно-распорядительных документов;
5) применение дисциплинарных мер.
16. Порядок действий по реализации мероприятий по защите конфиденциальной информации определяется инструкциями и регламентами, разрабатываемыми и утверждаемыми в соответствии с принятым в администрации Костромской области порядком.
Глава 6. Обязанности и ответственность Пользователей и должностных лиц при обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области
17. Должностное лицо, курирующее вопросы по защите информации, утверждает организационно-распорядительные документы по защите информации.
18. Руководители структурных подразделений, в которых производится обработка конфиденциальной информации:
1) несут ответственность за организацию обработки конфиденциальной информации в своем структурном подразделении;
2) вносят предложения по включению в Реестр автоматизированных информационных систем обработки конфиденциальной информации администрации Костромской области, изменению или исключению соответствующих сведений в реестре;
3) вносят предложения и изменения в списки сотрудников, допускаемых к работе с конфиденциальной информацией, в эксплуатируемых автоматизированных информационных системах администрации Костромской области;
4) обеспечивают выполнение организационных мероприятий по обеспечению защиты конфиденциальной информации;
5) несут ответственность за соблюдение требований по защите конфиденциальной информации пользователями своих структурных подразделений и принимают меры по фактам нарушений требований по защите конфиденциальной информации, разглашения конфиденциальной информации или утери документов, содержащих такую информацию;
6) несут ответственность за своевременное информирование администратора информационной безопасности о необходимости уничтожения конфиденциальной информации с жестких дисков персональных компьютеров, передаваемых в ремонт или в другие структурные подразделения и исполнительные органы государственной власти;
7) несут ответственность за выполнение Пользователями своего структурного подразделения общих правил работы на персональных компьютерах и в локальных вычислительных сетях администрации Костромской области, при передаче информации по каналам связи с использованием сертифицированных средств криптографической защиты информации, при организации доступа в информационно-телекоммуникационную сеть «Интернет», соблюдение Пользователями условий хранения средств технической защиты информации;
(пп. 7 п. 18 в новой редакции постановления губернатора Костромской области от 08.06.2015 года № 101 (НГР RU44000201500604))
7) определяют порядок передачи информации конфиденциального характера другим структурным подразделениям аппарата администрации Костромской области, исполнительным органам государственной власти Костромской области, муниципальным образованиям Костромской области и сторонним организациям;
8) несут ответственность за характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принятие оперативных мер к соблюдению установленных требований по защите конфиденциальной информации.
19. управление цифрового развития администрации Костромской области:
1) организует ведение реестра автоматизированных информационных систем администрации Костромской области, в которых осуществляется обработка конфиденциальной информации;
2) назначает администратора информационной безопасности администрации Костромской области;
3) организует и обеспечивает исполнение работ по технической защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области;
4) осуществляет контроль состояния защиты конфиденциальной информации и производит оценку эффективности применяемых мер технической защиты информации в автоматизированных информационных системах администрации Костромской области;
5) осуществляет разработку проектов планов мероприятий по организации системы защиты информации в автоматизированных информационных системах администрации Костромской области, участвует в их исполнении;
6) представляет отчеты о состоянии системы защиты информации в автоматизированных информационных системах администрации Костромской области;
7) разрабатывает проекты организационно-распорядительных документов по вопросам обработки и технической защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области;
8) разрабатывает предложения по совершенствованию системы защиты информации в администрации Костромской области;
9) курирует исполнение мероприятий по защите информации в исполнительных органах государственной власти Костромской области.
(п. 19 в редакции постановления губернатора Костромской области от 03.07.2020 № 125)
20. Пользователи:
1) участвуют в обработке конфиденциальной информации, осуществляют непосредственные действия по регистрации информации в автоматизированных информационных системах администрации Костромской области, ее обработке, передаче по сетям передачи данных, применению сертифицированных средств защиты информации;
2) используют информацию, документы, полученные из автоматизированных информационных систем администрации Костромской области, в своей работе с целью реализации возложенных на них функций;
3) применяют (в необходимых случаях) сертифицированные средства защиты информации;
4) несут персональную ответственность за передачу или утерю носителей конфиденциальной информации, а также средств защиты информации.
Глава 7. Ответственность за разглашение конфиденциальной информации
21. За разглашение информации конфиденциального характера, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение или неисполнение требований режима защиты, обработки и порядка использования этой информации сотрудник может быть привлечен к дисциплинарной, гражданско-правовой, административной или уголовной ответственности, предусмотренной действующим законодательством Российской Федерации.
