Расширенный поиск
Постановление Правительства Новосибирской области от 24.01.2011 № 20-п

                                                                       
                                                                      
                                                                      
                                                                      
                     ПРАВИТЕЛЬСТВО НОВОСИБИРСКОЙ ОБЛАСТИ              
                                                                      
                                ПОСТАНОВЛЕНИЕ                         
                                                                      
                                                                      
                            от 24.01.2011 N 20-п                      
                                                                      
                                г.Новосибирск                         
                                                                      
                                                                      
         Об утверждении Положения о порядке внедрения и эксплуатации  
    IP-технологий передачи информации в администрации Губернатора     
    Новосибирской области и Правительства Новосибирской области и     
 исполнительных органах государственной власти Новосибирской области  


       В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об
информации,  информационных  технологиях и защите информации", в целях
обеспечения   защиты   информации    в    администрации    Губернатора
Новосибирской   области   и   Правительства  Новосибирской  области  и
исполнительных органах государственной  власти  Новосибирской  области
Правительство Новосибирской области

ПОСТАНОВЛЯЕТ:

       1.  Утвердить  прилагаемое  Положение  о  порядке  внедрения  и
эксплуатации   IP-технологий   передачи   информации  в  администрации
Губернатора  Новосибирской  области  и   Правительства   Новосибирской
области  и исполнительных органах государственной власти Новосибирской
области (далее - Положение).
       2. Руководителям исполнительных органов государственной  власти
Новосибирской  области  довести  Положение  до  сведения руководителей
подведомственных организаций.
       3. Контроль за исполнением постановления возложить  на  первого
заместителя Губернатора Новосибирской области Хомлянского А.Б.


Губернатор
Новосибирской области                                      В.А.Юрченко
____________________



       УТВЕРЖДЕНО
       постановлением Правительства
       Новосибирской области
       от 24.01.2011 N 20-п


                                  ПОЛОЖЕНИЕ                           
          о порядке внедрения и эксплуатации IP-технологий передачи   
    информации в администрации Губернатора Новосибирской области и    
     Правительства Новосибирской области и исполнительных органах     
             государственной власти Новосибирской области             

                              I Общие положения                       

       1. Положение о порядке внедрения и  эксплуатации  IP-технологий
передачи  информации в администрации Губернатора Новосибирской области
и  Правительства  Новосибирской  области  и   исполнительных   органах
государственной  власти  Новосибирской  области  (далее  -  Положение)
разработано  в  соответствии  с  Федеральным  законом  от   27.07.2006
N 149-ФЗ   "Об   информации,   информационных   технологиях  и  защите
информации", нормативно-методическими документами  Федеральной  службы
по  техническому  и  экспортному  контролю (ФСТЭК России), Федеральной
службы безопасности Российской Федерации (ФСБ России) в области защиты
информации.
       2. Положение  распространяется  на   открытые   государственные
информационные   ресурсы   и   информацию  ограниченного  доступа,  не
содержащую сведения, составляющие  государственную  тайну  (информацию
конфиденциального характера).
       3. Положение определяет полномочия  и  обязанности  должностных
лиц  администрации  Губернатора  Новосибирской области и Правительства
Новосибирской области (далее - администрация), исполнительных  органов
государственной власти Новосибирской области (далее - органы власти) и
подведомственных  им  организаций  в   части   порядка   внедрения   и
эксплуатации  IP-технологий  передачи  информации  в  администрации  и
органах власти.
       4. Внедрение   IP-технологий   передачи   информации    ведётся
администрацией,   органами   власти,   а  также  подведомственными  им
организациями в целях развития информационного общества,  формирования
электронного  правительства,  создания  и  развития  государственных и
муниципальных  информационных  систем  и  развития   межведомственного
взаимодействия.
       5. Целью  применения  Положения  является  достижение  высокого
уровня  защищённости  передаваемой информации от утечек по техническим
каналам.

