Распоряжение администрации г. Иркутска от 07.04.2014 N 031-10-251/14 "О внесении изменений в муниципальные правовые акты города Иркутска"
АДМИНИСТРАЦИЯ ГОРОДА ИРКУТСКА
РАСПОРЯЖЕНИЕ
от 7 апреля 2014 г. № 031-10-251/14
О ВНЕСЕНИИ ИЗМЕНЕНИЙ В МУНИЦИПАЛЬНЫЕ ПРАВОВЫЕ АКТЫ ГОРОДА
ИРКУТСКА
В связи с изменением структуры и штатного расписания администрации города Иркутска, руководствуясь ст. 16 Федерального закона от 06.10.2003 № 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", ст.ст. 37, 38, 42 Устава города Иркутска, решением Думы города Иркутска от 29.11.2013 № 005-20-510892/3 "Об утверждении структуры администрации города Иркутска в новой редакции", распоряжением администрации города Иркутска от 06.12.2013 № 031-10-977/13 "О передаче полномочий", распоряжением администрации города Иркутска от 24.12.2013 № 031-10-1055/13 "О внесении изменений в штатное расписание администрации г. Иркутска":
1. Внести в распоряжение администрации города Иркутска от 29.06.2009 № 031-10-701/9 "Об утверждении Порядка работы в администрации г. Иркутска с информацией, содержащей персональные данные граждан, в автоматизированной информационной системе "Учет избирателей, участников референдума" в редакции распоряжения администрации города Иркутска от 25.05.2012 № 031-10-535/12 (далее - распоряжение) следующие изменения:
1.1. В пункте 3.2 раздела 3 Приложения № 1 к распоряжению слова "начальником отдела мобилизационной подготовки и защиты информации администрации г. Иркутска (далее - ОМПЗИ) и заместителем председателя комитета - начальником департамента информатизации комитета по экономике администрации г. Иркутска" заменить словами "заместителем председателя комитета - начальником департамента информатизации комитета по экономике администрации г. Иркутска".
1.2. В пункте 3.3 раздела 3 Приложения № 1 к распоряжению слова "Начальник ОМПЗИ" заменить словами "Заместитель председателя комитета - начальник департамента информатизации комитета по экономике администрации г. Иркутска".
1.3. В пункте 4.5 раздела 4 Приложения № 1 к распоряжению слова "заместителя начальника отдела - заведующего сектором защиты информации ОМПЗИ" заменить словами "заместителя председателя комитета - начальника департамента информатизации комитета по экономике администрации г. Иркутска".
2. Внести в распоряжение администрации города Иркутска от 07.12.2010 № 031-10-1167/10 "Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска" в редакции распоряжения администрации города Иркутска от 25.05.2012 № 031-10-535/12 (далее - распоряжение) следующие изменения:
2.1. В констатирующей части распоряжения, в пункте 2.1 раздела 2 Приложения № 1 к распоряжению:
2.1.1. Слова "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 № 781" заменить словами "постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
2.1.2. Слова "Порядком проведения классификации информационных систем персональных данных, утвержденным совместным приказом Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20, Положением о методах и способах защиты информации в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 05.02.2010 № 58" исключить.
2.2. Пункт 2 распоряжения изложить в следующей редакции:
"2. Структурным подразделениям администрации города Иркутска:".
2.3. Пункт 5 распоряжения изложить в следующей редакции:
"5. Контроль за исполнением настоящего распоряжения возложить на заместителя мэра - председателя комитета по экономике администрации г. Иркутска".
2.4. Пункт 2.3 раздела 2 Приложения № 1 к распоряжению после слов "утвержденному постановлением Правительства Российской Федерации от 15.09.2008 № 687" дополнить словами ", и распоряжению администрации г. Иркутска от 17.12.2010 № 031-10-1228/10 "Об организации обработки персональных данных, осуществляемой без использования средств автоматизации в администрации г. Иркутска".
2.5. Пункт 2.9 раздела 2 Приложения № 1 к распоряжению изложить в следующей редакции:
"2.9. Выбор методов, способов и средств защиты информации осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации, на основе определяемых департаментом информатизации комитета по экономике администрации г. Иркутска (далее - ДИ) угроз безопасности ПДн (модели угроз)".
2.6. Пункт 2.10 раздела 2 Приложения № 1 к распоряжению изложить в следующей редакции:
"2.10. Модель угроз разрабатывается на основе методических документов, принятых Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации".
2.7. В пункте 2.13 раздела 2 Приложения № 1 к распоряжению слова "СЗИ совместно с работниками департамента информатизации комитета по экономике администрации г. Иркутска (далее - департамент информатизации)" заменить словом "ДИ".
2.8. Дефис 1 пункта 2.13 раздела 2 Приложения № 1 к распоряжению изложить в следующей редакции:
"- определение требуемого уровня защищенности в соответствии с разделом 3 настоящего положения.
2.9. Дефис 4 пункта 2.13 раздела 2 Приложения № 1 к распоряжению изложить в следующей редакции:
"- разработку СЗПДн на основе частной модели угроз (СЗПДн обеспечивает нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего уровня защищенности ИСПДн администрации г. Иркутска)".
2.10. В пункте 2.18 раздела 2 Приложения № 1 к распоряжению слово "СЗИ" заменить словом "ДИ".
2.11. Пункт 2.19 раздела 2 Приложения № 1 к распоряжению изложить в следующей редакции:
"2.19. При обнаружении лицами, указанными в п. 4.2 настоящего Положения, нарушений в порядке обработки и защиты ПДн ставится в известность заместитель председателя комитета - начальник ДИ".
2.12. В пункте 2.20 раздела 2 Приложения № 1 к распоряжению слова "Вице-мэр администрации города Иркутска" заменить словами "Вице-мэр города Иркутска".
2.13. Пункт 2.21 раздела 2 Приложения № 1 к распоряжению исключить.
2.14. Пункт 2.22 раздела 2 Приложения № 1 к распоряжению считать пунктом 2.21.
2.15. Разделы 3, 4 Приложения № 1 к распоряжению изложить в следующей редакции:
"3. ОПРЕДЕЛЕНИЕ УРОВНЕЙ ЗАЩИЩЕННОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Определение уровней защищенности ИСПДн администрации г. Иркутска (далее - УЗ) осуществляется с учетом категорий и объема ПДн, категорий субъектов ПДн, типа актуальных угроз безопасности ПДн в ИСПДн администрации города Иркутска с целью определения требований по защите ПДн в ИСПДн администрации г. Иркутска.
