Точный
Действующий
Текст

УПРАВЛЕНИЕ АЛТАЙСКОГО КРАЯ ПО ПРОМЫШЛЕННОСТИ И ЭНЕРГЕТИКЕ

ПРИКАЗ

от 09 августа 2012 года N 34/88-ап

Об утверждении Положения о порядке организации проведения работ по защите конфиденциальной информации

Во исполнении Федерального закона "Об информации, информационных технологиях и о защите информации от 27 июля 2006 г. N 149-ФЗ, а также иных нормативно-правовых актов в сфере защиты конфиденциальной информации и в целях проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике

ПРИКАЗЫВАЮ:

1. Утвердить прилагаемое Положение о порядке организации проведения работ по защите конфиденциальной информации.

2. Ознакомить работников Управления, допущенных к сведениям, содержащим конфиденциальную информацию, с настоящим приказом.

3. Контроль за исполнением настоящего приказа возложить на заместителя начальника управления, начальника экспертно-аналитического отдела в сфере энергетики управления Алтайского края по промышленности и энергетике.

Начальник управления В.А. Мещеряков

Утверждено
приказом управления
Алтайского края
по промышленности и энергетике
от "09" августа 2012 г. N 34/88-ап

ПОЛОЖЕНИЕ о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике

Глава 1. Общие положения


1.1. Положение о порядке организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике (далее - Положение) устанавливает порядок организации проведения работ по защите конфиденциальной информации в управлении Алтайского края по промышленности и энергетике (далее - Управление), определяет виды информационных ресурсов ограниченного доступа компьютерных информационных систем (далее - КИС) в Управлении, а также порядок категорирования этих ресурсов.

1.2. Положение устанавливает основные принципы и организационную структуру системы категорирования информационных ресурсов в Управлении, организованных в виде файлов и баз данных, формируемых, накапливаемых и обрабатываемых в КИС, а также в автономных информационных системах.

1.3.Положение определяет порядок организации доступа пользователей (в Управлении) к информационным ресурсам на основе введения категорий допуска.

1.4. Целью настоящего Положения является:

укрепление механизмов правового регулирования отношений в области защиты конфиденциальной информации;

создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

защита информационных ресурсов от несанкционированного доступа (далее - НСД), обеспечение безопасности информационных и телекоммуникационных систем как уже развернутых, так и создаваемых.

1.5. Настоящее Положение основывается на Конституции Российской Федерации, Федеральном законе "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г. N 149-ФЗ, а также ряде иных нормативных правовых актов в сфере защиты конфиденциальной информации.

1.6. Действие настоящего Положения не распространяется на автоматизированные информационные системы хранения и обработки информации, содержащей сведения, составляющие государственную тайну.

Глава 2. Основные понятия, используемые в настоящем Положении


2.1. В настоящем Положении используются следующие основные понятия:

автоматизированная система (далее - АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;

администратор безопасности - ответственное должностное лицо, уполномоченное установленным порядком на проведение работ в области защиты информации и поддержание уровня защиты объекта информатизации и его ресурсов на этапах эксплуатации данного объекта в установленном штатном режиме работы;

безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами;

владелец информации - субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах правомочий, установленных законом и/или собственником информации;

доступ к информации (доступ) -

1) получение субъектом возможности ознакомления с информацией, в том числе с помощью технических средств;

2) ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации;

доступность информации - состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;

защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;

защита от НСД - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил;

защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к защищаемой информации и получения защищаемой информации;

защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями действующего законодательства;

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

категорирование защищаемой информации (объекта защиты) - установление градаций важности защиты защищаемой информации (объекта защиты);

коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

охраняемые сведения - сведения, составляющие государственную, служебную, коммерческую или личную тайну, на распространение которых накладываются ограничения в установленном порядке;

пользователь информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением;

правило доступа к информации (правило доступа) - совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям;

собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение, пользование и распоряжение указанными объектами;

целостность информации - устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.

Глава 3. Понятие и состав конфиденциальной информации


3.1.1. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию (публикации, сообщения в средствах массовой информации, выступления на конференциях и выставках, интервью и т.п.), а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа) и другими нормативно-правовыми актами.

3.1.2. Информация ограниченного доступа включает в себя:

информацию, составляющую государственную тайну (секретную), защита которой осуществляется в соответствии с законодательством Российской Федерации о государственной тайне;

конфиденциальную информацию.

3.1.3. К сведениям конфиденциального характера относятся:

сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

сведения, составляющие тайну следствия и судопроизводства;

служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и т.д.);

сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

сведения о существе изобретения, полезной модели, промышленного образца до официальной публикации информации о них.

3.1.4. Состав сведений, относящихся к служебной тайне, регламентируется специальным перечнем, который утверждается начальником Управления.

3.1.5. Носители информации, составляющей служебную тайну, могут иметь гриф ограничения доступа "Для служебного пользования". Часто он сопровождается пометами "Лично", "Не для печати", "Не подлежит оглашению", "Только адресату" и др.

3.1.6. Информация ограниченного доступа, не содержащая сведений, отнесенных к государственной тайне, должна иметь гриф конфиденциальности.

3.1.7. При организации защиты конфиденциальных сведений необходимо четко регламентировать:

перечень сведений конфиденциального характера специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса Управления;

процедуру допуска сотрудников к сведениям, составляющим служебную, коммерческую или другую тайну;

обязанности исполнителей, допущенных к сведениям, которые составляют служебную, коммерческую или другую тайну;

правила обращения (делопроизводство, учет, хранение, размножение и т.д.) с документами;

правила доступа (передачи) к информации иных лиц;

ответственность за разглашение сведений, оставляющих служебную, коммерческую или другую тайну.

Виды конфиденциальной информации в управлении Алтайского края по промышленности и энергетике


3.2.1. В автоматизированных системах Управления может обрабатываться информация следующих видов:

сведения, составляющие государственную тайну;

сведения, составляющие служебную тайну;

сведения, составляющие коммерческую тайну;

персональные данные;

открытая информация;

открытая общедоступная информация.

3.2.2. Сведения, составляющие государственную тайну, обрабатываются в автоматизированных системах на базе автономных персональных ЭВМ и в рамках Положения не рассматриваются.

3.2.3. Сведения, составляющие служебную тайну, могут включать служебную предметную информацию и служебную технологическую информацию, представляющую идентификаторы и пароли пользователей, настройки межсетевых экранов и т.д.

3.2.4. Служебная предметная информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями федерального законодательства и руководящего документа Федеральной службы по техническому и экспортному контролю "Специальные требования и рекомендации по технической защите конфиденциальной информации" (далее - ФСТЭК "СТР-К").

3.2.5. Служебная технологическая информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями нормативных правовых документов по обеспечению информационной безопасности и защите информации в автоматизированных системах Управления.

3.2.6. Сведения, составляющие коммерческую тайну, могут быть отнесены к сведениям, составляющим служебную тайну с обеспечением их защиты на уровне требований, применяемых к защите служебной тайны, или рассматриваться как коммерческая тайна с обеспечением их защиты на уровне требований Федерального закона от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне".

3.2.7. Обеспечение защиты персональных данных должно обеспечиваться в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и РД ФСТЭК России.


Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»