Приложение. Положение об обеспечении безопасности информации в АС ВПН-2010. Приказ Федеральной службы государственной статистики от 09.12.2008 N 306 "Об утверждении положения об обеспечении безопасности информации в автоматизированной системе Всероссийской переписи населения 2010 года"

Приложение
к приказу Федеральной службы
государственной статистики
от 9 декабря 2008 г. N 306

Положение
об обеспечении безопасности информации в АС ВПН-2010

I. Общие положения

1.1. Положение об обеспечении безопасности информации в АС ВПН-2010 (далее - Положение) разработано с целью определения единого порядка организации работы по обеспечению безопасности информации при ее обработке АС ВПН-2010.

1.2. Положение является обязательным для организаций, разрабатывающих, эксплуатирующих и обслуживающих АС ВПН-2010, и распространяется на все режимы ее использования.

1.3. В целях обеспечения безопасности информации в АС ВПН-2010 настоящим Положением устанавливается комплекс организационных, технических и правовых мер защиты информации. Правовые меры защиты реализуются в соответствии с действующим законодательством Российской Федерации и нормативными правовыми актами Росстата.

1.4. Правовой основой настоящего Положения являются Конституция Российской Федерации, федеральные законы:

- от 29 ноября 2007 года N 282-ФЗ "Об официальном статистическом учете и системе государственной статистики в Российской Федерации" (принят Государственной Думой 9 ноября 2007 года, одобрен Советом Федерации 16 ноября 2007 года);

- от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения" (принят Государственной Думой 27 декабря 2001 года, одобрен Советом Федерации 16 января 2002 года);

- от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года);

- от 27 июля 2006 года N 152-ФЗ "О персональных данных" (принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года);

- постановление от 15 сентября 2008 года N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (принято Правительством Российской Федерации 15 сентября 2008 года),

а также международные договоры Российской Федерации и другие нормативные правовые акты, которые определяют права и обязанности граждан, общества и государства в сфере информационных отношений.

1.5. Росстат организует работу по обеспечению безопасности информации и осуществляет контроль за соблюдением требований безопасности информации в АС ВПН-2010.

Реализацию комплекса организационных и технических мер обеспечения безопасности информации в АС ВПН-2010 осуществляет центр обработки данных на федеральном уровне (ЦОДФУ), на региональном уровне - территориальные органы государственной статистики (ТОГС), в которых будет проводиться автоматизированная обработка данных ВПН-2010.

1.6. Развитие комплекса организационных и технических мер обеспечения безопасности информации в АС ВПН-2010 осуществляется в соответствии с Концепцией по подготовке и проведению Всероссийской переписи населения 2010 года, утвержденной приказом Росстата N 122 от 30.07.2007.

1.7. Информационные ресурсы АС ВПН-2010, содержащие конфиденциальную информацию, независимо от уровня и способа их формирования являются государственными информационными ресурсами. Такие ресурсы собираются, обрабатываются, накапливаются, хранятся и передаются в условиях соблюдения конфиденциальности.

1.8. Порядок обработки конфиденциальной информации в АС ВПН-2010 устанавливается в соответствии с нормативными правовыми актами Российской Федерации, приведенными в пункте 1.4. настоящего Положения.

II. Основные термины, используемые в настоящем Положении

В Положении используются следующие термины:

- объект информатизации в АС ВПН-2010 - комплекс средств автоматизации труда персонала по обработке данных ВПН-2010, включающий в себя помещение с размещенным в нем оборудованием для обработки информации в АС ВПН-2010 и системами коммуникаций;

- обработка информационных ресурсов АС ВПН-2010 - любое действие по их сбору, систематизации, накоплению, хранению, обновлению, изменению, распространению, передаче и уничтожению;

- носители информации - гибкие магнитные диски, съемные накопители информации или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнитооптические диски, магнитные ленты и тому подобное, а также распечатки текстовой, графической и иной информации на бумажной, пластиковой и любой другой основе;

- несанкционированный доступ к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем;

- безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз;

- средства защиты информации - программные, технические, программно-технические средства, предназначенные для защиты информации в АС ВПН-2010;

- специалисты АС ВПН-2010 - работники ЦОДФУ, ТОГС, временный персонал (далее - работники), в чьи должностные обязанности входит работа на автоматизированных рабочих местах (АРМ) АС ВПН-2010, имеющие доступ к конфиденциальной информации согласно устанавливаемому Росстатом порядку доступа к информационным ресурсам АС ВПН-2010 (раздел 5 настоящего Положения), а также работники организаций, осуществляющих сервисное обслуживание АС ВПН-2010 без допуска к информационным ресурсам АС ВПН-2010, содержащим конфиденциальную информацию.