3.2. Определение УЗ осуществляется на этапе создания ИСПДн администрации г. Иркутска или в ходе эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).
3.3. Определение УЗ осуществляется комиссией, назначаемой распоряжением администрации города Иркутска.
3.4. Определение УЗ осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
3.5. В состав комиссии, назначаемой в соответствии с п. 3.3 настоящего Положения, входят работники ДИ и должностные лица, на которые в соответствии с распоряжением администрации города Иркутска от 12.04.2013 № 031-10-263/13 "О предоставлении доступа к муниципальным информационным системам органов местного самоуправления города Иркутска" возложены обязанности определять право доступа к ИСПДн администрации г. Иркутска.
3.6. Определение УЗ включает в себя следующие этапы:
- сбор и анализ исходных данных по ИСПДн администрации г. Иркутска;
- присвоение ИСПДн администрации г. Иркутска соответствующего УЗ и его документальное оформление.
3.7. При определении УЗ комиссией учитываются следующие исходные данные:
- наличие актуальных угроз безопасности ПДн, связанных с недекларированными возможностям системного или прикладного программного обеспечения ИСПДн администрации г. Иркутска, а также не связанных с недекларированными возможностями программного обеспечения ИСПДн администрации г. Иркутска;
- тип информационной системы в соответствии с пунктом 5 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119;
- количество субъектов ПДн, являющихся работниками или должностными лицами администрации города Иркутска;
- количество субъектов ПДн, не являющихся работниками или должностями лицами администрации города Иркутска;
- иные сведения, которые могут потребоваться для определения УЗ.
3.8. Исходные данные, указанные в п. 3.7 настоящего Положения, предоставляются ДИ.
3.9. В случае выявления в составе ИСПДн администрации г. Иркутска подсистем, являющихся отдельными ИСПДн, для ИСПДн, в которую входят отдельные ИСПДн, присваивается наиболее высокий УЗ, присвоенный отдельной подсистеме. При этом наиболее высоким УЗ является первый, наиболее низким - четвертый.
3.10. Результаты определения УЗ оформляются соответствующим актом, подписанным членами комиссии и утвержденным вице-мэром города Иркутска. Акты хранятся в ДИ.
3.11. УЗ может быть пересмотрен:
- в случае изменения состава актуальных угроз безопасности ПДн в ИСПДн администрации г. Иркутска, типа ИСПДн администрации г. Иркутска и иных сведений, использованных для определения УЗ;
- по результатам мероприятий по контролю уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн администрации г. Иркутска.
4. ОБЯЗАННОСТИ И ПРАВА ДОЛЖНОСТНЫХ ЛИЦ
4.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, административной, уголовной и иной, предусмотренной законодательством Российской Федерации ответственности.
4.2. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн, обрабатываемых в ИСПДн администрации г. Иркутска, являются:
- вице-мэр города Иркутска;
- заместитель председателя комитета - начальник ДИ;
- лицо, ответственное за защиту ПДн в ИСПДн администрации г. Иркутска;
- обладатели, администраторы и операторы муниципальных информационных систем органов местного самоуправления города Иркутска (относящихся к ИСПДн администрации г. Иркутска) в соответствии с распоряжением администрации города Иркутска от 12.04.2013 № 031-10-263/13 "О предоставлении доступа к муниципальным информационным системам органов местного самоуправления города Иркутска";
- должностные лица и работники, допущенные к обработке ПДн в ИСПДн администрации г. Иркутска.
4.3. Вице-мэр города Иркутска:
- осуществляет общее руководство работами по защите ПДн в ИСПДн администрации г. Иркутска;
- устанавливает обязанности руководителей структурных подразделений администрации города Иркутска и должностных лиц, ответственных за защиту ПДн в ИСПДн администрации г. Иркутска;
- утверждает положения и инструкции по организации работ по защите ПДн в ИСПДн администрации г. Иркутска;
- из числа работников ДИ назначает лиц, ответственных за защиту ПДн в ИСПДн администрации г. Иркутска.
4.4. Заместитель председателя комитета - начальник ДИ:
- осуществляет методическое руководство и координацию работ по защите ПДн в ИСПДн в администрации г. Иркутска;
- контролирует работу структурных подразделений администрации города Иркутска, работников и должностных лиц, допущенных к обработке ПДн;
- организует разработку руководящих и распорядительных документов по защите ПДн в ИСПДн администрации г. Иркутска;
- организует и проводит занятия по изучению документов по защите ПДн в ИСПДн администрации г. Иркутска;
- организует обеспечение и доведение до работников и должностных лиц администрации города Иркутска действующих руководящих, организационно-распорядительных и нормативно-методических документов по защите ПДн в ИСПДн администрации г. Иркутска;
- готовит предложения о привлечении к проведению работ по защите ПДн в ИСПДн администрации г. Иркутска на договорной основе организаций, имеющих лицензию на соответствующий вид деятельности;
- готовит предложения вице-мэру города Иркутска по финансированию мероприятий по защите ПДн в ИСПДн администрации г. Иркутска;
- участвует в проверках состояния защиты ПДн в ИСПДн администрации г. Иркутска;
- определяет ответственных лиц из числа работников департамента информатизации за обеспечение безопасности ПДн в соответствующей ИСПДн администрации г. Иркутска;
- контролирует работу структурных подразделений администрации города Иркутска, работников и должностных лиц, допущенных к обработке ПДн.
4.5. Лицо, ответственное за защиту ПДн в ИСПДн администрации г. Иркутска:
- определяет основные мероприятия по комплексной защите ПДн в ИСПДн администрации г. Иркутска;
- проводит работу по выявлению возможных каналов утечки ПДн в ИСПДн администрации г. Иркутска;
- разрабатывает руководящие и распорядительные документы по защите ПДн в ИСПДн администрации г. Иркутска;
- анализирует информацию, циркулирующую в ТС и системах, определяет возможные технические каналы ее утечки в ИСПДн администрации г. Иркутска;
- определяет реальную опасность перехвата ПДн ТС разведки, НСД к ним, разрушения (уничтожения) и искажения, разрабатывает соответствующие меры по их защите;
- вносит предложения вице-мэру города Иркутска о приостановке работ в случае обнаружения утечки (предпосылок к утечке) ПДн из ИСПДн администрации г. Иркутска;
- подготавливает годовые отчеты о состоянии работ по технической защите ПДн в ИСПДн администрации г. Иркутска;
- разрабатывает предложения по дальнейшему совершенствованию СЗПДн;
- непосредственно участвует в разработке инструкций и методических рекомендаций по работе с ПДн, в том числе при ее обработке с использованием ТС;
- проводит занятия с работниками и должностными лицами структурных подразделений администрации города Иркутска по вопросам защиты ПДн в ИСПДн администрации г. Иркутска при использовании ТС;
- участвует в проверках состояния защиты ПДн в ИСПДн администрации г. Иркутска.
