Расширенный поиск

Постановление Губернатора Костромской области от 06.02.2012 № 25

 
 
 
 
                    ГУБЕРНАТОР КОСТРОМСКОЙ ОБЛАСТИ                    
 
 
                      П О С Т А Н О В Л Е Н И Е                       
 
 
                      от 6 февраля 2012 г. N 25                       
 
 
 
 
  Об организации работы с персональными данными, обработке и защите   
   конфиденциальной информации в автоматизированных информационных    
              системах администрации Костромской области              
 
       (В редакции Постановления Губернатора Костромской области      
                         от 04.06.2015 № 101)                         
 
    В  соответствии  с   Трудовым   кодексом   Российской   Федерации,
Федеральным  законом  от  27  июля  2006 года № 152-ФЗ «О персональных
данных», Федеральным законом  от  27  июля  2006  года    149-ФЗ  «Об
информации,   информационных   технологиях  и  о  защите  информации»,
Федеральным законом от 27 июля 2004 года №  79-ФЗ  «О  государственной
гражданской службе Российской Федерации», Указом Президента Российской
Федерации от 30 мая 2005  года    609  «Об  утверждении  Положения  о
персональных данных государственного гражданского служащего Российской
Федерации и ведении его личного  дела»,  постановлением  Правительства
Российской  Федерации  от 1 ноября 2012 года  № 1119 «Об  утверждении 
требований   к защите     персональных    данных при их   обработке в 
информационных    системах                персональных        данных»,
постановлением Правительства Российской Федерации от 15 сентября  2008
года    687  «Об  утверждении  Положения  об  особенностях  обработки
персональных  данных,   осуществляемой   без   использования   средств
автоматизации»  ПОСТАНОВЛЯЮ:    редакции  Постановления  Губернатора
Костромской области от 04.06.2015 № 101)
    1. Утвердить:
    1) Положение об  организации  работы  с  персональными  данными  в
администрации Костромской области (приложение № 1);
    2) Положение об обработке и защите конфиденциальной  информации  в
автоматизированных  информационных  системах администрации Костромской
области (приложение № 2).
    2. Настоящее постановление вступает в силу со дня его официального
опубликования.
 
 
                                                    Губернатор области
                                                            И. Слюняев
 
 
                                                        Приложение № 1
                                                            Утверждено
                                            постановлением губернатора
                                                   Костромской области
                                          от «06» февраля 2012 г. № 25
 
 
                              Положение                               
            об организации работы с персональными данными             
                  в администрации Костромской области                 
 
       (В редакции Постановления Губернатора Костромской области      
                         от 04.06.2015 № 101)                         
 
                       Глава 1. Общие положения                       
 
     1. Настоящее Положение  об  организации  работы  с  персональными
данными  в  администрации  Костромской  области  (далее    Положение)
разработано в соответствии с Трудовым кодексом Российской   Федерации,
Федеральным  законом  от  27 июля 2004 года № 79-ФЗ «О государственной
гражданской службе Российской Федерации» (далее – Федеральный закон «О
государственной    гражданской    службе    Российской    Федерации»),
Федеральным законом от 27 июля 2006  года    152-ФЗ  «О  персональных
данных»  (далее    Федеральный закон «О персональных данных»), Указом
Президента Российской Федерации  от  30  мая  2005  года     609  «Об
утверждении   Положения   о   персональных   данных   государственного
гражданского служащего Российской  Федерации  и  ведении  его  личного
дела»  (далее – Указ) с целью обеспечения защиты персональных данных в
администрации Костромской  области  от  несанкционированного  доступа,
неправомерного их использования или утраты.
     2.   Настоящим   Положением   определяется   порядок   получения,
обработки,   хранения,   передачи   и   любого  другого  использования
персональных  данных   лиц,   замещающих   государственные   должности
Костромской    области    в    администрации    Костромской   области;
государственных   гражданских    служащих    аппарата    администрации
Костромской     области;    руководителей    исполнительных    органов
государственной власти Костромской области;  работников  администрации
Костромской  области,  замещающих должности, не являющиеся должностями
государственной гражданской службы Костромской области;  руководителей
подведомственных   организаций   администрации   Костромской  области;
помощников членов Совета Федерации и  депутатов  Государственной  Думы
Федерального  Собрания  Российской Федерации; граждан, претендующих на
замещение государственных должностей Костромской  области,  должностей
государственной   гражданской   службы   Костромской   области,   глав
муниципальных образований (администраций), должностей руководителей  в
государственных   учреждениях   Костромской  области,  государственных
предприятиях  Костромской  области,  хозяйственных  обществах,   акции
(доли) которых находятся в собственности Костромской области; граждан,
выполняющих  работы   по   гражданско-правовым   договорам,   граждан,
представленных  к  награждению  государственными наградами и наградами
области (далее – субъекты), а также формирования, ведения  и  хранения
их  личных  дел    случае,  когда  оно  ведется)  и иных материалов,
содержащих их персональные данные, в администрации Костромской области
(далее – оператор).
     3. В настоящем  Положении  используются  термины  и  определения,
установленные в Федеральном законе «О персональных данных».
     4. Губернатор Костромской     области,   заместитель губернатора 
Костромской области,    координирующий    работу  по вопросам развития
Информационных технологий,    руководитель    аппарата   администрации
Костромской области, начальник  управления   информатизации   и связи 
администрации     Костромской      области,   начальник    управления 
государственной        службы          и    кадровой            работы
администрации  Костромской  области  обеспечивают  защиту персональных
данных  субъектов  от  неправомерного  их использования или утраты. 
редакции     Постановления     Губернатора     Костромской     области
от 04.06.2015 № 101)
     5. Губернатор Костромской области определяет лиц,  уполномоченных
на  обработку  персональных данных субъектов, обеспечивающих обработку
персональных данных в соответствии с требованиями федеральных законов,
других  нормативных  правовых  актов  Российской  Федерации  и несущих
ответственность  в   соответствии   с   законодательством   Российской
Федерации за нарушение режима защиты этих персональных данных.
 
        Глава 2. Условия сбора и обработки персональных данных        
 
     6.  Обработка  персональных  данных  осуществляется  с   согласия
субъекта,   за   исключением   случаев,  предусмотренных  федеральными
законами.
     Согласие на обработку персональных  данных  может  быть  отозвано
субъектом.
     7. Персональные данные  следует  получать  лично  у  субъекта.  В
случае  возникновения  необходимости  получения  персональных данных у
третьей стороны следует известить об этом субъекта  заранее,  получить
его  письменное  согласие  и  сообщить  ему  о  целях,  предполагаемых
источниках  и  способах  получения  персональных  данных,  а  также  о
характере  подлежащих  получению  персональных  данных  и последствиях
отказа субъекта дать письменное согласие на их получение.
     8. Не допускается обработка  специальных  категорий  персональных
данных  субъектов,  касающихся  расовой,  национальной принадлежности,
политических  взглядов,   религиозных   или   философских   убеждений,
состояния   здоровья,   интимной   жизни,   за   исключением  случаев,
предусмотренных федеральными законами.
     9. Оператор не имеет права получать и  обрабатывать  персональные
данные   субъекта   о   его   членстве  в  общественных  объединениях,
религиозных  организациях  или  его   профсоюзной   деятельности,   за
исключением случаев, предусмотренных федеральными законами.
     10.  При  принятии  решений,  затрагивающих  интересы   субъекта,
запрещается  основываться  на персональных данных субъекта, полученных
исключительно в  результате  их  автоматизированной  обработки  или  с
использованием электронных носителей.
 
 Глава 3. Хранение  персональных данных, доступ к персональным данным 
 
     11. Хранение персональных данных должно осуществляться  в  форме,
позволяющей  определить субъекта, не дольше, чем этого требуют цели их
обработки; они подлежат уничтожению по достижении целей обработки  или
в случае утраты необходимости в их достижении.
     12. Хранение персональных данных должно  происходить  в  порядке,
исключающем их утрату или их неправомерное использование.
     13. Доступ к  персональным  данным  без  специального  разрешения
имеют следующие лица:
     лица,  замещающие  государственные  должности   в   администрации
Костромской области;
    управляющий  делами администрации Костромской области; (В редакции
Постановления Губернатора Костромской области от 04.06.2015 № 101)
    заместитель управляющего делами администрации Костромской области;
   редакции   Постановления       Губернатора   Костромской  области
от 04.06.2015 № 101)
     руководители  структурных  подразделений  аппарата  администрации
Костромской  области  -  в  отношении  персональных данных гражданских
служащих соответствующего структурного подразделения  и  при  переводе
из  одного  структурного подразделения в другое, доступ к персональным
данным субъекта может иметь руководитель подразделения, в  которое  он
переведен;
     лица, уполномоченные на обработку персональных данных субъектов;
     сам субъект в отношении своих персональных данных.
     14. При получении персональных данных субъектов лица, указанные в
пункте  13  настоящей  главы,  должны  иметь  право получать только те
персональные  данные  субъекта,  которые  необходимы  для   выполнения
конкретных задач и функций.
                                                                      
      Глава 4. Работа с персональными данными,  хранящимися в личных  
                  делах и личных карточках субъектов                  
                                                                      
