Приложение 1. Положение о порядке организации и проведении работ по защите информации. Приказ Комитета общего и профессионального образования Ленинградской области от 25.05.2023 N 20 "Об организации деятельности по защите информации в комитете общего и профессионального образования Ленинградской области"

УТВЕРЖДЕНО
приказом комитета общего
и профессионального образования
Ленинградской области
от 25.05.2023 года N 20
(приложение 1)

Положение о порядке организации и проведении работ по защите информации

1. Общие положения

1.1. Положение разработано на основании Федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Указа Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказов ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", "Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К)", утверждённых приказом председателя Гостехкомиссии России от 30 августа 2002 г. N 282, и других нормативных правовых актов Российской Федерации, нормативных и методических документов в области защиты информации.

1.2. Положение определяет порядок организации и проведения работ по защите конфиденциальной информации и (или) информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, содержащейся в государственных информационных системах, и является обязательным для выполнения всеми должностными лицами, имеющими право доступа в служебные помещения комитета общего и профессионального образования Ленинградской области, при проведении работ, требующих защиты информации на разрабатываемых, реконструируемых и действующих (находящихся в эксплуатации) объектах информатизации.

1.3. К объектам информатизации относится совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения, предназначенные для ведения конфиденциальных переговоров.

1.4. Защита информации на объекте информатизации достигается выполнением комплекса организационно-технических мероприятий с применением средств защиты информации от утечки по техническим каналам, несанкционированного доступа, по предупреждению преднамеренных программно-технических воздействий с целью нарушения конфиденциальности, целостности и доступности информации в процессе ее производства, сбора, хранения, обработки, передачи, работоспособности технических средств.

1.5. Работы по защите информации являются составной частью служебной деятельности и осуществляются совместно с другими служебными обязанностями.

1.6. Для защиты информации, на объектах информатизации применяются сертифицированные по требованиям безопасности средства защиты информации.

1.7. Объекты информатизации, обрабатывающие защищаемую информацию, должны быть аттестованы по требованиям безопасности информации.

2. Порядок определения защищаемой информации

2.1. Отнесение информации к защищаемой осуществляется в соответствии с перечнем защищаемых информационных ресурсов, утверждённым председателем комитета общего и профессионального образования Ленинградской области.

2.2. К защищаемой информации может относиться речевая информация, документированная информация, информация обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на оптической, магнитной и иной основе.

2.3. Решение об отнесении информации к защищаемой определяется исполнителем, непосредственно организующим или осуществляющим обработку такой информации, или (и) должностным лицом, подписывающим или утверждающим документ.

3. Организация и проведение работ по защите информации

3.1. Защита информации, обрабатываемой с использованием средств вычислительной техники, является составной частью работ по созданию и эксплуатации объектов информатизации и должна осуществляться в установленном, в соответствии требованиями законодательства Российской Федерации, порядке.

3.2. Организация работ по защите информации возлагается на заместителя председателя комитета - начальника департамента профессионального образования, развития инфраструктуры и организационной деятельности Колыхматова В.И.

3.3. Общую координацию деятельности и методическое руководство по вопросам защиты информации осуществляет Комитет цифрового развития Ленинградской области (далее - уполномоченный ОИВ ЛО).

3.4. Разработка мер и обеспечение защиты информации осуществляется уполномоченным ОИВ ЛО, ответственным за защиту информации и должностными лицами, обрабатывающими защищаемую информацию.

3.5. Деятельность по защите информации осуществляется непрерывно и реализуется в виде системы защиты информации включающей в себя правовые, организационные и технические мероприятия.

3.6. Разработка и внедрение системы защиты информации осуществляется уполномоченным ОИВ ЛО во взаимодействии с ответственным по защите информации, который в рамках свей компетенции участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания системы защиты информации, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты информации, организации работ по выявлению возможных каналов утечки информации или воздействий на нее, предупреждению утечки и нарушению целостности защищаемой информации, в аттестации объектов информатизации.

3.7. При решении задач и выполнении обязанностей (функций), связанных с защитой информации, ответственный по защите информации, взаимодействует с уполномоченным ОИВ ЛО.

3.8. Должностные лица, работающие с защищаемой информацией, при обеспечении её защиты руководствуются локальными организационно-распорядительными документами в области информационной безопасности.

3.9. Порядок проведения работ специализированными организациями при разработке, создании и (или) обслуживании объектов информатизации, их задачи и функции на различных стадиях выполнения работ определяются при заключении договоров (контрактов).

4. Контроль организации и состояния работ по защите информации

4.1. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности, доступности информации, проводится периодический контроль организации и состояния работ по защите информации.

4.2. Контроль осуществляется уполномоченным ОИВ ЛО и ответственным за защиту информации, в пределах их компетенции.

4.3. Контроль заключается в проверке выполнения обязательных требований нормативных правовых актов Российской Федерации, нормативных и методических документов федеральных органов исполнительной власти уполномоченных по вопросам информационной безопасности, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения соблюдения, утвержденных требований и норм по защите информации.

4.4. Контроль проводиться на предмет:

выполнения мероприятий установленных требованиями нормативных и правовых актов, нормативных и методических документов Российской Федерации в области защиты информации;

работоспособности и эффективности применяемых средств защиты информации в соответствии с их эксплуатационной документацией и установленными нормами;

знаний и выполнения должностными лицами своих функциональных обязанностей в части защиты информации.

4.5. Повседневный контроль за состоянием защиты информации проводится уполномоченным ОИВ ЛО, и ответственным за защиту информации, в пределах их компетенции.

4.6. Периодический контроль, проводимый уполномоченным ОИВ ЛО осуществляется по согласованию с председателем комитета общего и профессионального образования Ленинградской области. По результатам такого контроля составляется справка о состоянии работ по защите информации, которая предоставляется председателю комитета общего и профессионального образования Ленинградской области, в отношении которого проводился контроль.

4.7. Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям и нормам.

5. Ответственность должностных лиц за своевременность и качество организации и выполнения работ по защите информации

5.1. Ответственность за организацию работ по защите информации возлагается на заместителя председателя комитета общего и профессионального образования Ленинградской области - начальника департамента профессионального образования, развития инфраструктуры и организационной деятельности Колыхматова В.И.

5.2. Ответственность за разработку и внедрение средств защиты информации несет уполномоченный ОИВ ЛО и ответственный по защите информации, в пределах их компетенции.

5.3. Ответственность за выполнение мероприятий по защите информации несут уполномоченный ОИВ ЛО, ответственный по защите информации и должностные лица, имеющих право доступа к защищаемым информационным ресурсам, в пределах их компетенции.

5.4. Должностные лица, организующие работу с защищаемой информацией, несут персональную ответственность за соблюдение требований настоящего положения.

5.5. Должностные лица, принявшие решение об отнесении информации к защищаемой, несут персональную ответственность за обоснованность принятого решения.

5.6. За разглашение конфиденциальной информации, а также нарушение порядка обращения с защищаемой информацией, должностные лица могут быть привлечены к дисциплинарной или иной предусмотренной законодательством Российской Федерации ответственности.