Администрация Ковернинского муниципального района
Нижегородской области
П О С Т А Н О В Л Е Н И Е
__13.12.2017__ № _1040_
О назначении должностных лиц, ответственных за защиту информации в Администрации Ковернинского муниципального района
В целях создания системы защиты информации ограниченного доступа в Администрации Ковернинского муниципального района, руководствуясь Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 01.11. 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Администрация Ковернинского муниципального района Нижегородской области
п о с т а н о в л я е т:
1. Назначить ответственным за организацию и руководство работами по защите информации Администрации Ковернинского муниципального района специалиста по технической защите информации сектора информационных технологий, связи и технической защиты информации Богаткова Евгения Сергеевича.
2. Утвердить:
2.1. Положение о системе защиты информации ограниченного доступа в Администрации Ковернинского муниципального района (Приложение №1);
2.2. Инструкцию по антивирусному контролю в Администрации Ковернинского муниципального района (Приложение №2);
2.3. Инструкцию по работе на персональном компьютере, в локальной сети и сети Интернет (Приложение №3).
3. Руководителям структурных подразделений Администрации Ковернинского муниципального района ознакомить всех сотрудников с указанным Положением и Инструкциями, обеспечить его исполнение.
4. Контроль за исполнением настоящего постановления оставляю за собой.
Глава местного самоуправления О.П. Шмелев
СОГЛАСОВАНО:
Зам.главы администрации по социальным вопросам О.В. Лоскунина
Начальник Финансового управления В.Н. Соколова
Зав. организационно-правовым отделом С.В. Некрасова
Коррупциогенные факторы:
выявлены/невыявлены ____________________/Зав.орг-правовым отделом С.В. Некрасова/
Отпечатано в 24 экз.:
В дело – 1
В прокуратуру – 1
В АПИ – 1
В ГПД – 1
В отдел экономики - 1
В Финансовое управление – 1
В сектор информационных технологий – 1
В отдел образования – 1
В комитет имущественных отношений – 1
В ОКС – 1
В Управление сельского хозяйства – 1
В организационно-правовой отдел – 1
В отдел культуры и кино – 1
В отдел по физкультуре и спорту – 1
В поселковую и сельские администрации – 6
В АХГ – 1
В сектор ГО и ЧС – 1
В Земское собрание – 1
В комитет по охране труда (Клюганов С.П.) - 1
Вагин А.С.
8 (83157) 2-14-66
Приложение №1
к постановлению Администрации
Ковернинского муниципального района Нижегородской области
от «13» декабря 2017 года № 1040
ПОЛОЖЕНИЕ
о системе защиты информации ограниченного доступа в
Администрации Ковернинского муниципального района
1. Общие положения
1.1. Настоящее Положение определяет принципы обеспечения информационной безопасности Администрации Ковернинского муниципального района (далее - Администрации), структуру системы защиты и порядок защиты информации ограниченного доступа, регламентирует основы организации технической защиты информации ограниченного доступа в Администрации.
1.2. Настоящее Положение является документом, обязательным для исполнения в структурных подразделениях администрации, имеющих или обрабатывающих информацию ограниченного доступа при проведении работ по технической защите информации ограниченного доступа (далее - ИОД) от утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий в целях ее уничтожения, искажения и блокирования.
1.3. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации", Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным Постановлением Совета Министров - Правительства Российской Федерации от 15.09.93 № 912-51.
1.4. Настоящее Положение не распространяется на информацию, отнесенную в установленном порядке к сведениям, составляющим государственную тайну.
2. Структура системы защиты ИОД
2.1. Систему защиты ИОД Администрации возглавляет Глава местного самоуправления.
2.2. Ответственность за организацию и состояние защиты ИОД в структурных подразделениях Администрации возлагается на их руководителей.
2.3. В каждом подразделении, выполняющем хранение или обработку ИОД, приказом руководителя подразделения назначается сотрудник, ответственный за реализацию мероприятий по защите ИОД, и определяется перечень лиц, допущенных к обработке ИОД.
2.4. Координацию мероприятий по организации защиты ИОД в структурных подразделениях администрации, не обладающих статусом юридического лица, а также по взаимодействию этих подразделений с контролирующими органами осуществляет специалист по технической защите информации сектора информационных технологий, связи и технической защиты информации Администрации.
2.5. Специалист по технической защите информации сектора информационных технологий, связи и технической защиты информации Администрации отвечает за установку, настройку и администрирование технических средств защиты информации (далее - ТСЗИ) при хранении или обработке ИОД с использованием средств вычислительной техники в структурных подразделениях Администрации, не имеющих своих штатных специалистов в области информационных технологий.
3. Порядок организации и проведения работ по защите ИОД.
3.1. Мероприятия по технической защите ИОД являются составной частью деятельности Администрации и осуществляются во взаимосвязи с другими мерами по обеспечению защиты информации и режима конфиденциальности проводимых работ с ИОД.
3.2. Проведение любых мероприятий и работ с использованием ИОД без принятия необходимых мер по ее технической защите не допускается.
