О ПОРЯДКЕ ОБРАЩЕНИЯ СО СЛУЖЕБНОЙ ИНФОРМАЦИЕЙ ОГРАНИЧЕННОГО ДОСТУПА В ГОСУДАРСТВЕННОЙ ИНСПЕКЦИИ ПО ВЕТЕРИНАРИИ НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА от 05 июля 2017

Действующий

ГОСУДАРСТВЕННАЯ ИНСПЕКЦИЯ ПО ВЕТЕРИНАРИИ НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА

ПРИКАЗ

от 5 июля 2017 года N 13

О ПОРЯДКЕ ОБРАЩЕНИЯ СО СЛУЖЕБНОЙ ИНФОРМАЦИЕЙ ОГРАНИЧЕННОГО ДОСТУПА В ГОСУДАРСТВЕННОЙ ИНСПЕКЦИИ ПО ВЕТЕРИНАРИИ НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА

(в редакции приказов Госинспекции по ветеринарии Ненецкого автономного округа от 11.07.2017 N 14, от 08.12.2017 N 18)

В целях установления единых требований к обращению со служебной информацией ограниченного доступа в Государственной инспекции по ветеринарии Ненецкого автономного округа в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и подпунктом 12 пункта 11 Положения о Государственной инспекции по ветеринарии Ненецкого автономного округа, утвержденного постановлением Администрации Ненецкого автономного округа от 27.06.2013 N 260-п, приказываю:

(в ред. приказа Госинспекции по ветеринарии Ненецкого автономного округа от 08.12.2017 N 18)

1. Утвердить:

1) Положение о порядке обращения со служебной информацией ограниченного доступа в Государственной инспекции по ветеринарии Ненецкого автономного округа согласно Приложению 1;

2) Инструкцию по обработке информации ограниченного доступа с использованием средств вычислительной техники в Государственной инспекции по ветеринарии Ненецкого автономного округа согласно Приложению 2;

3) Примерный перечень служебной информации ограниченного доступа в Государственной инспекции по ветеринарии Ненецкого автономного округа согласно Приложению 3.

2. Функции по ведению учетных форм документов, содержащих служебную информацию ограниченного доступа, а также функции по ведению журналов учета съемных машинных носителей информации, содержащих служебную информацию ограниченного доступа, возлагаются на должностных лиц Государственной инспекции по ветеринарии Ненецкого автономного округа распоряжениями Государственной инспекции по ветеринарии Ненецкого автономного округа.

(в ред. приказа Госинспекции по ветеринарии Ненецкого автономного округа от 08.12.2017 N 18)

3. Настоящий приказ вступает в силу со дня его официального опубликования.

Начальник Государственной
инспекции по ветеринарии
Ненецкого автономного округа
А.В.АНТОНОВ

Приложение 1
к приказу Государственной инспекции по
ветеринарии Ненецкого автономного округа
от 05.07.2017 N 13
"О порядке обращения со служебной информацией
ограниченного доступа в Государственной инспекции
по ветеринарии Ненецкого автономного округа"

ПОЛОЖЕНИЕ О ПОРЯДКЕ ОБРАЩЕНИЯ СО СЛУЖЕБНОЙ ИНФОРМАЦИЕЙ ОГРАНИЧЕННОГО ДОСТУПА В ГОСУДАРСТВЕННОЙ ИНСПЕКЦИИ ПО ВЕТЕРИНАРИИ НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА

(в ред. приказа Госинспекции по ветеринарии Ненецкого автономного округа от 11.07.2017 N 14)

Раздел I Общие положения

1. Настоящее Положение, разработанное в соответствии с Федеральными законами от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон от 27.07.2006 N 149-ФЗ) и 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон от 27.07.2006 N 152-ФЗ), определяет общий порядок обращения с документами на различных носителях информации, в том числе с электронными документами и сообщениями, содержащими служебную информацию ограниченного доступа, не отнесенную к сведениям, составляющим государственную тайну (далее - служебная информация ограниченного доступа), в Государственной инспекции по ветеринарии Ненецкого автономного округа (далее также - Инспекция).

2. К служебной информации ограниченного доступа в Инспекции относится служебная информация, не отнесенная к сведениям, составляющим государственную тайну, используемая в деятельности Инспекции, к которой нет свободного доступа на основании требований федеральных законов, обладающая действительной или потенциальной ценностью в силу ее неизвестности лицам, не имеющим права доступа к ней, и по отношению к которой в Инспекции принимаются правовые, организационные, технические и иные меры защиты информации.

3. Примерный перечень служебной информации ограниченного доступа в Инспекции (далее - Примерный перечень) утверждается приказом Инспекции.

Сведения, не включенные в Примерный перечень, могут быть отнесены к служебной информации ограниченного доступа в случае если это не противоречит требованиям законодательства Российской Федерации и не нарушает права граждан на доступ к информации.

4. Не может быть ограничен доступ к:

нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

информации о состоянии окружающей среды;

информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

5. В настоящем Положении используются следующие основные понятия:

носители сведений, содержащих служебную информацию ограниченного доступа (носители служебной информации ограниченного доступа) - материальные объекты, в том числе физические поля, в которых информация ограниченного доступа находит свое отображение в виде символов, образов, сигналов, технических решений и процессов;

съемный машинный носитель информации - сменный носитель данных, предназначенный для записи и считывания данных, представленных в стандартных кодах (гибкие магнитные диски, оптические (лазерные) компакт-диски, внешние жесткие диски, USB-флеш-накопители, магнитные ленты и др.);

учетные формы - книги, журналы, реестры и карточки учета (регистрации) документов, которые ведутся в делопроизводстве, а также компьютерные программно-технические средства и системы электронного учета документооборота;

техническая защита информации - защита (не криптографическими методами) служебной информации ограниченного доступа от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования;

контролируемая зона - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств;

защищаемые помещения - кабинеты, предназначенные для проведения совещаний, связанных с обсуждением служебной информации ограниченного доступа;

средство защиты информации - техническое, программное средство, предназначенное (используемое) для защиты служебной информации ограниченного доступа;

средство вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Иные понятия, используемые в настоящем Положении, применяются в значениях, определенных Федеральным законом от 27.07.2006 N 149-ФЗ и Федеральным законом от 27.07.2006 N 152-ФЗ.

