О ЗАЩИТЕ МУНИЦИПАЛЬНЫХ
ИНФОРМАЦИОННЫХ РЕСУРСОВ ВОЛГОГРАДА
В целях обеспечения информационной безопасности данных, обрабатываемых в электронном виде и содержащихся в муниципальных базах и банках данных, в соответствии со статьями 6, 13, 21 Федерального закона от 20 февраля 1995 г. № 24-ФЗ "Об информации, информатизации и защите информации", Постановлением главы администрации Волгограда от 1 августа 2000 г. № 986 "О Положении о защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда", Постановлением Волгоградского городского Совета народных депутатов от 23 ноября 2000 г. № 20/267 "О принятии Положения о муниципальных информационных ресурсах Волгограда", руководствуясь статьей 6 Федерального закона от 28 августа 1995 г. № 154-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", постановляю:
1. Утвердить Положение о защите муниципальных информационных ресурсов Волгограда (прилагается).
2. Утвердить Перечень требований и организационно-технических мероприятий по обеспечению защиты муниципальных информационных ресурсов Волгограда (прилагается).
3. Руководителям отраслевых и территориальных структурных подразделений администрации Волгограда до 20 марта 2003 г. обеспечить:
3.1. Выполнение требований и организационно-технических мероприятий по обеспечению защиты муниципальных информационных ресурсов Волгограда.
3.2. Представление в отдел мобилизационной и секретной работы администрации Волгограда отчета о выполнении требований и организационно-технических мероприятий по обеспечению защиты муниципальных информационных ресурсов Волгограда в соответствии с Положением о защите муниципальных информационных ресурсов Волгограда, указанным в пункте 1 настоящего постановления.
4. Муниципальному учреждению "Городской информационный центр" до 20 марта 2003 г. провести учебу ответственных за защиту муниципальных информационных ресурсов Волгограда в отраслевых и территориальных структурных подразделениях администрации Волгограда.
5. Контроль за исполнением настоящего постановления возложить на первого заместителя главы администрации Волгограда Володькина Г.Н.
Глава администрации
Ю.В.ЧЕХОВ
Утверждено
Постановлением главы
администрации Волгограда
от 15 января 2003 г. № 46
ПОЛОЖЕНИЕ
О ЗАЩИТЕ МУНИЦИПАЛЬНЫХ ИНФОРМАЦИОННЫХ
РЕСУРСОВ ВОЛГОГРАДА
1. Общие положения
1.1. Настоящее Положение устанавливает требования к защите муниципальных информационных ресурсов (далее - МИР) Волгограда, не содержащих сведений, составляющих государственную тайну, и является обязательным для исполнения всеми владельцами МИР Волгограда при проведении работ по их формированию, использованию и защите.
1.2. Защита МИР Волгограда осуществляется в соответствии с Конституцией Российской Федерации, Уголовным кодексом Российской Федерации, Федеральным законом от 20 февраля 1995 г. № 24-ФЗ "Об информации, информатизации и защите информационных ресурсов", Постановлением главы администрации Волгограда от 1 августа 2000 г. № 986 "О Положении о защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда", Постановлением Волгоградского городского Совета народных депутатов от 23 ноября 2000 г. № 20/267 "О принятии Положения о муниципальных информационных ресурсах Волгограда" и другими нормативными правовыми актами в сфере формирования, использования и защиты информационных ресурсов, а также настоящим Положением.
1.3. МИР Волгограда являются собственностью муниципального образования - Волгограда.
1.4. Защита МИР Волгограда - это комплекс технических и организационных мероприятий, направленных на защиту МИР Волгограда от несанкционированного доступа, разрушения, изменения, искажения, раскрытия и задержек в доступе к ним.
2. Основные цели и направления работ
по защите МИР Волгограда
2.1. Основные цели защиты МИР Волгограда:
предотвращение утечки, утраты, хищения, искажения информации;
обеспечение эффективного управления МИР Волгограда и их использования;
обеспечение конфиденциальности информации;
обеспечение правового режима использования МИР Волгограда как объекта собственности.
2.2. Основные направления работ по защите МИР Волгограда:
регистрация МИР Волгограда;
установление статуса МИР Волгограда;
определение владельцев и пользователей МИР Волгограда, назначение ответственных за обеспечение защиты МИР Волгограда;
выявление и анализ возможных каналов утечки конфиденциальной информации, несанкционированного доступа, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации;
разработка организационно-технических мероприятий по защите МИР Волгограда и их реализация;
организация и проведение контроля за состоянием защищенности МИР Волгограда;
организация обучения по обеспечению защиты МИР Волгограда и аттестация ответственных за обеспечение защиты МИР Волгограда.
