Об утверждении муниципальных
нормативно-правовых актов
в области обеспечения информационной безопасности
в органах местного самоуправления
Альметьевского муниципального района Республики Татарстан
В целях повышения информационной безопасности органов местного самоуправления Альметьевского муниципального района Республики Татарстан, в соответствии с протоколом заседания Совета Безопасности Республики Татарстан от 18 сентября 2013 года
ПОСТАНОВЛЯЮ:
1. Утвердить:
1) Перечень сведений конфиденциального характера соответствующего органов местного самоуправления Альметьевского муниципального района Республики Татарстан (Приложение 1);
2) Положение о категорировании информационных ресурсов органов местного самоуправления Альметьевского муниципального района Республики Татарстан (Приложение 2);
3) Положение о порядке обращения с информацией конфиденциального характера (Приложение 3);
4) Политика информационной безопасности Альметьевского муниципального района Республики Татарстан (Приложение 4);
5) Регламент доступа в помещения с серверным и телекоммуникационным оборудованием органов местного самоуправления Альметьевского муниципального района Республики Татарстан (Приложение 5);
6) Положение о специалисте по информационной безопасности органов местного самоуправления Альметьевского муниципального района Республики Татарстан (Приложение 6);
7) Положение о постоянно действующей технической комиссии органов местного самоуправления Альметьевского муниципального района Республики Татарстан (Приложение 7).
Глава района М.Х.Салихов
Приложение № 1
УТВЕРЖДЕН
Постановлением главы
Альметьевского муниципального района
от «____» __________ 20___ г. №_____
ПЕРЕЧЕНЬ
сведений конфиденциального характера органов местного самоуправления
Альметьевского муниципального района Республики Татарстан
1. Настоящий Перечень сведений конфиденциального характера (далее - Перечень) разработан в соответствии с Федеральными законами от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27 июля 2006 года № 152-ФЗ «О персональных данных», от 09 февраля 2009 года № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления».
2. В настоящем Перечне под служебной тайной понимаются несекретные сведения, касающиеся деятельности соответствующего органа местного самоуправления (Совета Альметьевского муниципального района Республики Татарстан, Исполнительного комитета Альметьевского муниципального района Республики Татарстан), ограничения на распространение которых диктуются служебной необходимостью (служебная информация ограниченного распространения).
3. На носителях информации, содержащих сведения, отнесенные к служебной тайне, проставляется пометка «Для служебного пользования».
4. В настоящий Перечень могут быть внесены дополнительные сведения, касающиеся сферы деятельности соответствующего органа местного самоуправления.
Перечень сведений конфиденциального характера
№
п/п
|
Наименование сведений
|
Примечание
|
1
|
2
|
3
|
1. Сведения по общим вопросам организации деятельности в соответствующем органе местного самоуправления
|
1
|
Сведения о содержании разрабатываемых соответствующим органом местного самоуправления проектов муниципальных нормативных актов, договоров и соглашений, постановлений и распоряжений главы
2
|
3
|
|
Альметьевского муниципального района, постановлений, распоряжений руководителя исполнительного комитета, методических документов
|
|
|
Сведения о предложениях соответствующего органа местного самоуправления в проекты республиканских законов, договоров и соглашений, постановлений и распоряжений главы Альметьевского муниципального
района, постановлений, распоряжений руководителя исполнительного комитета
|
|
|
Сведения, содержащиеся в документах по вопросам организации взаимодействия соответствующего органа местного самоуправления с другими органами
государственной власти
|
|
|
Сведения о номерах правительственной, закрытой, специальной, служебной, факсимильной, мобильной связи, используемых руководством соответствующего органа местного самоуправления
|
|
|
Сведения, раскрывающие отдельные вопросы организации, состояния пропускного или внутриобъектового режима в соответствующем органе местного самоуправления
|
|
|
Сведения об организации, состоянии, расположении инженерных систем, систем видеонаблюдения, пожарной и (или) охранной сигнализации территорий, зданий, помещений соответствующего органа местного самоуправления
|
|
|
Сведения, содержащиеся в заключениях о фактической осведомленности в сведениях, составляющих государственную тайну, сотрудника соответствующего органа местного самоуправления, в том числе уволенного, если указанные сведения не содержат конкретных обоснований
|
|
|
Сводные отчетные данные о практике применения соответствующим органом местного самоуправления законодательства об административных правонарушениях Российской Федерации
|
|
1
|
2
|
3
|
|