III. Цели обеспечения безопасности информации и основные меры по защите информации

3.1. Целями обеспечения безопасности информации в АС ВПН-2010 являются:

- защита информации в АС ВПН-2010 организационными, программными и техническими средствами от несанкционированного доступа, в том числе и по каналам связи, а также от воздействия в целях уничтожения, искажения или блокирования доступа к содержащимся в АС ВПН-2010 сведениям;

- обеспечение достоверности информации, передаваемой по каналам связи в АС ВПН-2010;

- сочетание защищенности информации в АС ВПН-2010 с открытостью системы и доступностью информации, содержащейся в информационных ресурсах АС ВПН-2010, в соответствии с нормативными правовыми актами Российской Федерации.

3.2. Безопасность информации в АС ВПН-2010 обеспечивается средствами защиты информации и комплексом организационных и правовых мер.

К организационным мерам относятся:

- назначение должностных лиц, ответственных за организацию работы по обеспечению безопасности информации на объектах комплекса средств автоматизации (КСА) АС ВПН-2010;

- планирование мероприятий, проводимых с целью обеспечения безопасности информации в АС ВПН-2010;

- сертификация АС ВПН-2010 и средств ее защиты в порядке, установленном федеральным законодательством;

- исключение несанкционированного доступа к АС ВПН-2010;

- проверка готовности АС ВПН-2010 и ее фрагментов перед проведением переписи;

- применение утвержденной в установленном порядке эксплуатационной документации;

- организация и проведение работ по обеспечению сохранности и работоспособности комплексов средств автоматизации;

- соблюдение установленных правил обеспечения безопасности информации при работе с программными и техническими средствами, в том числе со средствами защиты информации и антивирусной защиты в АС ВПН-2010, а также контроль за их функционированием;

- подготовка работников, подтвержденная сертификатом о праве эксплуатации комплекса средств автоматизации;

- установление ответственности за нарушение правил использования и эксплуатации АС ВПН-2010.

К техническим мерам относятся:

- применение сертифицированных специальных программных средств и лицензионных программных средств общего назначения, а также сертифицированных технических средств и средств связи;

- обеспечение подлинности и целостности информации в АС ВПН-2010;

- защита информации при ее передаче по сетям связи.

3.3. Средства защиты информации используются в АС ВПН-2010 с соблюдением следующих условий:

- специалисты АС ВПН-2010 наделяются полномочиями по доступу к ресурсам АС ВПН-2010 в соответствии со своими функциональными обязанностями;

- использование программного обеспечения осуществляется и контролируется в соответствии с документацией на КСА по установленному регламенту;

- исключается возможность использования КСА для работ, не предусмотренных документацией на КСА;

- не допускается подключение КСА АС ВПН-2010 к сети Интернет;

- изменение конфигурации КСА производится только на основании решения Росстата, принятого в установленном порядке.

IV. Мероприятия по обеспечению безопасности информации

4.1. Для реализации комплекса мер по обеспечению безопасности информации предусматриваются следующие мероприятия.

4.1.1. Контроль за применением сертифицированных специальных программных средств и лицензионных программных средств общего назначения, а также сертифицированных технических средств и средств связи.

4.1.2. Проверка состава программных и технических средств каждого КСА АС ВПН-2010 на соответствие утвержденной документации на КСА в порядке, приведенном в эксплуатационной документации.

4.1.3. Включение технических и программных средств в состав КСА АС ВПН-2010 в соответствии с конструкторской и эксплуатационной документацией по решению Росстата.

4.1.4. Исключение несанкционированного доступа к АС ВПН-2010 путем установки средств защиты информации и включения в технологические процессы обработки информации КСА следующих средств защиты информации:

- мониторинг действий и классификация информации;

- разграничение доступа к файлам, каталогам и дискам;

- разграничение доступа к комплексам программ;

- аппаратный контроль загрузки операционной системы;

- идентификация пользователей.

4.1.5. Проверка наличия на автоматизированных рабочих местах специалистов АС ВПН-2010 утвержденных в установленном порядке документов:

- перечень (конфигуратор) программных и технических средств КСА АС ВПН-2010;

- перечень конфиденциальной информации, доступ к которой ограничен;

- эксплуатационная документация на средства защиты;

- должностные инструкции специалистов АС ВПН-2010.

4.2. Контроль за обеспечением подлинности и целостности информации в АС ВПН-2010.

4.2.1. Проверка наличия на КСА АС ВПН-2010 резервных страховых копий баз данных в режиме архивного хранения.

