Об утверждении Положения о порядке организации проведения работ по защите конфиденциальной информации



Приказ официально не опубликован

УПРАВЛЕНИЕ АЛТАЙСКОГО КРАЯ ПО ПРОМЫШЛЕННОСТИ И ЭНЕРГЕТИКЕ

ПРИКАЗ

9 августа 2012 года № 34/88-ап

Об утверждении Положения о порядке организации проведения работ по защите конфиденциальной информации

Во исполнении Федерального закона «Об информации, информационных технологиях и о защите информации от 27 июля 2006 г. № 149-ФЗ, а также иных нормативно-правовых актов в сфере защиты конфиденциальной информации и  в целях проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике

ПРИКАЗЫВАЮ:

1. Утвердить прилагаемое Положение о порядке организации проведения работ по защите конфиденциальной информации.

2. Ознакомить работников Управления, допущенных к сведениям, со­держащим конфиденциальную информацию, с настоящим ­приказом.

3. Контроль за исполнением настоящего приказа возложить на заместителя начальника управления, начальника экспертно-аналитического отдела в сфере энергетики управления Алтайского края по промышленности и энергетике.

Начальник управления                                                                                       В.А. Мещеряков

Утверждено

                  приказом управления

                  Алтайского края

                  по промышленности и энергетике

           от «09» августа 2012 г. № 34/88-ап

ПОЛОЖЕНИЕ

о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике

Глава 1. Общие положения

1.1. Положение о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике (далее - Положе­ние) устанавливает порядок организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике (далее - Управление), определяет виды информационных ресурсов ограниченно­го доступа  компьютерных информационных систем (далее - КИС) в Управлении, а также порядок категорирования этих ресурсов.

1.2. Положение устанавливает основные принципы и организационную структуру системы категорирования информационных ресурсов в Управлении, организованных в виде файлов и баз данных, формируемых, накапливаемых и обрабатываемых в КИС, а также в автономных информационных системах.

1.3.Положение  определяет порядок орга­низации доступа пользователей (в Управлении) к информационным ресурсам на основе введения категорий допуска.

1.4. Целью настоящего Положения является:

укрепление механизмов правового регулирования отношений в об­ласти защиты конфиденциальной информации;

создание условий для со­блюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

защита информационных ресурсов от несанкционированного доступа (далее - НСД), обеспечение безопас­ности информационных и телекоммуникационных систем как уже развер­нутых, так и создаваемых.

1.5. Настоящее Положение основывается на Конституции Российской Федерации, Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ, а также ряде иных нормативных правовых актов в сфере защиты конфиденциальной информации.

1.6. Действие настоящего Положения не распространяется на автоматизированные информационные системы хранения и обработки информации, содержа­щей сведения, составляющие государственную тайну.

Глава 2. Основные понятия, используемые в настоящем Положении

2.1. В настоящем Положении используются следующие основные понятия:

автоматизированная система (далее – АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая инфор­мационную технологию выполнения установленных функций;

администратор безопасности – ответственное должностное лицо, уполномоченное установленным порядком на проведение работ в области защиты информации и поддержание уровня защиты объекта информатиза­ции и его ресурсов на этапах эксплуатации данного объекта в ус­тановленном штатном режиме работы;

безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и инфор­мационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, це­лостность и доступность информации при ее обработке техническими средствами;

владелец информации – субъект, осуществляющий владение и пользо­вание информацией и реализующий полномочия распоряжения в пределах правомочий, установленных законом и/или собственником информации;

доступ к информации (доступ) –

1) получение субъектом возможности ознакомления с информацией, в том числе с помощью технических средств;

2) ознакомление с информацией, ее обработка, в частности, копи­рование, модификация или уничтожение информации;

доступность информации – состояние информации, характеризуемое способностью АС  обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;

защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднаме­ренных воздействий на защищаемую информацию;

защита от НСД – деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил;

защита информации от утечки – деятельность по предотвращению неконтролируемого распространения защищаемой информации в результате  ее разглашения, несанкционированного доступа к защищаемой информации и получения защищаемой информации;

защищаемая информация – информация, являющаяся предметом соб­ственности и подлежащая защите в соответствии с требованиями действующего законодательства;

информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

информационные ресурсы – отдельные документы и отдельные масси­вы документов, документы и массивы документов в информационных сис­темах (библиотеках, архивах, фондах, банках данных, других информаци­онных системах);

информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифи­цировать его личность;

категорирование защищаемой информации (объекта защиты) – уста­новление градаций важности защиты защищаемой информации (объекта защиты);

коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

конфиденциальная информация – информация с ограниченным досту­пом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

охраняемые сведения – сведения, составляющие государственную, служебную, коммерческую или личную тайну, на распространение кото­рых накладываются ограничения в установленном порядке;

пользователь информации – субъект, пользующийся информацией,  полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением;

правило доступа к информации (правило доступа) – совокупность правил, регламентирующих порядок и условия доступа субъекта к инфор­мации и ее носителям;

собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение, пользование и распоряжение указанными объектами;

целостность информации – устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.

Глава 3. Понятие и состав конфиденциальной информации

3.1.1. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию (публикации, сообщения в средствах массовой информации, выступления на конференциях и выстав­ках, интервью и т.п.), а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа) и другими нормативно-правовыми актами.

3.1.2.  Информация ограниченного доступа включает в себя:

информацию, составляющую государственную тайну (секретную), защита которой осуществляется в соответствии с законодательством Российской Федерации о государственной тайне;

конфиденциальную информацию.

3.1.3. К сведениям конфиденциального характера относятся:

сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные дан­ные), за исключением сведений, подлежащих распространению в средст­вах массовой информации в установленных федеральными законами слу­чаях;

сведения, составляющие тайну следствия и судопроизводства;

служебные сведения, доступ к которым ограничен органами госу­дарственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служеб­ная тайна);

сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, теле­графных сообщений и т.д.);

сведения, связанные с коммерческой деятельностью, доступ к кото­рым ограничен в соответствии с Гражданским кодексом Российской Феде­рации и федеральными законами (коммерческая тайна);

сведения о существе изобретения, полезной модели, промышленного образца до официальной публикации информации о них.

3.1.4. Состав сведений, относящихся к служебной тайне, регламентируется специальным перечнем, который утверждается  начальником Управления.

3.1.5. Носители информации, составляющей служебную тайну, могут иметь гриф ограничения доступа «Для служебного пользования». Часто он со­провождается пометами «Лично», «Не для печати», «Не подлежит оглаше­нию», «Только адресату» и др.

3.1.6. Информация ограниченного доступа, не содержащая сведений, отнесенных к госу­дарственной тайне, должна иметь гриф конфиденциальности.

3.1.7. При организации защиты конфиденциальных сведений необходимо четко регламентировать:

перечень сведений конфиденциального характера специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса Управления;

процедуру допуска сотрудников к сведениям, составляющим слу­жебную, коммерческую или другую тайну;

обязанности исполнителей, допущенных к сведениям, которые со­ставляют служебную, коммерческую или другую тайну;

правила обращения (делопроизводство, учет, хранение, размножение и т.д.) с документами;

правила доступа (передачи) к информации иных лиц;

ответственность за разглашение сведений, оставляющих служебную, коммерческую или другую тайну.

Виды конфиденциальной информации в управлении Алтайского края по промышленности и энергетике

3.2.1. В автоматизированных системах Управления может обрабатываться информация следующих видов:

сведения, составляющие государственную тайну;

сведения, составляющие служебную тайну;

сведения, составляющие коммерческую тайну;

персональные данные;

открытая информация;

открытая общедоступная информация.

3.2.2. Сведения, составляющие государственную тайну, обрабатываются в автоматизированных системах на базе автономных персональных ЭВМ и в рамках Положения не рассматриваются.

3.2.3. Сведения, составляющие служебную тайну, могут включать служеб­ную предметную информацию и служебную технологическую информа­цию, представляющую идентификаторы и пароли пользователей, настрой­ки межсетевых экранов и т.д.

3.2.4. Служебная предметная информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями федерального законо­дательства и руководящего документа Федеральной службы по техническому и экспортному контролю «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – ФСТЭК «СТР-К»).

