Постановление Администрации г. Смоленска от 30.12.2010 N 920-адм "Об утверждении Положения о системе защиты информации ограниченного доступа в Администрации города Смоленска" (с изменениями и дополнениями)

Постановление Администрации г. Смоленска
от 30 декабря 2010 г. N 920-адм
"Об утверждении Положения о системе защиты информации ограниченного доступа в Администрации города Смоленска"

С изменениями и дополнениями от:

2 декабря 2014 г., 23, 29 декабря 2015 г.

В целях создания системы защиты информации ограниченного доступа в Администрации города Смоленска, руководствуясь Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Концепцией защиты информации в Смоленской области, утвержденной постановлением Администрации Смоленской области от 20.12.2004 N 366, Уставом города Смоленска, Администрация города Смоленска постановляет:

1. Утвердить прилагаемое Положение о системе защиты информации ограниченного доступа в Администрации города Смоленска.

2. Руководителям структурных подразделений Администрации города Смоленска ознакомить всех сотрудников с указанным Положением и обеспечить его исполнение.

Информация об изменениях:

Пункт 3 изменен. - Постановление Администрации г. Смоленска от 29 декабря 2015 г. N 394-адм

См. предыдущую редакцию

3. Контроль за исполнением настоящего постановления возложить на первого заместителя Главы города Смоленска.

Глава Администрации города Смоленска

К.Г. Лазарев

Информация об изменениях:

Положение изменено. - Постановление Администрации г. Смоленска от 23 декабря 2015 г. N 284-адм

См. предыдущую редакцию

Утверждено
постановлением
Администрации города Смоленска
от 30 декабря 2010 г. N 920-адм

Положение
о системе защиты информации ограниченного доступа в Администрации города Смоленска

С изменениями и дополнениями от:

2 декабря 2014 г., 23 декабря 2015 г.

1. Общие положения

1.1. Настоящее Положение определяет принципы обеспечения информационной безопасности Администрации города Смоленска, структуру системы защиты и порядок защиты информации ограниченного доступа, регламентирует основы организации технической защиты информации ограниченного доступа в Администрации города Смоленска.

1.2. Настоящее Положение является документом, обязательным для исполнения в структурных подразделениях Администрации города Смоленска, имеющих или обрабатывающих информацию ограниченного доступа при проведении работ по технической защите информации ограниченного доступа (далее - ИОД) от утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий в целях ее уничтожения, искажения и блокирования.

1.3. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Совета Министров - Правительства Российской Федерации от 15.09.93 N 912-51, Концепцией защиты информации на территории Смоленской области на период 2014 - 2020 годов, утвержденной постановлением Администрации Смоленской области от 11.12.2014 N 848.

1.4. Настоящее Положение не распространяется на информацию, отнесенную в установленном порядке к сведениям, составляющим государственную тайну.

2. Структура системы защиты ИОД

2.1. Систему защиты ИОД Администрации города Смоленска возглавляет Глава города Смоленска.

2.2. Ответственность за организацию и состояние защиты ИОД в структурных подразделениях Администрации города Смоленска возлагается на их руководителей.

2.3. В каждом подразделении, выполняющем хранение или обработку ИОД, приказом руководителя подразделения назначается сотрудник, ответственный за реализацию мероприятий по защите ИОД, и определяется перечень лиц, допущенных к обработке ИОД.

2.4. Координацию мероприятий по организации защиты ИОД в структурных подразделениях Администрации города Смоленска, не обладающих статусом юридического лица, а также по взаимодействию этих подразделений с контролирующими органами осуществляет первый заместитель Главы города Смоленска.

2.5. Комитет по информационным ресурсам и телекоммуникациям Администрации города Смоленска отвечает за установку, настройку и администрирование технических средств защиты информации (далее - ТСЗИ) при хранении или обработке ИОД с использованием средств вычислительной техники в структурных подразделениях Администрации города Смоленска, не имеющих своих штатных специалистов в области информационных технологий.