4.2.2. Проверка соблюдения установленного Росстатом порядка хранения, сопровождения и использования эталонных копий программных изделий.

4.2.3. Ежедневный антивирусный контроль всего программного обеспечения, а также постоянный антивирусный мониторинг выполняемых процессов.

4.2.4. Обновление антивирусных средств в соответствии с установленным Росстатом порядком.

4.3. Особенности организации обработки конфиденциальной информации, осуществляемой без использования средств автоматизации.

4.3.1. Конфиденциальная информация при ее обработке, осуществляемой без использования средств автоматизации, должна обособляться от иной информации, в частности путем фиксации их на отдельных машиночитаемых носителях, в специальных разделах или на полях форм (бланков).

4.3.2. Специалисты АС ВПН-2010, осуществляющие обработку конфиденциальной информации без использования средств автоматизации, должны быть проинформированы о факте обработки ими конфиденциальной информации, обработка которой осуществляется без использования средств автоматизации, категориях обрабатываемой конфиденциальной информации, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти Российской Федерации, а также нормативными правовыми актами Росстата.

4.3.3. Уничтожение или обезличивание части конфиденциальной информации, если это допускается носителем информации, может производиться способом, исключающим дальнейшую обработку этой информации с сохранением возможности обработки иных данных, зафиксированных на носителе (удаление, вымывание).

4.3.4. Уточнение информации при осуществлении ее обработки без использования средств автоматизации производится путем обновления или изменения данных на носителе информации, а если это не допускается техническими особенностями носителя информации - путем фиксации на том же носителе сведений о вносимых в них изменениях либо путем изготовления нового носителя информации с уточненной конфиденциальной информацией.

4.4. Организация и проведение работ по обеспечению сохранности оборудования и информационных ресурсов АС ВПН-2010.

4.4.1. Размещение технических средств КСА АС ВПН-2010 всех уровней (федерального, регионального) в оборудованных помещениях с ограниченным доступом.

4.4.2. Помещения, в которых размещается оборудование, предназначенное для обработки информационных ресурсов АС ВПН-2010, и хранятся машиночитаемые носители и документы, содержащие конфиденциальную информацию, а также базы данных, должны исключать возможность бесконтрольного проникновения в них посторонних лиц, обеспечивать сохранность оборудования, машиночитаемых носителей информации, документов и защиту конфиденциальной информации от несанкционированного доступа. Для этого в помещениях должна быть установлена сигнализация, входные двери должны быть прочными и оборудованы надежными замками. В помещениях должны стоять опечатываемые металлические сейфы, входящие в состав технологического оборудования КСА АС ВПН-2010. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в помещения посторонних лиц, должны быть защищены металлическими решетками.

4.4.3. Лица для проведения регламентных (наладочных), ремонтных и других работ в эти помещения во время обработки конфиденциальной информации могут быть допущены только в экстренных случаях, по согласованию с руководителем ТОГС, в присутствии системного администратора данного КСА АС ВПН-2010 и при условии исключения несанкционированного доступа к конфиденциальной информации и контроля за порядком осуществления проводимых работ.

4.4.4. Хранение документов и информационных ресурсов АС ВПН-2010, содержащих конфиденциальную информацию, осуществляется только на предварительно учтенных машиночитаемых и бумажных носителях. Учет указанных носителей информации исполнителем ведется в журнале установленной формы (приложение N 1) отдельно от других документов.

ТОГС, ЦОДФУ организуют учет и надежное хранение машиночитаемых и бумажных носителей с конфиденциальной информацией (в том числе используемых в технологическом процессе), исключающее хищение, подмену, несанкционированное копирование или уничтожение.

4.4.5. Ремонт (вне специальных помещений), списание, утилизация (выбытие), реализация и тому подобные действия с оборудованием КСА АС ВПН-2010, на котором обрабатывались или хранились информационные ресурсы АС ВПН-2010, содержащие конфиденциальную информацию, могут осуществляться только в случае, если информация надежно удалена (стерта) с носителей информации этого оборудования без возможности ее восстановления и последующего прочтения, о чем составляется соответствующий акт (приложение N 2).

4.5. Защита информации при ее передаче по сетям связи.

4.5.1. Передача между КСА АС ВПН-2010 конфиденциальной информации, содержащейся в АС ВПН-2010, может осуществляться как по каналам связи (исключительно с использованием средств криптографической защиты информации и только с разрешения ЦОДФУ), так и на защищенных от записи и несанкционированного воспроизведения носителях информации средствами федеральной фельдъегерской связи, специальной связи или силами работников, допущенных к конфиденциальной информации, с условием обязательного обеспечения мер, гарантирующих сохранность передаваемых носителей, содержащих конфиденциальную информацию. Защита от записи производится на соответствующем носителе информации путем запрещения дальнейшей записи на носитель (программное закрытие сессии на оптическом диске, механическая защита от записи закрытием окошка пластиковой заслонкой на дискете и т.п.).

Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа должен быть реализован в рамках системы защиты информации от несанкционированного доступа, условно состоящей из следующих подсистем:

- управления доступом;

- регистрации и учета;

- обеспечения целостности.

Доступ к носителям информации будет производиться в соответствии с режимом конфиденциальности, который предполагает учет лиц, допущенных к работе с конфиденциальной информацией в информационной системе.

4.5.2. При использовании в составе подсистемы связи и передачи данных коммутируемых каналов должна применяться проверка наличия и функционирования средств аутентификации абонентов.

4.6. Является обязательным наличие у работников, осуществляющих ввод информации в АС ВПН-2010, сертификатов на право эксплуатации КСА АС ВПН-2010, выданных в соответствии с утверждаемым Росстатом удостоверением на право эксплуатации КСА АС ВПН-2010.

4.7. Специальная всесторонняя проверка готовности АС ВПН-2010 и ее фрагментов перед проведением переписи осуществляется в ходе общесистемных тренировок. Организация и проведение общесистемных тренировок возлагается на ЦОДФУ.

4.8. Сертификация АС ВПН-2010 и средств ее защиты осуществляется в порядке, установленном федеральным законодательством.

V. Порядок доступа к информационным ресурсам АС ВПН-2010

5.1. Доступ к информационным ресурсам АС ВПН-2010, содержащим конфиденциальную информацию, специалистами АС ВПН-2010 осуществляется в объеме, необходимом для исполнения служебных обязанностей, определенных должностным регламентом.

5.2. Порядок доступа специалистов КСА ТОГС к информационным ресурсам АС ВПН-2010, содержащим конфиденциальную информацию, устанавливается переписной комиссией субъекта Российской Федерации в соответствии с нормативными правовыми актами, приведенными в пункте 1.4. настоящего Положения.

5.3. Право доступа к информационным ресурсам АС ВПН-2010 всех уровней, не содержащим конфиденциальной информации, имеют специалисты АС ВПН-2010.

5.4. Порядок рассмотрения письменных мотивированных запросов, полученных от должностных лиц органов государственной власти, государственных органов, органов местного самоуправления о предоставлении конфиденциальной информации, а также порядок ее предоставления указанным лицам устанавливается в соответствии с нормативными правовыми актами, приведенными в пункте 1.4. настоящего Положения.

VI. Права специалистов АС ВПН-2010

6.1. Каждый специалист АС ВПН-2010 имеет право на обработку информационных ресурсов АС ВПН-2010 в соответствии с его полномочиями, определенными должностным регламентом.

VII. Обязанности специалистов АС ВПН-2010 по обеспечению безопасности информации

7.1. ЦОДФУ организует работу по обеспечению безопасности информации и осуществляет контроль за соблюдением требований обеспечения защиты информации в КСА всех уровней при проведении переписи.

Работники ЦОДФУ (соответствующих структурных подразделений), работники подразделений автоматизированной обработки, системные администраторы КСА АС ВПН-2010, а также работники ТОГС, осуществляют эксплуатацию средств защиты информации и практическую реализацию мероприятий по обеспечению безопасности информации в АС ВПН-2010.

7.2. Специалисты АС ВПН-2010 обязаны обеспечить своевременный и точный ввод данных в АС ВПН-2010.

7.3. Специалисты АС ВПН-2010 обязаны соблюдать требования действующих нормативных правовых актов, организационных, нормативно-технических и методических документов, регламентирующих защиту информации при работе на КСА.

7.4. Специалисты АС ВПН-2010 обязаны использовать в своей работе программно-технические средства, указанные в утвержденных руководителем Росстата конфигурациях программно-технических средств (ПТС) КСА Росстата, ТОГС регионального и районного уровней, не допускать установки программно-технических средств, не предусмотренных документацией на указанные КСА.

7.5. Специалисты АС ВПН-2010 обязаны не разглашать известные им конфиденциальную информацию.

7.6. Руководитель ТОГС и начальник технологического отдела осуществляют контроль за соблюдением требований по обеспечению безопасности информации в соответствующих региональных фрагментах АС ВПН-2010, в том числе требований, предусмотренных настоящим Положением.