ГУБЕРНАТОР КОСТРОМСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
ОТ 6 ФЕВРАЛЯ 2012 ГОДА № 25
ОБ ОРГАНИЗАЦИИ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ, ОБРАБОТКЕ И ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ АДМИНИСТРАЦИИ КОСТРОМСКОЙ ОБЛАСТИ
(в редакции постановлений губернатора Костромской области от 08.06.2015 года № 101, от 03.07.2020 № 125, от 13.08.2020 № 167, от 13.10.2020 № 204)
В соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации», Указом Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
(преамбула в редакции постановления губернатора Костромской области от 08.06.2015 года № 101 (НГР RU44000201500604)
ПОСТАНОВЛЯЮ:
1. Утвердить:
1) исключен постановлением губернатора Костромской области от 13.10.2020 № 204.
2) Положение об обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области (приложение № 2).
2. Настоящее постановление вступает в силу со дня его официального опубликования.
Губернатор области
И. Слюняев
Приложение № 1
Утверждено
постановлением губернатора
Костромской области
от 06 февраля 2012г. № 25
(приложение № 1 исключено постановлением губернатора Костромской области от 13.10.2020 № 204)
Приложение № 2
Утверждено
постановлением губернатора
Костромской области
от 06 февраля 2012 г. № 25
Положение
об обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области
Глава 1. Общие положения
1. Настоящее Положение об обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области (далее - Положение) разработано в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К)», утвержденными приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 года № 282, национальным стандартом Российской Федерации «Защита информации. Основные термины и определения. ГОСТ Р 50922-2006», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 года № 373-ст, приказами Федеральной службы по техническому и экспортному контролю Российской Федерации от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденными приказом Государственной технической комиссии Российской Федерации от 30 августа 2002 года № 282.
(п. 1 в редакции постановления губернатора Костромской области от 08.06.2015 года № 101 (НГР RU44000201500604))
2. Настоящее Положение определяет цели обработки и защиты конфиденциальной информации, объекты защиты конфиденциальной информации, организационную систему обработки и защиты конфиденциальной информации, в том числе персональных данных в автоматизированных информационных системах администрации Костромской области, основные направления и методы защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области, обязанности и ответственность пользователей и должностных лиц при обработке конфиденциальной информации в автоматизированных информационных системах администрации Костромской области, а также ответственность за разглашение конфиденциальной информации.
3. Настоящее Положение не распространяется на вопросы защиты информации, содержащей государственную тайну.
4. В Положении используются термины и определения, установленные в актах, указанных в пункте 1 настоящего Положения.
Глава 2. Цели обработки и защиты конфиденциальной информации
5. Основной целью обработки конфиденциальной информации в автоматизированных информационных системах администрации Костромской области является повышение эффективности исполнения администрацией Костромской области установленных законодательством полномочий.
6. Основными целями защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области являются:
1) предотвращение неконтролируемого распространения конфиденциальной информации в результате ее разглашения сотрудниками или получения несанкционированного доступа к информации;
2) предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации;
3) предотвращение утрат, несанкционированного уничтожения или сбоев функционирования машинных носителей информации, обеспечение полноты, целостности, достоверности информации;
4) соблюдение правового режима использования автоматизированных информационных систем администрации Костромской области;
5) обеспечение возможности обработки и использования конфиденциальной информации сотрудниками администрации Костромской области, имеющими соответствующие полномочия.
Глава 3. Объекты защиты конфиденциальной информации
7. Объектами защиты конфиденциальной информации в информационных системах администрации Костромской области являются: информация, ее материальные носители, программные и технические средства обработки, передачи и защиты информации (далее - Активы).
8. Защите подлежат следующие Активы:
1) информационные ресурсы, содержащие сведения, отнесенные к категории информации конфиденциального характера, представленные в виде отдельных документов, информационных массивов и баз данных, зафиксированных на машинных носителях;
2) основные технические средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и программное обеспечение), телекоммуникационные системы, используемые для обработки и передачи информации, содержащей сведения, отнесенные к конфиденциальной информации;
3) вспомогательные технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к конфиденциальной информации.
Глава 4. Организационная система обработки и защиты конфиденциальной информации
9. Организационную систему обработки и защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области образуют:
1) губернатор Костромской области - осуществляет общее руководство по вопросам обработки и защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области;
2) должностное лицо, определяемое губернатором Костромской области, курирующее вопросы по защите информации, - осуществляет распорядительные функции по организации работ по обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области, взаимодействует с надзорными органами по общим вопросам обработки и защиты конфиденциальной информации в администрации Костромской области;
3) руководители структурных подразделений аппарата администрации Костромской области, в которых производится обработка конфиденциальной информации, – организуют обработку конфиденциальной информации в своем структурном подразделении;
4) управление цифрового развития администрации Костромской области - организует работу по технической защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области, производит оценку эффективности применяемых мер технической защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области;
(п.п. 4 в редакции постановления губернатора Костромской области от 03.07.2020 № 125)
5) пользователи (потребители) информации (далее - Пользователи) – сотрудники структурных подразделений аппарата администрации Костромской области, наделенные соответствующими правами по доступу к конфиденциальной информации и непосредственно использующие эту информацию для исполнения своих должностных обязанностей или выполняющие непосредственные действия по вводу, хранению, обработке и передаче конфиденциальной информации;
6) технические специалисты - сотрудники сторонних организаций, привлекаемые к работам в администрации Костромской области на основании договоров, осуществляющие технические действия по эксплуатации средств вычислительной техники и автоматизированных информационных систем администрации Костромской области.