Перечень сведений, отнесенных к служебной тайне, соответствующего органа местного самоуправления
|
|
2. Сведения по вопросам технической защиты информации
|
|
Сведения об организации или фактическом состоянии защиты служебной информации ограниченного распространения в соответствующем органе местного самоуправления
|
|
|
Рекомендации по вопросам технической защиты служебной информации ограниченного распространения в соответствующем органе местного самоуправления
|
|
|
Сведения об организации и (или) содержании проводимых мероприятий по технической защите служебной информации ограниченного распространения в соответствующем органе местного самоуправления
|
|
|
Сведения, содержащиеся в планах проведения мероприятий по технической защите служебной информации ограниченного распространения в соответствующем органе местного самоуправления
|
|
|
Сведения, содержащиеся в требованиях по технической защите служебной информации ограниченного распространения и (или) о мерах по их выполнению в соответствующем органе местного самоуправления
|
|
|
Сведения, содержащиеся в первичных материалах контроля эффективности технической защиты служебной информации ограниченного распространения в соответствующем органе местного самоуправления
|
|
|
Сведения, содержащиеся в материалах по аттестации объектов информатизации
соответствующего органа местного самоуправления по требованиям безопасности
информации
|
|
3. Сведения по бухгалтерским и кадровым вопросам
|
1
|
Сведения о персональных данных сотрудника
соответствующего органа местного самоуправления: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное,
2
|
3
|
|
социальное, имущественное положение, образование, профессия, доходы, другая
информация, определяемая нормативными правовыми актами как защищаемая
|
|
|
Сведения о начисленных доходах сотрудников
соответствующего органа местного самоуправления
|
|
Руководитель
аппарата Совета района Р.А. Шайхатаров
Приложение № 2
УТВЕРЖДЕНО
постановлением главы
Альметьевского муниципального района
от «____» __________20___ г. № _____
ПОЛОЖЕНИЕ
о категорировании информационных ресурсов органов местного самоуправления Альметьевского муниципального района
Республики Татарстан
1. Общие положения
1.1 Настоящим Положением о категорировании информационных ресурсов (далее - Положение) вводятся категории информационных ресурсов и устанавливается порядок категорирования информационных ресурсов автоматизированных систем (далее - АС) соответствующего органа местного самоуправления, подлежащих защите.
Согласно Руководящему документу «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденному решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года, для проведения классификации АС соответствующего органа местного самоуправления необходимы следующие исходные данные:
- перечень защищаемых информационных ресурсов АС соответствующего органа местного самоуправления, подлежащих защите и уровень их конфиденциальности;
- перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
- матрица доступа или полномочий субъектов доступа по отношению к информационным ресурсам АС, подлежащих защите.
1.2. Категорирование информационных ресурсов АС является необходимым элементом организации работ по обеспечению информационной безопасности соответствующего органа местного самоуправления и имеет своими целями:
- создание основы для классификации АС соответствующего органа местного самоуправления;
- типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты информационных ресурсов по рабочим станциям (далее - РС) и серверам АС соответствующего органа местного самоуправления и унификацию вариантов настроек средств защиты.
2. Категории защищаемой информации
2.1. Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС соответствующего органа местного самоуправления, а также с учетом возможных путей нанесения ущерба соответствующему органу местного самоуправления вводится три категории конфиденциальности защищаемой информации.
2.2. Категории конфиденциальности защищаемой информации:
- «Строго Конфиденциальная» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего, а также информация, ограничения на распространения которой введены решениями руководства соответствующего органа местного самоуправления, разглашение которой может привести к нанесению тяжкого ущерба органу местного самоуправления;
- «Конфиденциальная» - к данной категории относится информация, не отнесенная к категории «Строго конфиденциальная», ограничение на распространение которой вводятся решением руководства соответствующего органа местного самоуправления в соответствии с предоставленными ему как собственнику либо уполномоченному собственником лицу информации действующим законодательством правами, разглашение которой может привести к нанесению ощутимого ущерба органу местного самоуправления;
- «Открытая» - к данной категории относится информация, обеспечения конфиденциальности которой не требуется.