4.6. Иные лица, указанные в п. 4.2 настоящего Положения, обязаны:
- не допускать проведения в администрации города Иркутска работ и мероприятий, связанных с использованием ПДн, обрабатываемых в ИСПДн администрации г. Иркутска, без принятия необходимых мер по защите ПДн;
- определять объекты информатизации, предназначенные для работы с ПДн, и информировать об этом начальника ДИ в письменной форме;
- строго соблюдать организационно-распорядительные документы о порядке обработки и защиты ПД в ИСПДн администрации г. Иркутска;
- совместно с ДИ осуществлять администрирование и обслуживание программно-технических средств защиты ПДн в ИСПДн администрации г. Иркутска, следить за их работоспособностью и исправностью;
- своевременно информировать и согласовывать в письменной форме с заместителем председателя комитета - начальником ДИ предстоящие изменения в условиях эксплуатации соответствующей ИСПДн администрации г. Иркутска.
4.7. Проведение работ с ПДн допускается только при выполнении требований настоящего Положения и требований иных нормативных правовых актов по вопросам защиты ПДн.
4.8. В случае обнаружения нарушений требований данного положения работником последний обязан немедленно сообщить об этом своему непосредственному руководителю либо работнику ДИ.
4.9. На первоначальном этапе создания ИСПДн в структурном подразделении администрации города Иркутска по согласованию с его руководителем, а также с заместителем председателя комитета - начальником ДИ, хозяйственным управлением аппарата администрации города Иркутска, а также иными структурными подразделениями администрации города Иркутска - приобретаются сертифицированные ТС и системы, отвечающие требованиям безопасности ПДн.
4.10. ДИ обеспечивается установка, подключение и настройка ТС в соответствии с документацией к ним и планами организации и оснащения ИСПДн администрации г. Иркутска по согласованию с руководителем структурного подразделения администрации города Иркутска, к которому имеет отношение ИСПДн администрации г. Иркутска.
4.11. ДИ приобретаются лицензионные программные продукты и операционные системы, используемые в ИСПДн администрации г. Иркутска, по согласованию с руководителем структурного подразделения администрации города Иркутска, к которому имеет отношение ИСПДн администрации г. Иркутска.
4.12. Работники ДИ обеспечивают установку и настройку основных программных продуктов и операционных систем на ТС по согласованию с руководителем структурного подразделения администрации города Иркутска, к которому имеет отношение ИСПДн администрации г. Иркутска, а также с СЗИ.
4.13. ДИ при эксплуатации и развертывании ИСПДн в администрации города Иркутска проводит следующие работы:
- по согласованию с руководителями структурных подразделений администрации города Иркутска проводит анализ возможности решения определенных задач в ИСПДн администрации г. Иркутска и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;
- установку (развертывание, обновление версий) программных средств, необходимых для решения конкретных задач в ИСПДн администрации города Иркутска;
- удаление (затирание) программных пакетов, необходимость в использовании которых отсутствует;
- установку (развертывание) новых ИСПДн в администрации города Иркутска или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач.
4.14. ДИ с привлечением специалистов из других организаций, имеющих соответствующие лицензии ФСТЭК России и ФСБ России на проведение определенных работ по вопросам защиты информации, либо с привлечением отдельных работников из других структурных подразделений администрации города Иркутска, обеспечивает установку и настройку сертифицированных средств защиты информации и иные мероприятия, относящиеся к защите ПДн в ИСПДн администрации г. Иркутска.
4.15. Любые планируемые изменения в составе основных или вспомогательных ТС, изменения в системе электропитания, связи, заземления или конструкции ИСПДн администрации г. Иркутска должны в обязательном порядке в письменной форме согласовываться с заместителем председателя комитета - начальником ДИ.
4.16. Эксплуатация ИСПДн в администрации города Иркутска осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписанием на эксплуатацию ТС, а также требованиями соответствующих документов по вопросам защиты ПДн".
2.16. В пункте 5.2 раздела 5 Приложения № 1 к распоряжению слова "заместителем начальника отдела - заведующим сектором защиты информации ОМПЗИ под руководством начальника ОМПЗИ" заменить словами "заместителем председателя комитета - начальником ДИ".
2.17. В пункте 5.4 раздела 5 Приложения № 1 к распоряжению слова "заместитель начальника отдела - заведующий сектором защиты информации ОМПЗИ под руководством начальника ОМПЗИ" заменить словами "заместитель председателя комитета - начальник ДИ".
2.18. В пункте 5.4 раздела 5, пункте 6.3 раздела 6 Приложения № 1 к распоряжению слова "начальник ОМПЗИ" в различных падежах заменить словами "заместитель председателя комитета - начальник ДИ" в соответствующих падежах.
2.19. В пункте 6.1 раздела 6, пункте 7.1 раздела 7 Приложения № 1 к распоряжению слова "заместителем начальника отдела - заведующим сектором защиты информации ОМПЗИ" заменить словами "заместителем председателя комитета - начальником ДИ".
3. Внести в распоряжение администрации города Иркутска от 17.12.2010 № 031-10-1228/10 "Об организации обработки персональных данных, осуществляемой без использования средств автоматизации в администрации г. Иркутска" (далее - распоряжение) следующее изменение:
3.1. Абзац 1 пункта 1 распоряжения изложить в следующей редакции:
"1. Структурным подразделениям администрации города Иркутска:".
4. Внести в распоряжение администрации города Иркутска от 21.06.2013 № 031-10-483/13 "Об утверждении Регламента взаимодействия структурных подразделений администрации города Иркутска при создании, модернизации (реконструкции) и эксплуатации защищаемых объектов информатизации в администрации города Иркутска" (далее - распоряжение) следующие изменения:
4.1. Наименование распоряжения изложить в следующей редакции:
"Об утверждении Регламента взаимодействия структурных подразделений администрации города Иркутска при создании, модернизации (реконструкции) и эксплуатации защищаемых объектов информатизации, предназначенных для обработки информации, сведения которой составляют государственную тайну, в администрации города Иркутска".
4.2. В констатирующей части постановления слова "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282," исключить.
