ГЛАВНОЕ УПРАВЛЕНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СВЯЗИ ОМСКОЙ ОБЛАСТИ

ПРИКАЗ

от 28 октября 2015 года N 39

ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ ОМСКОЙ ОБЛАСТИ

____________________________________________________________________
Утратил силу на основании Приказа Министерства промышленности и научно-технического развития Омской области от 31.10.2022 N 6.
____________________________________________________________________

В соответствии пунктом 1 распоряжения Губернатора Омской области от 1 октября 2015 года N 244-р "О политике информационной безопасности органов исполнительной власти Омской области":

Утвердить политику информационной безопасности органов исполнительной власти Омской области согласно приложению к настоящему приказу.

Начальник Главного управления
М.Ю.Сушков

     




Приложение
к приказу Главного управления
информационных технологий и
связи Омской области
от 28 октября 2015 года N 39

 ПОЛИТИКА информационной безопасности органов исполнительной власти Омской области

1. Общие положения

1. Понятия и термины, применяемые в настоящей политике, используются в значениях, установленных:

1) Доктриной информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 года N Пр-1895;

2) Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

3) Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

4) постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

5) постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

6) постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

7) приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

8) приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

9) ГОСТ Р ИСО/МЭК 27002-2012 "Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности";

10) ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию";

11) ГОСТ Р ИСО/МЭК 27000-2012 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология".

2. Политика предназначена для обеспечения общих основ информационной безопасности и выбора практических мероприятий по обеспечению и управлению информационной безопасностью в органах исполнительной власти Омской области (далее - органы власти) и их подведомственных учреждениях (далее - учреждения).

3. Органы власти и учреждения обязаны соблюдать требования настоящей политики и законодательства Российской Федерации в сфере информационной безопасности.

4. Работники органов власти и учреждений, ответственные за информационную безопасность, разрабатывают организационно-распорядительную документацию, дополняющую данную политику.

2. Объекты защиты

5. Объектами защиты являются: информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.

3. Цели и задачи обеспечения информационной безопасности

6. Целью политики информационной безопасности является обеспечение непрерывности работы органов власти и учреждений при выполнении своих полномочий и функций.

7. Указанная цель достигается посредством обеспечения и постоянного поддержания следующих основных свойств объектов защиты:

1) конфиденциальность;

2) целостность;

3) доступность.

8. Необходимый уровень конфиденциальности, целостности и доступности обеспечивается соответствующими множеству значимых факторов, воздействующих на безопасность информации, мерами и средствами обеспечения информационной безопасности.

9. Задачами политики информационной безопасности являются:

1) организация системы менеджмента информационной безопасности;

2) своевременное выявление, оценка и прогнозирование факторов, воздействующих на безопасность информации, причин и условий, способствующих нарушению нормального функционирования информационных систем органов власти и учреждений;

3) создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;

4) создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения информационной безопасности;

5) защита от несанкционированного доступа к объектам защиты;

6) защита от несанкционированной модификации используемых в информационных системах органов власти и учреждений программных средств, а также защита информационных систем от внедрения несанкционированных программ, включая компьютерные вирусы;

7) определение основных принципов информационной безопасности;

8) определение мер и средств обеспечения информационной безопасности.

10. Поставленные цели и решение задач достигаются:

1) строгим учетом всех объектов защиты;

2) категорированием и классификацией информационных систем и ресурсов для обеспечения защиты на надлежащем уровне;

3) регистрированием действий работников органов власти и учреждений, осуществляющих обслуживание объектов защиты;

4) распределением обязанностей по обеспечению информационной безопасности. Полномочия работников должны быть четко определены и закреплены должностными регламентами (инструкциями), в том числе в служебных контрактах (трудовых договорах) с работниками органов власти и учреждений;

5) выполнением всеми пользователями информационных систем органов власти и учреждений требований организационно-распорядительных документов по вопросам обеспечения информационной безопасности;

6) персональной ответственностью за свои действия каждого работника, имеющего доступ к объектам защиты органов власти и учреждений, в рамках своих функциональных обязанностей;

7) повышением квалификации работников, ответственных за защиту информации в органах власти и учреждениях;

8) полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов органов власти и учреждений по вопросам обеспечения информационной безопасности;

9) систематической оценкой рисков;

10) непрерывным поддержанием необходимого уровня информационной безопасности органов власти и учреждений;

11) применением физических и технических (программно-аппаратных) средств защиты информационных ресурсов органов власти и учреждений;

12) эффективным контролем над соблюдением пользователями информационных ресурсов требований по обеспечению информационной безопасности.

4. Система менеджмента информационной безопасности

11. Система менеджмента информационной безопасности предназначена для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы защиты информации в органах власти и учреждениях при выполнении своих функций.

12. Основные принципы системы менеджмента информационной безопасности:

1) понимание необходимости системы информационной безопасности;

2) назначение ответственности за информационную безопасность;

3) создание административных обязанностей работников органов власти и учреждений, ответственных за обеспечение информационной безопасности;

4) оценка риска, определяющая соответствующие меры и средства контроля и управления информационной безопасностью;

5) обеспечение комплексного подхода к менеджменту информационной безопасности;

6) выявление и предупреждение инцидентов информационной безопасности;

7) непрерывная переоценка и соответствующая модификация системы информационной безопасности.

13. Для непосредственной организации и эффективного функционирования системы менеджмента информационной безопасности, исключающей возможные конфликты интересов, в органах власти целесообразно создать подразделение или назначить лицо, ответственное за обеспечение информационной безопасности, и возложить на него решение следующих основных задач:

1) реализация политики информационной безопасности, определение требований к системе защиты информации;

2) анализ текущего состояния обеспечения информационной безопасности;

3) организация мероприятий и координация работ по защите информации всех подразделений органов власти и учреждений;

4) контроль и оценка эффективности применяемых мер и средств защиты информации.

14. Основными функциями подразделений (лиц), ответственных за обеспечение информационной безопасности органов власти и учреждений, являются:

1) формирование требований к системам защиты в процессе создания и дальнейшего развития существующих объектов защиты;

2) подготовка решений по обеспечению конфиденциальности, целостности, доступности объектов защиты;

3) участие в проектировании систем защиты, их испытаниях и приемке в эксплуатацию;

4) обеспечение функционирования установленных систем защиты информации, включая управление криптографическими системами;

5) разграничение доступа пользователей к объектам защиты;

6) наблюдение за функционированием системы защиты и ее элементов;

7) проверка надежности функционирования системы защиты;

8) разработка мер нейтрализации моделей возможных атак;

9) обучение работников правилам безопасной обработки информации;

10) контроль соответствия действий администраторов и пользователей установленным правилам обращения с информацией;

11) участие по указанию руководства в служебной проверке по фактам нарушения правил обращения с информацией и оборудованием в учреждениях в соответствии с законодательством Российской Федерации;

12) сбор, накопление, систематизация и обработка информации по вопросам информационной безопасности.

5. Факторы, воздействующие на безопасность информации

15. Выявление и учет факторов, воздействующих на защищаемую информацию, составляют основу для планирования и проведения эффективных мероприятий по информационной безопасности.

16. Выявление факторов, воздействующих на безопасность информации, должно осуществляться с учетом следующих требований: