• Главная
• Постановления
• 2011
• Январь
• 24
• Постановление Правительства Новосибирской области от 24.01.2011 № 20-п

Постановление Правительства Новосибирской области от 24.01.2011 № 20-п

Об утверждении Положения о порядке внедрения и эксплуатации IP-технологий передачи информации в администрации Губернатора Новосибирской области и Правительства Новосибирской области и исполнительных органах государственной власти Новосибирской области

                                                                        
                                                                        
                                                                        
                                                                        
                       ПРАВИТЕЛЬСТВО НОВОСИБИРСКОЙ ОБЛАСТИ              
                                                                        
                                  ПОСТАНОВЛЕНИЕ                         
                                                                        
                                                                        
                              от 24.01.2011 N 20-п                      
                                                                        
                                  г.Новосибирск                         
                                                                        
                                                                        
           Об утверждении Положения о порядке внедрения и эксплуатации  
      IP-технологий передачи информации в администрации Губернатора     
      Новосибирской области и Правительства Новосибирской области и     
   исполнительных органах государственной власти Новосибирской области  
         В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Обинформации,  информационных  технологиях и защите информации", в целяхобеспечения   защиты   информации    в    администрации    ГубернатораНовосибирской   области   и   Правительства  Новосибирской  области  иисполнительных органах государственной  власти  Новосибирской  областиПравительство Новосибирской областиПОСТАНОВЛЯЕТ:
         1.  Утвердить  прилагаемое  Положение  о  порядке  внедрения  иэксплуатации   IP-технологий   передачи   информации  в  администрацииГубернатора  Новосибирской  области  и   Правительства   Новосибирскойобласти  и исполнительных органах государственной власти Новосибирскойобласти (далее - Положение).
         2. Руководителям исполнительных органов государственной  властиНовосибирской  области  довести  Положение  до  сведения руководителейподведомственных организаций.
         3. Контроль за исполнением постановления возложить  на  первогозаместителя Губернатора Новосибирской области Хомлянского А.Б.ГубернаторНовосибирской области                                      В.А.Юрченко____________________
         УТВЕРЖДЕНО
         постановлением Правительства
         Новосибирской области
         от 24.01.2011 N 20-п
                                    ПОЛОЖЕНИЕ                           
            о порядке внедрения и эксплуатации IP-технологий передачи   
      информации в администрации Губернатора Новосибирской области и    
       Правительства Новосибирской области и исполнительных органах     
               государственной власти Новосибирской области             
                                I Общие положения                       