10. Для проведения работ по защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области могут привлекаться на договорной основе специализированные организации, имеющие соответствующие лицензии на право проведения работ в области защиты информации.
Глава 5. Основные направления и методы защиты конфиденциальной информации
11. Основными направлениями работ по защите конфиденциальной информации являются:
1) физическая защита помещений, в которых обрабатывается конфиденциальная информация, от проникновения посторонних лиц;
2) физическая защита Активов от хищения, разрушения, уничтожения;
3) защита от несанкционированного доступа к конфиденциальной информации, несанкционированного или непреднамеренного воздействия;
4) защита от преднамеренных или непреднамеренных действий Пользователей, ведущих к утечке или утрате конфиденциальной информации.
12. Мероприятия по защите конфиденциальной информации включают в себя организационно-распорядительные, технические и контрольно-корректирующие.
13. Организационно-распорядительные мероприятия по защите конфиденциальной информации включают в себя:
1) разработку организационно-распорядительных документов по защите конфиденциальной информации;
2) ограничение числа лиц, допущенных к обработке конфиденциальной информации;
3) организацию контролируемой зоны, размещение объекта защиты внутри контролируемой зоны на максимально возможном удалении от ее границ, ограничение доступа лиц, не допущенных к обработке конфиденциальной информации, внутрь контролируемой зоны;
4) размещение дисплеев и других средств отображения, исключающее несанкционированный просмотр информации;
5) документальное оформление перечня сведений конфиденциального характера, Реестра автоматизированных информационных систем администрации Костромской области, обрабатывающих конфиденциальную информацию;
6) инвентаризацию, учет и надежное хранение Активов, содержащих конфиденциальную информацию или посредством которых производится обработка конфиденциальной информации;
7) классификацию и категорирование автоматизированных информационных систем администрации Костромской области, обрабатывающих конфиденциальную информацию, исходя из требований законодательства и критичности для обеспечения государственного управления, в необходимых случаях - аттестацию автоматизированных информационных систем администрации Костромской области;
8) выявление угроз несанкционированного доступа к конфиденциальной информации, разработку мероприятий по нейтрализации угроз;
9) организацию и соблюдение правил парольной защиты в автоматизированных информационных системах администрации Костромской области;
10) повышение квалификации, совершенствование знаний и навыков Пользователей в вопросах защиты конфиденциальной информации;
11) дисциплинарную практику.
14. Мероприятия по технической защите информации включают в себя:
1) организацию физической защиты помещений и технических средств обработки информации с использованием организационных мер и технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;
2) сегментацию локальных вычислительных сетей в администрации Костромской области, применение в сегментах локальных вычислительных сетей, в которых обрабатывается конфиденциальная информация, технических средств защиты информации, соответствующих требуемому классу защиты;
3) техническую реализацию системы парольной защиты для автоматизированных информационных систем администрации Костромской области, в которой обрабатывается конфиденциальная информация;
4) использование сертифицированных средств защиты информации в автоматизированных информационных системах администрации Костромской области при передаче информации по открытым каналам связи в соответствии с установленными законодательством требованиями;
5) регистрацию действий Пользователей, технических специалистов, контроль несанкционированного доступа и действий Пользователей, технических специалистов и посторонних лиц;
6) использование защищенных каналов связи, реализацию технологии частных виртуальных сетей в корпоративной вычислительной сети администрации Костромской области;
7) реализацию мероприятий по антивирусной защите в автоматизированных информационных системах администрации Костромской области;
8) реализацию системы резервного копирования информации.
15. Контрольно-корректирующие мероприятия по защите конфиденциальной информации включают в себя:
1) контроль исполнения законодательства в области защиты конфиденциальной информации;
2) контроль исполнения организационно-распорядительных документов;
3) контроль выполнения мероприятий по технической защите информации, оценку эффективности выполнения мероприятий по технической защите информации;
4) выработку корректирующих воздействий, реализуемых путем издания и последующего исполнения организационно-распорядительных документов;
5) применение дисциплинарных мер.
16. Порядок действий по реализации мероприятий по защите конфиденциальной информации определяется инструкциями и регламентами, разрабатываемыми и утверждаемыми в соответствии с принятым в администрации Костромской области порядком.