2.3. Виды тайн:
- адвокатская тайна (Федеральный закон от 31 мая 2002 года №63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации»);
- банковская тайна (Федеральный закон от 02 декабря 1990 года № 395-1 «О банках и банковской деятельности»);
- врачебная тайна (Федеральный закон от 21 ноября 2011 года № 323-ФЗ «Об основах здоровья граждан в Российской Федерации»);
- персональные данные, личная и семейная тайна (Перечень сведений конфиденциального характера, утвержден Указом Президента РФ от 06 марта 1997 года № 188);
- служебная и коммерческая тайна Перечень сведений конфиденциального характера, утвержден Указом Президента РФ от 06 марта 1997 года № 188);
- тайна связи (Федеральный закон РФ от 07 июля 2003 года № 126-ФЗ «О связи»);
- тайна следствия и судопроизводства (Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 года № 174-ФЗ, Гражданский процессуальный кодекс Российской Федерации от 14 ноября 2002 года №138-ФЗ);
- тайна совещания судей (Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 года № 174-ФЗ, Гражданский процессуальный кодекс Российской Федерации от 14 ноября 2002 года №138-ФЗ).
3. Порядок определения категорий защищаемых
информационных ресурсов АС
3.1. Категорирование информационных ресурсов АС проводится на основе их инвентаризации согласно методике категорирования защищаемых информационных ресурсов (Приложение № 1 к настоящему Положению) и предполагает составление и последующее ведение, поддержание в актуальном состоянии перечня информационных ресурсов АС, подлежащих защите (Приложение 2 к настоящему Положению).
3.2. Ответственность за составление и ведение перечня информационных ресурсов АС, подлежащих защите (Приложение № 2 к настоящему Положению), перечня лиц, имеющих доступ к штатным средствам АС (Приложение № 3 к настоящему Положению), с указанием их уровня полномочий и матрицы доступа или полномочий субъектов доступа по отношению к информационным ресурсам АС, подлежащим защите (Приложение № 4 к настоящему Положению) соответствующего органа местного самоуправления, возлагается:
- в части составления и ведения перечней и матрицы доступа - на соответствующий отдел информационных технологий (специалиста) органа местного самоуправления;
- в части определения требований к обеспечению конфиденциальности и присвоения соответствующих категорий информационным ресурсам - на соответствующие подразделения органа местного самоуправления, которые непосредственно работают с информационными ресурсами, и специалиста по информационной безопасности органа местного самоуправления.
3.3. Контроль за правильностью категорирования информационных ресурсов АС органа местного самоуправления осуществляется соответствующим специалистом по информационной безопасности органа местного самоуправления.
3.4. Категорирование информационных ресурсов АС соответствующего органа местного самоуправления может осуществляться последовательно для каждой конкретной подсистемы АС в отдельности с последующим объединением и формированием единого перечня информационных ресурсов АС соответствующего органа местного самоуправления, подлежащих защите.
3.5. Изменение категории информационных ресурсов АС соответствующего органа местного самоуправления производится при изменении требований к обеспечению защиты свойств конфиденциальности соответствующей информации.
3.6. Периодически (раз в год) или по требованию руководителей структурных подразделений соответствующего органа местного самоуправления, использующих АС, производится пересмотр установленных категорий защищаемых информационных ресурсов АС соответствующего органа местного самоуправления на предмет их соответствия реальному положению дел.
4. Порядок пересмотра Положения
4.1. В случае внесения изменений и дополнений в Перечень информационных ресурсов, подлежащих защите, пересмотру с последующим утверждением подлежит Приложение 2.
4.2. Любой пересмотр настоящего Положения должен осуществляться на основании решения руководства соответствующего органа местного самоуправления.
Руководитель аппарата
Совета района Р.А. Шайхатаров
Приложение 1
к Положению о категорировании
информационных ресурсов
Методика
категорирования защищаемых информационных ресурсов
1. Настоящая Методика уточняет порядок проведения работ по категорированию информационных ресурсов АС соответствующего органа местного самоуправления, подлежащих защите, в соответствии с Положением о категорировании информационных ресурсов.
2. Категорирование предполагает проведение работ по выявлению и анализу всех информационных ресурсов подсистем АС соответствующего органа местного самоуправления, подлежащих защите.
