Основная информация
Дата опубликования: | 09 августа 2012г. |
Номер документа: | RU22000201200835 |
Текущая редакция: | 1 |
Статус нормативности: | Нормативный |
Субъект РФ: | Алтайский край |
Принявший орган: | Управление Алтайского края по промышленности и энергетике |
Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
Приказ официально не опубликован
УПРАВЛЕНИЕ АЛТАЙСКОГО КРАЯ ПО ПРОМЫШЛЕННОСТИ И ЭНЕРГЕТИКЕ
ПРИКАЗ
9 августа 2012 года № 34/88-ап
Об утверждении Положения о порядке организации проведения работ по защите конфиденциальной информации
Во исполнении Федерального закона «Об информации, информационных технологиях и о защите информации от 27 июля 2006 г. № 149-ФЗ, а также иных нормативно-правовых актов в сфере защиты конфиденциальной информации и в целях проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике
ПРИКАЗЫВАЮ:
1. Утвердить прилагаемое Положение о порядке организации проведения работ по защите конфиденциальной информации.
2. Ознакомить работников Управления, допущенных к сведениям, содержащим конфиденциальную информацию, с настоящим приказом.
3. Контроль за исполнением настоящего приказа возложить на заместителя начальника управления, начальника экспертно-аналитического отдела в сфере энергетики управления Алтайского края по промышленности и энергетике.
Начальник управления В.А. Мещеряков
Утверждено
приказом управления
Алтайского края
по промышленности и энергетике
от «09» августа 2012 г. № 34/88-ап
ПОЛОЖЕНИЕ
о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике
Глава 1. Общие положения
1.1. Положение о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике (далее - Положение) устанавливает порядок организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике (далее - Управление), определяет виды информационных ресурсов ограниченного доступа компьютерных информационных систем (далее - КИС) в Управлении, а также порядок категорирования этих ресурсов.
1.2. Положение устанавливает основные принципы и организационную структуру системы категорирования информационных ресурсов в Управлении, организованных в виде файлов и баз данных, формируемых, накапливаемых и обрабатываемых в КИС, а также в автономных информационных системах.
1.3.Положение определяет порядок организации доступа пользователей (в Управлении) к информационным ресурсам на основе введения категорий допуска.
1.4. Целью настоящего Положения является:
укрепление механизмов правового регулирования отношений в области защиты конфиденциальной информации;
создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
защита информационных ресурсов от несанкционированного доступа (далее - НСД), обеспечение безопасности информационных и телекоммуникационных систем как уже развернутых, так и создаваемых.
1.5. Настоящее Положение основывается на Конституции Российской Федерации, Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ, а также ряде иных нормативных правовых актов в сфере защиты конфиденциальной информации.
1.6. Действие настоящего Положения не распространяется на автоматизированные информационные системы хранения и обработки информации, содержащей сведения, составляющие государственную тайну.
Глава 2. Основные понятия, используемые в настоящем Положении
2.1. В настоящем Положении используются следующие основные понятия:
автоматизированная система (далее – АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;
администратор безопасности – ответственное должностное лицо, уполномоченное установленным порядком на проведение работ в области защиты информации и поддержание уровня защиты объекта информатизации и его ресурсов на этапах эксплуатации данного объекта в установленном штатном режиме работы;
безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами;
владелец информации – субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах правомочий, установленных законом и/или собственником информации;
доступ к информации (доступ) –
1) получение субъектом возможности ознакомления с информацией, в том числе с помощью технических средств;
2) ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации;
доступность информации – состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;
защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;
защита от НСД – деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил;
защита информации от утечки – деятельность по предотвращению неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к защищаемой информации и получения защищаемой информации;
защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями действующего законодательства;
информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
категорирование защищаемой информации (объекта защиты) – установление градаций важности защиты защищаемой информации (объекта защиты);
коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
охраняемые сведения – сведения, составляющие государственную, служебную, коммерческую или личную тайну, на распространение которых накладываются ограничения в установленном порядке;
пользователь информации – субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением;
правило доступа к информации (правило доступа) – совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям;
собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение, пользование и распоряжение указанными объектами;
целостность информации – устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.
Глава 3. Понятие и состав конфиденциальной информации
3.1.1. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию (публикации, сообщения в средствах массовой информации, выступления на конференциях и выставках, интервью и т.п.), а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа) и другими нормативно-правовыми актами.
3.1.2. Информация ограниченного доступа включает в себя:
информацию, составляющую государственную тайну (секретную), защита которой осуществляется в соответствии с законодательством Российской Федерации о государственной тайне;
конфиденциальную информацию.
3.1.3. К сведениям конфиденциального характера относятся:
сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
сведения, составляющие тайну следствия и судопроизводства;
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и т.д.);
сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
сведения о существе изобретения, полезной модели, промышленного образца до официальной публикации информации о них.
3.1.4. Состав сведений, относящихся к служебной тайне, регламентируется специальным перечнем, который утверждается начальником Управления.
3.1.5. Носители информации, составляющей служебную тайну, могут иметь гриф ограничения доступа «Для служебного пользования». Часто он сопровождается пометами «Лично», «Не для печати», «Не подлежит оглашению», «Только адресату» и др.
3.1.6. Информация ограниченного доступа, не содержащая сведений, отнесенных к государственной тайне, должна иметь гриф конфиденциальности.
3.1.7. При организации защиты конфиденциальных сведений необходимо четко регламентировать:
перечень сведений конфиденциального характера специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса Управления;
процедуру допуска сотрудников к сведениям, составляющим служебную, коммерческую или другую тайну;
обязанности исполнителей, допущенных к сведениям, которые составляют служебную, коммерческую или другую тайну;
правила обращения (делопроизводство, учет, хранение, размножение и т.д.) с документами;
правила доступа (передачи) к информации иных лиц;
ответственность за разглашение сведений, оставляющих служебную, коммерческую или другую тайну.
Виды конфиденциальной информации в управлении Алтайского края по промышленности и энергетике
3.2.1. В автоматизированных системах Управления может обрабатываться информация следующих видов:
сведения, составляющие государственную тайну;
сведения, составляющие служебную тайну;
сведения, составляющие коммерческую тайну;
персональные данные;
открытая информация;
открытая общедоступная информация.
3.2.2. Сведения, составляющие государственную тайну, обрабатываются в автоматизированных системах на базе автономных персональных ЭВМ и в рамках Положения не рассматриваются.