3. Порядок организации и проведения работ по защите ИОД

3.1. Мероприятия по технической защите ИОД являются составной частью деятельности Администрации города Смоленска и осуществляются во взаимосвязи с другими мерами по обеспечению защиты информации и режима конфиденциальности проводимых работ с ИОД.

3.2. Проведение любых мероприятий и работ с использованием ИОД без принятия необходимых мер по ее технической защите не допускается.

3.3. Защита информации - комплекс организационно-технических мер, предотвращающих или снижающих возможность утечки информации и/или воздействия на информацию.

3.4. Комплекс мероприятий по защите ИОД основывается на определении:

- источников угроз безопасности информации и вероятности реализации этих угроз для конкретных объектов;

- средств и методов защиты информации;

- разграничения доступа к информации;

- идентификации и аутентификации пользователей для работы с ИОД.

3.5. Техническая защита ИОД осуществляется путем выполнения комплекса мероприятий, направленных на предотвращение:

- утечки ИОД по техническим каналам за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами;

- несанкционированного доступа к обрабатываемой, хранящейся в технических средствах и передаваемой по каналам связи ИОД;

- преднамеренных программно-технических воздействий с целью хищения, разрушения (уничтожения), искажения ИОД в процессе обработки, передачи и хранения;

- перехвата техническими средствами речевой ИОД из помещений.

3.6. Объектами, подлежащими технической защите, являются:

- информационные ресурсы, представленные в виде магнитных или оптических носителей, информативных физических полей, информационных массивов и баз данных и содержащие ИОД;

- технические средства обработки и передачи ИОД;

- помещения, предназначенные для обработки ИОД и проведения секретных (конфиденциальных) переговоров.

3.7. Для защиты информации в компьютерной системе принимаются следующие меры:

- организационные меры защиты - меры общего характера, затрудняющие доступ к информации злоумышленникам, вне зависимости от особенностей способа обработки информации и каналов утечки и воздействия;

- организационно-технические меры защиты - меры, связанные со спецификой каналов утечки (воздействия) и метода обработки информации, но не требующие для своей реализации нестандартных приемов, оборудования или программных средств;

- технические (программно-технические) меры защиты - меры, жестко связанные с особенностями каналов утечки и воздействия и требующие для своей реализации специальных приемов, оборудования или программных средств.

3.8. Основными организационно-техническими мероприятиями по технической защите ИОД являются:

- определение и учет информационных систем и средств формирования, передачи, хранения, обработки и распространения ИОД, подлежащей защите;

- принятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации;

- категорирование защищаемых объектов в зависимости от их важности, степени конфиденциальности ИОД и условий эксплуатации, а также классификация автоматизированных систем по требованиям защищенности от несанкционированного доступа к ИОД;

- анализ состояния и прогнозирование источников угроз безопасности информации;

- методическое и информационное обеспечение работ по защите информации;

- разработка и внедрение решений по технической защите ИОД;

- организация при необходимости аттестации защищаемых объектов;

- обеспечение физической защиты объектов;

- обеспечение защиты ИОД от утечки по техническим каналам при ее обработке, хранении и передаче;

- обеспечение защиты ИОД от несанкционированного доступа к ней в информационных системах и локальных вычислительных сетях;

- обеспечение антивирусной защиты ИОД;

- учет носителей ИОД;

- установка и ввод в эксплуатацию средств защиты информации в соответствии с классификацией по уровню контроля Федеральной службы по техническому и экспортному контролю;

- учет применяемых ТСЗИ;

- обязательное регулярное обучение администраторов и пользователей ТСЗИ правилам работы с ними;

- организация и проведение контроля состояния технической защиты ИОД;

- модернизация системы защиты на основе анализа актуальных угроз безопасности ИОД.

3.9. Конкретные методы, приемы и меры технической защиты ИОД разрабатываются в зависимости от вероятности угроз и от степени возможного ущерба в случае ее утечки, разрушения (уничтожения) на основании федеральных законов, стандартов, нормативно-методических и руководящих документов по технической защите ИОД Федеральной службы техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации.

