Расширенный поиск
постановление Администрации города Курска Курской области от 16.07.2012 № 2507

 



                    АДМИНИСТРАЦИЯ ГОРОДА КУРСКА
                          КУРСКОЙ ОБЛАСТИ

                           ПОСТАНОВЛЕНИЕ

                     от 16 июля 2012 г. N 2507

            Об обеспечении информационной безопасности
                   в Администрации города Курска
     
     В целях реализации Федеральных законов от 27.07.2006 N  149-ФЗ
"Об информации, информационных технологиях и о защите  информации",
от 27.07.2006 N 152-ФЗ "О персональных данных" постановляю:
     1. Утвердить   Положение    об   обеспечении    информационной
безопасности в  Администрации города Курска  согласно приложению  к
настоящему постановлению.
     2. Постановление вступает в силу со дня его подписания.
     
                                                Глава Администрации
                                                      города Курска
                                                        Н.И.ОВЧАРОВ
     
     
     
     
     
                                                         Утверждено
                                                     постановлением
                                        Администрации города Курска
                                          от 16 июля 2012 г. N 2507
     
                             ПОЛОЖЕНИЕ
            ОБ ОБЕСПЕЧЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
                   В АДМИНИСТРАЦИИ ГОРОДА КУРСКА
     
                        1. Общие положения
     
     1.1. Положение  об  обеспечении  информационной   безопасности
(далее - Положение) разработано с целью определения единого порядка
организации работы  по обеспечению безопасности  информации при  ее
обработке в Администрации города Курска.
     1.2. В  целях   обеспечения   информационной  безопасности   в
Администрации города  Курска  настоящим Положением  устанавливается
комплекс организационных и технических мер защиты.
     1.3. Положение    является   обязательным    для    исполнения
работниками Администрации города  Курска и распространяется на  все
режимы использования информации.
     1.4. Правовой    основой   настоящего    Положения    являются
Конституция Российской Федерации, Федеральный закон от 27.07.2006 N
149-ФЗ  "Об  информации,  информационных  технологиях  и  о  защите
информации",  Федеральный   закон   от  27.07.2006   N  152-ФЗ   "О
персональных  данных", другие  нормативные  правовые акты,  которые
определяют права и  обязанности граждан,  общества и государства  в
сфере информационных отношений.
     1.5. Администрация   города   Курска  организует   работу   по
обеспечению  безопасности  информации и  осуществляет  контроль  за
соблюдением требований безопасности информации.
     Реализацию комплекса   организационных   и   технических   мер
обеспечения   безопасности   информации   осуществляют    работники
Администрации   города   Курска,   уполномоченные   на    обработку
персональных  данных распоряжением  Администрации  города Курска  N
163-ра от 22.05.2012  "Об уполномоченных на обработку  персональных
данных в Администрации города Курска".
     
      2. Основные термины, используемые в настоящем Положении
     
     В Положении используются следующие термины:
     объект информатизации   -  комплекс   средств   автоматизации,
включающий в себя помещение с системами коммуникаций и  размещенное
в нем оборудование, используемое для обработки информации;
     автоматизированное рабочее место (далее - АРМ) - рабочее место
пользователя в  составе  персональной  электронной   вычислительной
машины (далее - ПЭВМ) и внешних устройств;
     обработка информационных  ресурсов  -  любое  действие  по  их
сбору, систематизации, накоплению, хранению, обновлению, изменению,
использованию, распространению, передаче и уничтожению;
     носители информации   -   гибкие  магнитные   диски,   съемные
накопители информации  или картриджи, съемные  пакеты дисков,  иные
магнитные, оптические или магнитооптические диски и тому  подобное,
а также  распечатки  текстовой, графической  и  иной информации  на
бумажной основе;
     несанкционированный доступ к информации - действия, нарушающие
установленный порядок    доступа   или    правила    разграничения,
установленные в Администрации города Курска;
     безопасность информации  -   защищенность  информации  от   ее
перехвата,  утечки  по  техническим и  иным  каналам,  модификации,
блокирования, уничтожения,  несанкционированного доступа  к ней,  а
также  защищенность  технических   и  программных  средств   сбора,
обработки,  накопления,  хранения, поиска  и  передачи  информации,
информационных  и  телекоммуникационных  систем  от  нарушения   их
функционирования или от вывода их из строя;
     операторы - работники Администрации  города Курска, которые  в
соответствии  с  устанавливаемым   порядком  осуществляют  ввод   и
обработку  введенных персональных  данных  и иной  конфиденциальной
информации,   а    также   работники,   осуществляющие    сервисное
обслуживание средств вычислительной техники, не обладающие допуском
к информационным  ресурсам, содержащим персональные  данные и  иную
конфиденциальную информацию;
     пользователь системы  (далее   -   пользователь)  -   субъект,
обращающийся к информационной системе с целью получения информации,
необходимой для исполнения своих должностных инструкций;
     средства защиты информации - совокупность организационных мер,
программно-технических комплексов,   предназначенных   для   защиты
информации.
     