3.2.3. Сведения, составляющие служебную тайну, могут включать служебную предметную информацию и служебную технологическую информацию, представляющую идентификаторы и пароли пользователей, настройки межсетевых экранов и т.д.
3.2.4. Служебная предметная информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями федерального законодательства и руководящего документа Федеральной службы по техническому и экспортному контролю «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – ФСТЭК «СТР-К»).
3.2.5. Служебная технологическая информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями нормативных правовых документов по обеспечению информационной безопасности и защите информации в автоматизированных системах Управления.
3.2.6. Сведения, составляющие коммерческую тайну, могут быть отнесены к сведениям, составляющим служебную тайну с обеспечением их защиты на уровне требований, применяемых к защите служебной тайны, или рассматриваться как коммерческая тайна с обеспечением их защиты на уровне требований Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».
3.2.7. Обеспечение защиты персональных данных должно обеспечиваться в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и РД ФСТЭК России.
3.2.8. Открытая информация может быть доступна для всех сотрудников органов государственной власти Алтайского края, защите подлежит ее целостность и доступность.
3.2.9. Открытая общедоступная информация размещается на информационных порталах органов государственной власти Алтайского края и издается в публичных изданиях. Защите подлежит ее целостность, доступность и достоверность. Защита этой информации должна обеспечиваться в соответствии с требованиями в рамках законодательства.
3.2.10. Виды информации и требования к защите представлены в следующей таблице:
Вид информации
Конфиденциальность
Целостность
Доступность
Сведения, составляющие государственную тайну
+
+
+
Сведения, составляющие служебную тайну
+
+
+
Сведения, составляющие коммерческую тайну
+
+
+
Сведения, составляющие служебную тайну (технологическая информация)
+
+
Персональные данные
+
+
+
Открытая информация
-
+
+
Открытая общедоступная информация
-
+
+
3.2.11. Любая информация ограниченного доступа, вне зависимости от форм хранения, подлежит адекватной (дифференцированной) защите, в том числе:
речевая информация;
информация, циркулирующая в средствах связи и вычислительной техники;
информация, передаваемая по каналам связи, локальным или глобальным вычислительным сетям;
информация, представленная в виде информативных акустических и
электромагнитных сигналов, физических полей;
информация на бумажной, магнитной или другой основе;
информационные массивы и базы данных, которые должны защищаться в соответствии с законодательством Российской Федерации и интересами Алтайского края.
3.2.12. К сведениям, подлежащим защите в Управлении:
сведения, определенные Перечнем сведений конфиденциального характера соответствующего специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса, утверждаемых начальником Управления;
иные сведения, составляющие охраняемую действующим законодательством тайну (приложение 2);
иные сведения, определенные собственником информации (федеральные органы исполнительной власти, их территориальные органы) при ее передаче Управлению в соответствии с соглашениями о конфиденциальности в рамках их совместной деятельности.
3.2.13. Перечень сведений конфиденциального характера Управления разрабатывается в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», постановлением Правительства Российской Федерации от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну», постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» и другими правовыми актами, определяющими состав сведений ограниченного распространения.
Глава 4. Информационные ресурсы ограниченного доступа компьютерной информационной системы управления Алтайского края по промышленности и энергетике
4.1. К информационно-телекоммуникационным системам конфиденциального характера в контексте необходимости их защиты относятся:
информационные ресурсы Управления (файлы, базы данных, электронные и бумажные документы и т.д.), подлежащие защите;
системы формирования, обработки, распространения и использования информационных ресурсов;
информационная инфраструктура автоматизированных систем Управления.
4.2. Система формирования, обработки, распространения и использования информационных ресурсов включает в себя:
информационные подсистемы автоматизированных систем Управления, архива и их баз данных;
информационные технологии, регламенты и процедуры сбора, обработки, хранения, преобразования и отображения информации, а также специальные средства их своевременного уничтожения;
нормативно-правовые положения, определяющие функции, права и ответственность участников данной системы;
персонал, занятый в данной системе.
4.3. Информационная инфраструктура включает в себя:
сеть передачи данных Управления, центры их обработки и анализа информации;
каналы связи, информационного обмена и телекоммуникации;
механизмы обеспечения работоспособности телекоммуникационных
систем и сетей;
системы и средства защиты информации;
системы документационного обеспечения управления, мониторинга и прогнозирования.
4.4. Объектами защиты в автоматизированных системах Управления являются:
информация (в любой форме ее представления), содержащая охраняемые сведения;
информационные системы, включая системы связи;
технические средства связи и информатизации (средства вычислительной техники, информационно-вычислительные комплексы, средства и системы связи, передачи данных, телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления и тиражирования документов, другие технические средства обработки информации), используемые для обработки, хранения и передачи информации, содержащей охраняемые сведения;
программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программно-математическое обеспечение), используемые для обработки информации, содержащей охраняемые сведения;
технические средства, не используемые в обработке, хранении и передаче конфиденциальной информации, но расположенные в помещениях,
где обрабатывается (циркулирует) информация, содержащая охраняемые
сведения;
Глава 5. Информационные ресурсы, подлежащие защите
5.1. Информационные ресурсы, содержащие или обрабатывающие сведения конфиденциального характера, определяются Перечнем информационных ресурсов Управления, в соответствии с Перечнем сведений конфиденциального характера (Приложение 3).
5.2. Этот перечень должен включать названия информационных систем (подсистем), автоматизированных рабочих мест, баз данных и пакетов прикладных программ, подлежащих защите.
5.3. Перечень информационных ресурсов Управления, содержащих сведения конфиденциального характера, утверждается начальником Управления.
Глава 6. Категории конфиденциальных информационных ресурсов
6.1. В целях формирования дифференцированного подхода к обеспечению защиты информационных ресурсов автоматизированных систем Управления осуществляется инвентаризация и категорирование информационных ресурсов.
6.2. Инвентаризация предполагает проведение паспортизации и учета всех информационных ресурсов Управления.
6.3. Под категорированием информационного ресурса понимается комплекс организационно-технических мероприятий по отнесению информационного ресурса к соответствующей категории, характеризующей важность сохранения его функционирования, а также обеспечения целостности и конфиденциальности содержащейся в нем информации. Обязательному категорированию подлежат как находящиеся в эксплуатации, так и вновь вводимые в эксплуатацию информационные ресурсы Управления.
6.4. Для информационных ресурсов Управления установлены следующие категории:
Категория
Гриф
Требования к защите
Характер информации
Группы пользователей
1
2
3
4
5
I категория
Строго конфиденциально
Высокие требования к обеспечению конфиденциальности, целостности и доступности информационных ресурсов
Важная плановая, производственная и коммерческая информация
Высший руководящий состав
II категория
Конфиденциально
Средние требования к обеспечению конфиденциальности. Требования к целостности и доступности определяются в зависимости от конкретных требований к информационному ресурсу
Коммерческая информация
Руководители и сотрудники подразделений в части, касающейся их информации
II
категория
ДСП
Низкие требования к обеспечению конфиденциальности. Требования к целостности и доступности определяются в зависимости от конкретных требований к информационному ресурсу
Общая нормативная, коммерческая и другая информация для служебного пользования
Все руководители и сотрудники Управления
Технологическая категория
Т
(ДСП-Т)
Высокие требования к обеспечению конфиденциальности, целостности и доступности информационных ресурсов
Технологическая информация и информация системы защиты (пароли, идентификаторы, IP- адреса, классификаторы и т.д.)
Администратор информационной безопасности, сотрудники подразделений информатизации и технической поддержки
Общая категория
Требования к конфиденциальности не предъявляются. Требования к целостности и доступности определяются в зависимости от конкретных требований к информационному ресурсу
Любая открытая информация Управления
Сотрудники Управления, пользователи открытых сетей
6.5. Основные требования по обеспечению конфиденциальности, целостности и доступности для конкретных информационных ресурсов определяются на этапе их проектирования, создания и ввода в эксплуатацию.
6.6. Специальные требования к защищенности информационного ресурса определяются специалистом по защите информации Управления, при участии владельца информационного ресурса на этапе их ввода в эксплуатацию.
6.7. Для каждой из категорий устанавливается:
порядок назначения и изменения необходимых полномочий пользователей по доступу к информационным ресурсам категории;
порядок эксплуатации оборудования и программного обеспечения, используемого для работы с информационными ресурсами категории;
порядок обеспечения конфиденциальности, целостности и доступности информационных ресурсов категории;
порядок принятия ответных мер в случае выявления действий, направленных на нарушение конфиденциальности, целостности или доступности информационных ресурсов категории.
Глава 7. Организационная структура системы присвоения категории информационным ресурсам
7.1. Организационную структуру системы присвоения категорий информационным ресурсам образуют:
заместитель руководителя Управления, осуществляющий организацию эксплуатации информационного ресурса;
специалист по информатизации, осуществляющий техническое обслуживание информационного ресурса.
7.2. Для организации категорирования информационных ресурсов и контроля информационной безопасности при их эксплуатации создается постоянно действующая комиссия (далее – Комиссия), образуемая начальником Управления и включающая представителей из вышеперечисленных подразделений. Комиссия является коллегиальным органом и организует всю работу по обеспечению информационной безопасности и защиты информации.
Глава 8. Порядок присвоения категорий информационным ресурсам
8.1. Подготовка информационного ресурса к категорированию предполагает его инвентаризацию и информационное обследование.
8.2. Инициатором категорирования информационного ресурса должен выступать его владелец, который подает заявку в Комиссию.
8.3. Для проведения технических работ по инвентаризации и категорированию информационного ресурса Комиссия создает рабочую группу в составе специалистов структурного подразделения – владельца информационного ресурса и специалиста по информационным технологиям Управления.
8.4. По результатам инвентаризации и информационного обследования составляется формуляр информационного ресурса, отражающий основные характеристики информационного ресурса.
8.5. Ответственность за составление и поддержание в актуальном состоянии формуляров информационных ресурсов автоматизированных Управления возлагается на специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса, отвечающего за защиту конфиденциальной информации.
8.6. В процессе эксплуатации информационного ресурса все изменения характеристик информационного ресурса, зафиксированных в формуляре информационного ресурса, доводятся владельцем информационного ресурса до сведения заместителя начальника Управления для внесения в формуляр информационного ресурса соответствующих изменений.
8.7. При недостаточности или неточности исходных данных составление формуляра информационного ресурса производится на основании результатов комплексных испытаний информационного ресурса и имеющихся средств защиты в реальных условиях эксплуатации, а также анализа структуры информационного ресурса, технических средств, программного обеспечения и технической документации.
8.8. На основании данных произведенного информационного обследования и документирования информационного ресурса заместитель начальника Управления вносит предложение о присвоении категории информационному ресурсу на рассмотрение начальнику Управления.
8.9. Начальник Управления утверждает категорию информационного ресурса и доводит требования к его эксплуатации до соответствующего специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса Управления.
8.10. Информационные ресурсы, содержащие конфиденциальную информацию, вносятся в установленном порядке в перечень информационных ресурсов Управления, содержащих сведения конфиденциального характера.
Глава 9. Доступ к информационным ресурсам
Порядок организации доступа к информационным ресурсам Управления Алтайского края по промышленности и энергетике
9.1.1. Порядок организации доступа к информационным ресурсам автоматизированных систем Управления и связи включает:
разделение пользователей автоматизированных систем на категории пользователей в соответствии с предоставляемыми им возможностями по обработке категорированной информации;
подготовку заявки специалистом по информатизации, осуществляющего техническое обслуживание информационного ресурса на разрешение доступа сотрудника Управления к конкретным информационным ресурсам;
визирование заявки владельцем информационного ресурса, заместителем начальника Управления и подготовка распоряжения администратору информационного ресурса о регистрации нового пользователя с назначенными ему полномочиями;
выполнение администратором безопасности информационного ресурса необходимых технических действий по регистрации нового пользователя.
Порядок оформления права на доступ к информационным ресурсам
9.2.1. Доступ конкретного пользователя к конкретному информационному ресурсу осуществляется на основании заявки, которую подает администратор безопасности, осуществляющий техническое обслуживание информационного ресурса Управления.
9.2.2. В заявке указываются должность и фамилия сотрудника, перечень информационных ресурсов, необходимых для исполнения должностных обязанностей, полномочия сотрудника по их обработке, интервалы разрешенного времени работы сотрудника с информационными ресурсами.
9.2.3. Заявка передается владельцу информационного ресурса в установленном порядке.
9.2.4. Администратор безопасности, осуществляющий техническое обслуживание информационного ресурса осуществляет ознакомление пользователя с правилами эксплуатации конкретного ресурса и требованиями по обеспечению информационной безопасности при работе с ним. Им также предоставляется право проверки знания пользователем установленных правил и требований работы с информационным ресурсом и допуска к работе с ним.
9.2.5. При готовности пользователя к работе с информационным ресурсом готовится распоряжение о регистрации указанного пользователя для работы с ним.