3.3. Защита информации - комплекс организационно-технических мер, предотвращающих или снижающих возможность утечки информации и/или воздействия на информацию.
3.4. Комплекс мероприятий по защите ИОД основывается на определении:
- источников угроз безопасности информации и вероятности реализации этих угроз для конкретных объектов;
- средств и методов защиты информации;
- разграничения доступа к информации;
- идентификации и аутентификации пользователей для работы с ИОД.
3.5. Техническая защита ИОД осуществляется путем выполнения комплекса мероприятий, направленных на предотвращение:
- утечки ИОД по техническим каналам за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами;
- несанкционированного доступа к обрабатываемой, хранящейся в технических средствах и передаваемой по каналам связи ИОД;
- преднамеренных программно-технических воздействий с целью хищения, разрушения (уничтожения), искажения ИОД в процессе обработки, передачи и хранения;
- перехвата техническими средствами речевой ИОД из помещений.
3.6. Объектами, подлежащими технической защите, являются:
- информационные ресурсы, представленные в виде магнитных или оптических носителей, информативных физических полей, информационных массивов и баз данных и содержащие ИОД;
- технические средства обработки и передачи ИОД;
- помещения, предназначенные для обработки ИОД и проведения секретных (конфиденциальных) переговоров.
3.7. Для защиты информации в компьютерной системе принимаются следующие меры:
- организационные меры защиты - меры общего характера, затрудняющие доступ к информации злоумышленникам, вне зависимости от особенностей способа обработки информации и каналов утечки и воздействия;
- организационно-технические меры защиты - меры, связанные со спецификой каналов утечки (воздействия) и метода обработки информации, но не требующие для своей реализации нестандартных: приемов, оборудования или программных средств;
- технические (программно-технические) меры защиты - меры, жестко связанные с особенностями каналов утечки и воздействия и требующие для своей реализации специальных приемов, оборудования или программных средств.
3.8. Основными организационно-техническими мероприятиями по технической защите ИОД являются:
- определение и учет информационных систем и средств формирования, передачи, хранения, обработки и распространения ИОД, подлежащей защите;
- принятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации;
- категорирование защищаемых объектов в зависимости от их важности, степени конфиденциальности ИОД и условий эксплуатации, а также классификация автоматизированных систем по требованиям защищенности от несанкционированного доступа к ИОД;
- анализ состояния и прогнозирование источников угроз безопасности информации;
- методическое и информационное обеспечение работ по защите информации;
- разработка и внедрение решений по технической защите ИОД;
- организация при необходимости аттестации защищаемых объектов;
- обеспечение физической защиты объектов;
- обеспечение защиты ИОД от утечки по техническим каналам при ее обработке, хранении и передаче;
- обеспечение защиты ИОД от несанкционированного доступа к ней в информационных системах и локальных вычислительных сетях;
- обеспечение антивирусной защиты ИОД;
- учет носителей ИОД;
- установка и ввод в эксплуатацию средств защиты информации в соответствии с классификацией по уровню контроля Федеральной службы по техническому и экспортному контролю;
- учет применяемых ТСЗИ;
- обязательное регулярное обучение администраторов и пользователей ТСЗИ правилам работы с ними;
- организация и проведение контроля состояния технической защиты ИОД;
- модернизация системы защиты на основе анализа актуальных угроз безопасности ИОД.
3.9. Конкретные методы, приемы и меры технической защиты ИОД разрабатываются в зависимости от вероятности угроз и от степени возможного ущерба в случае ее утечки, разрушения (уничтожения) на основании федеральных законов, стандартов, нормативно-методических и руководящих документов по технической защите ИОД Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации.
3.10. Руководители структурных подразделений Администрации, выполняющих обработку и хранение ИОД, обязаны:
- по каждой информационной системе обработки ИОД назначить приказом сотрудника, ответственного за защиту ИОД и хранение носителей ИОД;
- издать приказ о допуске лиц к обработке ИОД;
- организовать ведение журнала учета носителей ИОД;
- обеспечить хранение съемных носителей ИОД, электронных сертификатов, ключей (ключей доступа), а также журналов учета носителей ИОД в металлических шкафах-сейфах, доступ к которым закрепить приказом;
- определить приказом контролируемые зоны по каждой системе обработки ИОД и закрепить порядок доступа в них;
- ежегодно планировать актуальные мероприятия по защите ИОД подразделения и контролировать их выполнение;
- модернизацию вычислительной техники или передачу ее сторонним организациям выполнять только по согласованию со специалистом по технической защите информации сектора информационных технологий, связи и технической защиты информации после проверки информации, хранящейся на жестких дисках, гарантированного удаления с них ИОД и составления совместного акта.
3.11. Все сотрудники Администрации обязаны исполнять требования:
- настоящего Положения;
- инструкции по антивирусному контролю в Администрации,
- инструкции по работе на персональном компьютере, в локальной сети и сети Интернет для сотрудников Администрации.
4. Порядок хранения носителей, содержащих ИОД
4.1. Ответственность за организацию хранения носителей, содержащих ИОД, возлагается на руководителей подразделений Администрации, осуществляющих хранение и обработку ИОД.
4.2. Лицо, осуществляющее хранение носителей, содержащих ИОД, назначается приказом руководителя подразделения.
4.3. Лицо, осуществляющее хранение носителей ИОД, обязано:
- осуществлять хранение носителей ИОД;
- вести журнал учета носителей, содержащих ИОД, в соответствии с приложением к Положению;
- осуществлять выдачу носителей ИОД лицам, имеющим допуск к обработке данной информации, и прием носителей на хранение;
- выполнять изготовление резервных копий носителей;
- уничтожать (удалять) ИОД, утратившую свою полезность, и сами носители.
4.4. Хранение информации в материальном виде, а также на съемных носителях осуществляется в сейфах, имеющих индивидуальный доступ ответственного лица.
4.5. В журнале учета носителей ИОД регистрируется следующая информация:
- учетный номер носителя (номера носителей);
- тип (марка) носителя;
- вид ИОД;
- фамилия лица, которому выдан носитель;
- дата выдачи носителя;
- подпись лица, получившего носитель, о получении;
- дата возврата носителя (получения носителя лицом, осуществляющим хранение);
- подпись лица, ответственного за хранение носителя, о возврате.
4.6. По ИОД, хранящейся на жестких магнитных носителях "HDD", установленных в серверах и персональных компьютерах, в журнале учета носителей ИОД регистрируется следующая информация:
- учетный номер носителя (номера носителей в случае дискового массива);
- марка носителя, серийный номер, инвентарный номер сервера или персонального компьютера, в котором установлен носитель;
- вид ИОД, тип, имя базы данных, каталог расположения данных;
- фамилия лица, ответственного за персональный компьютер, или администратора сервера;
- дата вскрытия системного блока и постановки на учет;
- подпись лица, ответственного за персональный компьютер, или администратора сервера;
- дата подписи лицом, осуществляющим хранение;
- подпись лица, осуществляющего хранение.
4.7. Учетные номера присваиваются лицом, осуществляющим хранение.
4.8. В случае утраты, повреждения носителя ИОД незамедлительно уведомляется руководитель подразделения и составляется соответствующий акт. К акту прикладывается объяснительная записка лица, допустившего утрату, повреждение.
4.9. При копировании ИОД с использованием технических средств в журнале отражаются количество и вид скопированных материалов, носитель, на который было осуществлено копирование.
4.10. При изготовлении резервной копии носителя ИОД носителю присваивается учетный номер и в журнале учета делается соответствующая запись.
4.11. В журнале учета носителей ИОД отражаются все поступающие и выбывающие, в том числе временно, с места постоянного хранения носители.
4.12. Уничтожение (удаление) ИОД с носителей, содержащих ИОД, утратившую свою полезность, осуществляется на основании приказа руководителя подразделения. Уничтожение (удаление) производится в присутствии лица, осуществляющего хранение носителей ИОД, с составлением акта об уничтожении (удалении).
4.13. Контроль за соблюдением порядка хранения носителей ИОД осуществляет руководитель структурного подразделения.
4.14. Проверке подлежат:
- журнал учета носителей ИОД;
- наличие хранимых носителей ИОД и соответствие информации о них в журнале;
- акты об уничтожении (удалении) ИОД и самих носителей;
- состояние помещения и сейфа, используемых для хранения носителей.
5. Контроль состояния защиты ИОД
5.1. Контроль за состоянием технической защиты ИОД (далее - контроль) осуществляется в целях оценки эффективности текущей защиты ИОД, своевременного выявления и предотвращения утечки ИОД по техническим каналам и несанкционированного доступа к ней.
5.2. Контроль заключается в проверке выполнения требований федерального, областного законодательства, правовых актов органа местного самоуправления Ковернинского муниципального района, регулирующих сферу технической защиты ИОД, настоящего Положения, а также в оценке достаточности принимаемых по технической защите ИОД.
5.3. Основными задачами контроля являются:
- оценка деятельности структурных подразделений Администрации в области защиты ИОД в пределах их компетенции;
- выявление технических каналов утечки ИОД, каналов санкционированного доступа к ИОД и специальных воздействий на ИОД;
- оценка эффективности проводимых мероприятий по технической защите ИОД;
- выявление и анализ нарушений норм и требований, установленных федеральным, областным законодательством, правовыми актами органа местного самоуправления Ковернинского муниципального района, принятие оперативных мер по пресечению выявленных нарушений;
- разработка рекомендаций по устранению выявленных недостатков в структурных подразделениях Администрации и ведению работ по технической защите ИОД;
- проверка устранения недостатков, выявленных в результате контроля.
5.4. Контроль проводится специалистом по технической защите информации сектора информационных технологий, связи и технической защиты информации Администрации совместно с сотрудником, ответственным за защиту ИОД структурного подразделения.
6. Ответственность за разглашение ИОД лица, допустившие разглашение ИОД, несут ответственность в соответствии с действующим законодательством.
Приложение №2
к постановлению администрации
Ковернинского муниципального района
Нижегородской области
от «__» декабря 2017 года № ____
|