3.2.5. Служебная технологическая информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями нормативных правовых документов по обеспечению информационной безопасности и защите информации в автоматизированных системах Управления.

3.2.6. Сведения, составляющие коммерческую тайну, могут быть отнесены к сведениям, составляющим служебную тайну с обеспечением их защиты на уровне требований, применяемых к защите служебной тайны, или рассмат­риваться как коммерческая тайна с обеспечением их защиты на уровне требований Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».

3.2.7. Обеспечение защиты персональных данных должно обеспечиваться в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и РД ФСТЭК России.

3.2.8. Открытая информация может быть доступна для всех сотрудников органов государственной власти Алтайского края, защите подлежит ее целостность и доступность.

3.2.9. Открытая общедоступная информация размещается на информацион­ных порталах органов государственной власти Алтайского края и издается в публич­ных изданиях. Защите подлежит ее целостность, доступность и достоверность. Защита этой информации должна обеспечиваться в соответствии с требованиями в рамках законодательства.

3.2.10. Виды информации и требования к защите представлены в следующей таблице:

Вид информации

Конфиденциальность

Целостность

Доступность

Сведения, составляю­щие государственную тайну

+

+

+

Сведения, составляю­щие служебную тайну

+

+

+

Сведения, составляю­щие коммерческую тайну

+

+

+

Сведения, составляю­щие служебную тайну (технологическая ин­формация)

+

+

Персональные данные

+

+

+

Открытая информация

-

+

+

Открытая общедос­тупная информация

-

+

+

3.2.11. Любая информация ограниченного доступа, вне зависимости от форм хранения, подлежит адекватной (дифференцированной) защите, в том чис­ле:

речевая информация;

информация, циркулирующая в средствах связи и вычислительной техники;

информация, передаваемая по каналам связи, локальным или гло­бальным вычислительным сетям;

информация, представленная в виде информативных акустических и
электромагнитных сигналов, физических полей;

информация на бумажной, магнитной или другой основе;

информационные массивы и базы данных, которые должны защи­щаться в соответствии с законодательством Российской Федерации и интересами Алтайского края.

3.2.12. К сведениям, подлежащим защите в Управлении:

сведения, определенные Перечнем сведений конфиденциального ха­рактера соответствующего специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса, утверждаемых начальником Управления;

иные сведения, составляющие охраняемую действующим законода­тельством тайну (приложение 2);

иные сведения, определенные собственником информации (феде­ральные органы исполнительной власти, их территориальные органы) при ее передаче Управлению в соответствии с соглашениями о конфиденциальности в рамках их совместной деятельности.

3.2.13. Перечень сведений конфиденциального характера Управления разрабатывается в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Указом Президента Рос­сийской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», постановлением Правительства Российской Федерации от 5 декабря 1991 г. № 35 «О перечне сведений, ко­торые не могут составлять коммерческую тайну», постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распро­странения в федеральных органах исполнительной власти» и другими  правовыми актами, определяющими состав сведений ограничен­ного распространения.

Глава 4. Информационные ресурсы ограниченного доступа компьютерной информационной системы управления Алтайского края по промышленности и энергетике

4.1. К информационно-телекоммуникационным системам конфиденциального характера  в контексте необходимости их защиты относятся:

информационные ресурсы Управления (файлы, базы дан­ных, электронные и бумажные документы и т.д.), подлежащие защите;

системы формирования, обработки, распространения и использова­ния информационных ресурсов;

информационная инфраструктура автоматизированных систем Управления.

4.2. Система формирования, обработки, распространения и использования информационных ресурсов включает в себя:

информационные подсистемы автоматизированных систем Управления, архива и их баз данных;

информационные технологии, регламенты и процедуры сбора, обра­ботки, хранения, преобразования и отображения информации, а также спе­циальные средства их своевременного уничтожения;

нормативно-правовые положения, определяющие функции, права и ответственность участников данной системы;

персонал, занятый в данной системе.

4.3. Информационная инфраструктура включает в себя:

сеть передачи данных Управления, центры их обработки и анализа информации;

каналы связи, информационного обмена и телекоммуникации;

механизмы обеспечения работоспособности телекоммуникационных
систем и сетей;

системы и средства защиты информации;

системы документационного обеспечения управления, мониторинга и прогнозирования.