         1. Положение о порядке внедрения и  эксплуатации  IP-технологийпередачи  информации в администрации Губернатора Новосибирской областии  Правительства  Новосибирской  области  и   исполнительных   органахгосударственной  власти  Новосибирской  области  (далее  -  Положение)разработано  в  соответствии  с  Федеральным  законом  от   27.07.2006N 149-ФЗ   "Об   информации,   информационных   технологиях  и  защитеинформации", нормативно-методическими документами  Федеральной  службыпо  техническому  и  экспортному  контролю (ФСТЭК России), Федеральнойслужбы безопасности Российской Федерации (ФСБ России) в области защитыинформации.
         2. Положение  распространяется  на   открытые   государственныеинформационные   ресурсы   и   информацию  ограниченного  доступа,  несодержащую сведения, составляющие  государственную  тайну  (информациюконфиденциального характера).
         3. Положение определяет полномочия  и  обязанности  должностныхлиц  администрации  Губернатора  Новосибирской области и ПравительстваНовосибирской области (далее - администрация), исполнительных  органовгосударственной власти Новосибирской области (далее - органы власти) иподведомственных  им  организаций  в   части   порядка   внедрения   иэксплуатации  IP-технологий  передачи  информации  в  администрации  иорганах власти.
         4. Внедрение   IP-технологий   передачи   информации    ведётсяадминистрацией,   органами   власти,   а  также  подведомственными  иморганизациями в целях развития информационного общества,  формированияэлектронного  правительства,  создания  и  развития  государственных имуниципальных  информационных  систем  и  развития   межведомственноговзаимодействия.
         5. Целью  применения  Положения  является  достижение  высокогоуровня  защищённости  передаваемой информации от утечек по техническимканалам.
                        II. Основные используемые понятия               
         6. IP-технологии передачи информации (далее - IP-технологии)  -технологии  передачи  информации по сетям связи с пакетной коммутациейна  базе  протокола IP  (IP-телефония,  видеоконференцсвязь,   системы"мгновенного"  обмена  сообщениями),  а  также технологии беспроводнойпакетной передачи данных.
         7. Технические    средства    IP-технологий     -     средства,предназначенные  для обработки и передачи по каналам связи информации,содержащейся в государственных информационных ресурсах.
         8. Доступность    информации    -     состояние     информации,характеризуемое  способностью  автоматизированной системы обеспечиватьбеспрепятственный  доступ  к  информации  субъектов,  имеющих  на  этополномочия.
         9. Целостность информации - состояние защищенности  информации,характеризуемое  способностью  автоматизированной системы обеспечиватьсохранность и неизменность информации при попытках несанкционированныхили случайных воздействий на неё в процессе обработки или хранения.
         10. Конфиденциальность информации - обязательное для выполнениялицом,  получившим  доступ  к  определенной  информации, требование непередавать такую информацию третьим лицам без согласия ее обладателя.
         11. Проект внедрения IP-технологий - комплекс организационных итехнических  мероприятий,  который выполняется в администрации, органевласти, подведомственной организации  в  сроки,  указанные  в  приказесоответственно руководителя администрации, руководителя органа власти,руководителя  подведомственной   организации   с   целью   дальнейшегопостоянного    использования   (эксплуатации)   IP-технологий   в   ихдеятельности.
         12. Контролируемая зона -  пространство,  в  котором  исключенонеконтролируемое  пребывание  лиц, не имеющих постоянного или разовогодопуска, и посторонних транспортных средств.
             III. Организация внедрения и эксплуатации IP-технологий    
                                                                        
