Приложение. Положение об обеспечении защиты информации, обрабатываемой в информационных системах Администрации города Омска. Постановление Администрации города Омска от 26.03.2021 N 188-п "Об обеспечении защиты информации, обрабатываемой в информационных системах Администрации города Омска" (с изменениями и дополнениями)

Приложение
к постановлению Администрации
города Омска
от 26 марта 2021 года N 188-п

Положение
об обеспечении защиты информации, обрабатываемой в информационных системах Администрации города Омска

С изменениями и дополнениями от:

1 июля 2021 г.

I. Общие положения

1. Настоящее Положение об обеспечении защиты информации, обрабатываемой в информационных системах Администрации города Омска (далее - Положение), разработано с целью определения единого порядка организации и проведения мероприятий по защите информации, обрабатываемой структурными подразделениями Администрации города Омска, муниципальными учреждениями города Омска (далее - учреждение).

2. Настоящее Положение определяет:

- основные цели защиты информации;

- меры по обеспечению защиты информации;

- порядок осуществления контроля за обеспечением защиты информации.

3. Действие настоящего Положения не распространяется на защиту сведений, составляющих государственную тайну.

4. Требования настоящего Положения обязательны для выполнения структурными подразделениями Администрации города Омска, учреждениями.

5. Основные понятия, используемые в настоящем Положении:

- информация - сведения (сообщения, данные) независимо от формы их представления;

- защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

- обработка информации - вся совокупность действий (операций), включая сбор, ввод, запись, преобразование, считывание, хранение, уничтожение, регистрацию, передачу (распространение, предоставление, доступ), осуществляемых с помощью технических и программных средств;

- несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональным предназначениям и техническим характеристикам;

- информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

- сегмент информационной системы (далее - сегмент) - компонент (составная часть) информационной системы, предназначенный для обработки информации и решения функциональных задач;

- центральный сегмент информационной системы - компонент (составная часть) информационной системы, предназначенный для обеспечения взаимодействия сегментов информационной системы, включая возможность хранения основных баз данных;

- защищаемый ресурс информационной системы (сегмента) - техническое средство, узел сети, линия (канал) связи, программа, том, каталог, файл и иные объекты, доступ к которым регламентируется правилами разграничения доступа принятыми в информационной системе (сегменте);

- оператор информационной системы (сегмента) - подразделение, осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;

- пользователь информационной системы (сегмента) (далее - пользователь) - лицо, участвующее в функционировании информационной системы (сегмента) при обработке информации или использующее результаты ее функционирования;

- администратор безопасности информационной системы (сегмента) - лицо, ответственное за защиту информационной системы (сегмента) от несанкционированного доступа к информации;

- ответственный за эксплуатацию информационной системы (сегмента) - ответственное лицо, обеспечивающее правильное использование и функционирование системы защиты информации;

- информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

- контроллер домена - программно-аппаратный комплекс, предназначенный для организации работы пользователей и компьютеров в корпоративной локальной вычислительной сети;

- инцидент информационной безопасности - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

II. Цели защиты информации

6. Основными целями защиты информации являются:

- исключение неправомерного: доступа, копирования, предоставления или распространения информации;

- исключение неправомерного уничтожения или модифицирования информации;

- исключение неправомерного блокирования информации.

III. Меры по обеспечению защиты информации

7. Лицом, ответственным за обеспечение защиты информации в структурном подразделении Администрации города Омска, наделенном правами юридического лица, и в учреждениях (далее - подразделение) приказом (распоряжением) руководителя подразделения назначается работник, в функции которого входят вопросы обеспечения информационной безопасности, контроль за соблюдением норм и правил обработки информации в подразделении, планирование и организация работ по защите информации, организация обучения пользователей правилам работы на средствах вычислительной техники.

8. Руководителем подразделения для каждой эксплуатируемой в подразделении информационной системы (сегмента) назначается администратор безопасности информационной системы, ответственный за защиту информационной системы (сегмента) от несанкционированного доступа к информации.

9. Ответственный за эксплуатацию информационной системы назначается руководителем из числа работников подразделения и обеспечивает правильное использование и функционирование системы защиты информации.

10. Для структурных подразделений Администрации города Омска, не наделенных правами юридического лица, администратор безопасности информационной системы и ответственный за эксплуатацию информационной системы назначается из числа работников управления делами Администрации города Омска.

Информация об изменениях:

Пункт 11 изменен. - Постановление Администрации города Омска от 1 июля 2021 г. N 405-п

См. предыдущую редакцию

11. Меры защиты информации информационной системы (сегмента) определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации, в соответствии с нормативными правовыми актами Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) и Федеральной службы безопасности Российской Федерации.