      3. Цели обеспечения безопасности информации и основные
                     меры по защите информации
     
     3.1. Целями    обеспечения    безопасности    информации     в
Администрации города Курска являются:
     защита информации  в   условиях   возможного  случайного   или
преднамеренного  воздействия   на   информацию,  обрабатываемую   в
Администрации города Курска, либо при попытках несанкционированного
доступа к ней;
     обеспечение достоверности    информации,    передаваемой     в
Администрацию города Курска;
     сочетание защищенности информации с открытостью и доступностью
информации, содержащейся в информационных ресурсах, в  соответствии
с нормативными правовыми актами Российской Федерации;
     защита информации организационными  и  техническими мерами  от
несанкционированного доступа,  в том  числе и по  каналам связи,  а
также   от  воздействия   в   целях  уничтожения,   искажения   или
блокирования доступа к содержащимся сведениям;
     обеспечение прав  граждан  на  неразглашение  их  персональных
данных.
     3.2. Безопасность информации обеспечивается средствами  защиты
информации и комплексом организационных и технических мер.
     К организационным мерам относятся:
     ограничение доступа   в   помещения,  в   которых   происходит
обработка конфиденциальной информации;
     допуск к   конфиденциальной   информации   должностных    лиц,
определение порядка проведения работ на ПЭВМ;
     хранение магнитных носителей в прочно закрытых шкафах, сейфах,
ячейках;
     установка ПК и периферийных устройств вывода информации  таким
образом, чтобы исключить несанкционированное получение посторонними
лицами конфиденциальной информации по визуальному, акустическому  и
виброакустическим каналам;
     постоянное наблюдение за работой  принтера и других  устройств
вывода  конфиденциальной  (секретной)  информации  на  материальные
носители;
     назначение должностных  лиц,   ответственных  за   организацию
работы по обеспечению безопасности информации;
     планирование мероприятий,  проводимых   с  целью   обеспечения
безопасности информации;
     аттестация средств защиты в порядке, установленном федеральным
законодательством;
     исключение несанкционированного доступа к информации;
     применение утвержденной      в      установленном      порядке
эксплуатационной документации;
     организация и проведение  работ по  обеспечению сохранности  и
работоспособности ПЭВМ;
     соблюдение установленных   правил   обеспечения   безопасности
информации при работе с  программными и техническими средствами,  в
том числе со средствами защиты информации и антивирусной защиты,  а
также контроль за их функционированием.
     К техническим мерам относятся:
     предотвращение несанкционированного  доступа  внутрь   корпуса
ПЭВМ путем установления защитных наклеек;
     уничтожение всей информации на винчестере ПЭВМ при ее отправке
в ремонт с использованием средств низкоуровневого форматирования;
     организация питания  ПЭВМ  от  общей  (городской)  электросети
через стабилизатор напряжения (сетевой фильтр);
     отключение ПЭВМ от локальной сети или сети удаленного  доступа
при обработке  на ней конфиденциальной  информации, за  исключением
случая передачи этой информации по каналам ЛВС;
     применение сертифицированного   программного   обеспечения   и
лицензионных программных средств общего назначения;
     обеспечение подлинности и целостности информации;
     защита информации при  ее передаче  по информационным  каналам
связи.
     3.3. Средства  защиты  информации используются  с  соблюдением
следующих условий:
     каждый пользователь  наделяется  полномочиями  по  доступу   к
информационным ресурсам  в соответствии  со своими  функциональными
обязанностями;
     не допускается  несанкционированное  подключение ПЭВМ  к  сети
"Интернет";
     изменение конфигурации    ПЭВМ    производится    только     в
установленном порядке.
     
