Российские законы

Постановление мэра города Новосибирска от 27.12.2001 N 3773 “Об информационной безопасности и защите муниципальных информационных ресурсов“ (вместе с “Положением об информационной безопасности“, “Перечнем требований и организационно-технических мероприятий по обеспечению безопасности информации“)

Начало действия документа - 27.12.2001.

МЭРИЯ ГОРОДА НОВОСИБИРСКА

ПОСТАНОВЛЕНИЕ

от 27 декабря 2001 г. N 3773

ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЕ

МУНИЦИПАЛЬНЫХ ИНФОРМАЦИОННЫХ РЕСУРСОВ

В целях обеспечения информационной безопасности данных, обрабатываемых в электронном виде и содержащихся в муниципальных базах и банках данных, в соответствии со статьями 6, 13, 21 Федерального закона “Об информации, информатизации и защите информации“, Постановлением мэра от 11.07.2001 N 1700 “Об утверждении Положения о муниципальных базах и банках данных“, Решением городского Совета от 31.10.2001 N 70 “О городской целевой программе “Электронный Новосибирск на 2002 - 2006 годы“ и руководствуясь статьей 6 Федерального закона “Об общих принципах организации местного самоуправления в Российской Федерации“, постановляю:

1. Утвердить
Положение об информационной безопасности (приложение 1).

2. Утвердить Перечень требований и организационно-технических мероприятий по обеспечению безопасности информации (приложение 2).

3. Руководителям структурных подразделений мэрии до 01.07.2002 обеспечить в подведомственных подразделениях и муниципальных организациях:

3.1. Выполнение Перечня требований и организационно-технических мероприятий по обеспечению безопасности информации.

3.2. Представление в управление связи, телекоммуникаций и информатики мэрии отчета о выполнении организационно-технических мероприятий по обеспечению информационной безопасности в соответствии с Положением об информационной безопасности.

4. Управлению связи, телекоммуникаций и информатики мэрии до 01.04.2002 провести учебу и аттестацию ответственных за информационную безопасность в структурных подразделениях мэрии.

5. Контроль за исполнением Постановления возложить на первого заместителя мэра Шумилова В.Н.

Мэр

В.Ф.ГОРОДЕЦКИЙ

Приложение 1

Утверждено

Постановлением

мэра

от 27.12.2001 N 3773

ПОЛОЖЕНИЕ

ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1. Общие положения

1.1. Настоящее Положение устанавливает требования к системе защиты муниципальных информационных ресурсов, не содержащих сведений, составляющих государственную тайну.

1.2. Настоящее Положение является обязательным для исполнения владельцами муниципальных информационных ресурсов г. Новосибирска при проведении работ по их формированию, использованию и защите.

1.3. Защита информационных ресурсов осуществляется в соответствии с Конституцией Российской Федерации, Уголовным кодексом Российской Федерации, Федеральным законом “Об информации, информатизации и защите информационных ресурсов“, Постановлением мэра от 29.12.2000 N 2525 “Об информатизации муниципалитета г. Новосибирска“, другими нормативными правовыми актами в сфере формирования, использования и защиты информационных ресурсов и настоящим Положением.

1.4. Информационные ресурсы муниципалитета г. Новосибирска являются собственностью муниципалитета.

1.5. Информационная безопасность - это комплекс технических и организационных мероприятий, направленных на защиту информации от несанкционированного доступа, разрушения, изменения, раскрытия и задержек в доступе к ней. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.

1.6. Задачей информационной безопасности является защита достоверности и целостности информации, а также
минимизация последствий при попытке ее разрушения. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, обеспечивается к ней доступ или распространяется.

1.7. Меры безопасности должны обеспечивать следующие уровни защиты информационных ресурсов:

ограничение доступа, при котором обеспечивается только авторизованный доступ персонала к информации и технологии, уменьшается размер потерь от несанкционированных действий;

обнаружение несанкционированного доступа, при котором обеспечивается раннее обнаружение несанкционированных действий;

восстановление информации, при котором обеспечивается эффективное восстановление информации при наличии документированных и проверенных регламентов по восстановлению.

2. Основные цели и направления работ по защите

информационных ресурсов

2.1. Основные цели защиты информационных ресурсов:

предотвращение утечки, утраты, хищения, искажения и подделки информации;

обеспечение эффективного управления информационными ресурсами и их использования;

обеспечение конфиденциальности информации;

разграничение доступа к информации;

предотвращение несанкционированных действий по уничтожению, копированию, искажению, блокированию, подделке информации;

обеспечение правового режима использования информационных ресурсов как объекта собственности.

2.2. Основные направления работ по защите информационных ресурсов муниципалитета:

регистрация защищаемых информационных ресурсов;

установление статуса информационных ресурсов;

установление владельцев и пользователей информационных ресурсов, ответственных за обеспечение защиты информационных ресурсов;

выявление и анализ возможных каналов утечки конфиденциальной информации, несанкционированного доступа, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации;

разработка организационно-технических мероприятий по защите информационных ресурсов и их реализация;

организация и проведение контроля состояния защиты информационных ресурсов;

организация планового обучения по обеспечению информационной безопасности и аттестации ответственных за обеспечение защиты информационных ресурсов.

3. Система защиты информационных ресурсов

муниципалитета

3.1. Объекты, подлежащие защите:

информационные ресурсы муниципалитета, содержащие сведения, отнесенные к служебной информации ограниченного пользования (служебной тайне), конфиденциальной информации, и персональные данные о жителях;

открытые информационные ресурсы, содержащие информацию, имеющую коммерческую ценность и влияющую на управленческую и хозяйственную деятельность организаций;

средства вычислительной техники, информационно-вычислительные
комплексы, сети и системы, операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение, автоматизированные системы управления, системы связи и передачи данных, технические средства звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации, обеспечивающие работу с информационными ресурсами;

технические средства и системы, не обрабатывающие защищаемую информацию, но расположенные в помещениях, где ведется работа с информационными ресурсами ограниченного доступа, а также сами помещения.

3.2. Пользователи, владельцы и собственники защищаемых информационных ресурсов.

Ими могут являться структурные подразделения мэрии, муниципальные унитарные предприятия, муниципальные учреждения и граждане, владеющие и использующие эти информационные ресурсы либо их носители, а также структурные подразделения и специалисты, обеспечивающие защиту информационных ресурсов.

3.3. Правовые акты, организационно-распорядительные, нормативные, плановые и информационные документы, регламентирующие и обеспечивающие деятельность по защите информационных ресурсов.

3.4. Организационные и технические мероприятия по защите информационных ресурсов:

3.4.1. Организационные и технические мероприятия по защите информационных ресурсов должны быть направлены на:

обеспечение контроля доступа как к информации в компьютере, так и к прикладным программам: идентификация пользователей; аутентификация пользователей; защита пароля; администрирование паролей; процедуры авторизации; защита файлов;

внедрение мер защиты при разработке программного обеспечения, включающих порядок внесения изменений в программу, ее приемки и тестирования до ввода в эксплуатацию;

разработку и поддержание каталога прикладных программ;

внедрение мер по предотвращению доступа для изменения программного обеспечения неавторизованными пользователями с удаленных терминалов.

3.4.2. Обеспечение целостности информации.

Проектируемые, разрабатываемые и эксплуатируемые программные продукты по созданию и ведению информационных ресурсов должны обеспечивать:

проверку на нахождение символов в допустимом диапазоне символов (числовом или буквенном);

проверку на нахождение числовых данных в допустимом диапазоне чисел;

проверку на корректность связей с другими данными,
сравнивающими входные данные с данными в других файлах;

проверку на соразмерность результатов, сравнивающих входные данные с ожидаемыми стандартными значениями;

ограничения на транзакции, сравнивающие входные данные с административно установленными ограничениями на конкретные транзакции.

3.5. Обеспечение хранения дистрибутивов эксплуатируемого программного обеспечения на внешних носителях информации с целью защиты системных и прикладных программ.

3.6. Привлечение к созданию систем защиты информации специализированных организаций, занимающихся тестированием систем информационной безопасности, консультированием при разработке мер защиты в прикладных программах и разработкой тестов, выявляющих некорректную обработку данных.