Классификацию информационной системы проводит комиссия по классификации информационной системы, созданная в подразделении. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы. Класс защищенности определяется для информационной системы в целом и при необходимости для ее отдельных сегментов. Класс защищенности сегмента не должен быть выше класса защищенности центрального сегмента информационной системы. Результаты классификации информационной системы (сегмента) оформляются актом классификации, который утверждается руководителем подразделения.

Для проведения классификации необходимо руководствоваться постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

Модель угроз безопасности информации разрабатывается подразделением на основе определения угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе (сегменте), и утверждается руководителем подразделения в соответствии с Методикой оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 года.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы (сегмента), возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

12. Обеспечение защиты информации осуществляется с помощью комплекса организационных и технических мер.

13. К организационным мерам обеспечения защиты информации относятся:

1) разработка и утверждение в подразделении следующих организационно-распорядительных документов по защите информации информационной системы (сегмента):

- инструкция администратора безопасности по форме согласно приложению N 1 к настоящему Положению,

- инструкция пользователя по форме согласно приложению N 2 к настоящему Положению;

- инструкция по организации парольной защиты по форме согласно приложению N 3 к настоящему Положению;

- инструкция по проведению антивирусного контроля по форме согласно приложению N 4 к настоящему Положению;

- инструкция ответственного за эксплуатацию по форме согласно приложению N 5 к настоящему Положению;

- инструкция о порядке технического обслуживания средств обработки информации по форме согласно приложению N 6 к настоящему Положению;

- порядок проведения проверки в случае наступления инцидента информационной безопасности;

- порядок учета съемных носителей информации;

- порядок резервного копирования данных;

2) ведение учета программных, программно-аппаратных средств защиты информации, включая криптографические средства защиты;

3) создание комиссии по классификации информационной системы и разработка указанной комиссией акта классификации, его утверждение руководителем подразделения;

4) разработка рабочей группой по обеспечению защиты информации, созданной в подразделении и утверждение руководителем подразделения для каждой информационной системы (сегмента):

- модели угроз безопасности информации;

- описания технологического процесса обработки защищаемой информации;

- перечней разрешенного к использованию программного обеспечения;

- перечней защищаемых ресурсов;

- списка лиц, допущенных к самостоятельной работе (пользователей) в информационной системе (сегменте);

- списка лиц, имеющих право доступа в помещение, в котором проводится обработка защищаемой информации;

- списка лиц, допущенных к техническому обслуживанию;

- списка установленных прав доступа пользователей к защищаемым ресурсам.

14. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности в соответствии с Федеральным законом "Об информации, информационных технологиях и защите информации", Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", методическим документом ФСТЭК России от 11 февраля 2014 года "Меры защиты информации в государственных информационных системах".

В том числе подразделения реализуют следующие технические меры:

- применение лицензионного программного обеспечения, а также сертифицированных по требованиям безопасности информации программных и технических средств защиты информации;

- аттестация средств вычислительной техники и информационных систем, в случае, если информационные системы является муниципальными информационными системами;

- исключение несанкционированного доступа к информации, обрабатываемой в информационных системах, путем идентификации и аутентификации пользователей;

- опломбирование средств вычислительной техники с целью предотвращения несанкционированного доступа, изъятия и замены комплектующих элементов и узлов;

- исключение использования в информационно-коммуникационной сети систем обмена мгновенными сообщениями, не сертифицированными по требованиям безопасности, через сеть Интернет (WhatsApp, Skype, Viber и т.п.);

- исключение публичных адресов сети Интернет в информационно-телекоммуникационной сети;

- обеспечение доступа к сети Интернет с использованием прокси-сервера с ведением журнала фиксации событий по учетным записям пользователей и IP-адресам;

- мониторинг и анализ зарегистрированных событий, связанных с обеспечением безопасности, включая запросы к ресурсам в сети Интернет, а также электронной почты;

- создание в локальной вычислительной сети контроллера домена;

- обнаружение (предотвращение) вторжений, направленных на преднамеренный несанкционированный доступ к информации, а также реагирование на эти действия (пресечение), и последующее документирование информации об инциденте информационной безопасности;

- защита среды виртуализации;

- защита машинных носителей информации (средств обработки (хранения) информации, съемные машинные носители информации);

- проведение списания и утилизации средств вычислительной техники только после удаления содержащейся в них информации без возможности ее восстановления и последующего прочтения;

- резервное копирование информации;

- антивирусный контроль программного обеспечения, получаемой и передаваемой информации, а также обновление антивирусных программных средств;

- обновление используемого программного и прикладного обеспечения, включая обновление программного обеспечения средств защиты информации;

- осуществление передачи защищаемой информации по открытым каналам связи только с использованием средств криптографической защиты информации;

- создание в служебных целях защищенного удаленного соединения для дистанционного подключения к информационным системам.

