ИСПОЛНИТЕЛЬНЫЙ КОМИТЕТ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ
"ЧИСТОПОЛЬСКИЙ МУНИЦИПАЛЬНЫЙ РАЙОН" РЕСПУБЛИКИ ТАТАРСТАН
РАСПОРЯЖЕНИЕ
от 31 декабря 2009 г. № 305-р
ОБ УТВЕРЖДЕНИИ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации":
1. Утвердить следующие документы Исполнительного комитета Чистопольского муниципального района:
- Политику
информационной безопасности Исполнительного комитета Чистопольского муниципального района (приложение № 1);
- Перечень
сведений конфиденциального характера Исполнительного комитета Чистопольского муниципального района (приложение № 2);
- Положение
о категорировании информационных ресурсов Исполнительного комитета Чистопольского муниципального района (приложение № 3).
2. Контроль за исполнением данного распоряжения оставляю за собой.
Руководитель
Исполнительного комитета
Р.Г.ХАМАТОВ
Для служебного пользования
Экз. № 1
Утвержден
распоряжением
Исполнительного комитета
Чистопольского муниципального района
от 31 декабря 2009 г. № 305-р
ПОЛИТИКА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1. Общие положения
Политика информационной безопасности Исполнительного комитета Чистопольского муниципального района (далее - Исполком) предполагает создание совокупности взаимоувязанных нормативных и организационно-распорядительных документов, определяющих порядок обеспечения безопасности информации в информационных системах Исполкома, управления и контроля информационной безопасности, а также выдвигающих требования по поддержанию подобного порядка.
Политика информационной безопасности отражает позицию руководства Исполкома по вопросу обеспечения информационной безопасности.
Политика информационной безопасности Исполкома направлена на нормативное регулирование процесса обмена защищаемой информацией Исполкома с взаимодействующими структурами, юридическими и физическими лицами;
установление определенного организационно-правового режима использования информационных ресурсов Исполкома;
разработку системы нормативных документов Исполкома, действующих на правах стандартов и определяющих степень конфиденциальности информации, требуемый уровень защищенности объектов информатизации Исполкома, ответственность должностных лиц и сотрудников за соблюдение этих требований;
реализацию комплекса организационных, инженерно-технических, технических и аппаратно-программных мероприятий по предупреждению несанкционированных действий с информацией и защиту ее от утечки по техническим каналам;
предоставление пользователям необходимых сведений для сознательного поддержания установленного уровня защищенности объектов информатизации Исполкома;
организацию постоянного контроля эффективности принятых мер защиты и функционирования системы обеспечения информационной безопасности Исполкома;
создание в Исполкоме резервов и возможностей по ликвидации последствий нарушения режима защиты информации и восстановление системы обеспечения информационной безопасности.
Настоящий документ разработан в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 17799-2005.
- адвокатская тайна (Федеральный закон РФ "Об адвокатской деятельности и адвокатуре в Российской Федерации" от 31.05.2002 № 63-ФЗ);
- банковская тайна (Федеральный закон РФ "О банках и банковской деятельности" от 2 декабря 1990 г. № 395-1 (с изменениями от 29 июля 2004 г.));
- врачебная тайна ("Основы законодательства Российской Федерации об охране здоровья граждан" от 22 июля 1993 г. № 5487-1 (с изменениями на 22 августа 2004 г.);
- персональные данные, личная и семейная тайна ("Перечень сведений конфиденциального характера" (утвержден Указом Президента РФ от 6 марта 1997 г. № 188));
- служебная и коммерческая тайна ("Перечень сведений конфиденциального характера" (утвержден Указом Президента РФ от 6 марта 1997 г. № 188));
- тайна связи (Федеральный закон РФ "О связи" от 07.07.2003 № 126-ФЗ);
- тайна следствия и судопроизводства ("Уголовно-процессуальный кодекс Российской Федерации" от 18.12.2001 № 174-ФЗ);
- тайна совещания судей ("Уголовно-процессуальный кодекс Российской Федерации" от 18.12.2001 № 174-ФЗ).
3. Порядок определения категорий защищаемых информационных
ресурсов АС
3.1. Категорирование информационных ресурсов АС проводится на основе их инвентаризации согласно методике категорирования защищаемых информационных ресурсов (Приложение 1 к настоящему Положению) и предполагает составление и последующее ведение, поддержание в актуальном состоянии перечня информационных ресурсов АС, подлежащих защите (Приложение 2 - не приводится к настоящему Положению).
