Указ Президента Республики Башкортостан от 21.09.2012 N УП-365 "Об утверждении Основ организации защиты информации в Республике Башкортостан" (с изменениями и дополнениями)

Указ Президента Республики Башкортостан
от 21 сентября 2012 г. N УП-365
"Об утверждении Основ организации защиты информации в Республике Башкортостан"

С изменениями и дополнениями от:

3 ноября 2015 г.

В целях совершенствования системы защиты информации в Республике Башкортостан и в соответствии с решением Координационного Совета по защите информации при полномочном представителе Президента Российской Федерации в Приволжском федеральном округе от 27 октября 2011 года постановляю:

1. Утвердить прилагаемые Основы организации защиты информации в Республике Башкортостан.

2. Государственным органам Республики Башкортостан и находящимся в их ведении организациям при планировании и осуществлении мероприятий по защите информации руководствоваться Основами организации защиты информации в Республике Башкортостан.

3. Рекомендовать администрациям муниципальных районов и городских округов Республики Башкортостан организовать работу по защите информации в органах местного самоуправления и муниципальных организациях в соответствии с Основами организации защиты информации в Республике Башкортостан.

Информация об изменениях:

Указом Главы Республики Башкортостан от 3 ноября 2015 г. N УГ-280 в пункт 4 настоящего Указа внесены изменения

См. текст пункта в предыдущей редакции

4. Контроль за исполнением настоящего Указа возложить на Администрацию Главы Республики Башкортостан.

5. Указ вступает в силу со дня его подписания.

Президент Республики Башкортостан

Р. Хамитов

Уфа, Дом Республики

21 сентября 2012 года

N УП-365

Информация об изменениях:

Указом Главы Республики Башкортостан от 3 ноября 2015 г. N УГ-280 в настоящие Основы внесены изменения

См. текст Основ в предыдущей редакции

Основы
организации защиты информации в Республике Башкортостан
(утв. Указом Президента Республики Башкортостан
от 21 сентября 2012 г. N УП-365)

С изменениями и дополнениями от:

3 ноября 2015 г.

I. Общие положения

1.1. Настоящие Основы организации защиты информации в Республике Башкортостан (далее - Основы) направлены на обеспечение в Республике Башкортостан безопасности информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа, а также информации, содержащейся в государственных и муниципальных информационных системах (далее - информация).

Основы определяют цели, задачи, порядок организации работ по защите информации в государственных органах Республики Башкортостан и подведомственных им организациях, органах местного самоуправления и муниципальных организациях Республики Башкортостан (далее соответственно - государственные органы, органы местного самоуправления и организации).

1.2. Целью разработки Основ является формирование единой политики в ходе реализации требований по обеспечению безопасности информации в государственных органах, органах местного самоуправления и организациях.

В Основах излагается организационная структура системы защиты информации, рассматриваются подлежащие защите объекты информатизации государственных органов, органов местного самоуправления и организаций, угрозы безопасности информации, каналы утечки информации, а также порядок организации работ по обеспечению безопасности информации.

1.3. Основы разработаны в соответствии с Доктриной информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 г. N Пр-1895, законом Российской Федерации "О государственной тайне", федеральными законами "Об информации, информационных технологиях и о защите информации", "О персональных данных", "О безопасности", иными нормативными правовыми актами Российской Федерации, регулирующими отношения в области защиты информации, а также руководящими документами федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и противодействия иностранным техническим разведкам, указанными в приложении к настоящим Основам.

1.4. В Основах используются следующие термины и понятия:

аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации;

безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования и блокирования;

выделенное помещение - специальное помещение, предназначенное для регулярного проведения собраний, совещаний и других мероприятий секретного характера;

государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;

защищаемая информация - информация, подлежащая защите в соответствии с требованиями правовых документов;

защищаемое помещение - помещение (служебный кабинет, актовый зал, конференц-зал), специально предназначенное для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров);

информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

информация ограниченного доступа - документированная информация, которая по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию;

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

несанкционированный доступ к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;

объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для обсуждения информации ограниченного доступа;

служебная информация ограниченного распространения - несекретная информация, касающаяся деятельности государственных органов, органов местного самоуправления и организаций, ограничения на распространение которой диктуются служебной необходимостью;

технический канал утечки информации - совокупность объекта защиты, физической среды и средств технической разведки, которыми добывается защищаемая информация;

утечка информации по техническим каналам - неконтролируемое распространение защищаемой информации по техническим каналам.