3.7. Ведение и хранение контрольных журналов, встроенных в компьютерные программы, позволяющих предотвратить или выявить попытки несанкционированного доступа к информации. Недопущение их отключения для повышения скорости работы компьютера.

Организация регулярного просмотра контрольных журналов.

4. Обеспечение информационной безопасности

4.1. Основные требования, предъявляемые к системе информационной безопасности:

4.1.1. Наличие ответственного за обеспечение информационной безопасности.

4.1.2. Недопущение размещения паролей на корпусе компьютера, разглашения их посторонним лицам, невозможность их отображения на мониторе при вводе.

4.1.3. Отсутствие возможности доступа посторонних лиц к удаленным терминалам и компьютерам в рабочие и нерабочие часы, отображения данных на мониторах, оставленных без присмотра.

4.1.4. Наличие ограничений на доступ к информации или на вид ее использования.

4.1.5. Ведение системных журналов об использовании информационных ресурсов и работе за компьютером.

4.1.6. Внесение изменений в программное обеспечение сотрудниками, отвечающими за данные действия, после утверждения их руководителем структурного подразделения.

4.1.7. Наличие документации для пользователей, позволяющей:

однозначно понимать получаемые отчеты, формулы и другие данные - их источники, формат хранения, взаимосвязи между ними;

изменять программы;

готовить данные для ввода, исправлять ошибки;

производить оценку мер защиты.

4.1.8. Обеспечение невозможности многократных попыток входа в систему.

4.1.9. Обеспечение проверки данных при вводе на корректность и точность, ведение записей в журналах об отвергнутых транзакциях.

4.2.
Функционирующая система информационной безопасности должна обеспечивать предотвращение:

нарушений функционирования сети;

несанкционированного доступа к информации;

разрушения встраиваемых средств защиты;

внедрения программных “вирусов“ и “закладок“;

несанкционированной установки аппаратных средств с целью доступа к информационным ресурсам.

4.3. Безопасность информационных ресурсов обеспечивается путем:

внедрения технологий информационной безопасности;

защиты информации и информационных систем, телекоммуникационной среды от несанкционированного использования и воздействий;

защиты ресурсов за счет параллельного доступа к управляющим базам данных и проверки полномочий при обращении к ресурсам сети;

защиты технических средств и помещений от утечки информации по побочным каналам и от возможного внедрения в них электронных устройств съема информации;

реконфигурации сетей, узлов и каналов связи;

организации замкнутых подсетей и адресных групп;

установки внешних и внутренних брандмауэров в точках сопряжения локальной вычислительной сети (ЛВС) подразделений с внешней информационной средой;

развития специализированных защищенных персональных компьютеров (ПК), ЛВС и корпоративных сетевых сегментов;

развития и использования технологий подтверждения подлинности объектов данных, пользователей и источников сообщений;

применения технологий определения целостности объектов данных.

5. Организация системы защиты информационных ресурсов

5.1. Управление связи, телекоммуникаций и информатики мэрии:

проводит единую техническую политику, участвует в организации и координации работ по защите информационных ресурсов муниципалитета;

разрабатывает проекты городских программ информатизации с учетом мероприятий по защите информационных ресурсов;

участвует в подготовке проектов технических заданий и договоров по проведению научно-исследовательских, опытно-конструкторских работ по защите информационных ресурсов;

организует подготовку и повышение квалификации специалистов по защите информационных ресурсов.

5.2. Структурные подразделения мэрии - владельцы защищаемых муниципальных информационных ресурсов, специально уполномоченные собственником ресурсов по распоряжению этими ресурсами:

устанавливают требования к пользователям информационных ресурсов в части их защиты, осуществляют контроль выполнения этих требований;

разрабатывают инструкции пользователям, методические материалы, способы и конкретные мероприятия по защите информационных ресурсов, готовят предложения по их распространению и практической реализации;

осуществляют планирование работ
по защите информационных ресурсов, организуют их непосредственное материально-техническое обеспечение и выполнение;

проводят периодический анализ выполнения работ по защите информационных ресурсов.

5.3. Для непосредственного выполнения работ по защите информационных ресурсов в структурных подразделениях мэрии, владеющих информационными ресурсами, назначается ответственный специалист по защите информационных ресурсов из персонала, обслуживающего информационные системы.

Ответственный специалист по защите информационных ресурсов:

разрабатывает мероприятия по комплексной защите информации, участвует в согласовании технических заданий на проведение работ по информатизации и защите информации;

принимает участие в подготовке обслуживающего персонала, технических и программных средств защиты информации, помещений к проведению работ, связанных с использованием защищаемого информационного ресурса;

разрабатывает инструкции по защите информационных ресурсов на конкретных рабочих местах;

участвует в аттестации рабочих мест, вычислительных комплексов (средств обработки, накопления и хранения информации), разрабатывает проекты заключений о возможности проведения работ с защищаемыми информационными ресурсами;

осуществляет подготовку ежеквартальных отчетов о проведении работ по защите информационных ресурсов;

проводит повседневный контроль состояния защиты информационных ресурсов.

5.4. Организация защиты информационных ресурсов возлагается на руководителей структурных подразделений мэрии, муниципальных унитарных предприятий и муниципальных учреждений, создающих и использующих муниципальные информационные ресурсы, эксплуатирующих системы и средства информатизации и связи, обрабатывающих и передающих защищаемую информацию.

5.5. Требования по защите муниципальных информационных ресурсов определяются их владельцами при подготовке решений, планов работ, технических заданий на создание информационных ресурсов и средств их обработки на основе стандартов, нормативных актов и методических документов, утверждаемых Гостехкомиссией России и органами государственной власти в соответствии с их компетенцией.

5.6. Выполнение требований по защите муниципальных информационных ресурсов и их реализация осуществляется во всех структурных подразделениях мэрии, муниципальных унитарных предприятиях и муниципальных учреждениях должностными лицами и гражданами, использующими эти ресурсы, владеющими их носителями и эксплуатирующими
их.

5.7. Организацию создания системы защиты муниципальных информационных ресурсов и контроль ее состояния осуществляет управление связи, телекоммуникаций и информатики мэрии совместно с отделом общественной безопасности мэрии.

Приложение 2

Утверждено

Постановлением

мэра

от 27.12.2001 N 3773

ПЕРЕЧЕНЬ

ТРЕБОВАНИЙ И ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИХ МЕРОПРИЯТИЙ

ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

1. Требования по оборудованию помещений, предназначенных для размещения коллективных средств вычислительной техники (серверов), обеспечивающих работу с муниципальными информационными ресурсами:

1.1. Помещения должны быть оснащены охранной и противопожарной сигнализацией.

1.2. Окна помещений первых и последних этажей должны быть оборудованы решетками.

1.3. Двери помещений должны иметь надежные запоры, ключ от которых должен находиться на ответственном хранении.

2. Организационно-технические мероприятия по обеспечению безопасности информации:

2.1. На каждом рабочем месте, где обрабатывается информация с использованием средств вычислительной техники, должен быть определен ответственный, в обязанности которого должно входить:

2.1.1. Проверка с помощью антивирусных программ всей информации, вводимой в персональный компьютер с электронных носителей.

2.1.2. Установка на персональный компьютер любого дополнительного оборудования и программного обеспечения производится по согласованию с управлением связи, телекоммуникаций и информатики мэрии.

2.1.3. Ограничение доступа посторонних лиц в помещение, в котором осуществляется работа с информацией ограниченного распространения.

2.2. При организации хранения информации на электронных носителях:

2.2.1. Проводить систематическое архивирование (резервное копирование) обрабатываемой информации на электронные носители в порядке, согласованном с управлением связи, телекоммуникаций и информатики мэрии.

2.2.2. Архивные и резервные копии информации на электронных носителях должны храниться в сейфах в специально отведенном месте, исключающем электромагнитные, температурные либо другие неблагоприятные воздействия.

2.2.3. Архивные и резервные копии информации должны регистрироваться в соответствующих журналах.

2.2.4. Решение об уничтожении информации, утратившей свою актуальность, должно приниматься руководителем структурного подразделения при согласовании с управлением связи, телекоммуникаций и информатики мэрии.

2.2.5. Список лиц, имеющих доступ в помещения, где хранятся архивы
и резервные копии, должен быть утвержден руководителем структурного подразделения, ответственного за их хранение.