3. Для проведения анализа всех подсистем АС соответствующего органа местного самоуправления и проведения инвентаризации информационных ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются соответствующие специалисты информационных технологий информационной безопасности и других подразделений органа местного самоуправления (осведомленные в вопросах технологии автоматизированной обработки информации в АС соответствующего органа местного самоуправления). Для придания необходимого статуса рабочей группе издается соответствующее распоряжение руководства органа местного самоуправления, в котором, в частности, даются указания всем начальникам структурных подразделений соответствующего органа местного самоуправления об оказании содействия и необходимой помощи рабочей группе в проведении работ по анализу информационных ресурсов всех АС органа местного самоуправления. Для оказания подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам обработки информации в данных подразделениях.
4. В ходе обследования конкретных подразделений соответствующего органа местного самоуправления и автоматизированных подсистем выявляются все виды информационных ресурсов, используемых при решении задач в подразделениях соответствующего органа местного самоуправления.
5. Все выявленные в ходе обследования информационные ресурсы заносятся в перечень информационных ресурсов, подлежащих защите (Приложение № 2 к настоящему Положению о категорировании информационных ресурсов).
6. Далее определяется и затем указывается в перечне информационных ресурсов, подлежащих защите, категория конфиденциальности и к какому типу тайны относится каждый из выявленных информационных ресурсов на основании требований действующего законодательства и предоставляемых соответствующему органу местного самоуправления прав.
7. Первоначальное предложения по оценке категорий обеспечения конфиденциальности конкретных видов информации выясняются у руководителей соответствующих структурных подразделений органа местного самоуправления.
Данные оценки категорий информации заносятся в перечень информационных ресурсов, подлежащие защите (в колонку 2). Размещение информационного ресурса АС соответствующего органа местного самоуправления выясняется у соответствующего сотрудника отдела информационных технологий Министерства.
8. В дальнейшем, с участием специалистов соответствующего отдела (специалиста) информационных технологий и информационной безопасности органа местного самоуправления необходимо уточнить и внести в Приложение 3 к Положению о категорировании информационных ресурсов сведения о пользователях и их уровне доступа к штатным средствам АС соответствующего органа местного самоуправления.
9. Затем перечень лиц, имеющих доступ к штатным средствам АС утверждается руководителем.
10. На следующем этапе составляется матрица доступа или полномочий субъектов доступа по отношению информационным ресурсам АС, подлежащим защите (Приложение № 4 к Положению о категорировании информационных ресурсов).
11. На последнем этапе определяется класс АС на основании руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Исходя из класса АС определяются типовые конфигурации принимаемых мер и настройки защитных механизмов программно-аппаратных средств защиты информации.
Приложение 2
к Положению о категорировании
информационных ресурсов
Перечень
информационных ресурсов АС органа местного самоуправления,
подлежащих защите
№
п/п
|
Наименование
информационного
ресурса
(информации)
|
Категория
конфиденциальности
и вид тайны
|
Размещение
ресурса (РС,
устройство,
каталог, файл)
|
Ответственный
(подразделение)
за определение
требований к
защищенности
ресурса
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение № 3
к Положению о категорировании
информационных ресурсов
Перечень
лиц, имеющих доступ к штатным средствам АС
№
п/п
|
Наименование
штатных средств
|
Ф.И.О., должность лица,
имеющего доступ
|
Уровень доступа к
штатным средствам
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение № 4
к Положению о категорировании
информационных ресурсов
Матрица
доступа или полномочий субъектов доступа по отношению
к информационным ресурсам АС, подлежащим защите
№
п/п
|
Помещение
(каб. №)
|
АРМ №
|
Имя АРМ в
домене
hq.mcrt.ru
|
IP
адрес
|
Имя
пользова-
теля
|
Подсистемы/
задачи
|
Ф.И.О.
пользова-
теля
|
Категория
доступа
|
Номер
пункта из
перечня
|
Подразде-
ление
|
1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение № 3
УТВЕРЖДЕНО
постановлением главы
Альметьевского муниципального района
от «____» ____________20___ г. № ____
ПОЛОЖЕНИЕ
о порядке обращения с информацией конфиденциального характера
1. Общие положения
1.1. Настоящее Положение о порядке обращения с информацией конфиденциального характера (далее - Положение) разработано в соответствии с Федеральными
|