6. Ответственность за организацию порядка обращения со служебной информацией ограниченного доступа в Инспекции возлагается на начальника Инспекции.

7. В Инспекции назначаются государственные гражданские служащие, ответственные за соблюдение порядка обращения со служебной информацией ограниченного доступа.

8. Техническую защиту служебной информации ограниченного доступа в Инспекции обеспечивает Казенное учреждение Ненецкого автономного округа "Ненецкий информационно-аналитический центр".

9. Для оказания услуг в области защиты служебной информации ограниченного доступа Инспекции могут привлекаться юридические лица и индивидуальные предприниматели, имеющие лицензии на этот вид деятельности в случаях, предусмотренных Федеральным законом от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности".

10. В случае изменения структуры Инспекции решение о дальнейшем использовании носителей служебной информации ограниченного доступа, имеющихся в структурных подразделениях Инспекции, принимает комиссия, создаваемая распоряжением Инспекции.

Раздел II Техническая защита служебной информации ограниченного доступа

11. Техническая защита служебной информации ограниченного доступа в Инспекции осуществляется в соответствии с законодательством Российской Федерации, стандартами и иными правовыми актами Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) в области защиты информации, а также настоящим Положением.

12. В целях подтверждения эффективности системы защиты информации, реализованной в защищаемых помещениях, проводится их аттестация на соответствие требованиям безопасности информации.

Аттестация защищаемых помещений проводится в соответствии со Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 N 282, национальными стандартами ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний".

Проведение аттестации защищаемых помещений организуется до их ввода в эксплуатацию с привлечением юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Последующая аттестация защищаемых помещений проводится не реже одного раза в 3 года.

13. Программа аттестационных испытаний защищаемых помещений согласовывается с сектором защиты информации Аппарата Администрации Ненецкого автономного округа.

14. Ввод в эксплуатацию защищаемого помещения осуществляется после его аттестации по требованиям безопасности информации на основании выданного аттестата соответствия.

Решение о вводе в эксплуатацию защищаемого помещения оформляется в форме распоряжения Инспекции.

15. Создание систем защиты персональных данных, обрабатываемых в информационных системах персональных данных Инспекции, осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119 (далее - Требования к защите персональных данных), Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 N 21.

Обеспечение безопасности персональных данных при их обработке в государственных информационных системах Инспекции (далее - ГИС) осуществляется в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11.02.2013 N 17 (далее - Требования о защите информации) и Требованиями к защите персональных данных.

При обработке персональных данных в ГИС должно быть обеспечено соответствующее соотношение класса защищенности ГИС с уровнем защищенности персональных данных в соответствии с пунктом 27 Требований о защите информации. В случае если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности ГИС, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований о защите информации.

16. Уровень защищенности персональных данных, обрабатываемых в информационной системе персональных данных Инспекции, устанавливается комиссией по классификации информационных систем персональных данных Инспекции в соответствии с Требованиями к защите персональных данных и оформляется актом.

Класс защищенности ГИС, в которой обрабатываются персональные данные, устанавливается комиссией по классификации информационных систем персональных данных Инспекции в соответствии с пунктом 14.2 Требований о защите информации и оформляется актом классификации.

Комиссия по классификации информационных систем персональных данных Инспекции создается распоряжением Инспекции.

17. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ.

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Определение типов угроз безопасности персональных данных, актуальных для информационной системы, производится в соответствии с пунктом 7 Требований к защите персональных данных.

Для выбора и реализации в ГИС мер защиты информации в соответствии с пунктом 21 Требований о защите информации применяется "Методический документ. Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11.02.2014. По решению Инспекции данный документ применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 N 21.

18. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится до ввода в эксплуатацию информационной системы персональных данных Инспекции самостоятельно или с привлечением юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

После ввода в эксплуатацию информационной системы персональных данных оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится не реже одного раза в 3 года.

Решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается Инспекцией самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.

Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения".

В случае обработки персональных данных в ГИС оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации ГИС по требованиям защиты информации в соответствии с Требованиями о защите информации, национальными стандартами ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний". Аттестация ГИС по требованиям защиты информации проводится не реже одного раза в 3 года.

Раздел III Передача служебной информации ограниченного доступа по каналам связи

19. Передача речевой служебной информации ограниченного доступа по открытым проводным каналам связи в Инспекции допускается только в пределах контролируемой зоны с использованием внутренней автоматической телефонной станции.

Передача речевой служебной информации ограниченного доступа по радиоканалам, в том числе с использованием мобильных телефонов сотовой связи, и по открытым проводным каналам связи, выходящим за пределы контролируемой зоны, запрещается.

При необходимости такой передачи используются защищенные линии связи, устройства скремблирования или криптографической защиты. Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.

20. Для передачи служебной информации ограниченного доступа, обрабатываемой в автоматизированных системах, по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.

Этот документ входит в профессиональные
справочные системы «Кодекс» и «Техэксперт»