9.2.6. Регистрация нового пользователя осуществляется специалистом по информатизации (администратором безопасности), осуществляющего техническое обслуживание информационного ресурса на основании зарегистрированного в журнале учета распоряжения, полученного от руководителя аппарата администрации.
9.2.7. После выполнения технических работ по проведению регистрации нового пользователя администратор сообщает ему о возможности начала работы с информационным ресурсом.
9.2.8. Администратор безопасности не имеет права включать, удалять и модифицировать регистрационные параметры пользователей без соответствующих зарегистрированных распоряжений своего руководителя.
9.2.9. Специалист по информатизации имеет право контролировать соответствие зарегистрированных распоряжений и действий по предоставлению или изменению полномочий пользователей.
Глава 10. Разделение пользователей автоматизированных систем на категории пользователей
10.1. Для обеспечения разграничения доступа пользователей автоматизированных систем Управления к категорированной информации вводятся следующие категории пользователей:
Категории пользователей
Группы пользователей
Категории информации, к которым разрешен доступ
I категория
Высший руководящий состав
I, II, III и общая категории
II категория
Руководители и сотрудники подразделений, имеющие допуск к информации II категории в части, касающейся их подразделений
II, III и общая категории
III категория
Руководители и сотрудники Управления
III и общая категории
Технологическая категория (Т)
Администратор системы, администраторы информационной безопасности
Технологическая, III и общая категории
Общая категория
Сотрудники Управления. Пользователи открытых сетей
Общая категория
10.2. Для введенных категорий пользователей автоматизированных систем Управления разрешен доступ к информационным ресурсам, категории которых перечислены в третьем столбце таблицы, если не оговорены другие условия.
10.3. Категорирование пользователей осуществляется в соответствии с категорией занимаемой ими должности, характеристики которой приведены во втором столбце таблицы.
10.4. При необходимости предоставления доступа пользователю определенной категории к информационному ресурсу, принадлежащему к более высокой категории, разрешение на этот доступ получается в индивидуальном порядке по согласованной договоренности сторон.
Глава 11. Ответственность за нарушение режима конфиденциальности
11.1. Нарушением режима конфиденциальности в отношении перечисленных информационных систем Управления является разглашение служебной или коммерческой тайны, которое влечет ответственность в соответствии с действующим законодательством Российской Федерации.
11.2. Ответственность за нарушение требований обеспечения информационной безопасности накладывается на должностных лиц и Управления и зависит от величины причиненного ущерба. Сотрудники Управления могут привлекаться к дисциплинарной, административной и уголовной ответственности в соответствии с действующим законодательством.
11.3. Ответственность за обеспечение защиты информации ограниченного доступа несут владельцы информационных ресурсов.
Приложение 1
к Положению о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике
Список сокращений
АРМ
Автоматизированное рабочее место
АС
Автоматизированная система
БД
База данных
ВТСС
Вспомогательные технические средства и системы
ИР
Информационные ресурсы
ИС
Информационная система
ИТ
Информационные технологии
КИС
Компьютерная информационная система
ЛВС
Локальная вычислительная сеть
МЭ
Межсетевой экран
НСД
Несанкционированный доступ
ОС
Операционная система
ОТСС
Основные технические средства и системы
ПО
Программное обеспечение
ПЭМИН
Побочные электромагнитные излучения и наводки
РД
Руководящий документ
СВТ
Средства вычислительной техники
СЗИ
Система защиты информации
СКЗИ
Средства криптографической защиты информации
СТР
РД ФСТЭК России «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)»
СТР-К
РД ФСТЭК России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»
СУБД
Система управления базами данных
ФСТЭК России
Федеральная служба по техническому и экспортному контролю Российской Федерации (Гостехкомиссия России)
ЭЦП
Электронная цифровая подпись
ПЭВМ
Персональная электронная вычислительная машина
ЭВМ
Электронная вычислительная машина
ДСП
Для служебного пользования
ДСП-Т
Для служебного пользования (технологическая)
Приложение 2
к Положению о порядке организации проведения работ по защите
конфиденциальной информации в управлении Алтайского края по
промышленности и энергетике Виды тайн и нормативные правовые
акты, закрепляющие
необходимость их защиты
Вид тайны
Нормативные правовые акты, закрепляющие необходимость ее защиты
1
2
Государственная тайна
1) Статья 29 Конституции Российской Федерации;
2) Статьи 283 и 284 Уголовного кодекса Российской Федерации;
3) Закон Российской Федерации от 21 июля 1993 г. №5485-1 "О государственной тайне";
4) Указ Президента Российской Федерации от 30 ноября 1995 г. N 1203 "Об утверждении перечня сведений, отнесенных к государственной тайне". В редакции Указа Президента РФ от 11 февраля 2006 г № 90.
Служебная тайна
1) Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера";
2) Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти".
Коммерческая тайна
1) Статьи 727, 771 и 1032 Гражданского кодекса Российской Федерации;
2) Статья 183 Уголовного кодекса Российской Федерации;
3) Федеральный закон от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне";
4) Федеральный закон от 11 ноября 2003 г. N 152-ФЗ "Об ипотечных ценных бумагах";
5) Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера".
Персональные данные
1) Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных"
Приложение 3
к Положению о порядке организации проведения работ
по защите конфиденциальной информации в управлении
Алтайского края по промышленности и энергетике
ПЕРЕЧЕНЬ
сведений конфиденциального характера
Управления Алтайского края по промышленности и энергетике
1. Сведения экономического характера
1.1 Сведения конфиденциального характера или составляющие коммерческую тайну, переданные организациями в управление Алтайского края по промышленности и энергетике для практической работы.
2. Сведения по финансовым вопросам
2.1. Сведения о движении денежных средств по счетам бюджета Алтайского края, гарантиях управления Алтайского края по промышленности и энергетике за счет средств бюджета Алтайского края.
3. Сведения по вопросам информатизации и защите информации
3.1. Информация об информационных технологиях, информационных системах, информационно – телекоммуникационных сетях, используемых для сбора, хранения, обработки и передачи информации ограниченного доступа.
3.2. Информация о системах защиты информации (средства, методы и способы защиты информации, а также коды и процедуры доступа к информационным ресурсам).
3.3. Сведения о планируемых и проводимых мероприятиях по обеспечению информационной безопасности.
3.4. Результаты деятельности комиссий и контрольных органов, раскрывающие состояние информационной безопасности.
3.5. Сведения о паролях и программных методах защиты компьютерных баз данных.
4. Иные сведения
4.1. Сведения о чрезвычайных происшествиях, авариях, террористических актах, убийствах, несчастных случаях (в т.ч. отравлениях) в части точного описания технологии совершения преступления и состава химических веществ.