Глава 6. Обязанности и ответственность Пользователей и должностных лиц при обработке и защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области
17. Должностное лицо, курирующее вопросы по защите информации, утверждает организационно-распорядительные документы по защите информации.
18. Руководители структурных подразделений, в которых производится обработка конфиденциальной информации:
1) несут ответственность за организацию обработки конфиденциальной информации в своем структурном подразделении;
2) вносят предложения по включению в Реестр автоматизированных информационных систем обработки конфиденциальной информации администрации Костромской области, изменению или исключению соответствующих сведений в реестре;
3) вносят предложения и изменения в списки сотрудников, допускаемых к работе с конфиденциальной информацией, в эксплуатируемых автоматизированных информационных системах администрации Костромской области;
4) обеспечивают выполнение организационных мероприятий по обеспечению защиты конфиденциальной информации;
5) несут ответственность за соблюдение требований по защите конфиденциальной информации пользователями своих структурных подразделений и принимают меры по фактам нарушений требований по защите конфиденциальной информации, разглашения конфиденциальной информации или утери документов, содержащих такую информацию;
6) несут ответственность за своевременное информирование администратора информационной безопасности о необходимости уничтожения конфиденциальной информации с жестких дисков персональных компьютеров, передаваемых в ремонт или в другие структурные подразделения и исполнительные органы государственной власти;
7) несут ответственность за выполнение Пользователями своего структурного подразделения общих правил работы на персональных компьютерах и в локальных вычислительных сетях администрации Костромской области, при передаче информации по каналам связи с использованием сертифицированных средств криптографической защиты информации, при организации доступа в информационно-телекоммуникационную сеть «Интернет», соблюдение Пользователями условий хранения средств технической защиты информации;
(пп. 7 п. 18 в новой редакции постановления губернатора Костромской области от 08.06.2015 года № 101 (НГР RU44000201500604))
7) определяют порядок передачи информации конфиденциального характера другим структурным подразделениям аппарата администрации Костромской области, исполнительным органам государственной власти Костромской области, муниципальным образованиям Костромской области и сторонним организациям;
8) несут ответственность за характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принятие оперативных мер к соблюдению установленных требований по защите конфиденциальной информации.
19. управление цифрового развития администрации Костромской области:
1) организует ведение реестра автоматизированных информационных систем администрации Костромской области, в которых осуществляется обработка конфиденциальной информации;
2) назначает администратора информационной безопасности администрации Костромской области;
3) организует и обеспечивает исполнение работ по технической защите конфиденциальной информации в автоматизированных информационных системах администрации Костромской области;
4) осуществляет контроль состояния защиты конфиденциальной информации и производит оценку эффективности применяемых мер технической защиты информации в автоматизированных информационных системах администрации Костромской области;
5) осуществляет разработку проектов планов мероприятий по организации системы защиты информации в автоматизированных информационных системах администрации Костромской области, участвует в их исполнении;
6) представляет отчеты о состоянии системы защиты информации в автоматизированных информационных системах администрации Костромской области;
7) разрабатывает проекты организационно-распорядительных документов по вопросам обработки и технической защиты конфиденциальной информации в автоматизированных информационных системах администрации Костромской области;
8) разрабатывает предложения по совершенствованию системы защиты информации в администрации Костромской области;
9) курирует исполнение мероприятий по защите информации в исполнительных органах государственной власти Костромской области.
(п. 19 в редакции постановления губернатора Костромской области от 03.07.2020 № 125)
20. Пользователи:
1) участвуют в обработке конфиденциальной информации, осуществляют непосредственные действия по регистрации информации в автоматизированных информационных системах администрации Костромской области, ее обработке, передаче по сетям передачи данных, применению сертифицированных средств защиты информации;
2) используют информацию, документы, полученные из автоматизированных информационных систем администрации Костромской области, в своей работе с целью реализации возложенных на них функций;
3) применяют (в необходимых случаях) сертифицированные средства защиты информации;
4) несут персональную ответственность за передачу или утерю носителей конфиденциальной информации, а также средств защиты информации.
Глава 7. Ответственность за разглашение конфиденциальной информации
21. За разглашение информации конфиденциального характера, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение или неисполнение требований режима защиты, обработки и порядка использования этой информации сотрудник может быть привлечен к дисциплинарной, гражданско-правовой, административной или уголовной ответственности, предусмотренной действующим законодательством Российской Федерации.
Дополнительные сведения
| Государственные публикаторы: | СП - нормативные документы № 5 от 10.02.2012 стр. 21 - 23 |
| Рубрики правового классификатора: | 120.040.010 Информатизация, 120.040.020 Информационные системы, технологии и средства их обеспечения, 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