4.3. Пункт 1 распоряжения изложить в следующей редакции:
"1. Утвердить Регламент взаимодействия структурных подразделений администрации города Иркутска при создании, модернизации (реконструкции) и эксплуатации защищаемых объектов информатизации, предназначенных для обработки информации, сведения которой составляют государственную тайну, в администрации города Иркутска (Приложение № 1)".
4.4. Приложение № 1 к распоряжению изложить в редакции Приложения № 1 к настоящему распоряжению.
4.5. В пункте 3 распоряжения слова "начальника отдела мобилизационной подготовки и защиты информации администрации города Иркутска Курчинского Б.В." заменить словами "начальника управления специального обеспечения администрации города Иркутска".
5. Внести в распоряжение администрации города Иркутска от 26.12.2013 № 031-10-1085/13 "О порядке работы с конфиденциальной информацией в администрации города Иркутска" (далее - распоряжение) следующие изменения:
5.1. В пункте 5 распоряжения слова "начальника отдела мобилизационной подготовки и защиты информации" заменить словами "заместителя мэра - председателя комитета по экономике".
5.2. В пункте 2.4 раздела 2 Приложения № 1 к распоряжению слова "отделом мобилизационной подготовки и защиты информации администрации города Иркутска (далее - ОМПиЗИ)" заменить словами "департаментом информатизации комитета по экономике администрации города Иркутска (далее - ДИ)".
5.3. В пункте 2.10 раздела 2 Приложения № 1 к распоряжению слова ", согласованной с начальником ОМПиЗИ" исключить.
5.4. В пункте 2.10 раздела 2 Приложения № 1 к распоряжению слова "департамента информатизации комитета по экономике администрации города Иркутска", "Департамент информатизации комитета по экономике администрации города Иркутска" заменить словом "ДИ".
5.5. В пунктах 2.11, 2.20, 2.26 раздела 2 Приложения № 1 к распоряжению слово "ОМПиЗИ" заменить словом "ДИ".
5.6. В пункте 2.11 раздела 2 Приложения № 1 к распоряжению слова "на этапе согласования заявки" исключить.
5.7. В подпункте 3.4.3 пункта 3.4 раздела 3 Приложения № 1 к распоряжению слова "сектора защиты информации ОМПиЗИ" заменить словом "ДИ".
5.8. В подпункте 3.8.2 пункта 3.8 раздела 3, пунктах 6.2, 6.4 раздела 6, пунктах 7.1, 7.5 раздела 7, пункте 8.2 раздела 8, пункте 9.1 раздела 9 Приложения № 1 к распоряжению слова "начальник ОМПиЗИ" в различных падежах заменить словами "заместитель председателя комитета - начальник ДИ" в соответствующих падежах.
5.9. Абзац 1 раздела 5 Приложения № 1 к распоряжению изложить в следующей редакции:
"Права и обязанности должностных лиц при работе с конфиденциальной информацией устанавливаются должностными инструкциями соответствующих лиц и настоящим положением".
5.10. В Приложении № 7 к распоряжению слова "Отметка о согласовании заявки отделом мобилизационной подготовки и защиты информации администрации города Иркутска" исключить.
6. Распоряжения администрации города Иркутска от 31.07.2009 № 031-10-824/9 "О порядке внедрения в администрации города Иркутска новых информационных технологий передачи и обработки информации", от 15.12.2010 № 031-10-1208/10 "Об организации защищаемых объектов информатизации - информационных систем персональных данных администрации г. Иркутска" отменить.
7. Архивному отделу организационно-контрольного управления аппарата администрации г. Иркутска:
7.1. Внести в оригиналы распоряжений администрации города Иркутска от 29.06.2009 № 031-10-701/9, от 07.12.2010 № 031-10-1167/10, от 17.12.2010 № 031-10-1228/10 информационные справки о дате внесения в них изменений настоящим распоряжением.
7.2. Внести в оригиналы распоряжений администрации города Иркутска от 31.07.2009 № 031-10-824/9, от 15.12.2010 № 031-10-1208/10 информационные справки о дате их отмены настоящим распоряжением.
8. Отделу регистрации и контроля организационно-контрольного управления аппарата администрации г. Иркутска внести в оригиналы распоряжений администрации города Иркутска от 21.06.2013 № 031-10-483/13, от 26.12.2013 № 031-10-1085/13 информационные справки о дате внесения в них изменений настоящим распоряжением.
9. Контроль за исполнением настоящего распоряжения возложить на вице-мэра города Иркутска.
Мэр города Иркутска
В.И.КОНДРАШОВ
Приложение № 1
к распоряжению
администрации г. Иркутска
от 7 апреля 2014 года
№ 031-10-251/14
РЕГЛАМЕНТ
ВЗАИМОДЕЙСТВИЯ СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЙ
АДМИНИСТРАЦИИ ГОРОДА ИРКУТСКА ПРИ СОЗДАНИИ, МОДЕРНИЗАЦИИ
(РЕКОНСТРУКЦИИ) И ЭКСПЛУАТАЦИИ ЗАЩИЩАЕМЫХ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ,
СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, В АДМИНИСТРАЦИИ
ГОРОДА ИРКУТСКА
1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
1.1. Автоматизированная система (далее - АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
1.2. Аттестация объектов информатизации - комплексная проверка (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
1.3. Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
1.4. ИГТ - информация, составляющая государственную тайну.
1.5. ДИ - департамент информатизации комитета по экономике администрации г. Иркутска.
1.6. Защищаемые объекты информатизации (далее - ЗОИ):
- средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки информации, составляющей государственную тайну;
- технические средства и системы, не обрабатывающие непосредственно информацию, составляющую государственную тайну, но размещенные в помещениях, где обрабатывается (циркулирует) такая информация;
- выделенные (защищаемые) помещения, предназначенные для ведения переговоров, содержащих информацию, составляющую государственную тайну, или в которых размещены средства закрытой телефонной связи.
1.7. Информация - сведения (сообщения, данные) независимо от формы их представления.
1.8. Контрольная проверка (периодический контроль) - проверка состояния защиты информации на защищаемых объектах информатизации с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации.
1.9. Несанкционированный доступ (далее - НСД) - доступ к информации, нарушающий правила разграничения доступа, с использованием штатных средств (совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем), предоставляемых средствами вычислительной техники или автоматизированной системы.
1.10. Орган по аттестации - организация, имеющая соответствующие лицензии и аттестат аккредитации, как органа по аттестации.
1.11. Специальная проверка - проверка технических средств иностранного производства на предмет возможно внедренных в эти средства электронных устройств перехвата информации, в соответствии с нормативно-техническими документами по безопасности информации, утвержденными Федеральной службой безопасности России.