Приказ официально не опубликован
УПРАВЛЕНИЕ АЛТАЙСКОГО КРАЯ ПО ПРОМЫШЛЕННОСТИ И ЭНЕРГЕТИКЕ
ПРИКАЗ
9 августа 2012 года № 34/88-ап
Об утверждении Положения о порядке организации проведения работ по защите конфиденциальной информации
Во исполнении Федерального закона «Об информации, информационных технологиях и о защите информации от 27 июля 2006 г. № 149-ФЗ, а также иных нормативно-правовых актов в сфере защиты конфиденциальной информации и в целях проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике
ПРИКАЗЫВАЮ:
1. Утвердить прилагаемое Положение о порядке организации проведения работ по защите конфиденциальной информации.
2. Ознакомить работников Управления, допущенных к сведениям, содержащим конфиденциальную информацию, с настоящим приказом.
3. Контроль за исполнением настоящего приказа возложить на заместителя начальника управления, начальника экспертно-аналитического отдела в сфере энергетики управления Алтайского края по промышленности и энергетике.
Начальник управления В.А. Мещеряков
Утверждено
приказом управления
Алтайского края
по промышленности и энергетике
от «09» августа 2012 г. № 34/88-ап
ПОЛОЖЕНИЕ
о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике
Глава 1. Общие положения
1.1. Положение о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике (далее - Положение) устанавливает порядок организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике (далее - Управление), определяет виды информационных ресурсов ограниченного доступа компьютерных информационных систем (далее - КИС) в Управлении, а также порядок категорирования этих ресурсов.
1.2. Положение устанавливает основные принципы и организационную структуру системы категорирования информационных ресурсов в Управлении, организованных в виде файлов и баз данных, формируемых, накапливаемых и обрабатываемых в КИС, а также в автономных информационных системах.
1.3.Положение определяет порядок организации доступа пользователей (в Управлении) к информационным ресурсам на основе введения категорий допуска.
1.4. Целью настоящего Положения является:
укрепление механизмов правового регулирования отношений в области защиты конфиденциальной информации;
создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
защита информационных ресурсов от несанкционированного доступа (далее - НСД), обеспечение безопасности информационных и телекоммуникационных систем как уже развернутых, так и создаваемых.
1.5. Настоящее Положение основывается на Конституции Российской Федерации, Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ, а также ряде иных нормативных правовых актов в сфере защиты конфиденциальной информации.
1.6. Действие настоящего Положения не распространяется на автоматизированные информационные системы хранения и обработки информации, содержащей сведения, составляющие государственную тайну.
Глава 2. Основные понятия, используемые в настоящем Положении
2.1. В настоящем Положении используются следующие основные понятия:
автоматизированная система (далее – АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;
администратор безопасности – ответственное должностное лицо, уполномоченное установленным порядком на проведение работ в области защиты информации и поддержание уровня защиты объекта информатизации и его ресурсов на этапах эксплуатации данного объекта в установленном штатном режиме работы;
безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами;
владелец информации – субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах правомочий, установленных законом и/или собственником информации;
доступ к информации (доступ) –
1) получение субъектом возможности ознакомления с информацией, в том числе с помощью технических средств;
2) ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации;
доступность информации – состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;
защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;
защита от НСД – деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил;
защита информации от утечки – деятельность по предотвращению неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к защищаемой информации и получения защищаемой информации;
защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями действующего законодательства;
информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
категорирование защищаемой информации (объекта защиты) – установление градаций важности защиты защищаемой информации (объекта защиты);
коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
охраняемые сведения – сведения, составляющие государственную, служебную, коммерческую или личную тайну, на распространение которых накладываются ограничения в установленном порядке;
пользователь информации – субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением;
правило доступа к информации (правило доступа) – совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям;
собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение, пользование и распоряжение указанными объектами;
целостность информации – устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.
Глава 3. Понятие и состав конфиденциальной информации
3.1.1. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию (публикации, сообщения в средствах массовой информации, выступления на конференциях и выставках, интервью и т.п.), а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа) и другими нормативно-правовыми актами.
3.1.2. Информация ограниченного доступа включает в себя:
информацию, составляющую государственную тайну (секретную), защита которой осуществляется в соответствии с законодательством Российской Федерации о государственной тайне;
конфиденциальную информацию.
3.1.3. К сведениям конфиденциального характера относятся:
сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
сведения, составляющие тайну следствия и судопроизводства;
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и т.д.);
сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
сведения о существе изобретения, полезной модели, промышленного образца до официальной публикации информации о них.
3.1.4. Состав сведений, относящихся к служебной тайне, регламентируется специальным перечнем, который утверждается начальником Управления.
3.1.5. Носители информации, составляющей служебную тайну, могут иметь гриф ограничения доступа «Для служебного пользования». Часто он сопровождается пометами «Лично», «Не для печати», «Не подлежит оглашению», «Только адресату» и др.
3.1.6. Информация ограниченного доступа, не содержащая сведений, отнесенных к государственной тайне, должна иметь гриф конфиденциальности.
3.1.7. При организации защиты конфиденциальных сведений необходимо четко регламентировать:
перечень сведений конфиденциального характера специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса Управления;
процедуру допуска сотрудников к сведениям, составляющим служебную, коммерческую или другую тайну;
обязанности исполнителей, допущенных к сведениям, которые составляют служебную, коммерческую или другую тайну;
правила обращения (делопроизводство, учет, хранение, размножение и т.д.) с документами;
правила доступа (передачи) к информации иных лиц;
ответственность за разглашение сведений, оставляющих служебную, коммерческую или другую тайну.
Виды конфиденциальной информации в управлении Алтайского края по промышленности и энергетике
3.2.1. В автоматизированных системах Управления может обрабатываться информация следующих видов:
сведения, составляющие государственную тайну;
сведения, составляющие служебную тайну;
сведения, составляющие коммерческую тайну;
персональные данные;
открытая информация;
открытая общедоступная информация.
3.2.2. Сведения, составляющие государственную тайну, обрабатываются в автоматизированных системах на базе автономных персональных ЭВМ и в рамках Положения не рассматриваются.
3.2.3. Сведения, составляющие служебную тайну, могут включать служебную предметную информацию и служебную технологическую информацию, представляющую идентификаторы и пароли пользователей, настройки межсетевых экранов и т.д.
3.2.4. Служебная предметная информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями федерального законодательства и руководящего документа Федеральной службы по техническому и экспортному контролю «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – ФСТЭК «СТР-К»).