     15. Формирование, ведение и  хранение  личных  дел  субъектов,  а
также хранение личных дел субъектов, уволенных с замещаемой должности,
осуществляются управлением государственной   службы и кадровой работы 
администрации    Костромской   области    в    порядке,   определенном
Положением  о  персональных   данных   государственного   гражданского
служащего   Российской   Федерации   и   ведении   его  личного  дела,
утвержденным Указом. (В редакции Постановления Губернатора Костромской
области от 04.06.2015 № 101)
     16.  В  соответствии  со  статьей  43  Федерального   закона   «О
государственной  гражданской  службе Российской Федерации» сведения из
личного дела гражданского служащего включаются  в  реестр  гражданских
служащих  администрации  Костромской области и хранятся на электронных
носителях с обеспечением  защиты  от  несанкционированного  доступа  и
копирования.
     17. Формирование, ведение и хранение  личных  карточек  субъектов
(форма    Т-2,  форма  № Т-2ГС (МС), а также хранение личных карточек
субъектов,  уволенных  из   администрации   Костромской   области,   с
дальнейшей   их   передачей   в   архив   осуществляются   управлением
государственной службы  и   кадровой работы администрации Костромской 
области      в    соответствии  с  указаниями         по  применению и
заполнению форм первичной учетной документации по учету  труда  и  его
оплаты,  утвержденными  постановлением  Госкомстата России от 5 января
2004 года № 1 «Об утверждении унифицированных форм  первичной  учетной
документации  по  учету труда и его оплаты». (В редакции Постановления
Губернатора Костромской области от 04.06.2015 № 101)
     18. Персональные данные, внесенные в личные дела субъектов,  иные
сведения,  содержащиеся  в  личных  карточках  субъектов,  относятся к
сведениям конфиденциального  характера,  а  в  случаях,  установленных
федеральными законами и иными нормативными правовыми актами Российской
Федерации, - к сведениям, составляющим государственную тайну.
 
         Глава 5. Общедоступные источники персональных данных         
 
     19.  В  целях   информационного   обеспечения   в   администрации
Костромской   области   могут   создаваться   общедоступные  источники
персональных данных (в  том  числе  справочники,  адресные  книги).  В
общедоступные  источники  персональных  данных  с письменного согласия
субъекта могут включаться его фамилия,  имя,  отчество,  год  и  место
рождения,  адрес,  абонентский  номер,  сведения  о  профессии  и иные
персональные данные, сообщаемые субъектом.
     Сведения о субъекте  должны  быть  в  любое  время  исключены  из
общедоступных  источников  персональных  данных по требованию субъекта
либо по решению суда или иных уполномоченных государственных органов.
     20.  Формирование,  ведение  и   иные   действия   (операции)   с
персональными   данными,  включая  сбор,  систематизацию,  накопление,
хранение,   уточнение    (обновление,    изменение),    использование,
распространение    том числе передачу), обезличивание, блокирование,
уничтожение  персональных   данных,   содержащихся   в   общедоступных
источниках,   а   также  получение  письменного  согласия  субъекта  в
администрации   Костромской   области    осуществляются    управлением
государственной службы и  кадровой   работы администрации Костромской 
области, а  при    их     обработке     с    использованием    средств
автоматизации - во взаимодействии с управлением информатизации и связи
администрации   Костромской   области,   осуществляющим    обеспечение
деятельности    администрации    Костромской    области    в   области
информационных   технологий   и   связи.     редакции  Постановления
Губернатора Костромской области от 04.06.2015 № 101)
 
           Глава 6. Передача персональных данных субъектов            
 
     21. Передача  персональных  данных  субъекта  возможна  только  с
письменного согласия субъекта, за исключением случаев, предусмотренных
федеральными законами.
     22. При передаче персональных  данных  субъекта  оператор  должен
соблюдать следующие требования:
     1) не сообщать персональные данные субъекта третьей  стороне  без
письменного  согласия  субъекта, за исключением случаев, установленных
федеральными законами;
     2) не сообщать персональные данные субъекта в коммерческих  целях
без его письменного согласия;
     3) не запрашивать информацию о состоянии  здоровья  субъекта,  за
исключением  тех  сведений,  которые относятся к вопросу о возможности
выполнения им трудовых функций;
     4) предупредить лиц, получающих персональные данные  субъекта,  о
том,  что эти данные могут быть использованы лишь в целях, для которых
они сообщены, и требовать от этих  лиц  подтверждения  того,  что  это
правило  соблюдено.  Лица,  получающие  персональные  данные субъекта,
обязаны соблюдать режим секретности (конфиденциальности);
     5)  передавать  персональные   данные   субъекта   представителям
субъекта   в   порядке,  установленном  Трудовым  кодексом  Российской
Федерации, и ограничивать эту  информацию  только  теми  персональными
данными   субъекта,   которые  необходимы  для  выполнения  указанными
представителями их функций.
     23.  Персональные  данные  субъектов   могут   представляться   в
следующие    государственные    и   негосударственные   функциональные
структуры:
     налоговые инспекции;
     правоохранительные органы;
     органы статистики;
     страховые агентства;
     военкоматы;
     органы социального страхования;
     пенсионные фонды и иные организации, предусмотренные  федеральным
законодательством.
     24. Сведения о  субъекте    том  числе  уволенном)  могут  быть
представлены другой организации только с письменного запроса на бланке
организации с приложением копии заявления самого субъекта.
     25.  Персональные  данные  субъекта   могут   быть   представлены
родственникам  или  членам  его  семьи только с письменного разрешения
самого субъекта.
     26. Не  допускается  сообщать  персональные  данные  субъекта  по
телефону или факсу.
 