1.12. Специальные исследования - исследования по выявлению возможных каналов утечки информации за счет побочных электромагнитных наводок и излучений узлов и блоков исследуемых технических средств, в соответствии с нормативно-техническими документами по безопасности информации, утвержденными Федеральной службой по техническому и экспортному контролю России.
1.13. Средства защиты информации (далее - СЗИ) - технические, криптографические, программные и другие средства, предназначенные для защиты информации, составляющей государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
1.14. Структурные подразделения администрации города Иркутска - комитеты администрации города Иркутска, аппарат администрации города Иркутска, управления администрации города Иркутска.
1.15. УСО - управление специального обеспечения администрации города Иркутска.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящий регламент взаимодействия структурных подразделений администрации города Иркутска при создании, модернизации (реконструкции) и эксплуатации ЗОИ, предназначенных для обработки информации, составляющей государственную тайну, в администрации города Иркутска (далее - Регламент) разработан в соответствии с руководящими документами по защите информации, действующими на территории Российской Федерации.
2.2. Регламент определяет порядок взаимодействия УСО и структурных подразделений администрации города Иркутска, права и обязанности должностных лиц и работников администрации города Иркутска при создании, модернизации (реконструкции) и эксплуатации ЗОИ в целях:
- своевременного выявления и предотвращения утечки ИГТ по техническим каналам;
- исключения или существенного затруднения НСД к ИГТ, хищения технических средств и носителей ИГТ;
- предотвращения специальных программно-технических воздействий, вызывающих нарушение полноты, целостности, достоверности ИГТ или работоспособности ЗОИ;
- сохранения возможности управления процессом обработки и пользования ИГТ.
2.3. Безопасность ИГТ достигается путем исключения несанкционированного, в том числе случайного, доступа к такой информации, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение, а также иные несанкционированные действия с ней.
2.4. Безопасность ИГТ обеспечивается с помощью системы защиты информации, включающей организационные меры, технические и программные средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки информации), а также используемые информационные технологии.
2.5. Технические и программные средства, применяемые для защиты ИГТ, должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям безопасности такой информации.
2.6. Для обеспечения безопасности ИГТ осуществляется защита речевой (звуковой) информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
2.7. Специальное оборудование и охрана помещений, в которых ведется работа с ИГТ, организация режима обеспечения безопасности ИГТ в этих помещениях должны обеспечивать сохранность носителей ИГТ и средств защиты ИГТ, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
2.8. Возможные каналы утечки ИГТ, методы и способы защиты такой ИГТ определяются Федеральной службой по техническому и экспортному контролю России и Федеральной службой безопасности России в пределах их полномочий.
2.9. Достаточность принятых мер по обеспечению безопасности ИГТ оценивается при проведении государственного контроля и надзора (далее - внешний контроль).
2.10. Контроль за соблюдением работниками и должностными лицами администрации города Иркутска установленных требований по защите ИГТ, состоянием и эффективностью системы защиты ИГТ на ЗОИ в структурных подразделениях администрации города Иркутска осуществляется работниками УСО не реже одного раза в год (далее - внутренний контроль), а также в процессе проведения контрольных проверок. Внеплановый внутренний контроль осуществляется на основании распоряжений администрации города Иркутска, вице-мэра города Иркутска, приказов начальника УСО.
2.11. УСО является головным подразделением по защите ИГТ в администрации города Иркутска и выполняет следующие задачи:
- определяет политику информационной безопасности в отношении ИГТ в администрации города Иркутска;
- обеспечивает комплексное и эффективное управление системой защиты ИГТ в администрации города Иркутска;
- определяет информацию, охраняемую от технических средств разведок, и демаскирующие признаки, раскрывающие такую информацию;
- проводит анализ и оценку реальной опасности перехвата ИГТ техническими средствами разведки, НСД, разрушения (уничтожения) или искажения ИГТ путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;
- осуществляет разработку организационно-технических мероприятий по защите ИГТ и их реализацию;
- осуществляет проведение контроля состояния защиты ИГТ на ЗОИ.
2.13. Мероприятия по обеспечению безопасности ИГТ в администрации города Иркутска планируются УСО.
2.14. Мероприятия, способные повлиять на состояние информационной безопасности ЗОИ в администрации города Иркутска (реконструкция линий связи, замена технических средств, входящих в состав ЗОИ, внедрение новых информационных технологий передачи и обработки информации, проведение ремонтных либо отладочных работ и т.п.), планируются при непосредственном взаимодействии с УСО и проводятся только после письменного согласования с начальником УСО.
3. ОБЯЗАННОСТИ И ПРАВА ДОЛЖНОСТНЫХ ЛИЦ В ПРОЦЕССЕ СОЗДАНИЯ,
МОДЕРНИЗАЦИИ (РЕКОНСТРУКЦИИ) И ЭКСПЛУАТАЦИИ ЗОИ
3.1. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ИГТ, являются:
- мэр города Иркутска;
- вице-мэр города Иркутска;
- заместитель председателя комитета - начальник департамента информатизации комитета по экономике администрации г. Иркутска (далее - начальник ДИ);
- начальник УСО;
- заместитель начальника управления - начальник отдела технической защиты государственной тайны УСО (далее - начальник ОТЗГТ);
- руководители структурных подразделений администрации города Иркутска;
- администраторы безопасности ЗОИ;
- администраторы ЗОИ;
- работники администрации города Иркутска, допущенные к проведению работ на ЗОИ.
3.2. Мэр города Иркутска и вице-мэр города Иркутска осуществляют общее руководство работами по защите ИГТ.
3.3. В случае невыполнения требований настоящего Регламента, а также требований иных руководящих документов по вопросам защиты ИГТ - мэр города Иркутска, вице-мэр города Иркутска имеют право приостанавливать или запрещать обработку информации на ЗОИ.