II. Объекты защиты информации и источники угроз безопасности информации

2.1. В Республике Башкортостан защите подлежат объекты информатизации государственных органов; органов местного самоуправления; организаций, выполняющих мобилизационные задания республиканских государственных органов; организаций, обеспечивающих жизнедеятельность населенных пунктов; предприятий с технологически опасными производствами.

2.2. Основными компонентами объектов информатизации, подлежащими защите, являются:

информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, персональные данные, иная информация ограниченного доступа, представленные в виде носителей на магнитной и оптической основе, информативных физических полей, информационных массивов и баз данных;

средства вычислительной техники, информационно-вычислительные комплексы, сети и системы, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства), средства изготовления, тиражирования документов и другие технические средства обработки информации;

технические средства и системы, не используемые в ходе обработки информации, но размещенные в помещениях, где она обрабатывается и хранится;

выделенные и защищаемые помещения;

информационные системы, которые осуществляют управление критически важными объектами (процессами), или информационное обеспечение управления такими объектами (процессами), или официальное информирование граждан и в результате деструктивных информационных воздействий на которые может сложиться чрезвычайная ситуация или будут нарушены функции управления со значительными негативными последствиями.

2.3. Источники угроз безопасности информации подразделяются на внешние и внутренние.

2.4. Из внешних источников угроз наибольшую опасность представляют:

деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;

деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

деятельность международных террористических организаций;

разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

2.5. Из внутренних источников угроз наибольшую опасность представляют:

недостаточная координация деятельности государственных органов и органов местного самоуправления по формированию и реализации единой государственной политики в области обеспечения безопасности информации;

неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получение криминальными структурами доступа к информации ограниченного доступа;

недостаточное финансирование мероприятий по обеспечению безопасности информации;

несовершенство нормативной правовой базы, регулирующей отношения в сфере защиты информации, а также недостаточная правоприменительная практика;

недостаточное количество квалифицированных кадров в области обеспечения безопасности информации.

2.6. К основным внешним и внутренним угрозам безопасности информации относятся:

добывание иностранными спецслужбами и иными заинтересованными сторонами защищаемой информации в результате ее утечки по техническим каналам в процессе обработки, хранения в средствах информатизации и передачи по системам коммуникации;

несанкционированный доступ к защищаемой информации, циркулирующей в средствах информатизации и системах коммуникации, с целью противоправного получения этой информации или осуществления деструктивных воздействий на нее;

деструктивное воздействие на информационные системы управления критически важными объектами (процессами) и объектами, осуществляющими обеспечение жизнедеятельности населенных пунктов, с целью нарушения нормального функционирования этих систем и дезорганизации деятельности объектов;

внедрение в конструкцию и программные продукты средств информатизации и систем коммуникации компонентов, реализующих функции, не предусмотренные документацией на эти средства и системы;

внедрение электронных устройств негласного съема информации в технические средства обработки, хранения и передачи информации, а также в помещения, предназначенные для обсуждения информации ограниченного доступа;

использование несертифицированных по требованиям безопасности отечественных и зарубежных программно-аппаратных средств, средств информатизации, систем коммуникации и средств защиты информации;

привлечение к работам по проектированию, созданию, монтажу, обслуживанию и защите средств информатизации и систем коммуникации организаций, не имеющих государственных лицензий на осуществление соответствующих видов деятельности.

2.7. Основными каналами утечки информации являются:

разглашение;

утрата;

непреднамеренные негативные действия лиц из числа сотрудников организаций;

прослушивание телефонных и радиопереговоров;

хищение технических средств с хранящейся в них информацией или носителей информации;

несанкционированное использование каналов беспроводной передачи данных;

акустическое излучение речевого сигнала;

виброакустические сигналы, распространяющееся# в ограждающих конструкциях и инженерно-технических коммуникациях;

акустоэлектрические сигналы, распространяющиеся по проводам и линиям, выходящим за пределы контролируемой зоны;

радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

радиоизлучения, возникающие вследствие паразитной генерации в узлах и элементах технических средств;

несанкционированный доступ к обрабатываемой в информационных системах информации и несанкционированные действия с ней;

съем информации с ее носителей с помощью средств визуально-оптической и оптико-электронной разведки;

побочные электромагнитные излучения информативных сигналов от технических средств обработки и линий передачи информации;

наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы контролируемой зоны;

специально внедренные электронные устройства перехвата информации.

III. Цель, основные задачи, принципы и приоритетные направления защиты информации в Республике Башкортостан

3.1. Целью проводимой в Республике Башкортостан государственной политики в области защиты информации является нейтрализация угроз безопасности государства, общества и личности, связанных с деятельностью разведок иностранных государств, а также возможными преступными и противоправными действиями в информационной сфере различных структур, сообществ и отдельных лиц.

3.2. Основными задачами в области защиты информации являются:

исключение или существенное затруднение добывания информации средствами технической разведки, а также предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждение специальных воздействий на информацию с целью ее уничтожения, искажения и блокирования;

обеспечение безопасного и устойчивого функционирования республиканских и муниципальных информационно-коммуникационных систем, автоматизированных систем управления технологически опасными производствами и обеспечения жизнедеятельности населенных пунктов в условиях возможного воздействия на них угроз безопасности информации;

обеспечение скрытности функционирования значимых для Российской Федерации в целом и Республики Башкортостан в частности объектов управления государственных органов, органов местного самоуправления и организаций;

осуществление эффективной защиты информации в ходе осуществления сотрудничества с иностранными государствами.

3.3. Принципами защиты информации являются:

законность;

соответствие политическим, оборонным, экономическим и социальным интересам Российской Федерации;

приоритетность мероприятий по защите информации, направленных на предотвращение ущерба безопасности и обороноспособности Российской Федерации;

адекватность способов и мер защиты информации возможностям разведок и угрозам безопасности информации;

сочетание правовых, организационных, технических, экономических и специальных методов при реализации мероприятий по защите информации;

своевременность и экономическая обоснованность мероприятий по защите информации;

системность и комплексность мероприятий по защите информации;

обязательность, эффективность и систематичность контроля за состоянием защиты информации;

исключение причинения ущерба жизни и здоровью людей и нанесению вреда окружающей среде в результате осуществления мероприятий по защите информации.

3.4. Приоритетными направлениями деятельности по защите информации в Республике Башкортостан являются:

организационно-режимное обеспечение защиты государственной и иной охраняемой законом тайны;

обеспечение безопасности информационно-коммуникационных систем и автоматизированных систем управления, эксплуатируемых на критически важных объектах, расположенных в пределах Республики Башкортостан;

обеспечение безопасности информации на объектах, обеспечивающих жизнедеятельность населенных пунктов Республики Башкортостан;

обеспечение безопасности информации в государственных и муниципальных информационных системах;

обеспечение безопасности информации в информационных системах персональных данных;

развитие в Республике Башкортостан системы подготовки, переподготовки и повышения квалификации специалистов в области защиты информации.

IV. Система защиты информации в Республике Башкортостан

Система защиты информации в Республике Башкортостан состоит из республиканского и объектового уровней и является составной частью государственной системы защиты информации в Приволжском федеральном округе.

Систему защиты информации в Республике Башкортостан возглавляет Глава Республики Башкортостан.