     Глава 7. Права субъектов в целях защиты персональных данных      
 
     27. Субъект имеет право:
     1) получать полную  информацию  о  своих  персональных  данных  и
обработке этих данных;
     2) осуществлять свободный бесплатный доступ к своим  персональным
данным,   включая   право  получать  копии  любой  записи,  содержащей
персональные данные  должностного  лица,  гражданского  служащего,  за
исключением    случаев,   предусмотренных   Федеральным   законом   «О
персональных данных»;
     3) требовать от оператора уточнения своих персональных данных, их
блокирования  или  уничтожения  в  случае,  если  персональные  данные
являются неполными, устаревшими, недостоверными, незаконно полученными
или  не  являются  необходимыми для заявленной цели обработки, а также
принимать предусмотренные Федеральным законом «О персональных  данных»
меры по защите своих прав;
     4) требовать исключения или  исправления  неверных  или  неполных
персональных   данных,  а  также  данных,  обработанных  с  нарушением
федеральных  законов  «О  персональных  данных»,  «О   государственной
гражданской службе Российской Федерации». Субъект при отказе оператора
исключить или исправить его персональные данные имеет право заявить  в
письменной    форме    оператору   о   своем   несогласии,   обосновав
соответствующим  образом   такое   несогласие.   Персональные   данные
оценочного   характера   субъект  имеет  право  дополнить  заявлением,
выражающим его собственную точку зрения;
     5) требовать от оператора уведомления  всех  лиц,  которым  ранее
были  сообщены  неверные или неполные их персональные данные, обо всех
произведенных в них изменениях или исключениях из них;
     6) обжаловать действия или бездействие оператора в уполномоченный
орган  по  защите  прав субъектов или в судебном порядке, если субъект
считает, что оператор осуществляет обработку его персональных данных с
нарушением  требований Федерального закона «О персональных данных» или
иным образом нарушает его права и свободы.
 
              Глава 8. Обязанности субъекта и оператора               
 
     28. Субъект обязан:
     1) представить оператору полные и достоверные сведения;
     2) в случае изменения сведений,  содержащих  персональные  данные
субъектов   (фамилия,   имя,   отчество,   адрес,  абонентский  номер,
паспортные  данные,  сведения  об  образовании,  семейном   положении,
состоянии  здоровья  (при  выявлении  противопоказаний  для выполнения
служебных обязанностей, обусловленных служебным  контрактом),  субъект
обязан  в  течение  пяти  рабочих  дней  сообщить о таких изменениях в
управлении   государственной   службы и кадровой работы администрации 
Костромской области.
     29. Оператор обязан:
     1) осуществлять обработку  персональных  данных  исключительно  в
целях  обеспечения  соблюдения  законов  и  иных  нормативных правовых
актов, содействия в трудоустройстве, обучения и продвижения по службе,
обеспечения   личной  безопасности,  контроля  качества  и  количества
выполняемой работы и обеспечения сохранности имущества;
     2) получать  согласие  субъекта  на  обработку  его  персональных
данных,  оформленного  в соответствии со статьей 9 Федерального закона
«О персональных данных»;
     3) обеспечить сохранность персональных данных субъекта;
     4)  обеспечить  конфиденциальность   сведений,   содержащихся   в
персональных  данных субъекта, в соответствии с Федеральным законом «О
государственной  гражданской  службе  Российской  Федерации»,  другими
федеральными  законами, иными нормативными правовыми актами Российской
Федерации;
     5) представлять сведения о доходах,  имуществе  и  обязательствах
имущественного  характера  субъекта для опубликования общероссийским и
региональным средствами массовой информации по их обращениям;
     6) приобщать к  личным  делам  субъекта  документы,  указанные  в
пунктах  16  и  17  Положения  о  персональных данных государственного
гражданского служащего Российской  Федерации  и  ведении  его  личного
дела, утвержденного Указом;
     7) знакомить субъекта с документами  его  личного  дела  не  реже
одного раза в год, а также по просьбе субъекта и во всех иных случаях,
предусмотренных законодательством Российской Федерации;
     8) в срок, не превышающий семи рабочих дней со дня  представления
субъектом   или   его  представителем  сведений,  подтверждающих,  что
персональные данные являются неполными, неточными  или  неактуальными,
оператор обязан внести в них необходимые изменения.
 
