Распоряжение Главы города Полярные Зори от 25.05.2004 № 88р
Об утверждении "Временного перечня сведений конфедициального характера, содержащихся в администрации г. Полярные Зори Мурманской области"."Временного Положения о защите конфедициальной информации в автоматизированной системе г. Полярнеы Зори Мурманской области", "Положения о работе с персональными данными работников администрации г. Полярные Зори Мурманской области"
ГЛАВА МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ Г. ПОЛЯРНЫЕ ЗОРИ МУРМАНСКОЙ ОБЛАСТИ РАСПОРЯЖЕНИЕ 25 мая 2004 г. г. Полярные Зори N 88р Об утверждении "Временного перечня сведений конфиденциального характера, содержащихся в администрации г. Полярные Зори Мурманской области", "Временного Положения о защите конфиденциальной информации в автоматизированной информационной системе г. Полярные Зори Мурманской области", "Положения о работе с персональными данными работников администрации г. Полярные Зори Мурманской области" Во исполнение требований Федерального закона "Об информации, информатизации и защите информации", Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 09.09.2000 и рекомендаций Государственной технической комиссии при Президенте Российской Федерации: 1. Утвердить "Временный перечень сведений конфиденциального характера, содержащихся в администрации г. Полярные Зори Мурманской области" (прилагается). 2. Утвердить "Временное положение о защите конфиденциальной информации в автоматизированной информационной системе администрации г. Полярные Зори Мурманской области" (прилагается). 3. Утвердить "Положение о работе с персональными данными работников администрации г. Полярные Зори Мурманской области" (прилагается). 4. Установить, что "Временный перечень сведений конфиденциального характера, содержащихся в администрации г. Полярные Зори Мурманской области" и "Временное положение о защите конфиденциальной информации в автоматизированной информационной системе администрации г. Полярные Зори Мурманской области" действуют до принятия соответствующих нормативных актов Российской Федерации иииили Мурманской области. 5. Отделу муниципальной службы и кадров (Агеевой Я.М.) ознакомить с требованиями настоящего распоряжения всех начальников отделов администрации г. Полярные Зори. Глава муниципального образования В.Гончаренко Временный перечень сведений конфиденциального характера, содержащихся в администрации муниципального образования г. Полярные Зори Мурманской областиN Наименование сведений Примечаниеп/п1 Сведения о частной жизни лиц, за исключением Ст. 24 Конституции сведений, Российской подлежащих распространению в установленных федерации федеральными законами случаях и предоставленных в открытой печати2 Сведения о частной жизни лица, составляющие его Ст. ст. 23, 24 личную Конституции или семейную тайну Российской федерации3 Информация о гражданах (персональные данные) Ст. 11 Федерального сведения закона о фактах, событиях и обстоятельствах жизни "Об информатизации, и гражданина, защите позволяющие идентифицировать его личность информации"4 Информация, необходимая работодателю в связи с Ст. 85 Трудового кодекса трудовыми Российской отношениями и касающаяся конкретного работника Федерации (персональные данные)5 Выводы до завершения ревизии (проверки) и Ст. 15 Федерального оформления закона ее результатов в виде акта (заключения) "О счетной палате Российской Федерации"6 Информация об "Специальные требования информационно-телекоммуникационных и системах, каналах связи, компьютерной сети, рекомендации по средствах технической вычислительной техники, программных средствах защите конфиденциальной (операционных информации" системах, системах управления базами данных и Гостехкомиссия при другого Президенте общесистемного и программного обеспечения), РФ системах связи, передачи данных, используемых для сбора, хранения, обработки и передачи информации ограниченного доступа.7 Сведения, раскрывающие систему, средства защиты "Специальные требования информации и ЛВС организации от НДС, а также значения рекомендации по действующих технической кодов и паролей ЛВС администрации защите конфиденциальной муниципального информации" образования г.Полярные Зори. Гостехкомиссия при Президенте РФ Положение о работе с персональными данными работников администрации г.Полярные Зори Мурманской области 1. Общие положения Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом "Об информации, информатизации и защите информации". Настоящее Положение определяет порядок работы (получения, обработки, использования, хранения и т.д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю. 2. Получение и обработка персональных данных работников Персональные данные работника работодатель получает непосредственно от работника. При поступлении на работу работник заполняет анкету, в которой указывает седующие сведения о себе: - пол; - дату рождения; - семейное положение; - отношение к воинской обязанности; - место жительства и домашний телефон; - образование, специальность; - предыдущее (-ие) место (-а) работы; В анкету вклеивается фотография работника. Работодатель не вправе требовать от работника предоставления информации о политических и религиозных убеждениях и о частной жизни работника. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет необходимые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений. Анкета работника хранится в личном деле работника (далее - личное дело). В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел муниципальной службы и кадров, ответственный за ведение личных дел - начальник отдела муниципальной службы и кадров. 3. Хранение персональных данных работников Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела находятся в отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. Персональные данные работников могут также храниться в электронном виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается 2-ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются администратором информационной безопасности сети и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным работников. Изменение паролей производится не реже 1 раза в 3 месяца. Доступ к персональным данным работника имеют Глава муниципального образования, его первый заместитель, главный бухгалтер, а также непосредственный руководитель работника, специалисты ОМСиК и бухгалтерского учета и отчетности - к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения Главы муниципального образования или его первого заместителя. При переводе работника в другой отдел личное дело работника может быть передано начальнику того отдела, в который переводится работник. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела муниципальной службы и кадров. 4. Использование персональных данных работников Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера заработной платы. На основании персональных данных работника решается вопрос о допуске работника к информации, составляющей служебную тайну. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения. 5. Передача персональных данных работников Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим положением на получение персональных данных работника, либо отсутствует письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных. копия уведомления подшивается в личное дело работника. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана. 6. Гарантии конфиденциальности персональных данных работников Информация, относящаяся к персональным данным работника, является конфиденциальной и охраняется законом. Работник вправе требовать полную информацию о своих персональных данных, их обработке, использовании и хранении. В случае разглашения персональных данных работника без его согласия работник вправе требовать от работодателя разъяснений. Временное Положение о защите конфиденциальной информации в автоматизированной информационной системе администрации муниципального образования г. Полярные Зори Мурманской области Общие положения 1. Настоящее Положение о защите конфиденциальной информации в автоматизированной информационной системе администрации муниципального образования г. Полярные Зори Мурманской области (далее - Положение) определяет общий порядок обращения с конфиденциальной информацией (информацией конфиденциального характера) в администрации муниципального образования г. Полярные Зори. 2. Действие Положения не распространяется на работы по защите сведений, составляющих государственную тайну, организация защиты которых регламентируется действующим законодательством и соответствующими нормативными документами, а также на объекты интеллектуальной собственности. 3. В Положении используются следующие термины и определения: - документ - материальный объект с зафиксированной на нем информацией в виде текста, звукозаписи или изображения, предназначенный для передачи во времени и пространстве в целях хранения и общественного использования; - документированная информация - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать; - информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы; - информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах); - конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации; - пользователь (потребитель) информации - субъект, обращающийся к информации и пользующийся ею. 4. Положение определяет порядок отнесения сведений к конфиденциальной информации, цели, основные направления, методы и способы обеспечения безопасности информации, основы организации защиты информации в различных информационных системах администрации муниципального образования г. Полярные Зори, задействованных в процессе создания и функционирования безопасной автоматизированной информационной системы (БАИС). 5. Дополнения и изменения в настоящее Положение могут вноситься по мере развития БАИС и совершенствования ее программно-технического обеспечения в установленном порядке. 