Приложение 2. Типовое положение о защите информации и обеспечении информационной безопасности в организациях, подведомственных Москомспорту. Распоряжение Департамента физической культуры и спорта г. Москвы от 27.12.2013 N 565 "Об организации защиты информации и обеспечении информационной безопасности"

Приложение 2
к распоряжению Департамента
физической культуры и спорта
города Москвы
от 27 декабря 2013 г. N 565

Типовое положение
о защите информации и обеспечении информационной безопасности в организациях, подведомственных Москомспорту

I. Общие положения

1.1. Настоящее Положение о защите информации и обеспечении информационной безопасности определяет общий порядок получения, обработки, использования и защиты в _______________________________________ (указывается полное официальное наименование подведомственной Москомспорту организации) (далее - учреждение ши предприятие), определенной в соответствии с законодательством Российской Федерации информации ограниченного пользования, а также общие требования к информационным системам, содержащим такую информацию, в учреждении (предприятии).

1.2. Настоящее Положение разработано в соответствии с федеральными законами и иными правовыми актами Российской Федерации, законами и иными правовыми актами города Москвы.

1.3. В целях настоящего Положения под информацией ограниченного пользования понимается образующаяся в процессе деятельности учреждения (предприятия) или поступившая в учреждение (предприятие) информация (сведения, сообщения, данные и т.п.), доступ к которой ограничен законодательством Российской Федерации, в том числе:

1) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

2) сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации;

3) служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

4) сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);

5) сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

6) ...(указываются иные сведения, включенные руководителем подведомственной Москомспорту организации в перечень информации, подлежащей защите в организации).

1.4. К информации ограниченного пользования не могут быть отнесены сведения, обязательные к раскрытию учреждением (предприятием) в соответствии с законодательством Российской Федерации.

1.5. Настоящее Положение не распространяется на обработку обезличенных персональных данных, а также персональных данных, сделанных общедоступными субъектом персональных данных.

1.6. Учреждение (предприятие) организует обеспечение безопасности хранения, обработки и передачи по каналам связи информации, указанной в пункте 1.3 настоящего Положения.

1.7. Мероприятия по защите информации, указанной в пункте 1.3 настоящего Положения (далее - информация ограниченного пользования), осуществляются учреждением (предприятием) во взаимосвязи с мерами по обеспечению установленной конфиденциальности проводимых работ.

1.8. Обработка персональных данных в учреждении (предприятии) осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

1.9. Объектами защиты информации в учреждении (предприятии) являются:

1) средства и системы информатизации и связи (средства вычислительной техники, локальная вычислительная сеть, средства и системы связи и передачи информации, средства звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления и тиражирования документов), используемые для обработки, хранения и передачи информации ограниченного пользования.

2) технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация ограниченного пользования;

3) помещения (служебные кабинеты, актовые, конференц-залы и т.п.), специально предназначенные для проведения конфиденциальных мероприятий;

4) помещения, специально предназначенные для хранения информации ограниченного пользования.

1.10. Ответственность за выполнение требований настоящего Положения возлагается на должностное лицо, ответственное за защиту информации и обеспечение информационной безопасности в учреждении (предприятии) (далее - ответственное должностное лицо), а также лиц, допущенных к обработке, передаче и хранению информации ограниченного пользования.

1.11. Непосредственное руководство мероприятиями по организации защиты информации ограниченного пользования в учреждении (предприятии) осуществляет руководитель учреждения (предприятия).

II. Обеспечение защиты информации в учреждении (предприятии)

2.1. Защита информации в учреждении (предприятии) представляет собой комплекс организационных и технических мер и включает в себя обеспечение защиты информации ограниченного пользования от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.

2.2. Для организации защиты информации ограниченного пользования руководитель учреждения (предприятия) принимает следующие меры:

1) утверждает перечень информации, подлежащей защите в учреждении (предприятии);

2) назначает лицо, ответственное за организацию защиты информации и обеспечение информационной безопасности в учреждении (предприятии);

3) утверждает списки работников учреждения (предприятия), которые в соответствии со своими должностными обязанностями допускаются к работе с информацией ограниченного пользования;

4) определяет помещение, специально предназначенное для хранения информации ограниченного пользования, и обеспечивает его охрану.