         13. Руководитель администрации,  руководители  органов  власти,руководители  подведомственных  им  организаций (далее - руководители)организуют внедрение IP-технологий в целях выполнения  задач,  стоящихперед    администрацией,    возглавляемыми    органами    власти   илиорганизациями, в соответствии с требованиями Положения.
         14. Решение   руководителя   о   составе   организационных    итехнических  мероприятиях  по  защите информации, а также используемыхсредствах защиты информации, выносится в виде согласованного проекта сучётом требований раздела VI Положения.
         15. Автоматизированные  системы,  в   состав   которых   входяттехнические   средства  IP-технологий,  предназначенные  для  передачиинформации   ограниченного   доступа,   подлежат   классификации    потребованиям документа Федеральной службы по техническому и экспортномуконтролю  от  30.03.1992  "Автоматизированные   системы.   Защита   отнесанкционированного     доступа     к    информации.    Классификацияавтоматизированных  систем  и  требования   по   защите   информации",утвержденного   решением   председателя   Государственной  техническойкомиссии при Президенте Российской Федерации.
         16. В случае, если внедрение  IP-технологий  ведётся  в  рамкахпроекта по созданию или развитию информационной системы администрации,органа  власти,  подведомственной  им  организации,  то  изложенные  вПоложении   организационные   и   технические  мероприятия  по  защитеинформации выполняются для всего проекта в целом.
         17. При   эксплуатации   технических   средств   IP-технологий,осуществляемой  сторонней организацией, договор, на основании которогоосуществляется такая эксплуатация,  должен  содержать  мероприятия  позащите  информации  и  ответственность  эксплуатирующей организации засоблюдение мероприятий по защите информации.
         18. Руководители  в  целях  организации  внедрения,  запуска  вэксплуатацию и эксплуатации IP-технологий назначают приказом:
         1) сотрудника,  ответственного  за  обеспечение  режима  защитыинформации при внедрении и эксплуатации IP-технологий в подразделении,в том числе за соблюдение требований настоящего Положения,  инструкцийпо   защите  информации  при  эксплуатации  IP-технологий,  проведениеинструктажей пользователей IP-технологий;
         2) сотрудника,       ответственного       за       эксплуатациюавтоматизированной   системы,  в  состав  которой  входят  техническиесредства IP-технологий;
         3) сотрудника, ответственного за  эксплуатацию  средств  защитыинформации IP-технологий, в том числе средств криптографической защитыинформации, передаваемой посредством IP-технологий.
         Указанные сотрудники приступают к исполнению своих  должностныхобязанностей  с  момента  внесения  изменений  в  служебный контракт идолжностной регламент либо трудовой договор.
         19. Лица, причастные  к  нарушению  режима  защиты  информации,отстраняются  от  выполнения ими служебных обязанностей по результатамслужебного расследования на основании приказа руководителя.
         20. Руководители   несут   ответственность    за    обеспечениетребований   по   технической   защите  информации  в  соответствии  сзаконодательством, в том числе за организацию работ  по  разработке  иреализации мероприятий, обеспечивающих защиту информации, передаваемойпосредством  IP-технологий,  на  этапах  проектирования,  внедрения  иэксплуатации IP-технологий.
         21. Руководители  формируют  заявки  на  финансирование  работ,связанных  с  эксплуатацией IP-технологий в рамках формирования заявокна содержание  и  обеспечение  деятельности  областных  исполнительныхорганов  государственной  власти  Новосибирской  области,  с отдельнымобоснованием, и направляют их  в  министерство  финансов  и  налоговойполитики  Новосибирской области в соответствии с порядком расходованиясредств областного  бюджета  Новосибирской  области  на  содержание  иобеспечение     деятельности    областных    исполнительных    органовгосударственной власти Новосибирской области.
                                                                        