3.10. Руководители структурных подразделений Администрации города Смоленска, выполняющих обработку и хранение ИОД, обязаны:

- по каждой информационной системе обработки ИОД назначить приказом сотрудника, ответственного за защиту ИОД и хранение носителей ИОД;

- издать приказ о допуске лиц к обработке ИОД;

- организовать ведение журнала учета носителей ИОД;

- обеспечить хранение съемных носителей ИОД, электронных сертификатов, ключей (ключей доступа), а также журналов учета носителей ИОД в металлических шкафах-сейфах, доступ к которым закрепить приказом;

- определить приказом контролируемые зоны по каждой системе обработки ИОД и закрепить порядок доступа в них;

- ежегодно планировать актуальные мероприятия по защите ИО^ подразделения и контролировать их выполнение;

- модернизацию вычислительной техники или передачу ее сторонним организациям выполнять только по согласованию с комитетом по информационным ресурсам и телекоммуникациям Администрации города Смоленска после проверки информации, хранящейся на жестких дисках, гарантированного удаления с них ИОД и составления совместного акта.

3.11. Все сотрудники Администрации города Смоленска обязаны исполнять требования:

- настоящего Положения;

- Положения об организации антивирусной защиты информации в Администрации города Смоленска, утвержденного распоряжением Администрации города Смоленска от 17.11.2014 N 454-р/адм "Об утверждении Положения об организации антивирусной защиты информации в Администрации города Смоленска";

- постановления Администрации города Смоленска от 28.03.2014 N 557-адм "Об утверждении документов, определяющих политику Администрации города Смоленска в отношении обработки персональных данных";

- Инструкции по работе на персональном компьютере и в локальной сети Интранет для сотрудников Администрации города Смоленска, утвержденной постановлением Главы города Смоленска от 04.04.2008 N 174.

4. Порядок хранения носителей, содержащих ИОД

4.1. Ответственность за организацию хранения носителей, содержащих ИОД, возлагается на руководителей подразделений Администрации города Смоленска, осуществляющих хранение и обработку ИОД.

4.2. Лицо, осуществляющее хранение носителей, содержащих ИОД, назначается приказом руководителя подразделения.

4.3. Лицо, осуществляющее хранение носителей ИОД, обязано:

- осуществлять хранение носителей ИОД;

- вести журнал учета носителей, содержащих ИОД, в соответствии с приложением к Положению;

- осуществлять выдачу носителей ИОД лицам, имеющим допуск к обработке данной информации, и прием носителей на хранение;

- выполнять изготовление резервных копий носителей;

- уничтожать (удалять) ИОД, утратившую свою полезность, и сами носители.

4.4. Хранение информации в материальном виде, а также на съемных носителях осуществляется в сейфах, имеющих индивидуальный доступ ответственного лица.

4.5. В журнале учета носителей ИОД регистрируется следующая информация:

- учетный номер носителя (номера носителей);

- тип (марка) носителя;

- вид ИОД;

- фамилия лица, которому выдан носитель;

- дата выдачи носителя;

- подпись лица, получившего носитель, о получении;

- дата возврата носителя (получения носителя лицом, осуществляющим хранение);

- подпись лица, ответственного за хранение носителя, о возврате.

4.6. По ИОД, хранящейся на жестких магнитных носителях "HDD", установленных в серверах и персональных компьютерах, в журнале учета носителей ИОД регистрируется следующая информация:

- учетный номер носителя (номера носителей в случае дискового массива);

- марка носителя; серийный номер; инвентарный номер сервера или персонального компьютера, в котором установлен носитель;

- вид ИОД; тип, имя базы данных; каталог расположения данных;

- фамилия лица, ответственного за персональный компьютер, или администратора сервера;

- дата вскрытия системного блока и постановки на учет;

- подпись лица, ответственного за персональный компьютер, или администратора сервера;

- дата подписи лицом, осуществляющим хранение;

- подпись лица, осуществляющего хранение.

4.7. Учетные номера присваиваются лицом, осуществляющим хранение.

4.8. В случае утраты, повреждения носителя ИОД незамедлительно уведомляется руководитель подразделения и составляется соответствующий акт. К акту прикладывается объяснительная записка лица, допустившего утрату, повреждение.

