(с изменениями на 16 февраля 2024 года)
(в ред. Постановлений Администрации города Омска от 01.07.2021 N 405-п, от 05.04.2022 N 226-п, от 16.02.2024 N 126-п)
В целях обеспечения защиты информации, обрабатываемой в информационных системах Администрации города Омска, руководствуясь Федеральными законами "Об информации, информационных технологиях и о защите информации", "Об общих принципах организации местного самоуправления в Российской Федерации", Уставом города Омска, постановляю:
1. Утвердить Положение об обеспечении защиты информации, обрабатываемой в информационных системах Администрации города Омска, согласно приложению к настоящему постановлению.
2. Руководителям структурных подразделений Администрации города Омска обеспечить исполнение настоящего постановления.
3. Признать утратившими силу:
4. Пункт 5 постановления Мэра города Омска от 8 августа 2007 года N 660-п "О внесении изменений в отдельные правовые акты Мэра города Омска" исключить.
5. Пункт 1 постановления Администрации города Омска от 20 января 2016 года N 49-п "О внесении изменений в некоторые муниципальные правовые акты города Омска" исключить.
6. Контроль за исполнением настоящего постановления возложить на заместителя Мэра города Омска, руководителя Аппарата Мэра города Омска Ю.А. Казакова.
(п. 6 в ред. Постановления Администрации города Омска от 16.02.2024 N 126-п)
Мэр города Омска
О.Н.Фадина
ПОЛОЖЕНИЕ
об обеспечении защиты информации, обрабатываемой в информационных системах Администрации города Омска
(в ред. Постановления Администрации города Омска от 01.07.2021 N 405-п)
1. Настоящее Положение об обеспечении защиты информации, обрабатываемой в информационных системах Администрации города Омска (далее - Положение), разработано с целью определения единого порядка организации и проведения мероприятий по защите информации, обрабатываемой структурными подразделениями Администрации города Омска, муниципальными учреждениями города Омска (далее - учреждение).
2. Настоящее Положение определяет:
- основные цели защиты информации;
- меры по обеспечению защиты информации;
- порядок осуществления контроля за обеспечением защиты информации.
3. Действие настоящего Положения не распространяется на защиту сведений, составляющих государственную тайну.
4. Требования настоящего Положения обязательны для выполнения структурными подразделениями Администрации города Омска, учреждениями.
5. Основные понятия, используемые в настоящем Положении:
- информация - сведения (сообщения, данные) независимо от формы их представления;
- защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;
- обработка информации - вся совокупность действий (операций), включая сбор, ввод, запись, преобразование, считывание, хранение, уничтожение, регистрацию, передачу (распространение, предоставление, доступ), осуществляемых с помощью технических и программных средств;
- несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональным предназначениям и техническим характеристикам;
- информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
- сегмент информационной системы (далее - сегмент) - компонент (составная часть) информационной системы, предназначенный для обработки информации и решения функциональных задач;
- центральный сегмент информационной системы - компонент (составная часть) информационной системы, предназначенный для обеспечения взаимодействия сегментов информационной системы, включая возможность хранения основных баз данных;
- защищаемый ресурс информационной системы (сегмента) - техническое средство, узел сети, линия (канал) связи, программа, том, каталог, файл и иные объекты, доступ к которым регламентируется правилами разграничения доступа принятыми в информационной системе (сегменте);
- оператор информационной системы (сегмента) - подразделение, осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;
- пользователь информационной системы (сегмента) (далее - пользователь) - лицо, участвующее в функционировании информационной системы (сегмента) при обработке информации или использующее результаты ее функционирования;
- администратор безопасности информационной системы (сегмента) - лицо, ответственное за защиту информационной системы (сегмента) от несанкционированного доступа к информации;
- ответственный за эксплуатацию информационной системы (сегмента) - ответственное лицо, обеспечивающее правильное использование и функционирование системы защиты информации;
- информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
- контроллер домена - программно-аппаратный комплекс, предназначенный для организации работы пользователей и компьютеров в корпоративной локальной вычислительной сети;
- инцидент информационной безопасности - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
6. Основными целями защиты информации являются:
- исключение неправомерного: доступа, копирования, предоставления или распространения информации;
- исключение неправомерного уничтожения или модифицирования информации;
- исключение неправомерного блокирования информации.
7. Лицом, ответственным за обеспечение защиты информации в структурном подразделении Администрации города Омска, наделенном правами юридического лица, и в учреждениях (далее - подразделение) приказом (распоряжением) руководителя подразделения назначается работник, в функции которого входят вопросы обеспечения информационной безопасности, контроль за соблюдением норм и правил обработки информации в подразделении, планирование и организация работ по защите информации, организация обучения пользователей правилам работы на средствах вычислительной техники.
8. Руководителем подразделения для каждой эксплуатируемой в подразделении информационной системы (сегмента) назначается администратор безопасности информационной системы, ответственный за защиту информационной системы (сегмента) от несанкционированного доступа к информации.
9. Ответственный за эксплуатацию информационной системы назначается руководителем из числа работников подразделения и обеспечивает правильное использование и функционирование системы защиты информации.
10. Для структурных подразделений Администрации города Омска, не наделенных правами юридического лица, администратор безопасности информационной системы и ответственный за эксплуатацию информационной системы назначается из числа работников управления делами Администрации города Омска.
11. Меры защиты информации информационной системы (сегмента) определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации, в соответствии с нормативными правовыми актами Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) и Федеральной службы безопасности Российской Федерации.
Классификацию информационной системы проводит комиссия по классификации информационной системы, созданная в подразделении. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы. Класс защищенности определяется для информационной системы в целом и при необходимости для ее отдельных сегментов. Класс защищенности сегмента не должен быть выше класса защищенности центрального сегмента информационной системы. Результаты классификации информационной системы (сегмента) оформляются актом классификации, который утверждается руководителем подразделения.
Для проведения классификации необходимо руководствоваться постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
Модель угроз безопасности информации разрабатывается подразделением на основе определения угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе (сегменте), и утверждается руководителем подразделения в соответствии с Методикой оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 года.
(в ред. Постановления Администрации города Омска от 01.07.2021 N 405-п)
Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы (сегмента), возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.