                 IV. Разработка проекта внедрения IP-технологий         
         22. Проект внедрения  IP-технологий  разрабатывается  с  учетомтребований  Федерального закона от 27.07.2006 N 149-ФЗ "Об информации,информационных     технологиях     и     о     защите     информации",нормативно-методических    документов:    Специальные   требования   ирекомендации  по  технической  защите   конфиденциальной   информации,утвержденные   приказом   Государственной   технической  комиссии  приПрезиденте  Российской  Федерации  от  30.08.2002  N 282   и   Типовыетребования  по организации и обеспечению функционирования шифровальных(криптографических) средств, предназначенных для защиты информации, несодержащей  сведений,  составляющих  государственную тайну в случае ихиспользования для обеспечения безопасности персональных данных при  ихобработке  в информационных системах персональных данных, утвержденныеруководителем 8 Центра Федеральной службы  безопасности  от 21.02.2008N 149/6/6-622.
         23. В  ходе   проекта   внедрения   IP-технологий   выполняютсяследующие   организационные   и   технические  мероприятия  по  защитеинформации:
         1) определяется перечень информации,  передаваемой  посредствомIP-технологий, а также уровень ее конфиденциальности;
         2) определяются границы контролируемой зоны;
         3) определяются точки подключения оборудования IP-технологий  кканалам связи;
         4) проводится  сегментация  сети  передачи   данных   по   типупередаваемых данных (голосовые данные, видео, обычные данные);
         5) определяется   перечень   лиц,   допущенных   к   работе   стехническими  средствами  IP-технологий,  и  права  доступа  к  даннымтехническим средствам;
         6) разрабатываются правила ограничения  доступа  сотрудников  ипосторонних  лиц  в  помещения,  где  размещены  технические  средстваIP-технологий;
         7) определяются меры защиты информации, в зависимости от уровняее  конфиденциальности,  в целях обеспечения целостности, доступности,конфиденциальности передаваемой информации;
         8) разрабатываются  инструкции   по   защите   информации   приэксплуатации IP-технологий для сотрудников, непосредственно работающихс новыми технологиями, для  сотрудников,  обеспечивающих  настройку  иэксплуатацию технических средств IP-технологий;
         9) определяется ответственность  за  соблюдение  режима  защитыинформации,  передаваемой  посредством IP-технологий, для сотрудников,допущенных к  работе  с  техническими  средствами  IP-технологий,  дляответственных  за  защиту  информации  в  подразделении, для стороннихорганизаций (при заключении договора об аутсорсинге);
         10) классифицируются автоматизированные системы по  требованиямбезопасности информации (в соответствии с уровнем конфиденциальности);
         11) применяются сертифицированные межсетевые экраны на  границесети;
         12) защищается    информация    конфиденциального    характера,передаваемая  по  каналам  связи  посредством IP-технологий за пределыконтролируемой  зоны  (с помощью  сертифицированных  криптографическихсредств защиты информации).
         24. Руководитель направляет проект внедрения  IP-технологий  насогласование     в     департамент     информатизации    и    развитиятелекоммуникационных  технологий  Новосибирской   области   (далее   -департамент   информатизации).   Содержание   передаваемой  информациисогласованию не подлежит.
         25. Департамент   информатизации   осуществляет    согласованиепроекта  внедрения  IP-технологий  в  части,  касающейся технических итехнологических вопросов передачи информации, в течение одного  месяцасо  дня регистрации в департаменте информатизации письма с приложениемпроекта. Не позднее  двух  рабочих  дней  со  дня  регистрации  письмадепартамент    информатизации   направляет   поступивший   проект   насогласование в части, касающейся  технических  мероприятий  по  защитеинформации,    в   комитет   компьютерных   технологий   администрацииГубернатора  Новосибирской  области  и   Правительства   Новосибирскойобласти   (далее  -  комитет  компьютерных  технологий).  Согласованиепроекта внедрения IP-технологий подписывают руководитель  департаментаинформатизации и председатель комитета компьютерных технологий.
                                                                        