3.2.5. Служебная технологическая информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями нормативных правовых документов по обеспечению информационной безопасности и защите информации в автоматизированных системах Управления.
3.2.6. Сведения, составляющие коммерческую тайну, могут быть отнесены к сведениям, составляющим служебную тайну с обеспечением их защиты на уровне требований, применяемых к защите служебной тайны, или рассматриваться как коммерческая тайна с обеспечением их защиты на уровне требований Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».
3.2.7. Обеспечение защиты персональных данных должно обеспечиваться в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и РД ФСТЭК России.
3.2.8. Открытая информация может быть доступна для всех сотрудников органов государственной власти Алтайского края, защите подлежит ее целостность и доступность.
3.2.9. Открытая общедоступная информация размещается на информационных порталах органов государственной власти Алтайского края и издается в публичных изданиях. Защите подлежит ее целостность, доступность и достоверность. Защита этой информации должна обеспечиваться в соответствии с требованиями в рамках законодательства.
3.2.10. Виды информации и требования к защите представлены в следующей таблице:
Вид информации
Конфиденциальность
Целостность
Доступность
Сведения, составляющие государственную тайну
+
+
+
Сведения, составляющие служебную тайну
+
+
+
Сведения, составляющие коммерческую тайну
+
+
+
Сведения, составляющие служебную тайну (технологическая информация)
+
+
Персональные данные
+
+
+
Открытая информация
-
+
+
Открытая общедоступная информация
-
+
+
3.2.11. Любая информация ограниченного доступа, вне зависимости от форм хранения, подлежит адекватной (дифференцированной) защите, в том числе:
речевая информация;
информация, циркулирующая в средствах связи и вычислительной техники;
информация, передаваемая по каналам связи, локальным или глобальным вычислительным сетям;
информация, представленная в виде информативных акустических и
электромагнитных сигналов, физических полей;
информация на бумажной, магнитной или другой основе;
информационные массивы и базы данных, которые должны защищаться в соответствии с законодательством Российской Федерации и интересами Алтайского края.
3.2.12. К сведениям, подлежащим защите в Управлении:
сведения, определенные Перечнем сведений конфиденциального характера соответствующего специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса, утверждаемых начальником Управления;
иные сведения, составляющие охраняемую действующим законодательством тайну (приложение 2);
иные сведения, определенные собственником информации (федеральные органы исполнительной власти, их территориальные органы) при ее передаче Управлению в соответствии с соглашениями о конфиденциальности в рамках их совместной деятельности.
3.2.13. Перечень сведений конфиденциального характера Управления разрабатывается в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», постановлением Правительства Российской Федерации от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну», постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» и другими правовыми актами, определяющими состав сведений ограниченного распространения.
Глава 4. Информационные ресурсы ограниченного доступа компьютерной информационной системы управления Алтайского края по промышленности и энергетике
4.1. К информационно-телекоммуникационным системам конфиденциального характера в контексте необходимости их защиты относятся:
информационные ресурсы Управления (файлы, базы данных, электронные и бумажные документы и т.д.), подлежащие защите;
системы формирования, обработки, распространения и использования информационных ресурсов;
информационная инфраструктура автоматизированных систем Управления.
4.2. Система формирования, обработки, распространения и использования информационных ресурсов включает в себя:
информационные подсистемы автоматизированных систем Управления, архива и их баз данных;
информационные технологии, регламенты и процедуры сбора, обработки, хранения, преобразования и отображения информации, а также специальные средства их своевременного уничтожения;
нормативно-правовые положения, определяющие функции, права и ответственность участников данной системы;
персонал, занятый в данной системе.
4.3. Информационная инфраструктура включает в себя:
сеть передачи данных Управления, центры их обработки и анализа информации;
каналы связи, информационного обмена и телекоммуникации;
механизмы обеспечения работоспособности телекоммуникационных
систем и сетей;
системы и средства защиты информации;
системы документационного обеспечения управления, мониторинга и прогнозирования.
4.4. Объектами защиты в автоматизированных системах Управления являются:
информация (в любой форме ее представления), содержащая охраняемые сведения;
информационные системы, включая системы связи;
технические средства связи и информатизации (средства вычислительной техники, информационно-вычислительные комплексы, средства и системы связи, передачи данных, телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления и тиражирования документов, другие технические средства обработки информации), используемые для обработки, хранения и передачи информации, содержащей охраняемые сведения;
программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программно-математическое обеспечение), используемые для обработки информации, содержащей охраняемые сведения;
технические средства, не используемые в обработке, хранении и передаче конфиденциальной информации, но расположенные в помещениях,
где обрабатывается (циркулирует) информация, содержащая охраняемые
сведения;
Глава 5. Информационные ресурсы, подлежащие защите
5.1. Информационные ресурсы, содержащие или обрабатывающие сведения конфиденциального характера, определяются Перечнем информационных ресурсов Управления, в соответствии с Перечнем сведений конфиденциального характера (Приложение 3).
5.2. Этот перечень должен включать названия информационных систем (подсистем), автоматизированных рабочих мест, баз данных и пакетов прикладных программ, подлежащих защите.
5.3. Перечень информационных ресурсов Управления, содержащих сведения конфиденциального характера, утверждается начальником Управления.
Глава 6. Категории конфиденциальных информационных ресурсов
6.1. В целях формирования дифференцированного подхода к обеспечению защиты информационных ресурсов автоматизированных систем Управления осуществляется инвентаризация и категорирование информационных ресурсов.
6.2. Инвентаризация предполагает проведение паспортизации и учета всех информационных ресурсов Управления.
6.3. Под категорированием информационного ресурса понимается комплекс организационно-технических мероприятий по отнесению информационного ресурса к соответствующей категории, характеризующей важность сохранения его функционирования, а также обеспечения целостности и конфиденциальности содержащейся в нем информации. Обязательному категорированию подлежат как находящиеся в эксплуатации, так и вновь вводимые в эксплуатацию информационные ресурсы Управления.