             Глава 9. Ответственность за нарушение норм,              
              регулирующих обработку персональных данных              
 
    30.  Лица,  виновные  в  нарушении  норм,  регулирующих  обработку
персональных   данных,   несут   дисциплинарную,  гражданско-правовую,
административную  или  уголовную  ответственность  в  соответствии   с
законодательством Российской Федерации.
 
 
                                                        Приложение № 2
                                                            Утверждено
                                            постановлением губернатора
                                                   Костромской области
                                          от «06» февраля 2012 г. № 25
 
 
                              Положение                               
          об обработке и защите конфиденциальной информации           
             в автоматизированных информационных системах             
                  администрации Костромской области                   
 
       (В редакции Постановления Губернатора Костромской области      
                         от 04.06.2015 № 101)                         
 
                       Глава 1. Общие положения                       
 
     1. Настоящее Положение об  обработке  и  защите  конфиденциальной
информации  в автоматизированных информационных системах администрации
Костромской области (далее - Положение) разработано в  соответствии  с
Федеральным  законом  от  27  июля  2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите информации», Федеральным законом
от  27  июля  2006  года № 152-ФЗ «О персональных данных»,Специальными
требованиями  и  рекомендациями по технической защите конфиденциальной
информации    (СТР-К)»,    утвержденными    приказом   Государственной
технической  комиссии  Российской  Федерации от 30 августа 2002 года №
282,  национальным стандартом Российской Федерации «Защита информации.
Основные  термины  и  определения.  ГОСТ  Р  50922-2006», утвержденным
приказом   Федерального  агентства  по  техническому  регулированию  и
метрологии  от  27  декабря  2006 года № 373-ст, приказами Федеральной
службы  по техническому и экспортному контролю Российской Федерации от
11  февраля  2013  года    17  «Об  утверждении  Требований  о защите
информации,  не  составляющей  государственную  тайну,  содержащейся в
государственных информационных системах», от 18 февраля 2013 года № 21
«Об утверждении Состава и содержания организационных и технических мер
по  обеспечению  безопасности  персональных  данных при их обработке в
информационных    системах    персональных    данных»      редакции
Постановления Губернатора Костромской области от 04.06.2015 № 101)
     2.  Настоящее  Положение  определяет  цели  обработки  и   защиты
конфиденциальной    информации,    объекты   защиты   конфиденциальной
информации,    организационную    систему    обработки    и     защиты
конфиденциальной   информации,  в  том  числе  персональных  данных  в
автоматизированных информационных системах  администрации  Костромской
области,   основные   направления  и  методы  защиты  конфиденциальной
информации в автоматизированных информационных системах  администрации
Костромской  области,  обязанности  и  ответственность пользователей и
должностных  лиц   при   обработке   конфиденциальной   информации   в
автоматизированных  информационных  системах администрации Костромской
области,  а  также  ответственность  за  разглашение  конфиденциальной
информации.
     3. Настоящее Положение  не  распространяется  на  вопросы  защиты
информации, содержащей государственную тайну.
     4. В Положении используются термины и определения,  установленные
в актах, указанных в пункте 1 настоящего Положения.
 
     Глава 2. Цели обработки и защиты конфиденциальной информации     
 
     5.  Основной  целью  обработки  конфиденциальной   информации   в
автоматизированных  информационных  системах администрации Костромской
области является  повышение  эффективности  исполнения  администрацией
Костромской области установленных законодательством полномочий.
     6.  Основными  целями  защиты   конфиденциальной   информации   в
автоматизированных  информационных  системах администрации Костромской
области являются:
     1)     предотвращение      неконтролируемого      распространения
конфиденциальной  информации  в результате ее разглашения сотрудниками
или получения несанкционированного доступа к информации;
     2) предотвращение  несанкционированного  уничтожения,  искажения,
копирования, блокирования информации;
     3) предотвращение  утрат,  несанкционированного  уничтожения  или
сбоев  функционирования  машинных  носителей  информации,  обеспечение
полноты, целостности, достоверности информации;
     4) соблюдение правового режима  использования  автоматизированных
информационных систем администрации Костромской области;
     5)   обеспечение   возможности    обработки    и    использования
конфиденциальной  информации  сотрудниками  администрации  Костромской
области, имеющими соответствующие полномочия.
 
