Основная информация
| Дата опубликования: | 17 октября 2014г. |
| Номер документа: | RU29000201400990 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Архангельская область |
| Принявший орган: | Губернатор Архангельской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Указы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области
ОПУБЛИКОВАНО: «Волна» от 28.10.2014 №42;
ГУБЕРНАТОР АРХАНГЕЛЬСКОЙ ОБЛАСТИ
УКАЗ
от 17 октября 2014 г. № 107-у
г. Архангельск
О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области
В соответствии с частями 3 и 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», частью 5 статьи 16 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» постановляю:
1. Утвердить прилагаемые изменения, которые вносятся в Положение о порядке обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области, утвержденное указом Губернатора Архангельской области от 25 августа 2011 года № 125-у.
2. Настоящий указ вступает в силу со дня его официального опубликования.
Исполняющий обязанности
Губернатора
Архангельской области
А.В. Алсуфьев
1
УТВЕРЖДЕНЫ
указом Губернатора
Архангельской области
от 17 октября 2014 г. № 107-у
ИЗМЕНЕНИЯ,
которые вносятся в Положение о порядке обращения
со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области
Пункт 1 изложить в следующей редакции:
«1. Настоящее Положение, разработанное в соответствии с федеральными законами от 27 июля 2006 года № 152-ФЗ “О персональных данных” и от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”, определяет общий порядок обращения с документами на различных носителях, в том числе с электронными документами и сообщениями, содержащими служебную информацию ограниченного доступа, не отнесенную к сведениям, составляющим государственную тайну (далее – служебная информация ограниченного доступа), в исполнительных органах государственной власти Архангельской области и представительствах Архангельской области (далее – исполнительные органы).».
В пункте 5:
в абзаце первом слова «в значении, определенном Федеральным законом от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”» заменить словами «в значениях, определенных федеральными законами от 27 июля 2006 года № 152-ФЗ “О персональных данных” и от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”»;
абзац девятый исключить.
3. Пункты 12 и 13 изложить в следующей редакции:
«12. В целях подтверждения эффективности системы защиты информации, реализованной в ЗП, проводится его аттестация на соответствие требованиям безопасности информации.
Аттестация ЗП проводится в соответствии со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 года № 282, национальными стандартами ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» и ГОСТ РО0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Указанная аттестация организуется исполнительным органом, за которым закреплено указанное помещение, до ввода в эксплуатацию ЗП c привлечением юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, не реже одного раза в 3 года.
13. Программа аттестационных испытаний ЗП согласовывается специалистом по технической защите информации исполнительного органа.».
4. Пункты 14 и 15 исключить.
5. Пункт 16 изложить в следующей редакции:
«16. Ввод в действие ЗП осуществляется после его аттестации по требованиям безопасности информации на основании выданного аттестата соответствия.
Разрешение о вводе в действие ЗП принимается и документально оформляется актом исполнительного органа, за которым закреплено указанное помещение.».
6. Пункт 17 исключить.
7. Пункты 18 – 21 изложить в следующей редакции:
«18. При создании систем защиты персональных данных, обрабатываемых в информационных системах персональных данных исполнительных органов, необходимо руководствоваться Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 (далее – Требования к защите персональных данных), Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18 февраля 2013 года № 21.
Для обеспечения безопасности персональных данных при их обработке в государственных информационных системах (далее – ГИС) исполнительных органов необходимо руководствоваться Требованиями о защите информации, не составляющей государственную тайну, содержащейся в ГИС, утвержденными приказом ФСТЭК России от 11 февраля 2013 года № 17 (далее – Требования о защите информации) и Требованиями к защите персональных данных.
При этом в соответствии с пунктом 27 Требований о защите информации должно быть обеспечено соответствующее соотношение класса защищенности ГИС с уровнем защищенности персональных данных. В случае если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности ГИС, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований о защите информации.
19. Уровень защищенности персональных данных, обрабатываемых в информационной системе персональных данных исполнительного органа, устанавливается комиссией исполнительного органа с привлечением специалиста по технической защите информации исполнительного органа в соответствии с Требованиями к защите персональных данных и оформляется актом.
Класс защищенности ГИС исполнительного органа, в которой обрабатываются персональные данные, устанавливается комиссией исполнительного органа с привлечением специалиста по технической защите информации исполнительного органа в соответствии с пунктом 14.2 Требований о защите информации и оформляется актом.
20. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Определение типов угроз безопасности персональных данных, актуальных для информационной системы, производится исполнительным органом в соответствии с пунктом 7 Требований к защите персональных данных.
Для выбора и реализации в ГИС исполнительного органа мер защиты информации в соответствии с пунктом 21 Требований о защите информации применяется методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11 февраля 2014 года.
По решению исполнительного органа указанный методический документ применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18 февраля 2013 года № 21.
21. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится до ввода в эксплуатацию информационной системы персональных данных исполнительным органом самостоятельно или с привлечением юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
Решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается исполнительным органом самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012.
В части ГИС, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации ГИС по требованиям защиты информации в соответствии с Требованиями о защите информации, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013. Указанная аттестация проводится не реже одного раза в 3 года.».
