Приложение N 4. Положение об организации защиты служебной информации ограниченного распространения в администрации города Южно-Сахалинска, муниципальных автономных, казенных и бюджетных учреждениях, муниципальных унитарных предприятиях, функции и полномочия учредителя которых осуществляются администрацией города Южно-Сахалинска. Постановление Администрации города Южно-Сахалинска от 10.09.2020 N 2602-па "О порядке обращения со служебной информацией ограниченного распространения в администрации города Южно-Сахалинска" (с изменениями и дополнениями)

Приложение N 4
Утверждено постановлением
администрации города
Южно-Сахалинска
от 10.09.2020 N 2602-па

Положение
об организации защиты служебной информации ограниченного распространения в администрации города Южно-Сахалинска, муниципальных автономных, казенных и бюджетных учреждениях, муниципальных унитарных предприятиях, функции и полномочия учредителя которых осуществляются администрацией города Южно-Сахалинска

1. Общие положения

1.1. Настоящее Положение об организации защиты служебной информации ограниченного распространения в администрации города Южно-Сахалинска, муниципальных автономных, казенных и бюджетных учреждениях, муниципальных унитарных предприятий, функции и полномочия учредителя которых осуществляются администрацией города Южно-Сахалинска (далее - Положение) разработано на основании требований Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", других нормативных правовых актов, устанавливающих требования по защите информации, не составляющей государственную тайну, обрабатываемой в органах местного самоуправления.

1.2. Настоящее Положение не распространяется на порядок обращения со сведениями, составляющими государственную тайну.

1.3. Термины и понятия, используемые в настоящем Положении:

- защита информации - комплекс правовых, организационных и технических мероприятий и действий по предотвращению угроз информационной безопасности и устранению их последствий в процессе сбора, хранения, обработки и передачи информации в информационных системах.;

- подразделение - структурное подразделение аппарата администрации города Южно-Сахалинска, отраслевой (функциональный) орган администрации города Южно-Сахалинска, муниципальное автономное, казенное или бюджетное учреждение, муниципальное унитарное предприятие, функции и полномочия учредителя которого осуществляются администрацией города Южно-Сахалинска;

- информация, требующая защиты - сведения об администрации города Южно-Сахалинска, муниципальных автономных, казенных и бюджетных учреждениях, муниципальных унитарных предприятиях, функции и полномочия учредителя которых осуществляются администрацией города Южно-Сахалинска (далее - администрация города) и ее деятельности, на распространение которых накладываются ограничения действующим законодательством Российской Федерации, нормативными правовыми актами Сахалинской области и нормативными правовыми актами администрации города Южно-Сахалинска;

- защита информации от несанкционированного доступа - защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными правовыми актами или обладателями информации прав или правил разграничения доступа к защищаемой информации;

- объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.;

- система защиты информации - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации.;

- безопасность информации - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

1.4. Цель данного Положения - на основании действующих нормативных правовых актов и руководящих документов по защите информации создать необходимые организационно-правовые основы для эффективной защиты служебной информации ограниченного распространения в администрации города.

1.5. Положение определяет порядок организации работ по разработке и эксплуатации объектов информатизации и систем защиты информации (далее - СЗИ).

1.6. Положение предназначено для практического использования в Подразделениях.

1.7. Требования настоящего Положения являются обязательными для исполнения всеми муниципальными служащими и работниками Подразделений.

1.8. Ответственность за организацию мероприятий по защите служебной информации ограниченного распространения в администрации города Южно-Сахалинска, муниципальных автономных, казенных и бюджетных учреждениях, муниципальных унитарных предприятий, функции и полномочия учредителя которых осуществляются администрацией города Южно-Сахалинска возлагается на Департамент мобилизационной работы и защиты информации аппарата администрации города Южно-Сахалинска.

1.9. Ответственность за реализацию мероприятий по технической защите служебной информации ограниченного распространения обрабатываемой в ЕМТС, возлагается на МКУ "Управление делами администрации города Южно-Сахалинска".

1.10. Ответственность за реализацию мероприятий по технической защите служебной информации ограниченного распространения обрабатываемой за пределами ЕМТС возлагается на руководителей подразделений.