3.2. Ответственность за составление и ведение перечня информационных ресурсов АС, подлежащих защите (Приложение 2 к настоящему Положению), перечня лиц, имеющих доступ к штатным средствам АС (Приложение 3 - не приводится к настоящему Положению), с указанием их уровня полномочий и матрицы доступа или полномочий субъектов доступа по отношению к информационным ресурсам АС, подлежащим защите (Приложение 4 к настоящему Положению), Исполкома возлагается:
- в части составления и ведения перечней и матрицы доступа - на соответствующий отдел информационных технологий Исполкома;
- в части определения требований к обеспечению конфиденциальности и присвоения соответствующих категорий информационным ресурсам - на соответствующие отделы Исполкома, которые непосредственно работают с информационными ресурсами.
3.3. Контроль за правильностью категорирования информационных ресурсов АСМ Исполкома осуществляется начальником отдела информатизации Совета Чистопольского муниципального района (по согласованию).
3.4. Категорирование информационных ресурсов АС Исполкома может осуществляться последовательно для каждой конкретной подсистемы АС в отдельности с последующим объединением и формированием единого перечня информационных ресурсов АС Исполкома, подлежащих защите.
3.5. Изменение категории информационных ресурсов АС Исполкома производится при изменении требований к обеспечению защиты свойств конфиденциальности соответствующей информации.
3.6. Периодически (раз в год) или по требованию руководителей структурных подразделений Исполкома, использующих АС, производится пересмотр установленных категорий защищаемых информационных ресурсов АС Исполкома на предмет их соответствия реальному положению дел.
4. Порядок пересмотра Положения
4.1. В случае внесения изменений и дополнений в перечень информационных ресурсов, подлежащих защите, пересмотру с последующим утверждением подлежит Приложение 2.
4.2. Любой пересмотр настоящего Положения должен осуществляться на основании решения руководства Исполкома.
Приложение 1
к Положению
о категорировании
информационных ресурсов
МЕТОДИКА
КАТЕГОРИРОВАНИЯ ЗАЩИЩАЕМЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ
1. Настоящая методика уточняет порядок проведения работ по категорированию информационных ресурсов АС Исполкома, подлежащих защите, в соответствии с Положением о категорировании информационных ресурсов.
2. Категорирование предполагает проведение работ по выявлению и анализу всех информационных ресурсов подсистем АС Исполкома, подлежащих защите.
3. Для проведения анализа всех подсистем АС Исполкома и проведения инвентаризации информационных ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются начальник отдела информатизации Совета Чистопольского муниципального района, начальники отделов и специалисты отделов и управления Исполкома (осведомленные в вопросах технологии автоматизированной обработки информации в АС Исполкома), издается соответствующее распоряжение руководителя Исполкома.
Для оказания помощи на время работы группы в отделах и управлениях должны выделяться сотрудники, владеющие детальной информацией по вопросам обработки информации в данных отделах и управлениях Исполкома.
4. В ходе обследования отделов, управлений Исполкома и автоматизированных подсистем выявляются все виды информационных ресурсов, используемых при решении задач в подразделениях Исполкома.
5. Выявленные в ходе обследования информационные ресурсы заносятся в перечень информационных ресурсов, подлежащих защите.
6. Далее определяется и указывается в перечне информационных ресурсов, подлежащих защите, категория конфиденциальности и к какому типу тайны относится каждый из выявленных информационных ресурсов на основании требований действующего законодательства и предоставляемых Исполкому прав.
7. Первоначальные предложения по оценке категорий обеспечения конфиденциальности конкретных видов информации выясняются у начальников отделов и управлений Исполкома. Данные оценки категорий информации заносятся в перечень информационных ресурсов, подлежащих защите (в колонку 2).
8. В дальнейшем с участием начальника отдела информатизации Совета Чистопольского муниципального района необходимо уточнить и внести в Приложение 3 к Положению о категорировании информационных ресурсов сведения о пользователях и их уровне доступа к штатным средствам АС Исполкома.
9. Перечень лиц, имеющих доступ к штатным средствам АС, согласовывается и утверждается руководителем Исполнительного комитета.
10. Составляется матрица доступа или полномочий субъектов доступа по отношению к информационным ресурсам АС, подлежащим защите (Приложение 4 - не приводится к Положению о категорировании информационных ресурсов).
11. Определяется класс АС на основании руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Исходя из класса АС определяются типовые конфигурации принимаемых мер и настройки защитных механизмов программно-аппаратных средств защиты информации.