6. Защита информации в БАИС основывается на выявлении, оценке и парировании возможных угроз безопасности информации с учетом частоты их проявления и вероятности потери информации, возможности по противодействию и ликвидации последствий проявления этих угроз. 7. Основными видами угроз безопасности информации в БАИС являются: противоправные действия третьих лиц, ошибочные действия пользователей и обслуживающего персонала БАИС, отказы и сбои технических средств БАИС, вредоносные программные воздействия на средства и информацию БАИС, приводящие к ее модификации, блокированию, уничтожению или копированию, а также нарушению правил эксплуатации ЭВМ, систем ЭВМ или их сети. Информация, подлежащая защите в безопасной автоматизированной системе администрации муниципального образования г. Полярные Зори Мурманской области 1. Целью защиты информации в БАИС является обеспечение безопасного функционирования БАИС и предотвращение несанкционированного доступа к информации. 2. Защите подлежит обрабатываемая, передаваемая и хранимая в БАИС конфиденциальная информация. При отнесении сведений к информации конфиденциального характера следует руководствоваться Гражданским Кодексом Российской Федерации, Федеральным Законом "Об информации, информатизации и защите информации", Указами Президента и Постановлениями Правительства РФ, нормативными актами Мурманской области. 3. К конфиденциальной информации в соответствии с действующим законодательством не могут быть отнесены следующие сведения: сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления налогов и других обязательных платежей в государственную бюджетную систему Российской Федерации, а также документы об их уплате; сведения о численности, составе работающих в организациях, их заработной плате и условиях труда, а также о наличии свободных рабочих мест; законодательные и другие нормативные акты Мурманской области, устанавливающие правовой статус органов государственной власти Мурманской области, органов местного самоуправления, предприятий, организаций и учреждений, общественных объединений на территории области, а также затрагивающие права, свободы и обязанности граждан, устанавливающие порядок их реализации; документы, содержащие обобщенную или статистическую информацию (за исключением сведений, отнесенных к государственной тайне) о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях, о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, преступности; документы, содержащие информацию о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям, о фактах нарушения прав и свобод человека и гражданина, о фактах нарушения законности органами государственной власти и их должностными лицами; документы, содержащие информацию о деятельности органов государственной власти Мурманской области и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения (за исключением сведений, отнесенных к государственной тайне); документы, накапливаемые в фондах библиотек и открытых фондах архивов, информационных системах органов государственной власти Мурманской области и органов местного самоуправления. 4. Конфиденциальная информация оформляется в виде Перечня сведений, отнесенных к информации ограниченного распространения (далее -Перечень). Порядок оформления определяется собственником (владельцем, обладателем) информационных ресурсов. 5. Отнесение сведений к информации ограниченного распространения осуществляется на основе заключений экспертных комиссий, сформированных из компетентных специалистов данной организации (учреждения). 6. Результат деятельности экспертной комиссии оформляется актом, на основании которых составляется Перечень. Перечень утверждается Главой муниципального образования г. Полярные Зори Мурманской области. 7. С Перечнем должны быть ознакомлены под подписку все пользователи БАИС, имеющие санкционированный допуск в части их касающейся. Объекты БАИС, подлежащие защите 1. Объектами БАИС, подлежащими защите, являются ее информационные ресурсы (базы и банки данных), технические средства, линии связи и помещения, в которых они установлены. 2. Основными техническими средствами БАИС, подлежащими защите, являются подключенные к БАИС информационные системы (локальная вычислительная сеть, автоматизированные системы обработки данных, отдельные ПЭВМ и т.п.) администрации муниципального образования г. Полярные Зори, аппаратное и программное обеспечение этих систем. 3. По требованиям обеспечения защиты информации ( п.