4.1. Структурные элементы системы защиты информации в Республике Башкортостан

Система защиты информации в Республике Башкортостан включает в себя следующие структурные элементы:

Совет по защите информации при Главе Республики Башкортостан (далее - Совет);

государственные органы;

органы местного самоуправления;

организации, подведомственные государственным органам, и муниципальные организации;

постоянно действующие технические комиссии по защите государственной тайны государственных органов и организаций, осуществляющих деятельность со сведениями, составляющими государственную тайну;

подразделения (штатные специалисты) по защите информации государственных органов, органов местного самоуправления и организаций;

Управление Федеральной службы безопасности Российской Федерации по Республике Башкортостан;

Центр специальной связи и информации Федеральной службы охраны Российской Федерации в Республике Башкортостан;

лицензиаты Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) и Федеральной службы безопасности Российской Федерации (ФСБ России), осуществляющие деятельность по оказанию услуг в области защиты информации в Республике Башкортостан;

учебные заведения по подготовке, профессиональной переподготовке и повышению квалификации специалистов в области информационной безопасности.

4.2. Порядок функционирования структурных элементов системы защиты информации в Республике Башкортостан

4.2.2. Государственные органы, органы местного самоуправления и организации

4.2.2.1. В государственных органах, органах местного самоуправления и организациях систему защиты информации возглавляют их руководители. Непосредственное руководство деятельностью системы защиты информации осуществляет один из заместителей руководителя государственного органа, органа местного самоуправления или организации.

4.2.2.2. Государственные органы, органы местного самоуправления и организации, осуществляющие деятельность с использованием сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции, обеспечивают защиту государственной тайны. Ответственность за организацию защиты сведений, составляющих государственную тайну, в государственных органах, органах местного самоуправления и организациях возлагается на их руководителей.

4.2.2.3. Государственные органы, органы местного самоуправления и организации обеспечивают соблюдение требований, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами, по защите информации ограниченного доступа, не отнесенной к государственной тайне, в том числе: персональных данных, служебной информации ограниченного распространения.

4.2.2.4. Государственные органы, органы местного самоуправления и организации до начала обработки персональных данных обязаны уведомить в установленном порядке уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью второй статьи 22 Федерального закона "О персональных данных".

4.2.2.5. Государственные органы, органы местного самоуправления и организации обязаны обеспечивать безопасность персональных данных в ходе их сбора, хранения, обработки, передачи, копирования, распространения, уничтожения, блокирования в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и разработанными во исполнение указанного постановления нормативными правовыми актами, а также методическими документами.

4.2.2.6. Государственные органы и органы местного самоуправления при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерных доступа и действий в отношении персональных данных в соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

4.2.2.7. Государственные органы, органы местного самоуправления обязаны обеспечить защиту информации, содержащейся в государственных и муниципальных информационных системах, от неправомерных действий: копирования, распространения, модифицирования, блокирования, уничтожения.

4.2.2.8. Организации, находящиеся в ведении государственных органов, согласовывают с ними технические задания на разработку либо модернизацию информационно-коммуникационных систем, создаваемых в рамках программ информатизации, в части соблюдения требований по безопасности информации.

4.2.2.9. Республиканские органы исполнительной власти в обязательном порядке, а органы местного самоуправления - по своему усмотрению согласовывают с республиканским исполнительным органом государственной власти, уполномоченным в области развития и внедрения информационно-коммуникационных технологий, технические задания на разработку информационно-коммуникационных систем, создаваемых в рамках программ информатизации, в части соблюдения установленных требований по безопасности информации. Данная процедура согласования осуществляется только в случае отсутствия необходимости согласований с уполномоченными федеральными органами государственной власти.

4.2.2.10. Республиканский исполнительный орган государственной власти, уполномоченный в области развития и внедрения информационно-коммуникационных технологий, проводит экспертизу проектов создаваемых либо модернизируемых в рамках программ информатизации информационно-коммуникационных систем на предмет соблюдения требований по безопасности информации и необходимости предварительного отнесения их к категории ключевых систем информационной инфраструктуры. В случае предварительного отнесения информационной системы к категории ключевых, техническое задание на ее разработку направляется в Управление Федеральной службы по техническому и экспортному контролю по Приволжскому федеральному округу на согласование в части соблюдения требований по безопасности информации, предъявляемых к ключевым системам информационной инфраструктуры.

В соответствии с Положением о Реестре ключевых систем информационной инфраструктуры, утвержденным приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 4 марта 2009 года N 74, окончательное решение по отнесению информационных систем к категории ключевых принимает указанная федеральная служба.