5) обеспечивает знакомство под роспись при приеме на работу в учреждение (предприятие) работников, с перечнем информации, подлежащей защите в учреждении (предприятии)',

6) осуществляет контроль за обеспечением защиты информации ограниченного пользования;

7) обеспечивает подключение к охранной сигнализации и передачу охранной организации на хранение помещения, специально предназначенного для хранения информации ограниченного пользования.

2.3. Мероприятия по защите информации ограниченного пользования в учреждении (предприятии) осуществляются в соответствии с рекомендациями ГКУ "ДСРЭСЗС" Москомспорта.

III. Требования к информационной безопасности в учреждении(предприятии)

3.1. Находящиеся в ведении учреждения (предприятия) информационные системы и ресурсы, содержащие информация ограниченного пользования, подлежат обязательной защите.

3.2. Информация ограниченного пользования должна обрабатываться (передаваться) с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств технической защиты информации ограниченного пользования.

3.3. Уровень технической защиты информации ограниченного пользования, а также перечень необходимых мер защиты определяется в соответствии с рекомендациями ГКУ "ЦСТиСК" Москомспорта.

3.4. В целях обеспечения защиты информации ограниченного пользования работники учреждения (предприятия) обязаны:

1) хранить в тайне пароль (пароли), позволяющие получить доступ к информации ограниченного пользования;

2) при служебной переписке использовать исключительно электронную почту в домене mossport.ru;

3) поддерживать в актуальном состоянии антивирусное программное обеспечение, регулярно проводить его обновление;

4) исключить физический доступ посторонних лиц к закрепленным за ним средствам обработки информации ограниченного пользования;

5) неукоснительно выполнять предписания на эксплуатацию средств связи, вычислительной техники, оргтехники, бытовых приборов и другого оборудования, установленного в помещении;

6) немедленно вызывать ответственное должностное лицо и ставить в известность руководителя учреждения (предприятия) в случае утери ключевого носителя электронно-цифровой подписи или при подозрении компрометации личных ключей и паролей, а также при обнаружении:

- нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей при их наличии) на аппаратных средствах или иных фактов совершения в его отсутствие попыток несанкционированного доступа к рабочей станции;

- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств рабочей станции;

- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию рабочей станции, выхода из строя или неустойчивого функционирования узлов рабочей станции или периферийных устройств (дисководов, принтеров и т.п.), а также перебоев в системе электроснабжения;

- некорректного функционирования установленных на рабочей станции технических средств защиты;

- непредусмотренных формуляром рабочей станции отводов кабелей и подключенных устройств;

7) присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним рабочей станции в подразделении.

8) передать учреждению (предприятию) при прекращении или расторжении трудового договора имеющиеся в пользовании материальные носители информации, содержащие информацию ограниченного пользования.

3.5. Работникам учреждения (предприятия) запрещается:

1) использовать компоненты программного и аппаратного обеспечения учреждения (предприятия) в неслужебных целях;

2) самовольно вносить изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;

3) для предотвращения заражения компьютеров вредоносным программным обеспечением, в том числе с полной потерей данных, запрещается открывать вложенные файлы и переходить по ссылкам из писем, полученных из недостоверных источников;

4) осуществлять обработку информации ограниченного пользования в присутствии не допущенных к данной информации лиц;

5) записывать и хранить информацию ограниченного пользования на неучтенных носителях информации;

6) оставлять включенной без присмотра свою рабочую станцию, не активизировав средства защиты от несанкционированного допуска (временную блокировку экрана и клавиатуры);

7) передавать кому-либо свой персональный носитель электронно-цифровой подписи (кроме руководителя учреждения (предприятия) и руководителя структурного подразделения учреждения (предприятия), делать неучтенные копии носителя электронно-цифровой подписи (на любой другой носитель) и вносить какие-либо изменения в носитель электронно-цифровой подписи;

8) использовать свой персональный носитель электронно-цифровой подписи для формирования цифровой подписи любых электронных документов, кроме регламентированных технологическим процессом на его рабочем месте;

9) оставлять без личного присмотра на рабочем месте или где бы то ни было свой персональный носитель электронно-цифровой подписи, машинные носители и распечатки, содержащие информацию ограниченного пользования;

10) умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок необходимо ставить в известность ответственное должностное лицо.