         V. Порядок организации работ по защите информации при внедрении
                       и эксплуатации IP-технологий                     
         26. Сотрудник,  ответственный  за  обеспечение  режима   защитыинформации при внедрении и эксплуатации IP-технологий в администрации,органе власти, подведомственной организации:
         а) осуществляет  контроль  исполнения   требований   настоящегоПоложения  в  части обеспечения защиты информации на стадии разработкипроектной документации по внедрению  IP-технологий,  при  внедрении  иэксплуатации IP-технологий;
         б) проводит классификацию автоматизированных систем,  в  составкоторых входят технические средства IP-технологий;
         в) организует проведение работ по аттестации автоматизированныхсистем, в состав которых входят технические средства IP-технологий;
         г) разрабатывает    матрицу    разграничения    прав    доступапользователей  к ресурсам автоматизированной системы, в состав которойвходят технические средства IP-технологий;
         д) разрабатывает   инструкции   по   защите   информации    приэксплуатации IP-технологий для сотрудников, непосредственно работающихс     техническими     средствами     IP-технологий     (пользователейIP-технологий),    для   сотрудников,   обеспечивающих   настройку   иэксплуатацию технических средств IP-технологий;
         е) ведет журнал инструктажа сотрудников  администрации,  органавласти  или  подведомственной  организации  по  работе  с техническимисредствами IP-технологий согласно прилагаемой форме  (далее  -  журналинструктажа);
         ж) проводит ежегодный инструктаж пользователей IP-технологий поработе  с техническими средствами IP-технологий и знанию инструкций позащите информации с отметкой в журнале инструктажа (под роспись);
         з) осуществляет контроль действий пользователей  IP-технологий,исполнения требований инструкций по защите информации при эксплуатацииIP-технологий  пользователями  IP-технологий  и  иными   сотрудниками,обеспечивающими   настройку   и   эксплуатацию   технических   средствIP-технологий;
         и) ежегодно    в     сроки,     устанавливаемые     действующимзаконодательством, готовит сведения по финансированию работ, связанныхс  внедрением  и  эксплуатацией  IP-технологий,  в  том  числе  работ,связанных   с   защитой   информации,  и  подает  их  на  рассмотрениеруководителю;
         к) вносит предложения руководителю  о  назначении  сотрудников,ответственных за эксплуатацию средств защиты информации IP-технологий,сотрудников, ответственных за эксплуатацию  автоматизированных  системи  о внесении изменений, связанных с обеспечением защиты информации, вих должностные регламенты, служебные контракты либо трудовой договор;
         л) в случае выявления фактов нарушения режима защиты информациипри  эксплуатации  IP-технологий и на основании приказа руководителя опроведении  служебного  расследования   организует   и   участвует   врасследовании причин и условий появления нарушений; докладной запискойна  имя  руководителя  сообщает  результаты,  вносит  предложения   оботстранении  причастных  к  нарушению  лиц  от  выполнения  ими  своихслужебных обязанностей.
         27. Пользователи IP-технологий обязаны:
         1) пройти  инструктаж  по  работе  с  техническими   средствамиIP-технологий;
         2) выполнять инструкции по защите информации  при  эксплуатацииIP-технологий;
         3) соблюдать правила работы со  средствами  защиты  информации,используемые при эксплуатации IP-технологий;
         4) проходить инструктаж по  работе  с  техническими  средствамиIP-технологий ежегодно в период с 1 февраля по 31 марта.
         28. Пользователи IP-технологий в  соответствии  с  требованиямидействующего      законодательства,     утвержденными     должностнымирегламентами,  служебными  контрактами,  трудовыми  договорами   несутответственность  за  соблюдение режима защиты информации, передаваемойпосредством   IP-технологий,   и    обеспечивают    конфиденциальностьинформации на своих рабочих местах.
         29. В  случае  сбоев  при  эксплуатации   технических   средствIP-технологий,    невозможности    передачи   информации   посредствомIP-технологий по каналам связи и иной внештатной ситуации пользователиIP-технологий    должны   известить   об   этом   служебной   запискойответственного за защиту информации.
              VI. Мероприятия по защите информации при эксплуатации     
                              IP-технологий                             
         30. Перед  запуском  в  промышленную  эксплуатацию  техническихсредств  IP-технологий  сотрудник,  ответственный за защиту информациипри  внедрении  и  эксплуатации  IP-технологий,  выполняет   следующиеорганизационные мероприятия по защите информации:
         1) проводит инструктаж пользователей IP-технологий по работе  стехническими средствами IP-технологий;
         2) проводит инструктаж пользователей IP-технологий по  правиламработы с используемыми средствами защиты информации;
         3) проводит ознакомление с инструкциями  по  защите  информациипри  эксплуатации  IP-технологий и с ответственностью перед законом заразглашение информации конфиденциального характера;
