АДМИНИСТРАЦИЯ ГОРОДА ИРКУТСКА

РАСПОРЯЖЕНИЕ

от 30 декабря 2010 года N 031-10-1285/10

О порядке организации и осуществления обработки и защиты конфиденциальной информации в администрации города Иркутска

(с изменениями на 25 мая 2012 года)

(в ред. распоряжения администрации г. Иркутска от 25.05.2012 N 031-10-535/12)

Руководствуясь Федеральным законом "Об информации, информационных технологиях и о защите информации", ст. 16 Федерального закона "Об общих принципах организации местного самоуправления в Российской Федерации", Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06.03.1997 N 188, Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными решением Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 N 282, ст.ст. 37, 38, 42 Устава города Иркутска:

1. Утвердить Положение о порядке организации и осуществления обработки и защиты конфиденциальной информации в администрации города Иркутска (приложение N 1).

2. Утвердить Перечень сведений конфиденциального характера, подлежащих защите в администрации г. Иркутска (приложение N 2).

3. Аппарату администрации г. Иркутска (Войцехович), комитету по жилищно-коммунальному хозяйству администрации города Иркутска (Николаев), комитету по экономике администрации г. Иркутска (Альмухамедов), комитету по бюджетной политике и финансам администрации г. Иркутска (Валиулина), комитету по градостроительной политике администрации г. Иркутска (Девочкин), комитету по социальной политике и культуре администрации г. Иркутска (Борисов), комитету по управлению муниципальным имуществом и потребительскому рынку администрации города Иркутска (Танкичева), комитетам по управлению округами администрации города Иркутска (Гришак, Алферьевский, Воронцов, Коноваленко), управлению по делам гражданской обороны и чрезвычайных ситуаций администрации г. Иркутска (Терновский), управлению по информационной политике, связям со средствами массовой информации и общественностью администрации г. Иркутска (Мавлюкеева), отделу мобилизационной подготовки и защиты информации администрации г. Иркутска (Курчинский):

(п. 3 в ред. распоряжения администрации г. Иркутска от 25.05.2012 N 031-10-535/12)

3.1. Довести настоящее распоряжение до сведения работников подведомственных структурных подразделений администрации г. Иркутска.

3.2. При организации и осуществлении обработки и защиты конфиденциальной информации в администрации г. Иркутска руководствоваться настоящим распоряжением.

4. Контроль за исполнением распоряжения возложить на начальника отдела мобилизационной подготовки и защиты информации администрации г. Иркутска Курчинского Б.В.

(п. 4 в ред. распоряжения администрации г. Иркутска от 25.05.2012 N 031-10-535/12)

Мэр города Иркутска
В.И.КОНДРАШОВ

Приложение N 1
к распоряжению
администрации г. Иркутска
от 30 декабря 2010 года
N 031-10-1285/10

ПОЛОЖЕНИЕ О ПОРЯДКЕ ОРГАНИЗАЦИИ И ОСУЩЕСТВЛЕНИЯ ОБРАБОТКИ И ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В АДМИНИСТРАЦИИ ГОРОДА ИРКУТСКА

(в ред. распоряжения администрации г. Иркутска от 25.05.2012 N 031-10-535/12)

1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

1.1. Автоматизированная система (АС) - система, состоящая из работников и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

1.2. Администратор защиты (безопасности) информации - уполномоченное лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа к информации.

1.3. Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами.

1.4. Вспомогательные технические средства и системы защищаемого объекта информатизации (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами защищаемого объекта информатизации или в защищаемых помещениях. К ним относятся:

- различного рода телефонные средства и системы;

- средства вычислительной техники;

- средства и системы передачи данных в системе радиосвязи;

- средства и системы охранной и пожарной сигнализации;

- средства и системы оповещения и сигнализации;

- контрольно-измерительная аппаратура;

- средства и системы кондиционирования;

- средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания; телевизоры и радиоприемники и т.д.);

- средства электронной оргтехники;

- средства и системы электрочасофикации.

1.5. Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

1.6. Доступ к информации (доступ) - возможность получения информации, ее использования, обработки, копирования, модификации или уничтожения.

1.7. Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

1.8. Защищаемые объекты информатизации (объекты защиты):

- средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения, созданные на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;

- технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные совместно с основными техническими средствами и системами защищаемого объекта информатизации или в защищаемых помещениях;

- защищаемые помещения.

1.9. Защищаемая информация - информация, циркулирующая в средствах вычислительной техники и связи, телекоммуникациях, а также другие информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, конфиденциальной информации или персональным данным, представленные в виде информативных акустических и электрических сигналов, физических полей, материальных носителей (в том числе: на магнитной и оптической основе), информационных массивов и баз данных.

1.10. Информация - сведения (сообщения, данные) независимо от формы их представления.

1.11. Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

1.12. Комплекс средств защиты - совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.

1.13. Конфиденциальная информация - информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством Российской Федерации.

1.14. Несанкционированный доступ (НСД) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств (понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем), предоставляемых средствами вычислительной техники или автоматизированными системами.

1.15. Основные технические средства и системы защищаемого объекта информатизации (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. К ним относятся:

- средства и системы информатизации (средства вычислительной техники, АС различного уровня и назначения, созданные на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), используемые для обработки конфиденциальной информации.

1.16. Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

1.17. Система защиты информации от НСД (СЗИ НСД) - комплекс организационных мер и программно-технических (при необходимости криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированной системе.

1.18. Средство криптографической защиты информации (СКЗИ) - средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

1.19. Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

1.20. Технический канал утечки информации - совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящее Положение разработано в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации", Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06.03.1997 N 188, Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными решением Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 N 282 и определяет порядок организации и осуществления обработки и защиты конфиденциальной информации в администрации г. Иркутска.