3.6. Допускается использование только учтенные носители информации ограниченного пользования, которые подвергаются регулярной ревизии и контролю.

3.7. При использовании работниками учреждения (предприятия) носителей информации ограниченного пользования необходимо:

1) использовать носители информации ограниченного пользования исключительно для выполнения своих служебных обязанностей;

2) обеспечивать физическую безопасность носителей информации ограниченного пользования всеми разумными способами;

3) извещать ответственное должностное лицо и руководителя учреждения (предприятия) о фактах утраты (кражи) носителей информации ограниченного пользования.

3.8. При использовании носителей информации ограниченного пользования запрещено:

1) использовать носители информации ограниченного пользования в личных целях;

2) передавать носители информации ограниченного пользования другим лицам (за исключением руководителя учреждения (предприятия) и ответственного должностного лица);

3) хранить носители информации ограниченного пользования вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;

4) выносить носители информации ограниченного пользования из служебных помещений для работы с ними без согласования руководителя учреждения (предприятия).

3.9. Любое взаимодействие (обработка, прием/передача информации) инициированное сотрудником учреждения (предприятия) между информационной системой учреждения (предприятия), содержащей информацию ограниченного пользования и неучтенными (личными) носителями информации, рассматривается как несанкционированное.

3.10. В случае выявления фактов несанкционированного и/или нецелевого применения носителей информации ограниченного пользования инициализируется служебная проверка, проводимая комиссией, состав которой определяется руководителем учреждения (предприятия).

3.11. По факту выясненных обстоятельств составляется акт расследования инцидента и передается руководителю учреждения (предприятия) для принятия мер согласно локальным нормативным актам учреждения (предприятия) и законодательству Российской Федерации.

3.12. Информация, хранящаяся на носителях информации ограниченного пользования, подлежит обязательной проверке на отсутствие вредоносного программного обеспечения.

3.13. В случае увольнения или перевода работника в другое структурное подразделение учреждения (предприятия), предоставленные носители информации ограниченного пользования изымаются.

IV. Заключительные положения

4.1. В целях обеспечения защиты информации и обеспечения информационной безопасности учреждение (предприятие) имеет право привлекать к проведению работ по технической защите информации в установленном порядке организации, имеющие лицензии на соответствующие виды деятельности.

4.2. При проведении учреждением (предприятием) совместных работ с физическими лицами, юридическими лицами, органами государственной власти, органами местного самоуправления, связанных с информацией ограниченного пользования, должна быть обеспечена техническая защита информации ограниченного пользования независимо от места проведения работ.

4.3. Публикация на официальном сайте учреждения (предприятия) в информационно-телекоммуникационной сети "Интернет" информации, содержащей персональные данные, осуществляется в соответствии с законодательством Российской Федерации.

4.4. Публикация на официальном сайте учреждения (предприятия) в информационно-телекоммуникационной сети "Интернет" информации, содержащей сведения, составляющие государственную и иную охраняемую законодательством Российской Федерации тайну, сведения конфиденциального характера, а также информации ограниченного пользования не допускается.

4.5. Учреждение (предприятие) имеет право пройти добровольную аттестацию на соответствие требованиям по технической защите информации ограниченного пользования в порядке, установленном законодательством Российской Федерации.

4.6. Настоящее Положение обязательно для исполнения всеми работниками учреждения (предприятия), которые должны быть ознакомлены с ним под роспись.

4.7. Нарушение требований к работе с информацией ограниченного пользования, влечет материальную, дисциплинарную, гражданскую, административную и уголовную ответственность в соответствии с законодательством Российской Федерации и локальными актами учреждения (предприятия).

4.8. Настоящее Положение вступает в силу после его утверждения руководителем учреждения (предприятия).