4.2.3. Постоянно действующие технические комиссии по защите государственной тайны

4.2.3.1. Постоянно действующие технические комиссии по защите государственной тайны (далее - ПДТК) создаются во всех государственных органах и организациях, осуществляющих деятельность со сведениями, составляющими государственную тайну.

4.2.3.2. ПДТК решают следующие основные задачи:

выявление и закрытие возможных каналов неправомерного распространения сведений, составляющих государственную тайну;

выработка рекомендаций, направленных на обеспечение установленного режима секретности;

организация и обеспечение противодействия иностранным техническим разведкам, защиты информационных систем;

совершенствование системы физической зашиты# государственных органов и организаций;

проведение экспертиз материалов, предназначенных для открытого опубликования.

4.2.3.3. Основными функциями ПДТК являются:

организация, методическое обеспечение и проведение аналитической работы по предупреждению утечки и комплексной защите государственной тайны;

разработка в пределах компетенции нормативной правовой и методической баз по вопросам выявления и закрытия возможных каналов неправомерного распространения сведений, составляющих государственную тайну, в том числе по противодействию иностранным техническим разведкам и защите информационных систем;

разработка комплекса мер по защите государственной тайны в ходе визитов в государственные органы и организации представителей иностранных государств;

проведение анализа обстоятельств и причин неправомерного распространения сведений, составляющих государственную тайну.

4.2.3.4. В рамках деятельности ПДТК могут рассматриваться вопросы по защите информации ограниченного доступа, не отнесенной к сведениям, составляющим государственную тайну.

ПДТК государственных органов Республики Башкортостан обобщают опыт работы ПДТК подведомственных организаций и вырабатывают предложения по совершенствованию их деятельности.

4.2.4. Подразделения (штатные специалисты) по защите информации

4.2.4.1. В зависимости от объема работ с использованием информации, содержащей сведения, составляющие государственную тайну, и иной информации ограниченного доступа, руководителями государственных органов, органов местного самоуправления и организаций создаются структурные подразделения по защите информации либо назначаются штатные специалисты.

4.2.4.2. В круг задач подразделений (штатных специалистов) по защите информации входят:

формирование перечней информационных ресурсов, подлежащих защите (государственная тайна, служебная информация ограниченного распространения, информационные системы персональных данных, ключевые системы информационной инфраструктуры и т. п.);

планирование и организация выполнения работ по защите информации;

разработка, согласование в установленном порядке с территориальными органами федеральных органов исполнительной власти, уполномоченными в области обеспечения безопасности, внутриорганизационных руководящих документов;

разработка проектов распорядительных документов по вопросам организации защиты информации;

выявление угроз безопасности информации в конкретных условиях эксплуатации объектов информатизации;

категорирование объектов информатизации в зависимости от степени секретности, конфиденциальности защищаемой информации и условий эксплуатации;

классификация автоматизированных систем по требованиям защищенности от несанкционированного доступа к информации;

организация аттестации объектов информатизации по требованиям безопасности информации;

классификация информационных систем персональных данных;

разработка и внедрение технических решений по защите информации при создании и эксплуатации объектов информатизации;

создание и применение информационных систем в защищенном исполнении;

согласование технических заданий на разрабатываемые либо модернизируемые информационные системы на предмет соблюдения требований по безопасности информации;

проведение периодического контроля эффективности мер, принимаемых в целях защиты информации;

участие в служебных расследованиях нарушений по вопросам защиты информации и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений;

определение объемов финансирования работ по защите информации;

повышение квалификации в области защиты информации;

организация проведения занятий с руководителями и сотрудниками по вопросам защиты информации.

4.2.4.3. Назначение на должности руководителей подразделений либо штатных специалистов по защите информации осуществляется по согласованию с Управлением Федеральной службы по техническому и экспортному контролю по Приволжскому федеральному округу путем направления представлений и материалов на кандидатов.

4.2.4.4. Функции подразделений по защите информации излагаются в соответствующих положениях о структурных подразделениях, права и обязанности штатных специалистов по защите информации отражаются в их должностных регламентах.