п. 41; 43 Положения 93) администрация муниципального образования г. Полярные Зори Мурманской области относится к объектам третьей категории, на которых необходимо обеспечить защиту информации, циркулирующих в технических средствах, путем выполнения комплекса основных организационных и технических мероприятий в БАИС. Организационно-технические мероприятия по защите информации 1. Защита конфиденциальной информации в БАИС обеспечивается проведением комплекса организационно-технических мероприятий, направленных на решение следующих основных задач: предотвращение несанкционированного доступа (НСД) к компьютерной информации с целью ее уничтожения, модификации, блокирования или копирования; предотвращение специальных программно-технических воздействий, вызывающих, уничтожение, модификацию, блокирование информации или сбои в работе средств вычислительной техники. 2. Предотвращение несанкционированного доступа к информации обеспечивается применением специальных программно-аппаратных средств защиты от НСД, и организационными мероприятиями. 3. Средства защиты информации от несанкционированного доступа должны обеспечивать управление доступом к ресурсам вычислительной системы, регистрацию и учет входа и выхода из системы, процессов печати документов, сигнализацию и регистрацию попыток несанкционированного доступа к ресурсам, контроль целостности программной среды и обрабатываемой информации. 4. Предотвращение несанкционированного доступа к информации, осуществляемого с помощью программных средств, реализуется определением для каждой программы перечня санкционируемых функций, применением средств и технологий программирования, обеспечивающих минимальную вероятность наличия дополнительных возможностей, которые могут быть использованы для осуществления НСД, предупреждением внесения несанкционированных изменений в программы при их разработке и эксплуатации, регулярной проверкой неизменности и целостности системного, сетевого и прикладного программного обеспечения. 5. Организационные мероприятия направлены на затруднение доступа к техническим средствам БАИС и обрабатываемой информации. Это достигается организацией режима ограниченного доступа в помещения, предназначенные для размещения элементов БАИС. 6. Для входящих в состав БАИС локальных автоматизированных систем рекомендуется использовать сертифицированные средства защиты от НСД класса 1Д - для автоматизированных систем, обрабатывающих служебную информацию. 7. Подключение автоматизированных систем, входящих в БАИС, к другим информационным системам и сетям производится через межсетевые экраны не ниже 3 класса защищенности, сертифицированные по требованиям Руководящего документа Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Показатели защищенности от несанкционированного доступа к информации". 8. Для обеспечения безопасности информации при отключении или бросках питающего напряжения необходимо использовать источники бесперебойного питания. 9. Предотвращение вредоносных программно-технических воздействий, вызывающих уничтожение, искажение информации или сбои в работе средств информатизации, обеспечивается применением специальных программных защиты ( антивирусных программ), 10. Предотвращение или существенное снижение вероятности проникновения в БАИС вирусов достигается также за счет: блокировки запуска исполняемых программных файлов с дискет; использования в БАИС только дистрибутивов программных продуктов, приобретенных через официальных дилеров фирм-разработчиков этих продуктов; обязательного контроля целостности программной среды БАИС; организацией постоянного антивирусного контроля в БАИС. 11. Для организации защиты процесса обработки информации в БАИС в составе структуры информационных систем организуется служба комплексного администрирования, являющаяся подразделением ОМСиК и обеспечивающая администрирование операционных систем, администрирование сети (БАИС, автоматизированных систем и локальных вычислительных сетей, включенных в нее), администрирование данных и администрирование информационной безопасности. Численный состав службы комплексного администрирования определяется руководителем Главой муниципального образования г. Полярные Зори в установленном порядке. 12. Администратор операционных систем отвечает за генерацию операционных систем, сопровождение операционных систем (тестирование работоспособности, восстановление испорченных версий и т.п.), обновление существующих версий операционных систем (анализ необходимости перехода на новые версии, разработку перечня мероприятий по переводу на новую версию). 13. Администратор сети отвечает за ее функционирование, создает структуру каталога сети; обеспечивает необходимый уровень защиты; следит за рациональным использованием ресурсов, определяет политику развития сети, ведет описание технической конфигурации сети, ее функциональной структуры, структуры клиентов, имеющих доступ к информационным ресурсам БАИС, формирует список пользователей допущенных к работе с БАИС, осуществляет сохранение резервных копий, восстановление искаженной информации, архивирование информации и организацию поступления информации из архива; обработку и анализ. 