         Глава 3. Объекты защиты конфиденциальной информации          
 
     7. Объектами защиты конфиденциальной информации в  информационных
системах  администрации  Костромской  области являются: информация, ее
материальные носители, программные и технические  средства  обработки,
передачи и защиты информации (далее - Активы).
     8. Защите подлежат следующие Активы:
     1) информационные  ресурсы,  содержащие  сведения,  отнесенные  к
категории  информации  конфиденциального  характера,  представленные в
виде отдельных  документов,  информационных  массивов  и  баз  данных,
зафиксированных на машинных носителях;
     2)  основные  технические  средства  и   системы   информатизации
(средства    вычислительной    техники,   информационно-вычислительные
комплексы,  сети  и  системы),  программные   средства   (операционные
системы,  системы  управления  базами  данных,  другое общесистемное и
программное обеспечение), телекоммуникационные  системы,  используемые
для обработки и передачи информации, содержащей сведения, отнесенные к
конфиденциальной информации;
     3)   вспомогательные   технические   средства   и   системы,   не
обрабатывающие   информацию,   но   размещенные   в   помещениях,  где
обрабатывается   информация,   содержащая   сведения,   отнесенные   к
конфиденциальной информации.
 
              Глава 4. Организационная система обработки              
                 и защиты конфиденциальной информации                 
 
     9. Организационную систему обработки  и  защиты  конфиденциальной
информации  в автоматизированных информационных системах администрации
Костромской области образуют:
     1)  губернатор   Костромской   области   -   осуществляет   общее
руководство по вопросам обработки и защиты конфиденциальной информации
в    автоматизированных    информационных    системах    администрации
Костромской области;
     2)  должностное  лицо,  определяемое   губернатором   Костромской
области,  курирующее  вопросы  по  защите  информации,  - осуществляет
распорядительные функции по организации работ по  обработке  и  защите
конфиденциальной   информации   в   автоматизированных  информационных
системах  администрации   Костромской   области,   взаимодействует   с
надзорными   органами   по   общим   вопросам   обработки   и   защиты
конфиденциальной информации в администрации Костромской области;
     3) руководители структурных подразделений аппарата  администрации
Костромской области, в которых производится обработка конфиденциальной
информации,    организуют  обработку  конфиденциальной  информации  в
своем структурном подразделении;
     4) управление информатизации и  связи  администрации  Костромской
области  -  организует  работу  по технической защите конфиденциальной
информации в автоматизированных информационных системах  администрации
Костромской  области,  производит оценку эффективности применяемых мер
технической защиты конфиденциальной  информации  в  автоматизированных
информационных системах администрации Костромской области;
     5) пользователи (потребители) информации (далее - Пользователи) –
сотрудники    структурных    подразделений    аппарата   администрации
Костромской области, наделенные соответствующими правами по доступу  к
конфиденциальной   информации   и   непосредственно  использующие  эту
информацию  для  исполнения   своих   должностных   обязанностей   или
выполняющие  непосредственные действия по вводу, хранению, обработке и
передаче конфиденциальной информации;
     6) технические специалисты -  сотрудники  сторонних  организаций,
привлекаемые   к   работам  в  администрации  Костромской  области  на
основании   договоров,   осуществляющие   технические   действия    по
эксплуатации   средств  вычислительной  техники  и  автоматизированных
информационных систем администрации Костромской области.
     10. Для проведения работ по защите конфиденциальной информации  в
автоматизированных  информационных  системах администрации Костромской
области могут привлекаться  на  договорной  основе  специализированные
организации,  имеющие  соответствующие  лицензии  на  право проведения
работ в области защиты информации.
                                                                      
      Глава 5. Основные направления и методы защиты конфиденциальной  
                              информации                              
                                                                      