3.4. Начальник ДИ обязан:
- организовывать разработку и согласование проектов нормативно-методических и организационно-распорядительных документов по защите ИГТ в пределах компетенции департамента информатизации комитета по экономике администрации г. Иркутска (далее - ДИ);
- соблюдать требования, установленные действующим законодательством РФ, внутренними организационно-распорядительными и техническими документами по защите ИГТ;
- осуществлять постоянный контроль за соблюдением подчиненными работниками требований, установленных действующим законодательством РФ, внутренними организационно-распорядительными и техническими документами по защите ИГТ, разъяснять и требовать от подчиненных работников выполнения указанных требований;
- в рамках компетенции ДИ принимать меры по устранению выявленных нарушений в процессе проведения внутреннего и внешнего контроля;
- при планировании мероприятий на ЗОИ по внедрению в администрации города Иркутска новых информационных технологий передачи и обработки информации, а также мероприятий по проведению ремонтных либо отладочных работ (в том числе связанных с заменой, модернизацией и перемещением технических средств), заранее согласовывать в письменном виде с начальником УСО порядок и сроки их проведения;
- принимать участие в подготовке к проведению мероприятий по защите ИГТ и в процессе их проведения на ЗОИ;
- организовывать и контролировать размещение и монтаж технических средств на ЗОИ, предназначенных для обработки ИГТ;
- совместно с руководителями структурных подразделений администрации города Иркутска организовывать проведение отладочных и экспериментальных работ (испытание новых программных продуктов, формирование массивов информации и др.) до ввода ЗОИ в эксплуатацию с использованием информации, не подлежащей защите;
- по согласованию с руководителем соответствующего структурного подразделения администрации города Иркутска и начальником УСО определять состав прикладного и общесистемного программного обеспечения, технических средств и систем ЗОИ, необходимых для обработки и передачи ИГТ (включая модемы, терминалы, рабочие станции, серверы, линии (каналы) передачи данных и условия их прокладки), который должен соответствовать номенклатуре, объему и сложности задач, решаемых на ЗОИ;
- организовывать приобретение технических средств, предназначенных для обработки ИГТ, прошедших в установленном порядке специальные исследования и специальную проверку на отсутствие в их составе электронных устройств, предназначенных для негласного получения информации;
- проводить единую политику в сфере обеспечения общих требований и правил защиты сведений, содержащихся в ЗОИ, и порядка доступа к ним;
- ограничивать доступ к ИГТ на ЗОИ;
- информировать начальника УСО в электронном виде об изменениях, произошедших в организационно-штатной структуре подразделений, о принятых (уволенных) работниках, которым необходимо предоставить (исключить) доступ к ИГТ на ЗОИ в течение 5 рабочих дней с момента изменения организационно-штатной структуры или назначения (увольнения) работника через систему управления сетью ActiveDirectory.
3.5. Начальник ДИ имеет право:
- запрашивать от руководителей структурных подразделений администрации города Иркутска информацию, необходимую для организации защиты ИГТ на ЗОИ;
- участвовать в работе заседаний, комиссий, экспертных групп администрации города Иркутска при рассмотрении вопросов защиты ИГТ.
3.6. Начальник УСО отвечает за организацию защиты ИГТ, качественное и своевременное выполнение структурными подразделениями администрации города Иркутска и работниками администрации города Иркутска установленных требований по защите ИГТ, осуществляет непосредственное руководство работами по защите ИГТ.
3.7. Начальник УСО обязан:
- не допускать проведения в администрации города Иркутска работ и мероприятий с ИГТ без принятия необходимых мер по защите такой информации;
- соблюдать требования, установленные действующим законодательством РФ, внутренними организационно-распорядительными и техническими документами по защите ИГТ;
- контролировать соблюдение работниками администрации города Иркутска требований, установленных действующим законодательством РФ, внутренними организационно-распорядительными и техническими документами по защите ИГТ, разъяснять и требовать от работников администрации города Иркутска выполнения указанных требований;
- участвовать в работе заседаний, комиссий, экспертных групп администрации города Иркутска при рассмотрении вопросов защиты ИГТ;
- участвовать в определении перечней ЗОИ;
- организовывать служебные расследования нарушений в области защиты ИГТ и разрабатывать предложения по устранению причин и последствий нарушений в области защиты ИГТ и предупреждению подобного рода нарушений;
- определять администраторов безопасности на ЗОИ, предназначенных для обработки информации, составляющей государственную тайну, из числа работников ОТЗГТ;
- согласовывать состав прикладного и общесистемного программного обеспечения, технических средств и систем ЗОИ, необходимых для обработки и передачи ИГТ (включая модемы, терминалы, рабочие станции, серверы, линии (каналы) передачи данных и условия их прокладки), который должен соответствовать номенклатуре, объему и сложности задач, решаемых на ЗОИ;
- согласовывать мероприятия по внедрению в администрации города Иркутска новых информационных технологий передачи и обработки информации, а также мероприятий по проведению ремонтных либо отладочных работ на ЗОИ (в том числе связанных с заменой, модернизацией и перемещением технических средств).
3.8. Начальник УСО имеет право:
- запрашивать от руководителей структурных подразделений администрации города Иркутска информацию, необходимую для организации защиты ИГТ на ЗОИ;
- разрабатывать проекты годовых планов работ по защите ИГТ, предусматривающих задачи структурных подразделений администрации города Иркутска по решению конкретных вопросов защиты ИГТ, организацию их выполнения, а также контроль за их эффективностью;
- организовывать разработку и согласование проектов нормативно-методических и организационно-распорядительных документов по защите ИГТ;
- организовывать проведение учебных занятий с руководителями структурных подразделений администрации города Иркутска по вопросам защиты ИГТ;
- вносить предложения мэру города Иркутска, вице-мэру города Иркутска о запрещении обработки ИГТ или приостановке работ на ЗОИ;
- информировать руководителей структурных подразделений администрации города Иркутска о необходимости ознакомления с нормативно-методическими и организационно-распорядительными документами по защите ИГТ под роспись и устанавливать сроки ознакомления с ними.
3.9. Начальник ОТЗГТ обязан:
- с целью определения адекватных мер и средств защиты ИГТ определять виды и средства иностранной технической разведки, которые позволяют получить ИГТ;
- организовывать и проводить детальный анализ технологического процесса обработки ИГТ на ЗОИ, технических каналов утечки ИГТ и возможностей ее защиты;
- с целью организации защиты ИГТ определять степень опасности технических каналов утечки ИГТ, различных способов НСД к такой информации, ее разрушения (уничтожения) или искажения;
- определять необходимые методы и способы защиты ИГТ, организовывать их разработку и реализацию;
- определять состав программных и аппаратных средств защиты ИГТ и давать соответствующие рекомендации начальнику ДИ;
- определять перечень необходимой для разработки документации по вопросам защиты ИГТ и организовывать их разработку;
- организовывать проведение специальных проверок и аттестации ЗОИ исходя из требований действующего законодательства;
- организовывать проведение периодического контроля (в том числе с применением специализированных программных и аппаратных средств контроля защищенности ИГТ) эффективности мер защиты ИГТ, учет и анализ результатов контроля;
- анализировать состояние работ по защите ИГТ, разрабатывать предложения по совершенствованию системы защиты ИГТ и направлять их начальнику УСО и начальнику ДИ;
- участвовать в работе заседаний, комиссий, экспертных групп администрации города Иркутска при рассмотрении вопросов защиты ИГТ.