3. Система защиты МИР Волгограда
в администрации Волгограда
Систему защиты МИР Волгограда в администрации Волгограда составляют:
3.1. Объекты, подлежащие защите:
информационные ресурсы администрации Волгограда, содержащие сведения, отнесенные к служебной информации ограниченного доступа (служебной тайне), конфиденциальной информации, и персональные данные о жителях;
открытые информационные ресурсы, содержащие информацию, имеющую коммерческую ценность и влияющую на управленческую и хозяйственную деятельность организаций, подведомственных администрации Волгограда;
средства вычислительной техники, информационно-вычислительные комплексы, сети и системы, операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение, автоматизированные системы управления, системы связи и передачи данных, технические средства звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации, обеспечивающие работу с МИР Волгограда;
технические средства и системы, не обрабатывающие защищаемую информацию, но расположенные в помещениях, где ведется работа с информационными ресурсами ограниченного доступа, а также сами помещения.
3.2. Пользователи и владельцы защищаемых информационных ресурсов.
Ими могут являться отраслевые и территориальные структурные подразделения администрации Волгограда, муниципальные унитарные предприятия, муниципальные учреждения, владеющие и использующие эти информационные ресурсы либо их носители, а также структурные подразделения и специалисты, обеспечивающие защиту МИР Волгограда.
3.3. Правовые акты, организационно-распорядительные, нормативные, плановые и информационные документы, регламентирующие и обеспечивающие деятельность по защите МИР Волгограда.
3.4. Организационные и технические мероприятия по защите МИР Волгограда, включающие в себя:
обеспечение контроля за доступом к информации в средствах вычислительной техники; идентификацию и аутентификацию пользователей; защиту и администрирование паролей; процедуры авторизации; защиту файлов;
внедрение мер защиты при разработке прикладного программного обеспечения (далее - ПО), включающих порядок внесения изменений в ПО, его приемку и тестирование до ввода в эксплуатацию;
разработку и поддержание каталогов ПО;
внедрение мер по предотвращению доступа для изменения прикладного ПО неавторизованными пользователями с удаленных терминалов;
обеспечение хранения дистрибутивов эксплуатируемого ПО на внешних носителях информации;
ведение и хранение контрольных журналов, встроенных в системное и прикладное ПО, позволяющих предотвратить или выявить попытки несанкционированного доступа к информации, недопущение их отключения для повышения скорости работы средств вычислительной техники.
3.5. Привлечение к созданию систем защиты информации специализированных организаций, занимающихся тестированием систем информационной безопасности, консультированием при разработке мер защиты в прикладном ПО и разработкой тестов, выявляющих некорректную обработку данных.
4. Обеспечение защиты МИР Волгограда
4.1. Основные требования, предъявляемые к системе защиты МИР Волгограда:
наличие лиц, ответственных за защиту МИР Волгограда;
отсутствие возможности доступа посторонних лиц к средствам вычислительной техники как в рабочие, так и в нерабочие часы, отображения данных на мониторах, оставленных без присмотра;
наличие ограничений на доступ к информации или на вид ее использования;
ведение системных журналов об использовании информационных ресурсов;
обеспечение невозможности многократных попыток входа в систему.
4.2. Функционирующая система защиты МИР Волгограда должна обеспечивать предотвращение:
нарушений функционирования информационной вычислительной сети (далее - ИВС);
несанкционированного доступа к информации;
разрушения встраиваемых средств защиты;
внедрения программных "вирусов" и "закладок";
несанкционированной установки аппаратных средств с целью доступа к МИР Волгограда.
4.3. Безопасность МИР Волгограда обеспечивается путем:
внедрения новейших технологий информационной безопасности;
защиты информации и информационных систем, телекоммуникационной среды от несанкционированного использования и воздействий;
защиты ресурсов за счет параллельного доступа к управляющим базам данных и проверки полномочий при обращении к ресурсам ИВС;
защиты технических средств и помещений от утечки информации по побочным каналам и от возможного внедрения в них электронных устройств съема информации;
изменения конфигурации ИВС, узлов и каналов связи;
организации замкнутых подсетей и адресных групп;
установки внешних и внутренних межсетевых экранов в точках сопряжения локальной вычислительной сети (далее - ЛВС) подразделений с внешней информационной средой;
развития парка специализированных защищенных персональных компьютеров, ЛВС и корпоративных сетевых сегментов;
развития и использования технологий подтверждения подлинности объектов данных, пользователей и источников сообщений;
применения технологий определения целостности объектов данных.
5. Организация системы защиты МИР Волгограда
5.1. Отдел мобилизационной и секретной работы администрации Волгограда:
проводит единую техническую политику, участвует в организации и координации работ по защите МИР Волгограда;
участвует в разработке проектов городских программ информатизации с учетом мероприятий по защите МИР Волгограда;
участвует в подготовке проектов технических заданий и договоров по проведению научно-исследовательских, опытно-конструкторских работ по защите МИР Волгограда;
осуществляет планирование работ по защите МИР Волгограда.
5.2. Муниципальное учреждение "Городской информационный центр" (далее - МУ "ГИЦ"), выполняющее функцию хранилища всех МИР Волгограда:
устанавливает требования по защите МИР Волгограда, осуществляет контроль за выполнением этих требований;
участвует в разработке инструкций пользователям, методических материалов, способов и конкретных мероприятий по защите МИР Волгограда, готовит предложения по их распространению и практической реализации;
участвует в организации материально-технического обеспечения и выполнения работ по защите МИР Волгограда;
проводит периодический анализ выполнения работ по защите МИР Волгограда;
организует подготовку и повышение квалификации специалистов по защите МИР Волгограда.