    11.  Основными  направлениями  работ  по  защите  конфиденциальной
информации являются:
     1)  физическая  защита  помещений,   в   которых   обрабатывается
конфиденциальная информация, от проникновения посторонних лиц;
     2) физическая защита Активов от хищения, разрушения, уничтожения;
     3) защита  от  несанкционированного  доступа  к  конфиденциальной
информации, несанкционированного или непреднамеренного воздействия;
     4)  защита  от  преднамеренных  или   непреднамеренных   действий
Пользователей,   ведущих   к   утечке   или   утрате  конфиденциальной
информации.
     12. Мероприятия по защите конфиденциальной информации включают  в
себя        организационно-распорядительные,       технические       и
контрольно-корректирующие.
     13.   Организационно-распорядительные   мероприятия   по   защите
конфиденциальной информации включают в себя:
     1)  разработку  организационно-распорядительных   документов   по
защите конфиденциальной информации;
     2) ограничение числа лиц, допущенных к обработке конфиденциальной
информации;
     3) организацию контролируемой  зоны,  размещение  объекта  защиты
внутри  контролируемой  зоны  на  максимально возможном удалении от ее
границ,  ограничение  доступа   лиц,   не   допущенных   к   обработке
конфиденциальной информации, внутрь контролируемой зоны;
     4) размещение дисплеев и других средств отображения,  исключающее
несанкционированный просмотр информации;
     5) документальное оформление перечня  сведений  конфиденциального
характера,    Реестра    автоматизированных    информационных   систем
администрации  Костромской  области,  обрабатывающих  конфиденциальную
информацию;
     6) инвентаризацию, учет и надежное хранение  Активов,  содержащих
конфиденциальную   информацию  или  посредством  которых  производится
обработка конфиденциальной информации;
     7)    классификацию    и    категорирование    автоматизированных
информационных     систем     администрации    Костромской    области,
обрабатывающих  конфиденциальную  информацию,  исходя  из   требований
законодательства   и   критичности  для  обеспечения  государственного
управления, в  необходимых  случаях  -  аттестацию  автоматизированных
информационных систем администрации Костромской области;
     8)    выявление    угроз    несанкционированного    доступа     к
конфиденциальной  информации,  разработку мероприятий по нейтрализации
угроз;
     9)  организацию  и   соблюдение   правил   парольной   защиты   в
автоматизированных  информационных  системах администрации Костромской
области;
     10) повышение квалификации, совершенствование  знаний  и  навыков
Пользователей в вопросах защиты конфиденциальной информации;
     11) дисциплинарную практику.
     14. Мероприятия по технической защите информации включают в себя:
     1) организацию физической защиты помещений и технических  средств
обработки   информации   с   использованием   организационных   мер  и
технических   средств   охраны,   предотвращающих   или    существенно
затрудняющих   проникновение  в  здания,  помещения  посторонних  лиц,
хищение   документов   и   носителей   информации,    самих    средств
информатизации;
     2) сегментацию локальных  вычислительных  сетей  в  администрации
Костромской  области,  применение в сегментах локальных вычислительных
сетей,   в   которых   обрабатывается   конфиденциальная   информация,
технических  средств  защиты  информации,  соответствующих  требуемому
классу защиты;
     3)  техническую   реализацию   системы   парольной   защиты   для
автоматизированных  информационных  систем  администрации  Костромской
области, в которой обрабатывается конфиденциальная информация;
     4) использование сертифицированных средств  защиты  информации  в
автоматизированных  информационных  системах администрации Костромской
области  при  передаче  информации  по  открытым   каналам   связи   в
соответствии с установленными законодательством требованиями;
     5) регистрацию действий Пользователей, технических  специалистов,
контроль   несанкционированного   доступа  и  действий  Пользователей,
технических специалистов и посторонних лиц;
     6) использование защищенных каналов связи, реализацию  технологии
частных   виртуальных   сетей   в  корпоративной  вычислительной  сети
администрации Костромской области;
     7)   реализацию   мероприятий   по    антивирусной    защите    в
автоматизированных  информационных  системах администрации Костромской
области;
     8) реализацию системы резервного копирования информации.
     15.    Контрольно-корректирующие    мероприятия     по     защите
конфиденциальной информации включают в себя:
     1)  контроль  исполнения  законодательства   в   области   защиты
конфиденциальной информации;
     2)    контроль     исполнения     организационно-распорядительных
документов;
     3)  контроль  выполнения  мероприятий   по   технической   защите
информации, оценку эффективности выполнения мероприятий по технической
защите информации;
     4)  выработку  корректирующих  воздействий,   реализуемых   путем
издания   и  последующего  исполнения  организационно-распорядительных
документов;
     5) применение дисциплинарных мер.
     16.  Порядок  действий  по  реализации  мероприятий   по   защите
конфиденциальной  информации определяется инструкциями и регламентами,
разрабатываемыми  и  утверждаемыми  в  соответствии   с   принятым   в
администрации Костромской области порядком.
 
Глава 6. Обязанности и ответственность Пользователей и должностных лиц
          при обработке и защите конфиденциальной информации          
в автоматизированных информационных системах администрации Костромской
                               области                                
 