7.7. Специалисты АС ВПН-2010, в чьи должностные обязанности входит работа с информационными ресурсами АС ВПН-2010, обязаны:

- знать конфигурацию, состав и назначение программно-технических средств АС ВПН-2010, используемых в работе;

- соблюдать предписанные эксплуатационной документацией правила работы на автоматизированном рабочем месте;

- использовать аппаратные и программные средства только в служебных целях;

- иметь представление о видах угроз безопасности информации, технических и программных средствах, которые находятся под его контролем или к которым он имеет доступ, а также о возможностях применяющихся на его автоматизированном рабочем месте средств защиты информации;

- не допускать нарушения требований обеспечения безопасности информации, дополнительной установки каких-либо программных и аппаратных средств, не предусмотренных для его автоматизированного рабочего места.

7.8. Все специалисты АС ВПН-2010, обрабатывающие информационные ресурсы системы, должны знать и обязаны выполнять требования обеспечения безопасности информации и настоящего Положения.

VIII. Ответственность за несоблюдение требований по обеспечению безопасности информации

8.1. В территориальных органах Росстата ответственность за организацию и выполнение работ по защите информации в соответствующих региональных фрагментах АС ВПН-2010 несут руководитель ТОГС и начальник технологического отдела, а ответственность за обеспечение защиты информации - системный администратор.

8.2. Специалисты АС ВПН-2010, имеющие доступ к информационным ресурсам АС ВПН-2010, содержащим конфиденциальную информацию, должны быть ознакомлены с обязанностями по обеспечению безопасности информации и ответственностью за их нарушение.

8.3. Ответственность за утрату документов или машиночитаемых носителей с конфиденциальной информацией или разглашение сведений, содержащихся в них, персонально несет работник, допустивший их утрату (разглашение).

8.4. Федеральные органы государственной власти, государственные органы, наделенные в соответствии с действующим законодательством Российской Федерации правом контроля и проверки обеспечения защиты конфиденциальной информации, могут осуществлять соответствующие проверки при наличии у уполномоченных лиц этих органов официальных письменных разрешений, предписаний или других соответствующих актов. Форма и сроки проверки определяются по предварительному согласованию с Росстатом.

8.5. Разглашение конфиденциальной информации или утрата документов, машиночитаемых носителей информации, содержащих конфиденциальную информацию, влечет за собой последствия, предусмотренные действующим законодательством Российской Федерации, а также договорными обязательствами между работодателем и принятым на работу работником, закрепленными служебным контрактом (трудовым договором либо гражданско-правовым договором).

8.6. По факту разглашения сведений или утраты документов, указанных в пункте 8.4, руководитель ТОГС или директор ЦОДФУ соответственно незамедлительно назначают комиссию для проведения служебного расследования, в состав которой обязательно включают представителя Росстата или уполномоченное лицо ЦОДФУ.

По факту разглашения сведений или утраты документов Росстат и ЦОДФУ извещаются немедленно.

8.7. Комиссия, проводившая служебное расследование, принимает меры по локализации нежелательных последствий разглашения конфиденциальной информации, устанавливает обстоятельства происшествия и виновных в утрате (разглашении), а также причины и условия, способствовавшие этому.

8.8. Служебное расследование должно проводиться в течение четырнадцати суток со дня обнаружения факта разглашения (утраты). По результатам расследования руководителем Росстата принимается решение о привлечении виновных к ответственности, предусмотренной законодательством Российской Федерации. Результаты проведенного расследования представляются в Росстат в трехдневный срок после его завершения.

8.9. Законодательством Российской Федерации за нарушение правил защиты информационных ресурсов АС ВПН-2010 при их использовании предусмотрена уголовная, административная и дисциплинарная ответственность.

Уголовная ответственность предусмотрена за неправомерное вмешательство в работу АС ВПН-2010 и за неправомерный доступ к компьютерной информации (ст. 141 и 272 УК РФ соответственно), за создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ), за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ).

Административная ответственность установлена за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах, за нарушение правил защиты информации, за незаконную деятельность в области защиты информации, за разглашение информации с ограниченным доступом (ст. 13.11, 13.12, 13.13, 13.14 КоАП РФ).

Дисциплинарная ответственность применяется к лицу, в должностные (трудовые) обязанности которого входило соблюдение или обеспечение соблюдения правил работы с конфиденциальной информацией. Виды дисциплинарных взысканий предусмотрены статьей 192 Трудового кодекса Российской Федерации, статьей 57 Федерального закона от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации".

Открыть документ в системе ГАРАНТ

Открыть в бесплатной Интернет-версии Открыть в Интернет-версии (только для пользователей системы ГАРАНТ)