7. Лицом, ответственным за обеспечение защиты информации в структурном подразделении Администрации города Омска, наделенном правами юридического лица, и в учреждениях (далее - подразделение) приказом (распоряжением) руководителя подразделения назначается работник, в функции которого входят вопросы обеспечения информационной безопасности, контроль за соблюдением норм и правил обработки информации в подразделении, планирование и организация работ по защите информации, организация обучения пользователей правилам работы на средствах вычислительной техники.
8. Руководителем подразделения для каждой эксплуатируемой в подразделении информационной системы (сегмента) назначается администратор безопасности информационной системы, ответственный за защиту информационной системы (сегмента) от несанкционированного доступа к информации.
9. Ответственный за эксплуатацию информационной системы назначается руководителем из числа работников подразделения и обеспечивает правильное использование и функционирование системы защиты информации.
10. Для структурных подразделений Администрации города Омска, не наделенных правами юридического лица, администратор безопасности информационной системы и ответственный за эксплуатацию информационной системы назначается из числа работников управления делами Администрации города Омска.
11. Меры защиты информации информационной системы (сегмента) определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации, в соответствии с нормативными правовыми актами Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) и Федеральной службы безопасности Российской Федерации.
Классификацию информационной системы проводит комиссия по классификации информационной системы, созданная в подразделении. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы. Класс защищенности определяется для информационной системы в целом и при необходимости для ее отдельных сегментов. Класс защищенности сегмента не должен быть выше класса защищенности центрального сегмента информационной системы. Результаты классификации информационной системы (сегмента) оформляются актом классификации, который утверждается руководителем подразделения.
Для проведения классификации необходимо руководствоваться постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также приказом ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
Модель угроз безопасности информации разрабатывается подразделением на основе определения угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе (сегменте), и утверждается руководителем подразделения в соответствии с Методикой оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 года.
(в ред. Постановления Администрации города Омска от 01.07.2021 N 405-п)
Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы (сегмента), возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
12. Обеспечение защиты информации осуществляется с помощью комплекса организационных и технических мер.
13. К организационным мерам обеспечения защиты информации относятся:
1) разработка и утверждение в подразделении следующих организационно-распорядительных документов по защите информации информационной системы (сегмента):