1.11. Для оказания услуг в области защиты информации могут привлекаться специализированные организации, имеющие лицензию на соответствующий вид деятельности.

2. Защищаемая информация и потенциальные угрозы ее безопасности

2.1. Результатом защиты информации является предотвращение ущерба из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

Целями технической защиты служебной информации ограниченного доступа в администрации города является исключение:

- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

- неправомерного блокирования информации (обеспечение доступности информации).

2.2. Результатом организации защиты информации является обеспечение защиты информации путем строгого соблюдения действующих норм и требований ФСТЭК России, ФСБ России, созданием СЗИ объектов информатизации и принятием эффективных режимных мер, предписанных руководящими документами.

2.3. Охраняемые сведения:

- служебная информация ограниченного распространения, обрабатываемая с использованием технических средств;

- информация, содержащаяся в информационных системах общего пользования, эксплуатируемых администрацией города Южно-Сахалинска, в том числе открытые данные, публикуемые на официальных сайтах (страницах) Подразделений в информационно-телекоммуникационной сети "Интернет".

2.4. Потенциальные угрозы информационной безопасности. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации. В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России. По результатам определения угроз безопасности на их основе разрабатывается и утверждается модель угроз безопасности информации.

3. Порядок создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации информационных систем и дальнейшего хранения содержащейся в их базах данных информации

Создание, развитие, ввод в эксплуатацию, эксплуатация и вывод из эксплуатации информационных систем и дальнейшее хранение содержащейся в их базах данных информации, осуществляется в порядке, утвержденном постановлением Правительства Российской Федерации от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", с учетом требований, установленных Приказом ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказом ФСБ России и ФСТЭК России от 31.08.2010 N 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования", а также иных нормативных правовых актов Правительства Российской Федерации и федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности.

4. Организационные и технические мероприятия по защите служебной информации ограниченного распространения

4.1. Защита служебной информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания, в ходе эксплуатации и вывода из эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы.

4.2. Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, направлены на исключение:

неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

неправомерного блокирования информации (обеспечение доступности информации).

4.3. Для обеспечения защиты информации, содержащейся в информационной системе, применяются следующие меры защиты:

- применение средств защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании";

- издание правовых актов, регулирующих вопросы сбора, обработки, хранения, защиты, передачи служебной информации ограниченного распространения, а также вопросы ответственности за ее разглашение;

- выполнение положений Приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказа ФСБ и ФСТЭК России от 31.08.2010 N 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования", а также иных нормативных правовых актов Правительства Российской Федерации и федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности;

- выполнение требований Указа Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена".

4.4. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

- формирование требований к защите информации, содержащейся в информационной системе;

- разработка системы защиты информации информационной системы;

- внедрение системы защиты информации информационной системы;

- аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;

- обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;

- обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

4.5. Защита информации в ЕМТС регламентирована распоряжением Администрации города Южно-Сахалинска от 22.07.2019 N 451-р "О назначении ответственных за защиту информации в муниципальной информационной системе "Единая мультисервисная телекоммуникационная сеть администрации города Южно-Сахалинска".

4.6. Защита информации ограниченного распространения обрабатываемой в информационных системах за пределами ЕМТС, возлагается на руководителей подразделений.

5. Обязанности и права должностных лиц

5.1. Первый вице-мэр, руководитель аппарата администрации города:

- контролирует выполнение требований настоящего Положения;

- утверждает организационно-распорядительные документы по вопросам защиты информации.

5.2. Департамент мобилизационной подготовки и защиты информации:

- осуществляет организацию и координацию работ по защите служебной информации ограниченного распространения в соответствии с руководящими документами по данному вопросу;

- разрабатывает организационно-распорядительные документы по вопросам защиты служебной информации ограниченного распространения;

- контролирует исполнение в Подразделениях требований вышестоящих органов и нормативных правовых актов администрации города по вопросам защиты служебной информации ограниченного распространения.

5.3. Руководители Подразделений:

- организуют выполнение подчиненными сотрудниками мероприятий по защите служебной информации ограниченного распространения;

- участвуют в определении правил разграничения доступа к информации в ЕМТС;

5.4. Сотрудники подразделений несут персональную ответственность за выполнение мероприятий по защите служебной информации ограниченного распространения.