4.4. Объектами защиты в автоматизирован­ных системах Управления являются:

информация (в любой форме ее представления), содержащая охра­няемые сведения;

информационные системы, включая системы связи;

технические средства связи и информатизации (средства вычисли­тельной техники, информационно-вычислительные комплексы, средства и системы связи, передачи данных, телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления и тиражирования документов, другие технические средства обработки информации), используемые для обработки, хранения и передачи информации, содержащей охраняемые сведения;

программные средства (операционные системы, системы управления ба­зами данных, другое общесистемное и прикладное программно-матема­тическое обеспечение), используемые для обработки информации, содер­жащей охраняемые сведения;

технические средства, не используемые в обработке, хранении и пе­редаче конфиденциальной информации, но расположенные в помещениях,
где обрабатывается (циркулирует) информация, содержащая охраняемые
сведения;

Глава 5. Информационные ресурсы, подлежащие защите

5.1. Информационные ресурсы, содержащие или обрабатывающие сведе­ния конфиденциального характера, определяются Перечнем информаци­онных ресурсов Управления, в соответствии  с Перечнем сведений конфиденциального характера (Приложение 3).

5.2. Этот перечень должен включать названия информационных систем (подсистем), автоматизированных рабочих мест, баз данных и пакетов прикладных программ, подлежащих защите.

5.3. Перечень информационных ресурсов Управления, содер­жащих сведения конфиденциального характера, утверждается начальником Управления.

Глава 6. Категории конфиденциальных информационных ресурсов

6.1. В целях формирования дифференцированного подхода к обеспечению защиты информационных ресурсов автоматизированных систем Управления осуществляется инвентаризация и категорирование инфор­мационных ресурсов.

6.2. Инвентаризация предполагает проведение паспортизации и учета всех информационных ресурсов Управления.

6.3. Под категорированием информационного ресурса понимается комплекс организационно-технических мероприятий по отнесению информационного ресурса к соответствующей категории, характеризующей важ­ность сохранения его функционирования, а также обеспечения целостно­сти и конфиденциальности содержащейся в нем информации. Обязательному категорированию подлежат как находящиеся в экс­плуатации, так и вновь вводимые в эксплуатацию информационные ресур­сы Управления.

6.4. Для информационных ресурсов Управления установлены следующие категории:

Катего­рия

Гриф

Требования к защите

Характер информа­ции

Группы пользова­телей

1

2

3

4

5

I катего­рия

Строго конфи­денци­ально

Высокие требования к обеспечению конфиденциальности, цело­стности и доступности информационных ре­сурсов

Важная плановая,   производствен­ная  и ком­мерческая информация

Высший руководя­щий состав

II катего­рия

Конфи­денци­ально

Средние требования к обеспечению конфиденциальности. Требо­вания к целостности и доступности определя­ются в зависимости от конкретных требований к информационному ресурсу

Коммерче­ская ин­формация

Руководи­тели и со­трудники подразде­лений        в части,     ка­сающейся их    инфор­мации

II

катего­рия

ДСП

Низкие требования к обеспечению конфиденциальности. Требо­вания к целостности и доступности определя­ются в зависимости от конкретных требований к информационному ресурсу

Общая нормативная, коммерче­ская   и дру­гая   информация для служебного пользования

Все руководители и сотрудники Управления

Техноло­гическая катего­рия

Т

(ДСП-Т)

Высокие требования к обеспечению конфиденциальности, цело­стности и доступности информационных ре­сурсов

Технологическая    информация и информация системы защиты (пароли, идентификато­ры,  IP- ад­реса,  классификаторы и т.д.)

Администратор информационной безопасно­сти, сотрудники подразде­лений ин­форматиза­ции и технической поддержки

Общая катего­рия

Требования к конфиденциальности не предъявляются. Требования к целост­ности и доступности определяются в зави­симости от конкретных требований к информационному ресурсу

Любая открытая информация Управления

Сотрудни­ки   Управления, пользова­тели       открытых се­тей

6.5. Основные требования по обеспечению конфиденциальности, целост­ности и доступности для конкретных информационных ресурсов опреде­ляются на этапе их проектирования, создания и ввода в эксплуатацию.