5.3. Для непосредственного выполнения работ по защите МИР Волгограда в отраслевых и территориальных структурных подразделениях администрации Волгограда, владеющих информационными ресурсами, назначается ответственный специалист по защите МИР Волгограда из персонала, обслуживающего информационные системы.
Ответственный специалист по защите МИР Волгограда:
разрабатывает мероприятия по комплексной защите информации, участвует в согласовании технических заданий на проведение работ по информатизации и защите информации;
принимает участие в подготовке обслуживающего персонала, технических и программных средств защиты информации, помещений к проведению работ, связанных с использованием защищаемого информационного ресурса;
разрабатывает инструкции по защите информационных ресурсов на конкретных рабочих местах;
участвует в аттестации рабочих мест, вычислительных комплексов (средств обработки, накопления и хранения информации), разрабатывает проекты заключений о возможности проведения работ с защищаемыми информационными ресурсами;
подготавливает ежеквартальные отчеты о проведении работ по защите МИР Волгограда;
проводит повседневный контроль за состоянием защиты МИР Волгограда в подразделении.
5.4. Организация защиты МИР Волгограда возлагается на руководителей отраслевых и территориальных структурных подразделений администрации Волгограда, муниципальных унитарных предприятий и муниципальных учреждений, создающих и использующих МИР Волгограда, эксплуатирующих системы и средства информатизации и связи, обрабатывающих и передающих защищаемую информацию.
5.5. Требования по защите МИР Волгограда определяются их владельцами при подготовке решений, планов работ, технических заданий на создание МИР Волгограда и средств их обработки на основе стандартов, нормативных актов и методических документов, утверждаемых Государственной технической комиссией при Президенте Российской Федерации и органами государственной власти в соответствии с их компетенцией.
5.6. Выполнение требований по защите МИР Волгограда и их реализация осуществляются во всех отраслевых и территориальных структурных подразделениях администрации Волгограда, муниципальных унитарных предприятиях и муниципальных учреждениях должностными лицами и гражданами, использующими эти ресурсы, владеющими их носителями и эксплуатирующими их.
5.7. Организация системы защиты МИР Волгограда и контроль за ее состоянием осуществляется под руководством комиссии по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда, утвержденной Постановлением главы администрации Волгограда от 5 декабря 2000 г. № 1588 "О создании комиссии по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда".
Аппарат администрации
Волгограда
Утвержден
Постановлением главы
администрации Волгограда
от 15 января 2003 г. № 46
ПЕРЕЧЕНЬ
ТРЕБОВАНИЙ И ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИХ МЕРОПРИЯТИЙ
ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ МУНИЦИПАЛЬНЫХ ИНФОРМАЦИОННЫХ
РЕСУРСОВ ВОЛГОГРАДА
1. Требования по оборудованию помещений, предназначенных для размещения коллективных средств вычислительной техники (серверов), обеспечивающих работу с муниципальными информационными ресурсами Волгограда:
1.1. Помещения должны быть оснащены охранной и противопожарной сигнализацией.
1.2. Окна помещений первых и последних этажей должны быть оборудованы решетками.
1.3. Двери помещений должны иметь надежные запоры.
2. Организационно-технические мероприятия по обеспечению защиты муниципальных информационных ресурсов Волгограда:
2.1. Разработать и утвердить перечень сведений ограниченного доступа, подлежащих защите.
2.2. Ознакомить под роспись сотрудников с руководящими документами по защите информации.
2.3. На каждом рабочем месте, где обрабатывается информация с использованием средств вычислительной техники, должен быть определен ответственный, в обязанности которого входит:
2.3.1. Проверка с помощью антивирусных программ всей информации, вводимой в персональный компьютер с электронных носителей.
2.3.2. Установка на персональный компьютер любого дополнительного оборудования и программного обеспечения только по согласованию с ответственным по защите информации.
2.3.3. Ограничение доступа посторонних лиц в помещение, в котором осуществляется работа с информацией ограниченного распространения.
2.3.4. Недопущение разглашения паролей посторонним лицам и их отображения на мониторе при вводе.
2.4. При организации хранения информации на электронных носителях:
2.4.1. Проводить систематическое архивирование (резервное копирование) обрабатываемой информации на электронные носители в порядке, согласованном с МУ "ГИЦ".
2.4.2. Хранить архивные и резервные копии информации на электронных носителях в сейфах в специально отведенном месте, исключающем электромагнитные, температурные либо другие неблагоприятные воздействия.
2.4.3. Регистрировать архивные и резервные копии информации в соответствующих журналах.
2.4.4. Решение об уничтожении информации, утратившей свою актуальность, принимает руководитель структурного подразделения при согласовании МУ "ГИЦ".
2.4.5. Руководитель отраслевого или территориального структурного подразделения утверждает ответственного за хранение информации и список лиц, имеющих доступ в помещения, где хранятся архивы и резервные копии.