3.10. Начальник ОТЗГТ имеет право:
- контролировать соблюдение работниками администрации города Иркутска установленных действующим законодательством РФ, а также внутренними организационно-распорядительными и техническими документами по защите ИГТ требований, разъяснять и требовать от них выполнения указанных требований;
- вносить предложения начальнику УСО о приостановке работ с ИГТ в случае нарушения установленных требований по защите такой информации;
- готовить предложения о привлечении к проведению работ по защите ИГТ сторонних организаций, имеющих лицензию на соответствующий вид деятельности;
- в случае необходимости получения уточняющих сведений по вопросам функционирования и эксплуатации ЗОИ запрашивать от руководителей структурных подразделений дополнительную информацию.
3.11. Руководители структурных подразделений администрации города Иркутска обязаны:
- соблюдать установленные по защите ИГТ требования;
- осуществлять постоянный контроль за подчиненными работниками, разъяснять и требовать от них выполнения установленных требований по защите ИГТ;
- осуществлять контроль за условиями эксплуатации ЗОИ в подведомственных структурных подразделениях;
- принимать меры по устранению выявленных нарушений в процессе проведения внутреннего и внешнего контроля;
- при планировании мероприятий по внедрению в администрации города Иркутска новых информационных технологий передачи и обработки информации на ЗОИ, а также мероприятий по проведению ремонтных либо отладочных работ (в том числе связанных с заменой, модернизацией и перемещением технических средств) на ЗОИ, согласовывать в письменном виде с начальником УСО порядок и сроки их проведения;
- определять общие требования к ЗОИ при их создании, модернизации (реконструкции) и эксплуатации;
- принимать участие в подготовке ЗОИ к проведению мероприятий по защите ИГТ и в процессе их проведения;
- совместно с начальником УСО определять помещения, в которых планируется организовать ЗОИ, с точки зрения максимально эффективного обеспечения режима секретности и защиты ИГТ на ЗОИ в этих помещениях;
- определять перечни лиц для допуска на ЗОИ;
- организовывать и контролировать размещение и монтаж технических средств на ЗОИ, предназначенных для отображения и создания копий документов на бумажных носителях (видеотерминалов, печатающих устройств, графопостроителей и т.п.), с учетом максимального затруднения возможности визуального просмотра информации посторонними лицами (шторы и/или жалюзи на окнах, непрозрачные экраны и т.п.);
- совместно с ДИ организовывать проведение отладочных и экспериментальных работ (испытание новых программных продуктов, формирование массивов информации и др.) до ввода ЗОИ в эксплуатацию с использованием информации, не подлежащей защите.
3.12. Руководители структурных подразделений администрации города Иркутска имеют право:
- участвовать в работе заседаний, комиссий, экспертных групп администрации города Иркутска при рассмотрении вопросов защиты ИГТ;
- вносить предложения начальнику УСО о приостановке работ с ИГТ в случае нарушения требований по защите такой информации;
- готовить предложения начальнику ДИ о создании новых и модернизации эксплуатируемых ЗОИ.
3.13. Администраторами безопасности ЗОИ являются работники отдела технической защиты государственной тайны УСО, определяемые начальником УСО и утверждаемые распоряжением вице-мэра города Иркутска, а в его отсутствие - распоряжением администрации города Иркутска.
3.14. Администраторы безопасности ЗОИ обязаны:
- организовывать и принимать непосредственное участие в организационно-технических мероприятиях по защите ИГТ на ЗОИ;
- регулярно контролировать работоспособность СЗИ на ЗОИ, проводить их администрирование;
- осуществлять непосредственный контроль за условиями эксплуатации ЗОИ;
- исключать (блокировать) избыточные элементы (съемные накопители информации, принтеры, сканеры, оптические приводы, дисководы, устройства ввода/вывода ИГТ на внешние носители) из состава технических средств ЗОИ;
- разрабатывать и своевременно корректировать (в соответствии с изменениями в нормативных правовых и методических актах) организационно-распорядительную и техническую документацию по вопросам защиты ИГТ на соответствующих ЗОИ.
3.15. Администраторами ЗОИ являются работники ДИ, определяемые начальником ДИ и утверждаемые распоряжением вице-мэра города Иркутска, а в его отсутствие - распоряжением администрации города Иркутска.
3.16. Администраторы ЗОИ обязаны совместно и по согласованию с администраторами безопасности ЗОИ:
- осуществлять установку, настройку, удаление, обновление, устранение неисправностей системного и (или) прикладного программного обеспечения ЗОИ;
- осуществлять монтаж, настройку, подключение, отключение, устранение неисправностей технических средств и их коммуникаций (телефонии, оргтехники, системных блоков, сетевых коммутаторов и т.п.), входящих в состав ЗОИ;
- регистрировать пользователей, назначать идентификаторы и пароли, разграничивать доступ пользователей к локальным и сетевым информационным ресурсам в соответствии с техническими документами на ЗОИ;
- осуществлять резервное копирование;
- осуществлять послеаварийное восстановление работоспособности локальной вычислительной сети, серверов и рабочих станций ЗОИ.
Уточненный набор обязанностей из вышеперечисленных для различных администраторов ЗОИ определяется начальником ДИ и утверждается распоряжением вице-мэра города Иркутска, а в его отсутствие - распоряжением администрации города Иркутска.
3.17. Администраторы безопасности ЗОИ, администраторы ЗОИ должны иметь допуск к сведениям, составляющим государственную тайну, по соответствующей форме.
3.18. Работники администрации города Иркутска допускаются к проведению работ на ЗОИ на основании распоряжения вице-мэра города Иркутска, а в его отсутствие - распоряжением администрации города Иркутска, согласованного с начальником УСО и при наличии допуска к сведениям, составляющим государственную тайну, по соответствующей форме.
3.18. Работники администрации города Иркутска, допущенные к проведению работ на ЗОИ, являются лицами, ответственными за эксплуатацию ЗОИ, и обязаны:
- соблюдать установленные по защите ИГТ требования;
- немедленно сообщать своему непосредственному руководителю о нарушениях установленных требований по защите ИГТ;
- вносить предложения своему непосредственному руководителю о совершенствовании системы защиты ИГТ на ЗОИ.