       4. Мероприятия по обеспечению безопасности информации
     
     4.1. Операторы  и  пользователи  информационных  систем  несут
персональную ответственность за  организацию и выполнение работ  по
защите информации, а  также обеспечивают выполнение мероприятий  по
защите информации на соответствующих ПЭВМ.
     4.2. Для реализации  на ПЭВМ мер  по обеспечению  безопасности
информации предусматриваются следующие мероприятия, организуемые  и
выполняемые  отделом  АСУ управления  делами  Администрации  города
Курска:
     4.2.1. Контроль за  применением сертифицированных  специальных
программных  средств  и  лицензионных  программных  средств  общего
назначения, а также сертифицированных технических средств и средств
связи (ежемесячно).
     4.2.2. Проверка  состава  программных  и  технических  средств
каждого ПЭВМ на  соответствие утвержденной  документации на ПЭВМ  в
порядке,   приведенном    в   эксплуатационной   документации    (в
соответствии с планом проверок).
     4.2.3. Включение технических средств  и программных изделий  в
состав ПЭВМ  в  соответствии с  конструкторской и  эксплуатационной
документацией.
     4.2.4. Исключение      несанкционированного     доступа      к
информационным ресурсам путем установки средств защиты информации и
включения  в  технологические процессы  обработки  информации  ПЭВМ
следующих функций средств защиты информации:
     опечатывание системного блока;
     установка уникального идентификатора пользователя на "вход"  в
ПЭВМ.
     4.3. Контроль  за   обеспечением  подлинности  и   целостности
информации (исполняется отделом АСУ управления делами Администрации
города Курска).
     4.3.1. Ежедневный  антивирусный  контроль  всего  программного
обеспечения.
     4.3.2. Обновление  антивирусных   средств  в  соответствии   с
установленным порядком.
     4.4. Организация и проведение работ по обеспечению сохранности
оборудования и  информационных ресурсов  (материально-ответственные
лица органов Администрации города Курска).
     4.4.1. Размещение  технических  средств ПЭВМ  в  оборудованных
помещениях  с   ограниченным  доступом   (сотрудники  отдела   АСУ,
сотрудники сторонних организаций, привлекаемые по договору).
     4.4.2. В помещения,  содержащие оборудование,  предназначенное
для  обработки информационных  ресурсов  и хранящее  машиночитаемые
носители  и  документы,  содержащие  конфиденциальную   информацию,
операторами  должна  быть  исключена  возможность   бесконтрольного
проникновения  посторонних лиц.  Для  этого  входные двери  в  этих
помещениях должны  быть обеспечены прочными  замками и  оборудованы
приспособлениями для опечатывания, гарантирующими надежное закрытие
их в нерабочее время.
     4.4.3. Для проведения  регламентных (наладочных), ремонтных  и
других работ в  эти помещения  во время обработки  конфиденциальной
информации могут быть допущены уполномоченные лица в  сопровождении
руководителя   данного   подразделения   при   условии   исключения
несанкционированного   доступа  к   персональным   данным  и   иной
конфиденциальной   информации,  а   также   контроля  за   порядком
осуществления проводимых работ.
     Операторы организуют надежное хранение электронных и  бумажных
носителей   с  персональными   данными   и  иной   конфиденциальной
информацией (в том числе используемых в технологическом  процессе),
исключающее хищение,  подмену, несанкционированное копирование  или
уничтожение.
     4.4.4. Ремонт  (вне  помещений Администрации  города  Курска),
списание,  утилизация   (выбытие)  и  тому   подобные  действия   с
оборудованием,   на    котором    обрабатывались   или    хранились
информационные  ресурсы,  содержащие  персональные  данные  и  иную
конфиденциальную  информацию,   могут  осуществляться  только   при
условии, если информация, находящаяся на носителях информации этого
оборудования, удалена (стерта) без возможности ее восстановления.
     4.5. Защита информации при ее передаче по сетям связи.
     4.5.1. Передача между  ПЭВМ конфиденциальной информации  может
осуществляться  по  выделенным   каналам  связи  (исключительно   с
использованием средств криптографической защиты).
     4.5.2. При использовании в составе подсистемы связи и передачи
данных коммутируемых каналов должна применяться проверка наличия  и
функционирования средств аутентификации абонентов.
     4.6. Операторы    и   пользователи    информационных    систем
Администрации  города  Курска  организуют  работу  по   обеспечению
безопасности  информации  и  осуществляют  надзор  за   соблюдением
требований обеспечения защиты информации  в ПЭВМ в соответствии  со
своими должностными инструкциями.
     
           5. Порядок доступа к информационным ресурсам
                   в Администрации города Курска
     
     5.1. Доступ к информационным ресурсам, содержащим персональные
данные граждан  Российской   Федерации   и  иную   конфиденциальную
информацию,  операторов и  прочих  работников Администрации  города
Курска  осуществляется   в  объеме,   необходимом  для   исполнения
служебных обязанностей, определенных должностной инструкцией.
     5.2. Порядок   доступа   операторов   и   прочих    работников
Администрации города Курска  к информационным ресурсам,  содержащим
персональные   данные,    и   иной   конфиденциальной    информации
устанавливается постановлением Администрации города Курска.
     5.3. Порядок рассмотрения письменных мотивированных  запросов,
полученных  от  должностных  лиц  органов  государственной  власти,
государственных   органов,   органов  местного   самоуправления   о
предоставлении   персональных   данных,   а   также   порядок    их
предоставления лицам, указанным в пункте 5.2 настоящего  Положения,
устанавливается в Федеральном законе "О персональных данных".
     5.4. Гражданам,  запрашивающим  персональные  данные  о  себе,
указанные    сведения    предоставляются    в    соответствии     с
законодательством  Российской  Федерации.  Порядок   предоставления
персональных   данных   осуществляется   при   строгом   соблюдении
требований  по  обеспечению  защиты персональных  данных  от  любых
неправомерных действий в отношении таких данных.
     