4.2.4.5. Исходя из целесообразности, в государственных органах и органах местного самоуправления возможно разделение между разными подразделениями (штатными специалистами) функций по защите государственной тайны и защите информации, не отнесенной к государственной тайне.

Для проведения работ по защите информации могут привлекаться на договорной основе организации, имеющие лицензии на право осуществления деятельности в области защиты информации.

4.2.5. Управление Федеральной службы безопасности Российской Федерации по Республике Башкортостан

Управление Федеральной службы безопасности Российской Федерации по Республике Башкортостан в части обеспечения информационной безопасности решает следующие основные задачи:

формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;

осуществление контроля обеспечения сохранности сведений, составляющих государственную тайну, в государственных органах, на предприятиях, в учреждениях и организациях независимо от форм собственности;

осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну;

обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;

осуществление регулирования в области разработки, производства, реализации, эксплуатации шифровальных (криптографических) средств и защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем;

осуществление в пределах своих полномочий контроля за обеспечением безопасности информационно-телекоммуникационных систем с применением средств криптографической защиты информации, а также систем шифрованной, засекреченной и иных видов специальной связи;

согласование государственным органам Республики Башкортостан технических заданий на разработку либо модернизацию информационно телекоммуникационных# систем, создаваемых в рамках программ информатизации, в части обеспечения безопасности информации с использованием средств криптографической защиты.

4.2.6. Центр специальной связи и информации Федеральной службы охраны Российской Федерации в Республике Башкортостан

4.2.6.1. Центр специальной связи и информации Федеральной службы охраны Российской Федерации в Республике Башкортостан (далее - Центр) в части обеспечения информационной безопасности решает следующие основные задачи:

обеспечение в пределах своих полномочий организации и функционирования специальной связи;

участие в пределах компетенции в формировании государственных информационных ресурсов, обеспечение в установленном порядке государственных органов специальной информацией;

участие в пределах компетенции в реализации мер по обеспечению информационной безопасности Российской Федерации, противодействию техническим разведкам и защите сведений, составляющих государственную тайну;

информационно-аналитическое, информационно-технологическое и информационно-правовое обеспечение государственных органов Республики Башкортостан;

техническое обслуживание и программное сопровождение информационно-телекоммуникационной системы специального назначения в интересах государственных органов, в том числе обеспечение функционирования приемной Президента Российской Федерации в федеральном округе, оборудования конфиденциальной видеосвязи, ситуационного центра и оборудования защищенной видеосвязи высшего должностного лица Республики Башкортостан.

4.2.6.2. В целях реализации своих задач Центр специальной связи и информации Федеральной службы охраны Российской Федерации в Республике Башкортостан имеет право:

осуществлять в установленном порядке контроль защищенности технических средств, находящихся в ведении Центра и размещенных на объектах государственных органов;

выдавать в установленном порядке и в соответствии с компетенцией технические условия в части организации, обеспечения функционирования и безопасности специальной связи, обязательные для государственных органов, организаций независимо от формы собственности;

запрашивать и получать в установленном порядке сведения, необходимые для решения задач, возложенных на Центр.

4.2.7. Лицензиаты ФСТЭК России и ФСБ России

Лицензиаты ФСТЭК России и ФСБ России осуществляют мероприятия и (или) оказывают услуги по защите информации и по созданию средств защиты информации.

4.2.8. Учебные заведения по подготовке, профессиональной переподготовке и повышению квалификации специалистов в области защиты информации

4.2.8.1. Учебные заведения по подготовке, профессиональной переподготовке и повышению квалификации специалистов в области защиты информации осуществляют:

1) первичную подготовку специалистов по комплексной защите информации;

2) переподготовку и повышение квалификации специалистов по защите информации государственных органов, органов местного самоуправления и организаций;

3) усовершенствование знаний руководителей государственных органов, органов местного самоуправления и организаций.

4.2.8.2. Для специалистов, осуществляющих мероприятия по защите информации, продолжительность курсов повышения квалификации рекомендуется в объеме не менее 72 часов.