                      II. Основные используемые понятия               

       6. IP-технологии передачи информации (далее - IP-технологии)  -
технологии  передачи  информации по сетям связи с пакетной коммутацией
на  базе  протокола IP  (IP-телефония,  видеоконференцсвязь,   системы
"мгновенного"  обмена  сообщениями),  а  также технологии беспроводной
пакетной передачи данных.
       7. Технические    средства    IP-технологий     -     средства,
предназначенные  для обработки и передачи по каналам связи информации,
содержащейся в государственных информационных ресурсах.
       8. Доступность    информации    -     состояние     информации,
характеризуемое  способностью  автоматизированной системы обеспечивать
беспрепятственный  доступ  к  информации  субъектов,  имеющих  на  это
полномочия.
       9. Целостность информации - состояние защищенности  информации,
характеризуемое  способностью  автоматизированной системы обеспечивать
сохранность и неизменность информации при попытках несанкционированных
или случайных воздействий на неё в процессе обработки или хранения.
       10. Конфиденциальность информации - обязательное для выполнения
лицом,  получившим  доступ  к  определенной  информации, требование не
передавать такую информацию третьим лицам без согласия ее обладателя.
       11. Проект внедрения IP-технологий - комплекс организационных и
технических  мероприятий,  который выполняется в администрации, органе
власти, подведомственной организации  в  сроки,  указанные  в  приказе
соответственно руководителя администрации, руководителя органа власти,
руководителя  подведомственной   организации   с   целью   дальнейшего
постоянного    использования   (эксплуатации)   IP-технологий   в   их
деятельности.
       12. Контролируемая зона -  пространство,  в  котором  исключено
неконтролируемое  пребывание  лиц, не имеющих постоянного или разового
допуска, и посторонних транспортных средств.

           III. Организация внедрения и эксплуатации IP-технологий    
                                                                      
       13. Руководитель администрации,  руководители  органов  власти,
руководители  подведомственных  им  организаций (далее - руководители)
организуют внедрение IP-технологий в целях выполнения  задач,  стоящих
перед    администрацией,    возглавляемыми    органами    власти   или
организациями, в соответствии с требованиями Положения.
       14. Решение   руководителя   о   составе   организационных    и
технических  мероприятиях  по  защите информации, а также используемых
средствах защиты информации, выносится в виде согласованного проекта с
учётом требований раздела VI Положения.
       15. Автоматизированные  системы,  в   состав   которых   входят
технические   средства  IP-технологий,  предназначенные  для  передачи
информации   ограниченного   доступа,   подлежат   классификации    по
требованиям документа Федеральной службы по техническому и экспортному
контролю  от  30.03.1992  "Автоматизированные   системы.   Защита   от
несанкционированного     доступа     к    информации.    Классификация
автоматизированных  систем  и  требования   по   защите   информации",
утвержденного   решением   председателя   Государственной  технической
комиссии при Президенте Российской Федерации.
       16. В случае, если внедрение  IP-технологий  ведётся  в  рамках
проекта по созданию или развитию информационной системы администрации,
органа  власти,  подведомственной  им  организации,  то  изложенные  в
Положении   организационные   и   технические  мероприятия  по  защите
информации выполняются для всего проекта в целом.
       17. При   эксплуатации   технических   средств   IP-технологий,
осуществляемой  сторонней организацией, договор, на основании которого
осуществляется такая эксплуатация,  должен  содержать  мероприятия  по
защите  информации  и  ответственность  эксплуатирующей организации за
соблюдение мероприятий по защите информации.
       18. Руководители  в  целях  организации  внедрения,  запуска  в
эксплуатацию и эксплуатации IP-технологий назначают приказом:
       1) сотрудника,  ответственного  за  обеспечение  режима  защиты
информации при внедрении и эксплуатации IP-технологий в подразделении,
в том числе за соблюдение требований настоящего Положения,  инструкций
по   защите  информации  при  эксплуатации  IP-технологий,  проведение
инструктажей пользователей IP-технологий;
       2) сотрудника,       ответственного       за       эксплуатацию
автоматизированной   системы,  в  состав  которой  входят  технические
средства IP-технологий;
       3) сотрудника, ответственного за  эксплуатацию  средств  защиты
информации IP-технологий, в том числе средств криптографической защиты
информации, передаваемой посредством IP-технологий.
       Указанные сотрудники приступают к исполнению своих  должностных
обязанностей  с  момента  внесения  изменений  в  служебный контракт и
должностной регламент либо трудовой договор.
       19. Лица, причастные  к  нарушению  режима  защиты  информации,
отстраняются  от  выполнения ими служебных обязанностей по результатам
служебного расследования на основании приказа руководителя.
       20. Руководители   несут   ответственность    за    обеспечение
требований   по   технической   защите  информации  в  соответствии  с
законодательством, в том числе за организацию работ  по  разработке  и
реализации мероприятий, обеспечивающих защиту информации, передаваемой
посредством  IP-технологий,  на  этапах  проектирования,  внедрения  и
эксплуатации IP-технологий.
       21. Руководители  формируют  заявки  на  финансирование  работ,
связанных  с  эксплуатацией IP-технологий в рамках формирования заявок
на содержание  и  обеспечение  деятельности  областных  исполнительных
органов  государственной  власти  Новосибирской  области,  с отдельным
обоснованием, и направляют их  в  министерство  финансов  и  налоговой
политики  Новосибирской области в соответствии с порядком расходования
средств областного  бюджета  Новосибирской  области  на  содержание  и
обеспечение     деятельности    областных    исполнительных    органов
государственной власти Новосибирской области.
                                                                      