          6. Права пользователей информационных ресурсов
     
     6.1. Каждый   пользователь    имеет    право   на    обработку
информационных  ресурсов   в  соответствии   с  его   полномочиями,
определенными должностными инструкциями.
     
       7. Обязанности работников Администрации города Курска
              по обеспечению безопасности информации
     
     7.1. Операторы  обязаны  обеспечивать своевременный  и  точный
ввод данных в информационную систему.
     7.2. Операторы    и   пользователи    информационных    систем
Администрации   города   Курска   обязаны   соблюдать    требования
действующих    нормативных   правовых    актов,    организационных,
нормативно-технических и методических документов,  регламентирующих
защиту информации при работе на ПЭВМ.
     7.3. Операторы    и   пользователи    информационных    систем
Администрации города  Курска  обязаны использовать  в своей  работе
лицензионные   программно-технические   средства,   не    допускать
установки   программно-технических  средств,   не   предусмотренных
документацией, на указанные ПЭВМ.
     7.4. Операторы    и   пользователи    информационных    систем
Администрации   обязаны  не   разглашать   ставшие  им   известными
персональные данные и иную конфиденциальную информацию.
     7.5. Глава Администрации  города Курска, начальник  управления
делами  Администрации  города   Курска  осуществляют  контроль   за
соблюдением требований  по обеспечению  безопасности информации,  в
том числе требований, предусмотренных настоящим Положением.
     7.6. Операторы    и   пользователи    информационных    систем
Администрации города Курска обязаны:
     знать конфигурацию, состав и назначение программно-технических
средств, используемых в работе;
     соблюдать предписанные эксплуатационной документацией  правила
работы на автоматизированном рабочем месте;
     использовать аппаратные  и   программные  средства  только   в
служебных целях;
     иметь представление  о  видах угроз  безопасности  информации,
технических  и программных  средствах,  которые находятся  под  его
контролем или к  которым он имеет доступ,  а также о  возможностях,
применяющихся  на  его  автоматизированном  рабочем  месте  средств
защиты информации;
     не допускать  нарушения  требований  обеспечения  безопасности
информации,  дополнительной  установки  каких-либо  программных   и
аппаратных средств, не предусмотренных для его  автоматизированного
рабочего места.
     5.7. Операторы  должны знать  и  обязаны выполнять  требования
обеспечения безопасности информации и настоящего Положения.
     
           8. Ответственность за несоблюдение требований
              по обеспечению безопасности информации
     
     8.1. Ответственность  за  утрату  документов  или  электронных
носителей с конфиденциальной информацией или разглашение  сведений,
содержащихся  в них,  персонально  несет работник,  допустивший  их
утрату (разглашение).
     8.2. Разглашение   конфиденциальной  информации   или   утрата
документов,    электронных   носителей    информации,    содержащих
персональные данные и  иную конфиденциальную информацию, влечет  за
собой       ответственность,      предусмотренную       действующим
законодательством Российской Федерации, а также трудовым договором,
заключенным между работодателем  и принятым на работу  сотрудником,
являющимся оператором или пользователем информационных систем.
     8.3. По факту разглашения сведений или утраты документов глава
Администрации города  Курска  уведомляется  немедленно   работником
Администрации города Курска, установившим факт разглашения сведений
или утраты документов.
     По факту разглашения сведений или утраты документов, указанных
в пункте  8.2, глава  Администрации  города Курска  незамедлительно
назначает комиссию для проведения служебного расследования.
     8.4. Комиссия, проводящая  служебное расследование,  принимает
меры   по   локализации   нежелательных   последствий   разглашения
конфиденциальной    информации,    устанавливает     обстоятельства
происшествия и виновных в  утрате (разглашении), а также причины  и
условия, способствовавшие этому.
     8.5. Служебное расследование должно  начаться в срок не  более
четырнадцати суток со  дня обнаружения факта разглашения  (утраты).
По  результатам расследования  главой  Администрации города  Курска
принимается  решение о  применении  санкций  к виновному  лицу  или
лицам.
     8.6. Законодательством  Российской   Федерации  за   нарушение
правил  защиты   информационных  ресурсов   при  их   использовании
предусмотрена   уголовная,   административная   и    дисциплинарная
ответственность.