V. Ожидаемые результаты реализации Основ организации защиты информации в Республике Башкортостан

5.1. Реализация Основ позволит:

исключить или существенно затруднить добывание информации техническими средствами разведки, предотвратить ее утечку по техническим каналам, а также несанкционированный доступ к ней с целью неправомерного распространения, уничтожения или искажения;

улучшить организационную структуру системы защиты информации в Республике Башкортостан;

повысить эффективность деятельности государственных органов, органов местного самоуправления и организаций в области защиты информации.

5.2. Реализация Основ призвана обеспечить функционирование системы защиты информации в Республике Башкортостан, соответствующей задачам обеспечения национальной безопасности Российской Федерации, адекватно реагирующей на угрозы безопасности информации в различных сферах деятельности.

Информация об изменениях:

Указом Главы Республики Башкортостан от 3 ноября 2015 г. N УГ-280 настоящее приложение изложено в новой редакции

См. текст приложения в предыдущей редакции

Приложение

к Основам организации

защиты информации

в Республике Башкортостан

Перечень
основных нормативных правовых, организационно-распорядительных и методических документов, регламентирующих деятельность в области защиты информации

С изменениями и дополнениями от:

3 ноября 2015 г.

1. Доктрина информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации 9 сентября 2000 г. N Пр-1895).

2. Закон Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне".

3. Федеральные законы:

от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании";

от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

от 28 декабря 2010 г. N 390-ФЗ "О безопасности".

4. Указы Президента Российской Федерации:

от 30 ноября 1995 г. N 1203 "Об утверждении Перечня сведений, отнесенных к государственной тайне";

от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера";

от 16 августа 2004 г. N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю";

от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";

от 26 февраля 2009 г. N 228 "Вопросы Межведомственной комиссии по защите государственной тайны";

от 12 мая 2009 г. N 537 "О Стратегии национальной безопасности Российской Федерации до 2020 года".

5. Постановления Правительства Российской Федерации:

от 15 сентября 1993 г. N 921-51 "Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам";

от 15 апреля 1995 г. N 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны";

от 26 июня 1995 г. N 608 "О сертификации средств защиты информации";

от 4 сентября 1995 г. N 870 "Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности";

от 30 апреля 1997 г. N 513 "О внесении дополнения в Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны";

от 29 августа 2001 г. N 633 "О порядке размещения и использования на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации иностранных технических средств наблюдения и контроля";

от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям";

от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации";

от 3 марта 2012 г. N 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации";

от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

6. Документы Государственной технической комиссии при Президенте Российской Федерации, Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства связи и массовых коммуникаций Российской Федерации, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (решения, приказы):

"Положение по аттестации объектов информатизации по требованиям безопасности информации" (утверждено председателем Гостехкомиссии при Президенте РФ от 25 ноября 1994 г.);

"Типовое положение о Совете (технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам" от 14 марта 1995 г. N 32;

"Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)" (одобрено решением Гостехкомиссии при Президенте РФ от 14 марта 1995 г. N 32);

"О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте" от 3 октября 1995 г. N 42;

"Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)" от 23 мая 1997 г. N 55;

"Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)" от 30 августа 2002 г. N 282;

"Методические рекомендации по формированию аналитического прогноза по укомплектованию подразделений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами на заданный период" (утверждены первым заместителем директора ФСТЭК России 23 апреля 2011 г.);

"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.);

"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.);

"Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Приказ ФСТЭК России от 11 февраля 2013 г. N 17).

"Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Приказ ФСТЭК России от 18 февраля 2013 г. N 21);

"Методический документ. Меры защиты информации в государственных информационных системах" (утвержден ФСТЭК России 11 февраля 2014 г.).

"Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" (Приказ ФСТЭК России от 14 марта 2014 г. N 31).

"Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования" (Приказ ФСБ России N 416, ФСТЭК России N 489 от 31 августа 2010 г.);

"Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (Приказ ФСБ России от 10 июля 2014 г. N 378);

"Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования" (Приказ Минкомсвязи РФ от 25 августа 2009 г. N 104);

"Об утверждении требований и методов по обезличиванию персональных данных" (Приказ Роскомнадзора от 5 сентября 2013 г. N 996);

"Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утверждены Роскомнадзором 13 декабря 2013 г.).