4.9. При копировании ИОД с использованием технических средств в журнале отражаются количество и вид скопированных материалов, носитель, на который было осуществлено копирование.

4.10. При изготовлении резервной копии носителя ИОД носителю присваивается учетный номер и в журнале учета делается соответствующая запись.

4.11. В журнале учета носителей ИОД отражаются все поступающие и выбывающие, в том числе временно, с места постоянного хранения носители.

4.12. Уничтожение (удаление) ИОД с носителей, содержащих ИОД, утратившую свою полезность, осуществляется на основании приказа руководителя подразделения. Уничтожение (удаление) производится в присутствии лица, осуществляющего хранение носителей ИОД, с составлением акта об уничтожении (удалении).

4.13. Контроль соблюдения порядка хранения носителей ИОД осуществляет руководитель структурного подразделения.

4.14. Проверке подлежат:

- журнал учета носителей ИОД;

- наличие хранимых носителей ИОД и соответствие информации о них в журнале;

- акты об уничтожении (удалении) ИОД и самих носителей;

- состояние помещения и сейфа, используемых для хранения носителей.

5. Контроль состояния защиты ИОД

5.1. Контроль состояния технической защиты ИОД (далее - контроль) осуществляется в целях оценки эффективности текущей защиты ИОД, своевременного выявления и предотвращения утечки ИОД по техническим каналам и несанкционированного доступа к ней.

5.2. Контроль заключается в проверке выполнения требований федерального, областного законодательства, правовых актов органов местного самоуправления города Смоленска, регулирующих сферу технической защиты ИОД, настоящего Положения, а также в оценке достаточности принимаемых мер по технической защите ИОД.

5.3. Основными задачами контроля являются:

- оценка деятельности структурных подразделений Администрации города Смоленска в области защиты ИОД в пределах их компетенции;

- выявление технических каналов утечки ИОД, каналов несанкционированного доступа к ИОД и специальных воздействий на ИОД;

- оценка эффективности проводимых мероприятий по технической защите ИОД;

- выявление и анализ нарушений норм и требований, установленных федеральным, областным законодательством, правовыми актами органов местного самоуправления города Смоленска, принятие оперативных мер по пресечению выявленных нарушений;

- разработка рекомендаций по устранению выявленных недостатков в структурных подразделениях Администрации города Смоленска и ведению работ по технической защите ИОД;

- проверка устранения недостатков, выявленных в результате контроля.

5.4. Контроль проводится специалистом по информационной безопасности комитета по информационным ресурсам и телекоммуникациям Администрации города Смоленска совместно с сотрудником, ответственным за защиту ИОД структурного подразделения, в соответствии с утверждаемым Главой города Смоленска планом.

6. Ответственность за разглашение ИОД

Лица, допустившие разглашение ИОД, несут ответственность в соответствии с действующим законодательством.

Приложение
к Положению

Форма

ЖУРНАЛ
учета носителей, содержащих информацию ограниченного доступа,
______________________________________________
наименование подразделения
Администрации города Смоленска

Учетный номер носителя	Тип, марка носителя; серийный номер(а); инвентарный номер ПЭВМ, кабинет	Вид ИОД; тип, имя базы данных; каталог расположения данных	Фамилия лица, которому выдан (у которого установлен) носитель	Дата выдачи носителя / ревизии системного блока	Подпись лица, которому выдан (у которого установлен) носитель	Дата возврата носителя / постановки на учет HDD	Подпись лица, ответственного за хранение носителя/ отметка о возврате
	HDD 500 Gb; ST520; SN: хххххххххххххххх; Инв.: ххххххххх; Каб. 27	ИСПДн "Кадры"; E:\KADRY
	FDD 1,44 Mb
	USB-Flash; Transcend JetFlash V15 Drive 8 Gb	Координаты торговых точек
	HDD 320 Gb; 3 шт.: SN: хххххххххххххххх; SN: хххххххххххххххх; SN: хххххххххххххххх; Инв.: ххххххххх; Каб. 49	ИСПДн "Бухгалтерия"; сервер pc00buh; D:\BUH
	CD-R	Карта земельных участков на луне
	DVD-RW