               IV. Разработка проекта внедрения IP-технологий         

       22. Проект внедрения  IP-технологий  разрабатывается  с  учетом
требований  Федерального закона от 27.07.2006 N 149-ФЗ "Об информации,
информационных     технологиях     и     о     защите     информации",
нормативно-методических    документов:    Специальные   требования   и
рекомендации  по  технической  защите   конфиденциальной   информации,
утвержденные   приказом   Государственной   технической  комиссии  при
Президенте  Российской  Федерации  от  30.08.2002  N 282   и   Типовые
требования  по организации и обеспечению функционирования шифровальных
(криптографических) средств, предназначенных для защиты информации, не
содержащей  сведений,  составляющих  государственную тайну в случае их
использования для обеспечения безопасности персональных данных при  их
обработке  в информационных системах персональных данных, утвержденные
руководителем 8 Центра Федеральной службы  безопасности  от 21.02.2008
N 149/6/6-622.
       23. В  ходе   проекта   внедрения   IP-технологий   выполняются
следующие   организационные   и   технические  мероприятия  по  защите
информации:
       1) определяется перечень информации,  передаваемой  посредством
IP-технологий, а также уровень ее конфиденциальности;
       2) определяются границы контролируемой зоны;
       3) определяются точки подключения оборудования IP-технологий  к
каналам связи;
       4) проводится  сегментация  сети  передачи   данных   по   типу
передаваемых данных (голосовые данные, видео, обычные данные);
       5) определяется   перечень   лиц,   допущенных   к   работе   с
техническими  средствами  IP-технологий,  и  права  доступа  к  данным
техническим средствам;
       6) разрабатываются правила ограничения  доступа  сотрудников  и
посторонних  лиц  в  помещения,  где  размещены  технические  средства
IP-технологий;
       7) определяются меры защиты информации, в зависимости от уровня
ее  конфиденциальности,  в целях обеспечения целостности, доступности,
конфиденциальности передаваемой информации;
       8) разрабатываются  инструкции   по   защите   информации   при
эксплуатации IP-технологий для сотрудников, непосредственно работающих
с новыми технологиями, для  сотрудников,  обеспечивающих  настройку  и
эксплуатацию технических средств IP-технологий;
       9) определяется ответственность  за  соблюдение  режима  защиты
информации,  передаваемой  посредством IP-технологий, для сотрудников,
допущенных к  работе  с  техническими  средствами  IP-технологий,  для
ответственных  за  защиту  информации  в  подразделении, для сторонних
организаций (при заключении договора об аутсорсинге);
       10) классифицируются автоматизированные системы по  требованиям
безопасности информации (в соответствии с уровнем конфиденциальности);
       11) применяются сертифицированные межсетевые экраны на  границе
сети;
       12) защищается    информация    конфиденциального    характера,
передаваемая  по  каналам  связи  посредством IP-технологий за пределы
контролируемой  зоны  (с помощью  сертифицированных  криптографических
средств защиты информации).
       24. Руководитель направляет проект внедрения  IP-технологий  на
согласование     в     департамент     информатизации    и    развития
телекоммуникационных  технологий  Новосибирской   области   (далее   -
департамент   информатизации).   Содержание   передаваемой  информации
согласованию не подлежит.
       25. Департамент   информатизации   осуществляет    согласование
проекта  внедрения  IP-технологий  в  части,  касающейся технических и
технологических вопросов передачи информации, в течение одного  месяца
со  дня регистрации в департаменте информатизации письма с приложением
проекта. Не позднее  двух  рабочих  дней  со  дня  регистрации  письма
департамент    информатизации   направляет   поступивший   проект   на
согласование в части, касающейся  технических  мероприятий  по  защите
информации,    в   комитет   компьютерных   технологий   администрации
Губернатора  Новосибирской  области  и   Правительства   Новосибирской
области   (далее  -  комитет  компьютерных  технологий).  Согласование
проекта внедрения IP-технологий подписывают руководитель  департамента
информатизации и председатель комитета компьютерных технологий.
                                                                      