6.6. Специальные требования к защищенности информационного ресурса определяются специалистом по защите информации Управления, при участии владель­ца информационного ресурса на этапе их ввода в эксплуатацию.

6.7. Для каждой из категорий устанавливается:

порядок назначения и изменения необходимых полномочий пользо­вателей по доступу к информационным ресурсам категории;

порядок эксплуатации оборудования и программного обеспечения, используемого для работы с информационными ресурсами категории;

порядок обеспечения конфиденциальности, целостности и доступно­сти информационных ресурсов категории;

порядок принятия ответных мер в случае выявления действий, на­правленных на нарушение конфиденциальности, целостности или доступ­ности информационных ресурсов категории.

Глава 7. Организационная структура системы присвоения категории информационным ресурсам

7.1. Организационную структуру системы присвоения категорий инфор­мационным ресурсам образуют:

заместитель руководителя Управления, осуществляющий организацию эксплуатации информационного ресурса;

специалист по информатизации, осуществляющий техническое обслуживание информационного ресурса.

7.2. Для организации категорирования информационных ресурсов и кон­троля информационной безопасности при их эксплуатации создается по­стоянно действующая комиссия (далее – Комиссия), образуемая начальником Управления и включающая представителей из вышеперечис­ленных подразделений. Комиссия является коллегиальным органом и ор­ганизует всю работу по обеспечению информационной безопасности и за­щиты информации.

Глава 8. Порядок присвоения категорий информационным ресурсам

8.1. Подготовка информационного ресурса к категорированию предпола­гает его инвентаризацию и информационное обследование.

8.2. Инициатором категорирования информационного ресурса должен вы­ступать его владелец, который подает заявку в Комиссию.

8.3. Для проведения технических работ по инвентаризации и категориро­ванию информационного ресурса Комиссия создает рабочую группу в со­ставе специалистов структурного подразделения – владельца информаци­онного ресурса и специалиста по информационным технологиям Управления.

8.4. По результатам инвентаризации и информационного обследования составляется формуляр информационного ресурса, отражающий основные характеристики информационного ресурса.

8.5. Ответственность за составление и поддержание в актуальном состоя­нии формуляров информационных ресурсов автоматизированных Управления возлагается на специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса, отвечающего за защиту конфиденциальной информации.

8.6. В процессе эксплуатации информационного ресурса все изменения характеристик информационного ресурса, зафиксированных в формуляре информационного ресурса, доводятся владельцем информационного ре­сурса до сведения заместителя  начальника Управления  для внесения в формуляр информационного ресурса соответствующих изменений.

8.7. При недостаточности или неточности исходных данных составление формуляра информационного ресурса производится на основании резуль­татов комплексных испытаний информационного ресурса и имеющихся средств защиты в реальных условиях эксплуатации, а также анализа струк­туры информационного ресурса, технических средств, программного обес­печения и технической документации.

8.8. На основании данных произведенного информационного обследова­ния и документирования информационного ресурса заместитель начальника Управления вносит предложение о присвоении категории информационному ресурсу на рассмотрение начальнику Управления.

8.9. Начальник Управления утверждает категорию информационного ресурса и доводит требования к его эксплуатации до соответствующего специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса Управления.

8.10. Информационные ресурсы, содержащие конфиденциальную инфор­мацию, вносятся в установленном порядке в перечень информационных ресурсов Управления, содержащих сведения конфиденциального характера.

Глава 9. Доступ к информационным ресурсам

Порядок организации доступа к информационным ресурсам Управления Алтайского края по промышленности и энергетике

9.1.1. Порядок организации доступа к информационным ресурсам автомати­зированных систем Управления и связи включает:

разделение пользователей автоматизированных систем на категории пользователей в соответствии с предоставляемыми им возможностями по обработке категорированной информации;

подготовку заявки специалистом по информатизации, осуществляющего техническое обслуживание информационного ресурса на раз­решение доступа сотрудника Управления к конкретным инфор­мационным ресурсам;

визирование заявки владельцем информационного ресурса, заместителем начальника Управления и подготовка распоряжения администратору информационного ресурса о регистрации нового пользователя с назначен­ными ему полномочиями;

выполнение администратором безопасности информационного ресурса необходи­мых технических действий по регистрации нового пользователя.