     17. Должностное лицо, курирующее вопросы  по  защите  информации,
утверждает   организационно-распорядительные   документы   по   защите
информации.
     18.   Руководители   структурных   подразделений,    в    которых
производится обработка конфиденциальной информации:
     1)    несут    ответственность    за    организацию     обработки
конфиденциальной информации в своем структурном подразделении;
     2) вносят предложения по включению  в  Реестр  автоматизированных
информационных    систем    обработки    конфиденциальной   информации
администрации   Костромской   области,   изменению   или    исключению
соответствующих сведений в реестре;
     3)  вносят  предложения  и  изменения   в   списки   сотрудников,
допускаемых к работе с конфиденциальной информацией, в эксплуатируемых
автоматизированных информационных системах  администрации  Костромской
области;
     4)  обеспечивают  выполнение   организационных   мероприятий   по
обеспечению защиты конфиденциальной информации;
     5) несут  ответственность  за  соблюдение  требований  по  защите
конфиденциальной    информации    пользователями   своих   структурных
подразделений и принимают  меры  по  фактам  нарушений  требований  по
защите   конфиденциальной   информации,  разглашения  конфиденциальной
информации или утери документов, содержащих такую информацию;
     6)  несут   ответственность   за   своевременное   информирование
администратора информационной безопасности о необходимости уничтожения
конфиденциальной   информации   с    жестких    дисков    персональных
компьютеров,   передаваемых   в   ремонт   или  в  другие  структурные
подразделения и исполнительные органы государственной власти;
     7)    несут ответственность за выполнение  Пользователями  своего
структурного   подразделения   общих  правил  работы  на  персональных
компьютерах   и   в   локальных   вычислительных  сетях  администрации
Костромской  области,  при  передаче  информации  по   каналам связи с
использованием   сертифицированных  средств  криптографической  защиты
информации,          при         организации         доступа         в
информационно-телекоммуникационную    сеть    «Интернет»,   соблюдение
Пользователями условий хранения средств технической защиты информации;
    редакции    Постановления    Губернатора   Костромской   области
от 04.06.2015 № 101)
     8)  определяют  порядок  передачи  информации   конфиденциального
характера  другим  структурным  подразделениям  аппарата администрации
Костромской области,  исполнительным  органам  государственной  власти
Костромской  области, муниципальным образованиям Костромской области и
сторонним организациям;
     9)  несут  ответственность  за  характер  исходящей   информации,
направляемой  пользователями  по электронной почте другим адресатам, и
принятие оперативных мер  к  соблюдению  установленных  требований  по
защите конфиденциальной информации.
     19. Управление информатизации и связи  администрации  Костромской
области:
     1) организует ведение реестра  автоматизированных  информационных
систем  администрации  Костромской  области,  в которых осуществляется
обработка конфиденциальной информации;
     2)   назначает   администратора    информационной    безопасности
администрации Костромской области;
     3) организует и  обеспечивает  исполнение  работ  по  технической
защите конфиденциальной информации в автоматизированных информационных
системах администрации Костромской области;
     4)  осуществляет  контроль  состояния   защиты   конфиденциальной
информации   и   производит   оценку   эффективности  применяемых  мер
технической  защиты  информации  в  автоматизированных  информационных
системах администрации Костромской области;
     5)  осуществляет  разработку  проектов  планов   мероприятий   по
организации    системы    защиты   информации   в   автоматизированных
информационных системах администрации Костромской области, участвует в
их исполнении;
     6) представляет отчеты о состоянии системы  защиты  информации  в
автоматизированных  информационных  системах администрации Костромской
области;
     7)    разрабатывает    проекты    организационно-распорядительных
документов по вопросам обработки и технической защиты конфиденциальной
информации в автоматизированных информационных системах  администрации
Костромской области;
     8) разрабатывает предложения по совершенствованию системы  защиты
информации в администрации Костромской области;
     9)  курирует  исполнение  мероприятий  по  защите  информации   в
исполнительных органах государственной власти Костромской области.
     20. Пользователи:
     1)   участвуют   в   обработке    конфиденциальной    информации,
осуществляют  непосредственные  действия  по  регистрации информации в
автоматизированных информационных системах  администрации  Костромской
области,  ее  обработке, передаче по сетям передачи данных, применению
сертифицированных средств защиты информации;
     2)    используют    информацию,    документы,    полученные    из
автоматизированных  информационных  систем  администрации  Костромской
области, в своей работе с целью реализации возложенных на них функций;
     3) применяют (в необходимых случаях)  сертифицированные  средства
защиты информации;
     4) несут  персональную  ответственность  за  передачу  или  утерю
носителей   конфиденциальной   информации,   а  также  средств  защиты
информации.
 
 Глава 7. Ответственность за разглашение конфиденциальной информации  
 
     21.  За  разглашение  информации   конфиденциального   характера,
нарушение  порядка  обращения  с  документами  и  машинными носителями
информации, содержащими такую информацию, а  также  за  нарушение  или
неисполнение   требований   режима   защиты,   обработки   и   порядка
использования  этой  информации  сотрудник  может  быть  привлечен   к
дисциплинарной,  гражданско-правовой,  административной  или уголовной
ответственности,   предусмотренной    действующим    законодательством
Российской Федерации.
 


Информация по документу
Читайте также