       V. Порядок организации работ по защите информации при внедрении
                     и эксплуатации IP-технологий                     

       26. Сотрудник,  ответственный  за  обеспечение  режима   защиты
информации при внедрении и эксплуатации IP-технологий в администрации,
органе власти, подведомственной организации:
       а) осуществляет  контроль  исполнения   требований   настоящего
Положения  в  части обеспечения защиты информации на стадии разработки
проектной документации по внедрению  IP-технологий,  при  внедрении  и
эксплуатации IP-технологий;
       б) проводит классификацию автоматизированных систем,  в  состав
которых входят технические средства IP-технологий;
       в) организует проведение работ по аттестации автоматизированных
систем, в состав которых входят технические средства IP-технологий;
       г) разрабатывает    матрицу    разграничения    прав    доступа
пользователей  к ресурсам автоматизированной системы, в состав которой
входят технические средства IP-технологий;
       д) разрабатывает   инструкции   по   защите   информации    при
эксплуатации IP-технологий для сотрудников, непосредственно работающих
с     техническими     средствами     IP-технологий     (пользователей
IP-технологий),    для   сотрудников,   обеспечивающих   настройку   и
эксплуатацию технических средств IP-технологий;
       е) ведет журнал инструктажа сотрудников  администрации,  органа
власти  или  подведомственной  организации  по  работе  с техническими
средствами IP-технологий согласно прилагаемой форме  (далее  -  журнал
инструктажа);
       ж) проводит ежегодный инструктаж пользователей IP-технологий по
работе  с техническими средствами IP-технологий и знанию инструкций по
защите информации с отметкой в журнале инструктажа (под роспись);
       з) осуществляет контроль действий пользователей  IP-технологий,
исполнения требований инструкций по защите информации при эксплуатации
IP-технологий  пользователями  IP-технологий  и  иными   сотрудниками,
обеспечивающими   настройку   и   эксплуатацию   технических   средств
IP-технологий;
       и) ежегодно    в     сроки,     устанавливаемые     действующим
законодательством, готовит сведения по финансированию работ, связанных
с  внедрением  и  эксплуатацией  IP-технологий,  в  том  числе  работ,
связанных   с   защитой   информации,  и  подает  их  на  рассмотрение
руководителю;
       к) вносит предложения руководителю  о  назначении  сотрудников,
ответственных за эксплуатацию средств защиты информации IP-технологий,
сотрудников, ответственных за эксплуатацию  автоматизированных  систем
и  о внесении изменений, связанных с обеспечением защиты информации, в
их должностные регламенты, служебные контракты либо трудовой договор;
       л) в случае выявления фактов нарушения режима защиты информации
при  эксплуатации  IP-технологий и на основании приказа руководителя о
проведении  служебного  расследования   организует   и   участвует   в
расследовании причин и условий появления нарушений; докладной запиской
на  имя  руководителя  сообщает  результаты,  вносит  предложения   об
отстранении  причастных  к  нарушению  лиц  от  выполнения  ими  своих
служебных обязанностей.
       27. Пользователи IP-технологий обязаны:
       1) пройти  инструктаж  по  работе  с  техническими   средствами
IP-технологий;
       2) выполнять инструкции по защите информации  при  эксплуатации
IP-технологий;
       3) соблюдать правила работы со  средствами  защиты  информации,
используемые при эксплуатации IP-технологий;
       4) проходить инструктаж по  работе  с  техническими  средствами
IP-технологий ежегодно в период с 1 февраля по 31 марта.
       28. Пользователи IP-технологий в  соответствии  с  требованиями
действующего      законодательства,     утвержденными     должностными
регламентами,  служебными  контрактами,  трудовыми  договорами   несут
ответственность  за  соблюдение режима защиты информации, передаваемой
посредством   IP-технологий,   и    обеспечивают    конфиденциальность
информации на своих рабочих местах.
       29. В  случае  сбоев  при  эксплуатации   технических   средств
IP-технологий,    невозможности    передачи   информации   посредством
IP-технологий по каналам связи и иной внештатной ситуации пользователи
IP-технологий    должны   известить   об   этом   служебной   запиской
ответственного за защиту информации.