2.2. К конфиденциальной информации относится информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством Российской Федерации.

2.3. Настоящее Положение не распространяется на порядок организации и осуществления обработки и защиты информации, сведения которой составляют государственную тайну, и конфиденциальной информации, содержащей персональные данные в администрации г. Иркутска.

2.4. Отнесение информации к конфиденциальной осуществляется работниками и должностными лицами администрации г. Иркутска на основании Перечня сведений конфиденциального характера, подлежащих защите в администрации г. Иркутска.

2.5. Перечень сведений конфиденциального характера, подлежащих защите в администрации г. Иркутска, разрабатывается сектором защиты информации отдела мобилизационной подготовки и защиты информации администрации г. Иркутска (далее - сектор защиты информации) на основании запрашиваемой от структурных подразделений администрации г. Иркутска информации и утверждается распоряжением администрации г. Иркутска не реже чем один раз в пять лет.

(в ред. распоряжения администрации г. Иркутска от 25.05.2012 N 031-10-535/12)

2.6. Конфиденциальная информация, обладателем которой является администрация г. Иркутска, подлежит разглашению (распространению, размещению в открытых источниках или общедоступных сетях) в случае принятия соответствующего решения руководителем структурного подразделения администрации г. Иркутска, должностное лицо или работник которого ранее принял решение об отнесении информации к конфиденциальной, после снятия с нее пометки, свидетельствующей о конфиденциальности, в порядке, установленном настоящим Положением. Разглашение конфиденциальной информации либо информации с пометкой ("для служебного пользования", "банковская тайна", "коммерческая тайна" и т.п.), свидетельствующей о ее конфиденциальности, полученной администрацией г. Иркутска от федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, иных государственных органов и органов местного самоуправления, а также иных юридических лиц (далее - иные организации), осуществляется по письменному согласованию с руководителями этих организаций.

2.7. Передача конфиденциальной информации в иные организации, обладателем которой является администрация г. Иркутска, может осуществляться как на машинных носителях конфиденциальной информации, так и на документах, согласно разделу 3 настоящего Положения. Передача конфиденциальной информации, обладателем которой администрация г. Иркутска не является, в иные организации осуществляется по письменному согласованию с руководителем организации - обладателем конфиденциальной информации согласно разделу 3 настоящего Положения.

2.8. Конфиденциальная информация может размещаться в Корпоративной информационной вычислительной сети администрации г. Иркутска (КИВС) на основании письменной заявки руководителя соответствующего структурного подразделения администрации г. Иркутска, оформленной на имя заместителя председателя комитета - начальника департамента информатизации комитета по экономике администрации г. Иркутска (далее - департамент информатизации). В письменной заявке обязательно указывается, что данная информация является конфиденциальной, указывается пункт Перечня сведений конфиденциального характера, подлежащих защите в администрации г. Иркутска, согласно которому информация была отнесена к конфиденциальной. К письменной заявке прилагается перечень лиц, которым необходим доступ к размещаемой информации в КИВС, с указанием фамилии, имени, отчества, а также занимаемой должности каждого лица. Департамент информатизации обеспечивает конфиденциальность и строгое разграничение доступа к размещаемой в КИВС такого вида информации согласно перечню лиц, приложенному к письменной заявке.

(в ред. распоряжения администрации г. Иркутска от 25.05.2012 N 031-10-535/12)

2.9. В целях осуществления контроля работниками сектора защиты информации за размещаемой в КИВС информацией и информационными потоками в администрации г. Иркутска департамент информатизации письменно информирует начальника отдела мобилизационной подготовки и защиты информации администрации г. Иркутска (далее - ОМПЗИ) о каждом факте размещения конфиденциальной информации в КИВС с приложением копий документов, указанных в п. 2.9 настоящего Положения, в срок не позднее пяти рабочих дней с момента размещения конфиденциальной информации в КИВС.

(в ред. распоряжения администрации г. Иркутска от 25.05.2012 N 031-10-535/12)

2.10. ОМПЗИ могут быть определены дополнительные методы и способы защиты размещаемой в КИВС конфиденциальной информации, а также запрошены в письменной форме дополнительные сведения и пояснения о размещаемой в КИВС конфиденциальной информации у руководителя структурного подразделения администрации г. Иркутска, подготовившего в соответствии с п. 2.9 настоящего Положения письменную заявку на размещение конфиденциальной информации в КИВС.

(в ред. распоряжения администрации г. Иркутска от 25.05.2012 N 031-10-535/12)

2.11. В случае невыполнения требований п. 2.9 настоящего Положения размещение конфиденциальной информации в КИВС считается нарушением и приравнивается к разглашению такой информации.

2.12. Работники и должностные лица структурных подразделений администрации г. Иркутска допускаются к конфиденциальной информации в части, касающейся исполнения их должностных обязанностей. Перечни работников и должностных лиц структурных подразделений администрации г. Иркутска, допущенных к конфиденциальной информации, утверждаются распоряжениями (приказами) руководителей соответствующих структурных подразделений администрации г. Иркутска.

2.13. Безопасность конфиденциальной информации достигается путем исключения несанкционированного, в том числе случайного доступа к такой информации, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение, а также иные несанкционированные действия с ней.

2.14. Безопасность конфиденциальной информации обеспечивается с помощью системы защиты конфиденциальной информации, включающей организационные меры и средства защиты конфиденциальной информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки информации), а также используемые информационные технологии.

2.15. Для обеспечения безопасности конфиденциальной информации осуществляется защита речевой (звуковой) информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.