14. Администратор баз данных отвечает за сопровождение и управление информационными ресурсами, создание и ведение классификаторов, ввод и модификацию нормативно-справочной информации, обработку и анализ статистической информации о характере и интенсивности использования данных, о распределении нагрузки на различные компоненты структуры баз данных, внесение изменений в структуру баз данных в процессе эксплуатации системы с целью повышения производительности, обеспечивает ввод и поддержание в актуальном состоянии общих разделов баз данных (классификаторов, нормативно-справочной информации и т.п.), а также целостность данных и управление структурой баз данных. 15. Администратор информационной безопасности обеспечивает: регистрацию пользователей, формирование матрицы доступа к вычислительным и информационным ресурсам БАИС, учет наступления системных событий, связанных с инициализацией функций автоматизированной системы, изменением ее конфигурации, а также изменением прав доступа, формирование параметров входа в систему (идентификатора), контроль текущего функционального состояния ОИС. 16. Организационно-технические мероприятия по защите информации выполняются на всех этапах жизненного цикла БАИС. 17. При разработке БАИС и отдельных ее элементов требования по защите информации отражаются в задании на проектирование по следующим вопросам: цель защиты информации; характеристика объекта защиты (условия расположения объекта информатизации, структура основных и вспомогательных технических средств обработки информации, перечень помещений, предназначенных для размещения элементов БАИС, степени защищенности элементов БАИС, предполагаемые каналы передачи данных, возможные каналы утечки информации); класс защищенности автоматизированной системы в соответствии с Руководящим документом Гостехкомиссии России "Автоматизированные системы. Защита информации от несанкционированного доступа. Классификация автоматизированных систем и требования по защите информации"; характеристика технологического процесса обработки информации, мероприятия по обеспечению конфиденциальности информации при проектировании, требуемый уровень криптографической защиты информации; исходные данные по организации взаимодействия с другими информационными системами (протоколы взаимодействия, каналы связи, объем передаваемой информации, порядок и сроки передачи сообщений). 18. Требования к организации защиты информации в автоматизированных системах, входящих в состав БАИС могут уточняться по результатам аттестационных испытаний. Контроль состояния защиты информации 1. Контроль состояния защиты информации и ее эффективности является неотъемлемой составной частью работ по созданию, эксплуатации и реконструкции объектов БАИС. 2. Основными задачами контроля являются: проверка соответствия организации работ по защите информации требованиям настоящего Положения; оценка обоснованности принятых мер защиты; проверка своевременности и полноты выполнения требований руководящих документов, регламентирующих организацию и порядок осуществления мероприятий по защите информации. 3. На объектах БАИС осуществляются следующие виды контроля: периодический - осуществляется персоналом объекта БАИС постоянно в соответствии с функциональными обязанностями; плановый - осуществляется специально назначенными комиссиями в соответствии с планом контроля эффективности мер защиты информации на объектах БАИС, а также перед вводом технических и программных средств в эксплуатацию; внеплановый - осуществляется специально назначенной комиссией по распоряжению руководителя организации (учреждения); аттестационный - осуществляется директивными органами государственной власти и аккредитованными ими организациями с периодичностью, указанной в аттестате соответствия или по заявкам руководителей объектов БАИС при изменении состава технических или программных средств обработки информации, изменениях состава комплекса средств защиты, изменении степени защищенности объекта БАИС. 4. Контроль за состоянием защиты информации при создании, эксплуатации и реконструкции объектов БАИС осуществляется отделом муниципальной службы и кадров с привлечением (при необходимости) организаций, имеющих соответствующую лицензию компетентных органов государственной власти. 5. По результатам контроля дается оценка состояния работ и эффективности принятых мер защиты информации. Защита информации считается эффективной, если принимаемые меры обеспечивают реализацию заданных целей, замыслов, требований и соответствуют установленным нормам. 6. Периодичность внутреннего контроля устанавливается руководителем организации (учреждения). 7. Допуск лиц к проведению контроля за состоянием информационной безопасности производится при наличии у них предписания (удостоверения) на право проведения проверок. Предписания (удостоверения) на право проведения проверок являются основанием для допуска проверяющих на объекты контроля, а также к работам и документам, необходимым для проверки организации работ и оценки эффективности мер защиты информации.