            VI. Мероприятия по защите информации при эксплуатации     
                            IP-технологий                             

       30. Перед  запуском  в  промышленную  эксплуатацию  технических
средств  IP-технологий  сотрудник,  ответственный за защиту информации
при  внедрении  и  эксплуатации  IP-технологий,  выполняет   следующие
организационные мероприятия по защите информации:
       1) проводит инструктаж пользователей IP-технологий по работе  с
техническими средствами IP-технологий;
       2) проводит инструктаж пользователей IP-технологий по  правилам
работы с используемыми средствами защиты информации;
       3) проводит ознакомление с инструкциями  по  защите  информации
при  эксплуатации  IP-технологий и с ответственностью перед законом за
разглашение информации конфиденциального характера;
       4) разрабатывает    матрицу    разграничения    прав    доступа
пользователей  к ресурсам автоматизированной системы, в состав которой
входят технические средства IP-технологий;
       5) обеспечивает ограничение доступа в помещение, где  размещены
технические  средства  IP-технологий,  согласно приказу руководителя о
допуске лиц, работающих с IP-технологиями.
       31. Технические  мероприятия  по  защите  открытой   информации
включают в себя:
       1) аутентификацию клиентских технических средств IP-технологий;
       2) контроль доступа пользователей IP-технологий;
       3) контроль доступа к сетевым устройствам;
       4) использование  сертифицированных   межсетевых   экранов   на
границе сети;
       5) ведение журнала учета паролей, ежеквартальную смену паролей;
       6) резервное копирование  настроек  сетевых  устройств,  защиту
параметров конфигурации сетевых устройств, ежеквартальную смену пароля
администратора. Запрещается конфигурирование сетевых  устройств  через
беспроводные сети передачи данных;
       7) ведение   журналов   настройки   и   проверки   оборудования
IP-технологий;
       8) использование систем бесперебойного электропитания;
       9) использование сертифицированных средств антивирусной защиты.
       32. Технические мероприятия по защите информации  ограниченного
доступа включают в себя:
       1) аутентификацию клиентских технических средств IP-технологий;
       2) контроль доступа пользователей IP-технологий;
       3) контроль доступа к сетевым устройствам;
       4) использование  сертифицированных   межсетевых   экранов   на
границе сети;
       5) ведение журнала учета паролей, ежеквартальная смена паролей;
       6) резервное копирование  настроек  сетевых  устройств,  защита
параметров конфигурации сетевых устройств, ежеквартальную смену пароля
администратора. Запрещается конфигурирование сетевых  устройств  через
беспроводные сети передачи данных;
       7) ведение   журналов   настройки   и   проверки   оборудования
IP-технологий;
       8) использование систем бесперебойного электропитания;
       9) использование сертифицированных средств антивирусной защиты;
       10) использование сертифицированных  средств  криптографической
защиты  информации  для защиты информации конфиденциального характера,
передаваемой посредством IP-технологий;
       11) использование средств обнаружения вторжений;
       12) аттестацию автоматизированной  системы,  в  состав  которой
входят технические средства IP-технологий, в соответствии с Положением
по аттестации  объектов  информатизации  по  требованиям  безопасности
информации,  утвержденным  председателем  Государственной  технической
комиссии при Президенте Российской Федерации от 25.11.1994.
       33. Технические  мероприятия,  указанные   в   пунктах 32,   33
Положения,  реализуются  сотрудником,  ответственным  за  эксплуатацию
автоматизированной   системы.   При   этом    проведение    аттестации
автоматизированной  системы  обеспечивает  сотрудник, ответственный за
обеспечение режима защиты информации при эксплуатации IP-технологий, а
эксплуатацию  средств  защиты  информации  и  порядок  работы с ними -
сотрудник, ответственный за  эксплуатацию  средств  защиты  информации
IP-технологий.

              VII. Порядок контроля за внедрением IP-технологий       

       34. Департамент   информатизации   осуществляет   контроль   за
внедрением  IP-технологий  в  администрации  и органах власти в части,
касающейся общих вопросов информатизации и связи, с  целью  реализации
единой политики в сфере информатизации и развития телекоммуникационных
технологий.
       35. Комитет компьютерных  технологий  осуществляет  контроль  в
администрации  и  органах  власти за внедрением IP-технологий в части,
касающейся защиты информации, с целью  исключения  возможности  утечки
охраняемых сведений.



       ПРИЛОЖЕНИЕ
       к Положению о порядке внедрения и
       эксплуатации IP-технологий передачи
       информации в администрации
       Губернатора Новосибирской области
       и Правительства Новосибирской
       области и исполнительных органах
       государственной власти
       Новосибирской области


                               ЖУРНАЛ
    инструктажа сотрудников по работе с техническими средствами
            IP-технологий и средствами защиты информации

  ________________________________________________________________
             (наименование органа власти, организации)

|————|———————————————————|———————————————|———————|———————————————|——————————————|
| N  |   Наименование    |      ФИО      | Дата  |    Подпись    |   Подпись    |
| п/ |   технического    |  инструкти-   |       |  инструкти-   |  инструкти-  |
| п  |     средства      |    руемого    |       |    руемого    |   рующего    |
|    |   или средства    |               |       |               |              |
|    |      защиты       |               |       |               |              |
|    |    информации     |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|
|    |                   |               |       |               |              |
|————|———————————————————|———————————————|———————|———————————————|——————————————|