4. ОБЩАЯ СПЕЦИФИКА СОЗДАНИЯ, МОДЕРНИЗАЦИИ
(РЕКОНСТРУКЦИИ) И ЭКСПЛУАТАЦИИ ЗОИ
4.1. Решение о создании, модернизации (реконструкции) нового ЗОИ в структурном подразделении администрации города Иркутска принимается на заседании Постоянно действующей технической комиссии по защите государственной тайны в администрации города Иркутска (далее - ПДТК), созданной в соответствии с распоряжением администрации города Иркутска от 29.07.2009 № 25дсп.
4.2. Заседание ПДТК организуется по инициативе соответствующего руководителя структурного подразделения администрации города Иркутска, который письменно уведомляет членов ПДТК и лиц, приглашенных на заседание ПДТК, о предстоящем заседании.
4.3. В уведомлении указываются следующие предварительные сведения:
- место, дата и время проведения заседания;
- списки лиц, приглашенных на заседание;
- перечень рассматриваемых вопросов, связанных с созданием ЗОИ.
4.4. Результаты работы ПДТК оформляются в виде письменного протокола, который подписывается членами ПДТК и утверждается председателем ПДТК. В протоколе отражается перечень рассмотренных вопросов, конкретные решения, принятые на заседании ПДТК, в том числе:
- цель создания ЗОИ;
- сроки создания ЗОИ;
- категория ЗОИ;
- источники финансирования;
- сроки и лица, ответственные за исполнение принятых решений.
4.5. После подписания протокола ПДТК УСО в письменной форме, с учетом сроков, установленных в протоколе ПДТК для планирования работ по защите ИГТ, уточняет у руководителя структурного подразделения администрации города Иркутска, указанного в п. 4.2 настоящего Регламента следующие сведения:
- адреса и номера помещений, в которых планируется создать ЗОИ;
- состав технических средств ЗОИ (системный блок, блок бесперебойного питания, монитор, клавиатура, манипулятор "мышь", принтер и т.п.), включая наименование производителя, модель и серийный номер;
- состав общесистемного и прикладного программного обеспечения (Microsoft Windows 7, Microsoft Office 2010 и т.п.);
- подробное описание технологического процесса обработки информации на ЗОИ (количество пользователей, их права доступа к ИГТ, наличие сменных носителей информации и т.п.);
- общая схема ЗОИ с указанием каналов передачи ИГТ;
- характеристики информационной безопасности ЗОИ в зависимости от его предназначения и обрабатываемой ИГТ;
- специфика технологического процесса обработки информации на ЗОИ;
- перечень работников администрации города Иркутска для допуска к работе на ЗОИ с указанием их должностей.
4.6. До момента обработки информации, составляющей государственную тайну, все ЗОИ должны пройти аттестацию по требованиям безопасности информации, составляющей государственную тайну (далее - аттестация) с целью подтверждения эффективности применяемых технических и/или организационных решений, направленных на обеспечение ее защиты.
4.7. Органом по аттестации объектов информатизации (юридическим лицом, имеющим аттестат аккредитации органа по аттестации, выданный Федеральной службой по техническому и экспортному контролю Российской Федерации) совместно с работниками УСО не реже одного раза в год проводятся контрольные проверки аттестованных ЗОИ и один раз в три года - переаттестация.
4.8. Приобретение технических средств, предназначенных для обработки ИГТ, осуществляется ДИ на основании решений, принятых ПДТК либо на основании поступившей на имя начальника ДИ в письменном виде заявки от руководителя структурного подразделения администрации города Иркутска с обоснованием необходимости приобретения таких технических средств, согласно распоряжению администрации города Иркутска от 14.12.2012 № 031-10-1447/12 "Об утверждении Положения об организации приобретения, учета, эксплуатации и технического обслуживания средств вычислительной и организационной техники в администрации города Иркутска".
4.9. Технические средства иностранного производства, предназначенные для обработки ИГТ, а также технические средства, содержащие в своем составе комплектующие иностранного производства, дополнительно должны пройти специальные исследования и специальную проверку на отсутствие в их составе электронных устройств, предназначенных для негласного получения информации. Проекты договоров (контрактов) на приобретение уже прошедших специальные исследования и специальную проверку технических средств в обязательном порядке подлежат согласованию с УСО. Специальные исследования и специальная проверка технических средств, не прошедших специальные исследования и специальную проверку, проводятся на основании договора (контракта), заключаемого между администрацией города Иркутска в лице УСО и организацией, имеющей соответствующие лицензии и аттестаты аккредитации. В этом случае расходы на проведение таких работ планируются УСО заранее на очередной календарный год до 1 сентября текущего года на основании письменной заявки от начальника ДИ, в которой подробно указываются технические характеристики и составляющие приобретаемых технических средств, а также класс ЗОИ, в состав которого планируется включить приобретаемые технические средства и его предназначение.
4.10. При проведении технического обслуживания и ремонта на ЗОИ допуск работников сервисных (ремонтных) организаций осуществляется на основании разрешения мэра города Иркутска при наличии у них соответствующего допуска к государственной тайне и предписания на осуществление работ (услуг).
4.11. При проведении технического обслуживания и ремонта ЗОИ запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения ИГТ. Вышедшие из строя элементы и блоки хранения и накопления ИГТ заменяются на элементы и блоки, прошедшие специальные исследования и специальную проверку, при этом осуществляется контроль эффективности защиты информации от утечек по техническим каналам и проводится переаттестация ЗОИ.
4.12. Самостоятельный вход в помещения, в которых производится работа с ИГТ, разрешается постоянно работающим в нем работникам по спискам, утверждаемым мэром города Иркутска (в его отсутствие - вице-мэром города Иркутска), согласованным с начальником УСО.
4.13. К работе с ИГТ на ЗОИ допускаются работники, имеющие соответствующую категории ЗОИ форму допуска к государственной тайне.
4.14. Подробный состав и содержание организационно-технических мероприятий по защите ИГТ в зависимости от ее вида определяется в специально разрабатываемых УСО организационно-распорядительных и технических документах (положениях, руководствах, инструкциях и т.п.).
4.15. Эксплуатация ЗОИ осуществляется в строгом соответствии с разрабатываемыми УСО документами на каждый ЗОИ, а также установленными требованиями в процессе аттестации ЗОИ, решениями, принятыми на заседании ПДТК, требованиями настоящего Регламента.
Начальник управления
специального обеспечения
администрации города Иркутска
Б.В.КУРЧИНСКИЙ
------------------------------------------------------------------