Порядок оформления права на доступ к информационным ресурсам

9.2.1. Доступ конкретного пользователя к конкретному информационному ресурсу осуществляется на основании заявки, которую подает администратор безопасности, осуществляющий техническое обслуживание информационного ресурса Управления.

9.2.2. В заявке указываются должность и фамилия сотрудника, перечень информационных ресурсов, необходимых для исполнения должностных обязанностей, полномочия сотрудника по их обработке, интервалы разрешенного време­ни работы сотрудника с информационными ресурсами.

9.2.3. Заявка передается владельцу информационного ресурса в установлен­ном порядке.

9.2.4. Администратор безопасности, осуществляющий техническое обслуживание информационного ресурса осуществляет ознакомление пользователя с пра­вилами эксплуатации конкретного ресурса и требованиями по обеспече­нию информационной безопасности при работе с ним. Им также предос­тавляется право проверки знания пользователем установленных правил и требований работы с информационным ресурсом и допуска к работе с ним.

9.2.5. При готовности пользователя к работе с информационным ресурсом готовится рас­поряжение о регистрации ука­занного пользователя для работы с ним.

9.2.6. Регистрация нового пользователя осуществляется специалистом по информатизации (администратором безопасности), осуществляющего техническое обслуживание информационного ресурса на основании зарегистрированного в журнале учета распоряжения, полученного от руководителя аппарата администрации.

9.2.7. После выполнения технических работ по проведению регистрации нового пользователя администратор сообщает ему о возможности начала работы с информационным ресурсом.

9.2.8. Администратор безопасности не имеет права включать, удалять и модифицировать регистрационные параметры пользователей без соответствующих зарегистрированных распоряжений своего руководителя.

9.2.9. Специалист по информатизации имеет право контро­лировать соответствие зарегистрированных распоряжений и действий по предоставлению или измене­нию полномочий пользователей.

Глава 10. Разделение пользователей автоматизированных систем на категории пользователей

10.1. Для обеспечения разграничения доступа пользователей автоматизиро­ванных систем Управления к категорированной информации вводятся следующие категории пользователей:

Категории поль­зователей

Группы пользователей

Категории ин­формации, к которым разрешен доступ

I категория

Высший руководящий состав

I, II, III и общая категории

II категория

Руководители и со­трудники подразделений, имеющие допуск к инфор­мации II категории в час­ти, касающейся их подраз­делений

II, III и общая ка­тегории

III категория

Руководители и со­трудники Управления

III и общая кате­гории

Технологическая категория (Т)

Администратор сис­темы, администраторы ин­формационной безопасно­сти

Технологическая, III и общая категории

Общая катего­рия

Сотрудники Управления. Пользователи открытых сетей

Общая категория

10.2. Для введенных категорий пользователей автоматизированных систем Управления разрешен доступ к информационным ресурсам, категории которых перечислены в третьем столбце таблицы, если не огово­рены другие условия.

10.3. Категорирование пользователей осуществляется в соответствии с ка­тегорией занимаемой ими должности, характеристики которой приведены во втором столбце таблицы.

10.4. При необходимости предоставления доступа поль­зователю определенной категории к информационному ресурсу, принад­лежащему к более высокой категории, разрешение на этот доступ получа­ется в индивидуальном порядке по согласованной договоренности сторон.

Глава 11. Ответственность за нарушение режима конфиденциальности

11.1. Нарушением режима конфиденциальности в отношении перечисленных информационных систем Управления является разглашение служебной или коммерческой тайны, которое влечет ответственность в соответст­вии с действующим законодательством Российской Федерации.

11.2. Ответственность за нарушение требований обеспечения информаци­онной безопасности накладывается на должностных лиц и Управления и зависит от величины причиненного ущерба. Сотрудники Управления могут привлекаться к дисциплинар­ной, административной и уголовной ответственности в соответствии с действующим законодательством.

11.3. Ответственность за обеспечение защиты информации ограниченного доступа несут владельцы информационных ресурсов.