         4) разрабатывает    матрицу    разграничения    прав    доступапользователей  к ресурсам автоматизированной системы, в состав которойвходят технические средства IP-технологий;
         5) обеспечивает ограничение доступа в помещение, где  размещенытехнические  средства  IP-технологий,  согласно приказу руководителя одопуске лиц, работающих с IP-технологиями.
         31. Технические  мероприятия  по  защите  открытой   информациивключают в себя:
         1) аутентификацию клиентских технических средств IP-технологий;
         2) контроль доступа пользователей IP-технологий;
         3) контроль доступа к сетевым устройствам;
         4) использование  сертифицированных   межсетевых   экранов   награнице сети;
         5) ведение журнала учета паролей, ежеквартальную смену паролей;
         6) резервное копирование  настроек  сетевых  устройств,  защитупараметров конфигурации сетевых устройств, ежеквартальную смену пароляадминистратора. Запрещается конфигурирование сетевых  устройств  черезбеспроводные сети передачи данных;
         7) ведение   журналов   настройки   и   проверки   оборудованияIP-технологий;
         8) использование систем бесперебойного электропитания;
         9) использование сертифицированных средств антивирусной защиты.
         32. Технические мероприятия по защите информации  ограниченногодоступа включают в себя:
         1) аутентификацию клиентских технических средств IP-технологий;
         2) контроль доступа пользователей IP-технологий;
         3) контроль доступа к сетевым устройствам;
         4) использование  сертифицированных   межсетевых   экранов   награнице сети;
         5) ведение журнала учета паролей, ежеквартальная смена паролей;
         6) резервное копирование  настроек  сетевых  устройств,  защитапараметров конфигурации сетевых устройств, ежеквартальную смену пароляадминистратора. Запрещается конфигурирование сетевых  устройств  черезбеспроводные сети передачи данных;
         7) ведение   журналов   настройки   и   проверки   оборудованияIP-технологий;
         8) использование систем бесперебойного электропитания;
         9) использование сертифицированных средств антивирусной защиты;
         10) использование сертифицированных  средств  криптографическойзащиты  информации  для защиты информации конфиденциального характера,передаваемой посредством IP-технологий;
         11) использование средств обнаружения вторжений;
         12) аттестацию автоматизированной  системы,  в  состав  которойвходят технические средства IP-технологий, в соответствии с Положениемпо аттестации  объектов  информатизации  по  требованиям  безопасностиинформации,  утвержденным  председателем  Государственной  техническойкомиссии при Президенте Российской Федерации от 25.11.1994.
         33. Технические  мероприятия,  указанные   в   пунктах 32,   33Положения,  реализуются  сотрудником,  ответственным  за  эксплуатациюавтоматизированной   системы.   При   этом    проведение    аттестацииавтоматизированной  системы  обеспечивает  сотрудник, ответственный заобеспечение режима защиты информации при эксплуатации IP-технологий, аэксплуатацию  средств  защиты  информации  и  порядок  работы с ними -сотрудник, ответственный за  эксплуатацию  средств  защиты  информацииIP-технологий.
                VII. Порядок контроля за внедрением IP-технологий       
         34. Департамент   информатизации   осуществляет   контроль   завнедрением  IP-технологий  в  администрации  и органах власти в части,касающейся общих вопросов информатизации и связи, с  целью  реализацииединой политики в сфере информатизации и развития телекоммуникационныхтехнологий.
         35. Комитет компьютерных  технологий  осуществляет  контроль  вадминистрации  и  органах  власти за внедрением IP-технологий в части,касающейся защиты информации, с целью  исключения  возможности  утечкиохраняемых сведений.
         ПРИЛОЖЕНИЕ
         к Положению о порядке внедрения и
         эксплуатации IP-технологий передачи
         информации в администрации
         Губернатора Новосибирской области
         и Правительства Новосибирской
         области и исполнительных органах
         государственной власти
         Новосибирской области
                                 ЖУРНАЛ
      инструктажа сотрудников по работе с техническими средствами
              IP-технологий и средствами защиты информации
    ________________________________________________________________
               (наименование органа власти, организации)|————|———————————————————|———————————————|———————|———————————————|——————————————|| N  |   Наименование    |      ФИО      | Дата  |    Подпись    |   Подпись    || п/ |   технического    |  инструкти-   |       |  инструкти-   |  инструкти-  || п  |     средства      |    руемого    |       |    руемого    |   рующего    ||    |   или средства    |               |       |               |              ||    |      защиты       |               |       |               |              ||    |    информации     |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————||    |                   |               |       |               |              ||————|———————————————————|———————————————|———————|———————————————|——————————————|

• Главная
• Постановления
• 2011
• Январь
• 24
• Постановление Правительства Новосибирской области от 24.01.2011 № 20-п