15. Подключение к ресурсам информационно-телекоммуникационной сети регламентируется Положением об информационно-телекоммуникационной сети Администрации города Омска, утвержденным правовым актом Администрации города Омска.

16. В подразделениях осуществление функций по обеспечению организационных мер защиты возлагается на лицо, ответственное за обеспечение защиты информации подразделения, обеспечение технических мер защиты информации возлагается на работников подразделения, должностными обязанностями которых определена техническая защита информации.

17. Осуществление функций по обеспечению организационных мер защиты информации в структурных подразделениях Администрации города Омска, не наделенных правами юридического лица, возлагается на управление делами Администрации города Омска.

Функции по обеспечению технических мер защиты информации в структурных подразделениях Администрации города Омска, не наделенных правами юридического лица, осуществляет Казенное учреждение города Омска "Управление информационно-коммуникационных технологий".

18. Ответственность за обеспечение защиты информации возлагается на руководителей подразделений.

IV. Контроль за обеспечением защиты информации

19. Контроль за обеспечением защиты информации осуществляется с целью предотвращения несанкционированного доступа к защищаемой информации, оценки полноты и эффективности применяемых мер и средств защиты информации.

20. Управление делами Администрации города Омска осуществляет организацию и контроль за обеспечением защиты информации, обрабатываемой в информационных системах (сегментах) структурных подразделений Администрации города Омска, наделенных правами юридического лица.

21. Контроль осуществляется посредством плановых и внеплановых проверок.

22. График плановых проверок структурных подразделений Администрации города Омска, наделенных правами юридического лица, утверждается Мэром города Омска на очередной год не позднее 20 декабря года, предшествующего году проверки.

Управление делами Администрации города Омска доводит до сведения структурных подразделений Администрации города Омска, наделенных правами юридического лица, утвержденный график проверок в течение 5 рабочих дней с даты утверждения.

Внеплановые проверки могут проводиться по решению Мэра города Омска с обязательным уведомлением структурных подразделений Администрации города Омска, наделенных правами юридического лица, об объемах и сроках проверки.

23. Результаты проверки оформляются актом, в котором отражается состояние обеспечения защиты информационных систем (сегментов) (наличие организационно-распорядительной документации, средств защиты, а также проведенные (планируемые) мероприятия по обеспечению информационной безопасности). В случае выявления недостатков указываются сроки их устранения.

24. Ежегодно до 1 декабря текущего года управлением делами Администрации города Омска по итогам осуществления контроля за обеспечением защиты информации, обрабатываемой в информационных системах (сегментах) структурных подразделениях Администрации города Омска, наделенных правами юридического лица, Мэру города Омска представляется справка, в которой отображается:

- общее состояние обеспечения защиты информации информационных систем (сегментов) структурных подразделений Администрации города Омска, наделенных правами юридического лица;

- количество проведенных управлением делами Администрации города Омска проверок;

- основные недостатки, выявленные в ходе проверок;

- укомплектованность структурных подразделений Администрации города Омска, наделенных правами юридического лица, специалистами по обеспечению защиты информации;

- предложения по совершенствованию системы обеспечения защиты информации.

25. Структурные подразделения Администрации города Омска, наделенные правами юридического лица, организацию и контроль за обеспечением защиты информации, обрабатываемой в информационных системах (сегментах) в учреждениях, осуществляют самостоятельно в соответствии с графиком плановых проверок, утвержденным руководителем соответствующего структурного подразделения Администрации города Омска.

26. Результаты проверки в учреждении оформляются в соответствии с пунктом 23 настоящего Положения.

При необходимости проведения внеплановой проверки решение о ее проведении принимается руководителем соответствующего структурного подразделения Администрации города Омска с обязательным уведомлением учреждения об объемах и сроках проверки.

27. По итогам осуществления контроля за обеспечением защиты информации в учреждениях в срок до 1 ноября текущего года соответствующим структурным подразделением Администрации города Омска готовится справка, в которой отображается:

- общее состояние обеспечения защиты информации информационных систем (сегментов) учреждений;

- количество проведенных проверок;

- основные недостатки, выявленные в ходе проверок;

- укомплектованность учреждений специалистами по обеспечению защиты информации;

- предложения по совершенствованию системы обеспечения защиты информации.