Приложение 1

к Положению о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике

Список сокращений

АРМ

Автоматизированное рабочее место

АС

Автоматизированная система

БД

База данных

ВТСС

Вспомогательные технические средства и системы

ИР

Информационные ресурсы

ИС

Информационная система

ИТ

Информационные технологии

КИС

Компьютерная информационная система

ЛВС

Локальная вычислительная сеть

МЭ

Межсетевой экран

НСД

Несанкционированный доступ

ОС

Операционная система

ОТСС

Основные технические средства и системы

ПО

Программное обеспечение

ПЭМИН

Побочные электромагнитные излучения и наводки

РД

Руководящий документ

СВТ

Средства вычислительной техники

СЗИ

Система защиты информации

СКЗИ

Средства криптографической защиты информации

СТР

РД ФСТЭК России «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)»

СТР-К

РД ФСТЭК России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»

СУБД

Система управления базами данных

ФСТЭК России

Федеральная служба по техническому и экспортному контролю Российской Федерации (Гостехкомиссия России)

ЭЦП

Электронная цифровая подпись

ПЭВМ

Персональная электронная вычислительная машина

ЭВМ

Электронная вычислительная машина

ДСП

Для служебного пользования

ДСП-Т

Для служебного пользования (технологическая)

                                                         Приложение 2

к Положению о порядке организации проведения работ по защите

конфиденциальной информации в управлении Алтайского края по

промышленности и энергетике Виды тайн и нормативные правовые

акты, закрепляющие

необ­ходимость их защиты

Вид тайны

Нормативные правовые акты, закрепляющие не­обходимость ее защиты

1

2

Государственная тайна

1) Статья 29 Конституции Российской Федерации;

2) Статьи 283 и 284 Уголовного кодекса Российской Федерации;

3) Закон Российской Федерации от 21 июля 1993 г. №5485-1 "О государственной тайне";

4) Указ Президента Российской Федерации от 30 ноября 1995 г. N 1203 "Об утверждении перечня сведений, отнесенных к государственной тайне". В редакции Указа Президента РФ от 11 февраля 2006 г № 90.

Служебная тайна

1) Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера";

2) Поста­новление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении По­ложения о порядке обращения со служебной ин­формацией ограниченного распространения в фе­деральных органах исполнительной власти".

Коммерческая тайна

1) Статьи  727, 771 и 1032 Гражданского кодекса Российской Федерации;

2) Статья 183 Уголовного кодекса Российской Федерации;

3) Феде­ральный закон от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне";

4) Федеральный закон от 11 ноября 2003 г. N 152-ФЗ "Об ипотечных ценных бумагах";

5) Указ Президента Россий­ской Федерации от 6 марта 1997 г. № 188 "Об ут­верждении перечня сведений конфиденциального характера".

Персональные данные

1) Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных"

Приложение 3

к Положению о порядке организации проведения работ

по защите конфиденциальной информации в управлении

Алтайского края по промышленности и энергетике

ПЕРЕЧЕНЬ

сведений конфиденциального характера

Управления Алтайского края по промышленности и энергетике

1. Сведения экономического характера

1.1  Сведения конфиденциального характера или составляющие коммерческую тайну, переданные организациями в управление Алтайского края по промышленности и энергетике для практической работы.

2. Сведения по финансовым вопросам

2.1. Сведения о движении денежных средств по счетам бюджета Алтайского края, гарантиях управления Алтайского края по промышленности и энергетике за счет средств бюджета Алтайского края.

3. Сведения по вопросам информатизации и защите информации

3.1. Информация об информационных технологиях, информационных системах, информационно – телекоммуникационных сетях, используемых для сбора, хранения, обработки и передачи информации ограниченного доступа.

3.2. Информация о системах защиты информации (средства, методы и способы защиты информации, а также коды и процедуры доступа к информационным ресурсам).

3.3. Сведения о планируемых и проводимых мероприятиях по обеспечению информационной безопасности.

3.4. Результаты деятельности комиссий и контрольных органов, раскрывающие состояние информационной безопасности.

3.5. Сведения о паролях и программных методах защиты компьютерных баз данных.

4. Иные сведения

4.1. Сведения о чрезвычайных происшествиях, авариях, террористических актах, убийствах, несчастных случаях (в т.ч. отравлениях) в части точного описания технологии совершения преступления и состава химических веществ.