6.4. Для информационных ресурсов Управления установлены следующие категории:
Категория
Гриф
Требования к защите
Характер информации
Группы пользователей
1
2
3
4
5
I категория
Строго конфиденциально
Высокие требования к обеспечению конфиденциальности, целостности и доступности информационных ресурсов
Важная плановая, производственная и коммерческая информация
Высший руководящий состав
II категория
Конфиденциально
Средние требования к обеспечению конфиденциальности. Требования к целостности и доступности определяются в зависимости от конкретных требований к информационному ресурсу
Коммерческая информация
Руководители и сотрудники подразделений в части, касающейся их информации
II
категория
ДСП
Низкие требования к обеспечению конфиденциальности. Требования к целостности и доступности определяются в зависимости от конкретных требований к информационному ресурсу
Общая нормативная, коммерческая и другая информация для служебного пользования
Все руководители и сотрудники Управления
Технологическая категория
Т
(ДСП-Т)
Высокие требования к обеспечению конфиденциальности, целостности и доступности информационных ресурсов
Технологическая информация и информация системы защиты (пароли, идентификаторы, IP- адреса, классификаторы и т.д.)
Администратор информационной безопасности, сотрудники подразделений информатизации и технической поддержки
Общая категория
Требования к конфиденциальности не предъявляются. Требования к целостности и доступности определяются в зависимости от конкретных требований к информационному ресурсу
Любая открытая информация Управления
Сотрудники Управления, пользователи открытых сетей
6.5. Основные требования по обеспечению конфиденциальности, целостности и доступности для конкретных информационных ресурсов определяются на этапе их проектирования, создания и ввода в эксплуатацию.
6.6. Специальные требования к защищенности информационного ресурса определяются специалистом по защите информации Управления, при участии владельца информационного ресурса на этапе их ввода в эксплуатацию.
6.7. Для каждой из категорий устанавливается:
порядок назначения и изменения необходимых полномочий пользователей по доступу к информационным ресурсам категории;
порядок эксплуатации оборудования и программного обеспечения, используемого для работы с информационными ресурсами категории;
порядок обеспечения конфиденциальности, целостности и доступности информационных ресурсов категории;
порядок принятия ответных мер в случае выявления действий, направленных на нарушение конфиденциальности, целостности или доступности информационных ресурсов категории.
Глава 7. Организационная структура системы присвоения категории информационным ресурсам
7.1. Организационную структуру системы присвоения категорий информационным ресурсам образуют:
заместитель руководителя Управления, осуществляющий организацию эксплуатации информационного ресурса;
специалист по информатизации, осуществляющий техническое обслуживание информационного ресурса.
7.2. Для организации категорирования информационных ресурсов и контроля информационной безопасности при их эксплуатации создается постоянно действующая комиссия (далее – Комиссия), образуемая начальником Управления и включающая представителей из вышеперечисленных подразделений. Комиссия является коллегиальным органом и организует всю работу по обеспечению информационной безопасности и защиты информации.
Глава 8. Порядок присвоения категорий информационным ресурсам
8.1. Подготовка информационного ресурса к категорированию предполагает его инвентаризацию и информационное обследование.
8.2. Инициатором категорирования информационного ресурса должен выступать его владелец, который подает заявку в Комиссию.
8.3. Для проведения технических работ по инвентаризации и категорированию информационного ресурса Комиссия создает рабочую группу в составе специалистов структурного подразделения – владельца информационного ресурса и специалиста по информационным технологиям Управления.
8.4. По результатам инвентаризации и информационного обследования составляется формуляр информационного ресурса, отражающий основные характеристики информационного ресурса.
8.5. Ответственность за составление и поддержание в актуальном состоянии формуляров информационных ресурсов автоматизированных Управления возлагается на специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса, отвечающего за защиту конфиденциальной информации.
8.6. В процессе эксплуатации информационного ресурса все изменения характеристик информационного ресурса, зафиксированных в формуляре информационного ресурса, доводятся владельцем информационного ресурса до сведения заместителя начальника Управления для внесения в формуляр информационного ресурса соответствующих изменений.
8.7. При недостаточности или неточности исходных данных составление формуляра информационного ресурса производится на основании результатов комплексных испытаний информационного ресурса и имеющихся средств защиты в реальных условиях эксплуатации, а также анализа структуры информационного ресурса, технических средств, программного обеспечения и технической документации.
8.8. На основании данных произведенного информационного обследования и документирования информационного ресурса заместитель начальника Управления вносит предложение о присвоении категории информационному ресурсу на рассмотрение начальнику Управления.
8.9. Начальник Управления утверждает категорию информационного ресурса и доводит требования к его эксплуатации до соответствующего специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса Управления.
8.10. Информационные ресурсы, содержащие конфиденциальную информацию, вносятся в установленном порядке в перечень информационных ресурсов Управления, содержащих сведения конфиденциального характера.
Глава 9. Доступ к информационным ресурсам
Порядок организации доступа к информационным ресурсам Управления Алтайского края по промышленности и энергетике
9.1.1. Порядок организации доступа к информационным ресурсам автоматизированных систем Управления и связи включает:
разделение пользователей автоматизированных систем на категории пользователей в соответствии с предоставляемыми им возможностями по обработке категорированной информации;
подготовку заявки специалистом по информатизации, осуществляющего техническое обслуживание информационного ресурса на разрешение доступа сотрудника Управления к конкретным информационным ресурсам;
визирование заявки владельцем информационного ресурса, заместителем начальника Управления и подготовка распоряжения администратору информационного ресурса о регистрации нового пользователя с назначенными ему полномочиями;
выполнение администратором безопасности информационного ресурса необходимых технических действий по регистрации нового пользователя.
Порядок оформления права на доступ к информационным ресурсам
9.2.1. Доступ конкретного пользователя к конкретному информационному ресурсу осуществляется на основании заявки, которую подает администратор безопасности, осуществляющий техническое обслуживание информационного ресурса Управления.
9.2.2. В заявке указываются должность и фамилия сотрудника, перечень информационных ресурсов, необходимых для исполнения должностных обязанностей, полномочия сотрудника по их обработке, интервалы разрешенного времени работы сотрудника с информационными ресурсами.
9.2.3. Заявка передается владельцу информационного ресурса в установленном порядке.
9.2.4. Администратор безопасности, осуществляющий техническое обслуживание информационного ресурса осуществляет ознакомление пользователя с правилами эксплуатации конкретного ресурса и требованиями по обеспечению информационной безопасности при работе с ним. Им также предоставляется право проверки знания пользователем установленных правил и требований работы с информационным ресурсом и допуска к работе с ним.
9.2.5. При готовности пользователя к работе с информационным ресурсом готовится распоряжение о регистрации указанного пользователя для работы с ним.
9.2.6. Регистрация нового пользователя осуществляется специалистом по информатизации (администратором безопасности), осуществляющего техническое обслуживание информационного ресурса на основании зарегистрированного в журнале учета распоряжения, полученного от руководителя аппарата администрации.