8. Пункт 23 дополнить новым абзацем пятым следующего содержания:
«приказ ФСБ России от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области
ОПУБЛИКОВАНО: «Волна» от 28.10.2014 №42;
ГУБЕРНАТОР АРХАНГЕЛЬСКОЙ ОБЛАСТИ
УКАЗ
от 17 октября 2014 г. № 107-у
г. Архангельск
О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области
В соответствии с частями 3 и 4 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», частью 5 статьи 16 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» постановляю:
1. Утвердить прилагаемые изменения, которые вносятся в Положение о порядке обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области, утвержденное указом Губернатора Архангельской области от 25 августа 2011 года № 125-у.
2. Настоящий указ вступает в силу со дня его официального опубликования.
Исполняющий обязанности
Губернатора
Архангельской области
А.В. Алсуфьев
1
УТВЕРЖДЕНЫ
указом Губернатора
Архангельской области
от 17 октября 2014 г. № 107-у
ИЗМЕНЕНИЯ,
которые вносятся в Положение о порядке обращения
со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области
Пункт 1 изложить в следующей редакции:
«1. Настоящее Положение, разработанное в соответствии с федеральными законами от 27 июля 2006 года № 152-ФЗ “О персональных данных” и от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”, определяет общий порядок обращения с документами на различных носителях, в том числе с электронными документами и сообщениями, содержащими служебную информацию ограниченного доступа, не отнесенную к сведениям, составляющим государственную тайну (далее – служебная информация ограниченного доступа), в исполнительных органах государственной власти Архангельской области и представительствах Архангельской области (далее – исполнительные органы).».
В пункте 5:
в абзаце первом слова «в значении, определенном Федеральным законом от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”» заменить словами «в значениях, определенных федеральными законами от 27 июля 2006 года № 152-ФЗ “О персональных данных” и от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”»;
абзац девятый исключить.
3. Пункты 12 и 13 изложить в следующей редакции:
«12. В целях подтверждения эффективности системы защиты информации, реализованной в ЗП, проводится его аттестация на соответствие требованиям безопасности информации.
Аттестация ЗП проводится в соответствии со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 года № 282, национальными стандартами ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» и ГОСТ РО0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Указанная аттестация организуется исполнительным органом, за которым закреплено указанное помещение, до ввода в эксплуатацию ЗП c привлечением юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, не реже одного раза в 3 года.
13. Программа аттестационных испытаний ЗП согласовывается специалистом по технической защите информации исполнительного органа.».
4. Пункты 14 и 15 исключить.
5. Пункт 16 изложить в следующей редакции:
«16. Ввод в действие ЗП осуществляется после его аттестации по требованиям безопасности информации на основании выданного аттестата соответствия.
Разрешение о вводе в действие ЗП принимается и документально оформляется актом исполнительного органа, за которым закреплено указанное помещение.».
6. Пункт 17 исключить.
7. Пункты 18 – 21 изложить в следующей редакции:
«18. При создании систем защиты персональных данных, обрабатываемых в информационных системах персональных данных исполнительных органов, необходимо руководствоваться Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 (далее – Требования к защите персональных данных), Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18 февраля 2013 года № 21.
Для обеспечения безопасности персональных данных при их обработке в государственных информационных системах (далее – ГИС) исполнительных органов необходимо руководствоваться Требованиями о защите информации, не составляющей государственную тайну, содержащейся в ГИС, утвержденными приказом ФСТЭК России от 11 февраля 2013 года № 17 (далее – Требования о защите информации) и Требованиями к защите персональных данных.
При этом в соответствии с пунктом 27 Требований о защите информации должно быть обеспечено соответствующее соотношение класса защищенности ГИС с уровнем защищенности персональных данных. В случае если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности ГИС, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований о защите информации.
19. Уровень защищенности персональных данных, обрабатываемых в информационной системе персональных данных исполнительного органа, устанавливается комиссией исполнительного органа с привлечением специалиста по технической защите информации исполнительного органа в соответствии с Требованиями к защите персональных данных и оформляется актом.
Класс защищенности ГИС исполнительного органа, в которой обрабатываются персональные данные, устанавливается комиссией исполнительного органа с привлечением специалиста по технической защите информации исполнительного органа в соответствии с пунктом 14.2 Требований о защите информации и оформляется актом.
20. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Определение типов угроз безопасности персональных данных, актуальных для информационной системы, производится исполнительным органом в соответствии с пунктом 7 Требований к защите персональных данных.
Для выбора и реализации в ГИС исполнительного органа мер защиты информации в соответствии с пунктом 21 Требований о защите информации применяется методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11 февраля 2014 года.
По решению исполнительного органа указанный методический документ применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18 февраля 2013 года № 21.
21. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится до ввода в эксплуатацию информационной системы персональных данных исполнительным органом самостоятельно или с привлечением юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
Решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается исполнительным органом самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012.
В части ГИС, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации ГИС по требованиям защиты информации в соответствии с Требованиями о защите информации, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013. Указанная аттестация проводится не реже одного раза в 3 года.».
8. Пункт 23 дополнить новым абзацем пятым следующего содержания:
«приказ ФСБ России от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Дополнительные сведения
| Государственные публикаторы: | ГАЗЕТА "ВОЛНА" № 42 от 28.10.2014 |
| Рубрики правового классификатора: | 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 160.030.040 Государственная тайна (см. также 120.030.050) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