9.2.7. После выполнения технических работ по проведению регистрации нового пользователя администратор сообщает ему о возможности начала работы с информационным ресурсом.
9.2.8. Администратор безопасности не имеет права включать, удалять и модифицировать регистрационные параметры пользователей без соответствующих зарегистрированных распоряжений своего руководителя.
9.2.9. Специалист по информатизации имеет право контролировать соответствие зарегистрированных распоряжений и действий по предоставлению или изменению полномочий пользователей.
Глава 10. Разделение пользователей автоматизированных систем на категории пользователей
10.1. Для обеспечения разграничения доступа пользователей автоматизированных систем Управления к категорированной информации вводятся следующие категории пользователей:
Категории пользователей
Группы пользователей
Категории информации, к которым разрешен доступ
I категория
Высший руководящий состав
I, II, III и общая категории
II категория
Руководители и сотрудники подразделений, имеющие допуск к информации II категории в части, касающейся их подразделений
II, III и общая категории
III категория
Руководители и сотрудники Управления
III и общая категории
Технологическая категория (Т)
Администратор системы, администраторы информационной безопасности
Технологическая, III и общая категории
Общая категория
Сотрудники Управления. Пользователи открытых сетей
Общая категория
10.2. Для введенных категорий пользователей автоматизированных систем Управления разрешен доступ к информационным ресурсам, категории которых перечислены в третьем столбце таблицы, если не оговорены другие условия.
10.3. Категорирование пользователей осуществляется в соответствии с категорией занимаемой ими должности, характеристики которой приведены во втором столбце таблицы.
10.4. При необходимости предоставления доступа пользователю определенной категории к информационному ресурсу, принадлежащему к более высокой категории, разрешение на этот доступ получается в индивидуальном порядке по согласованной договоренности сторон.
Глава 11. Ответственность за нарушение режима конфиденциальности
11.1. Нарушением режима конфиденциальности в отношении перечисленных информационных систем Управления является разглашение служебной или коммерческой тайны, которое влечет ответственность в соответствии с действующим законодательством Российской Федерации.
11.2. Ответственность за нарушение требований обеспечения информационной безопасности накладывается на должностных лиц и Управления и зависит от величины причиненного ущерба. Сотрудники Управления могут привлекаться к дисциплинарной, административной и уголовной ответственности в соответствии с действующим законодательством.
11.3. Ответственность за обеспечение защиты информации ограниченного доступа несут владельцы информационных ресурсов.
Приложение 1
к Положению о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике
Список сокращений
АРМ
Автоматизированное рабочее место
АС
Автоматизированная система
БД
База данных
ВТСС
Вспомогательные технические средства и системы
ИР
Информационные ресурсы
ИС
Информационная система
ИТ
Информационные технологии
КИС
Компьютерная информационная система
ЛВС
Локальная вычислительная сеть
МЭ
Межсетевой экран
НСД
Несанкционированный доступ
ОС
Операционная система
ОТСС
Основные технические средства и системы
ПО
Программное обеспечение
ПЭМИН
Побочные электромагнитные излучения и наводки
РД
Руководящий документ
СВТ
Средства вычислительной техники
СЗИ
Система защиты информации
СКЗИ
Средства криптографической защиты информации
СТР
РД ФСТЭК России «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)»
СТР-К
РД ФСТЭК России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»
СУБД
Система управления базами данных
ФСТЭК России
Федеральная служба по техническому и экспортному контролю Российской Федерации (Гостехкомиссия России)
ЭЦП
Электронная цифровая подпись
ПЭВМ
Персональная электронная вычислительная машина
ЭВМ
Электронная вычислительная машина
ДСП
Для служебного пользования
ДСП-Т
Для служебного пользования (технологическая)
Приложение 2
к Положению о порядке организации проведения работ по защите
конфиденциальной информации в управлении Алтайского края по
промышленности и энергетике Виды тайн и нормативные правовые
акты, закрепляющие
необходимость их защиты
Вид тайны
Нормативные правовые акты, закрепляющие необходимость ее защиты
1
2
Государственная тайна
1) Статья 29 Конституции Российской Федерации;
2) Статьи 283 и 284 Уголовного кодекса Российской Федерации;
3) Закон Российской Федерации от 21 июля 1993 г. №5485-1 "О государственной тайне";
4) Указ Президента Российской Федерации от 30 ноября 1995 г. N 1203 "Об утверждении перечня сведений, отнесенных к государственной тайне". В редакции Указа Президента РФ от 11 февраля 2006 г № 90.
Служебная тайна
1) Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера";
2) Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти".
Коммерческая тайна
1) Статьи 727, 771 и 1032 Гражданского кодекса Российской Федерации;
2) Статья 183 Уголовного кодекса Российской Федерации;
3) Федеральный закон от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне";
4) Федеральный закон от 11 ноября 2003 г. N 152-ФЗ "Об ипотечных ценных бумагах";
5) Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера".
Персональные данные
1) Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных"
Приложение 3
к Положению о порядке организации проведения работ
по защите конфиденциальной информации в управлении
Алтайского края по промышленности и энергетике
ПЕРЕЧЕНЬ
сведений конфиденциального характера
Управления Алтайского края по промышленности и энергетике
1. Сведения экономического характера
1.1 Сведения конфиденциального характера или составляющие коммерческую тайну, переданные организациями в управление Алтайского края по промышленности и энергетике для практической работы.
2. Сведения по финансовым вопросам
2.1. Сведения о движении денежных средств по счетам бюджета Алтайского края, гарантиях управления Алтайского края по промышленности и энергетике за счет средств бюджета Алтайского края.
3. Сведения по вопросам информатизации и защите информации
3.1. Информация об информационных технологиях, информационных системах, информационно – телекоммуникационных сетях, используемых для сбора, хранения, обработки и передачи информации ограниченного доступа.
3.2. Информация о системах защиты информации (средства, методы и способы защиты информации, а также коды и процедуры доступа к информационным ресурсам).
3.3. Сведения о планируемых и проводимых мероприятиях по обеспечению информационной безопасности.
3.4. Результаты деятельности комиссий и контрольных органов, раскрывающие состояние информационной безопасности.
3.5. Сведения о паролях и программных методах защиты компьютерных баз данных.
4. Иные сведения
4.1. Сведения о чрезвычайных происшествиях, авариях, террористических актах, убийствах, несчастных случаях (в т.ч. отравлениях) в части точного описания технологии совершения преступления и состава химических веществ.
Дополнительные сведения
Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 05.01.2019 |
Рубрики правового классификатора: | 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030) |
Вопрос юристу
Поделитесь ссылкой на эту страницу: