ОБ УТВЕРЖДЕНИИ РЕГЛАМЕНТА ПО ЗАЩИТЕ ИНФОРМАЦИИ
ОГРАНИЧЕННОГО ДОСТУПА В ЦЕНТРАЛЬНОМ АППАРАТЕ ФЕДЕРАЛЬНОЙ
СЛУЖБЫ ФИНАНСОВО-БЮДЖЕТНОГО НАДЗОРА ПРИ ЕЕ ОБРАБОТКЕ
НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ
ПРИКАЗ
ФЕДЕРАЛЬНАЯ СЛУЖБА ФИНАНСОВО-БЮДЖЕТНОГО НАДЗОРА
5 марта 2008 г.
N 41
(Д)
В целях установления порядка защиты информации ограниченного
доступа в центральном аппарате Федеральной службы финансово-бюджетного
надзора при ее обработке на объектах информатизации приказываю:
Утвердить прилагаемый Регламент по защите информации
ограниченного доступа в центральном аппарате Федеральной службы
финансово-бюджетного надзора при ее обработке на объектах
информатизации.
Руководитель
С.Ю.ПАВЛЕНКО
5 марта 2008 г.
N 41
УТВЕРЖДЕН
Приказом Федеральной службы
финансово-бюджетного надзора
от 5 марта 2008 года
N 41
РЕГЛАМЕНТ
ПО ЗАЩИТЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА В ЦЕНТРАЛЬНОМ
АППАРАТЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ФИНАНСОВО-БЮДЖЕТНОГО НАДЗОРА
ПРИ ЕЕ ОБРАБОТКЕ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ
1. Общие положения
1.1. Настоящий Регламент по защите информации ограниченного
доступа в центральном аппарате Федеральной службы финансово-бюджетного
надзора (далее - Росфиннадзор) при ее обработке на объектах
информатизации (далее - Регламент) определяет комплекс организационных
и технических мероприятий в части защиты информации ограниченного
доступа, не составляющей государственной тайны (далее - информация),
при ее обработке, обращении, хранении и передаче по каналам связи.
1.2. Регламент разработан в соответствии с Федеральными законами
от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях
и о защите информации", от 27 июля 2006 г. N 152-ФЗ "О персональных
данных", Указом Президента Российской Федерации от 6 марта 1997 г. N
188 "Об утверждении Перечня сведений конфиденциального характера",
Положением о государственной системе защиты информации в Российской
Федерации от иностранных технических разведок и от ее утечки по
техническим каналам, утвержденным Постановлением Правительства
Российской Федерации от 15 сентября 1993 г. N 912-51, Положением о
Федеральной службе финансово-бюджетного надзора, утвержденным
Постановлением Правительства Российской Федерации от 15 июня 2004 г. N
278, Специальными требованиями и рекомендациями по технической защите
конфиденциальной информации, утвержденными Приказом Государственной
технической комиссии Российской Федерации от 30 августа 2002 г. N 282.
1.3. Ответственность за организацию работ по защите информации на
объектах информатизации (автоматизированные системы различного уровня
и назначения, системы связи, отображения и размножения вместе с
помещениями, в которых они установлены, предназначенные для обработки
и передачи информации, подлежащей защите, а также сами помещения,
предназначенные для ведения конфиденциальных переговоров), размещенных
в управлениях центрального аппарата Росфиннадзора (далее -
управление), возлагается на начальников данных управлений.
1.4. Организация и координация работ по защите информации от
иностранных технических разведок и от ее утечки по техническим каналам
на объектах информатизации центрального аппарата Росфиннадзора
возлагается на подразделение по защите информации ограниченного
доступа от иностранных технических разведок и от ее утечки по
техническим каналам связи в Федеральной службе финансово-бюджетного
надзора (далее - подразделение по защите информации) в соответствии с
положением об указанном подразделении.
2. Обязанности должностных лиц центрального аппарата
по защите информации, обрабатываемой на объектах
информатизации
2.1. Начальники управлений, сотрудники, допущенные для выполнения
своих должностных обязанностей к работе с информацией на персональных
электронно-вычислительных машинах, входящих в состав объекта
информатизации (далее - пользователь), обязаны выполнять
предусмотренные в центральном аппарате меры по защите информации.
2.2. Начальники управлений обязаны:
принимать решение об ограничении доступа к информации в
порученной сфере ответственности;
участвовать в подготовке Перечня сведений конфиденциального
характера Росфиннадзора;
определять перечень пользователей, которым для исполнения
должностных обязанностей необходим допуск к информации;
организовать учет и хранение бумажных и машинных носителей
информации в соответствии с требованиями Инструкции о порядке
обращения с конфиденциальной информацией в центральном аппарате и
территориальных управлениях Федеральной службы финансово-бюджетного
надзора;
назначать сотрудников управления, отвечающих за обеспечение
защиты информации на каждом из создаваемых в управлении объекте
информатизации (далее - сотрудники, отвечающие за защиту информации на
объектах информатизации), с уточнением их обязанностей в инструкции по
обеспечению безопасности информации на объектах информатизации,
создаваемых в управлении;
принимать участие в согласовании мест размещения объектов
информатизации в управлении, перечня технических средств обработки и
передачи информации, размещаемых на объекте информатизации, а также
программного обеспечения, необходимых для выполнения функций
управления в установленной сфере деятельности;
контролировать соблюдение пользователями требований настоящего
Регламента при обработке информации на персональных
электронно-вычислительных машинах (далее - ПЭВМ);
информировать подразделение по защите информации при обнаружении
фактов разглашения информации;
обеспечивать условия для работы сотрудника подразделения по
защите информации при проверке в управлении эффективности
предусмотренных мер защиты информации.
2.3. Сотрудники, отвечающие за защиту информации на объектах
информатизации, обязаны:
иметь список пользователей объекта информатизации управления;
разграничивать доступ пользователей и обслуживающего персонала к
информационным ресурсам, программным средствам обработки (передачи) и
защиты информации на объекте информатизации;
принимать участие в разработке инструкции по обеспечению
безопасности информации на объектах информатизации, создаваемых в
управлении;
своевременно информировать начальника управления о допущенных
нарушениях установленного порядка защиты информации на объекте
информатизации управления.
2.4. Пользователь обязан:
перед началом работы на ПЭВМ проверить свои рабочие папки на
жестком магнитном диске, съемные машинные носители информации
(дискеты, компакт-диски и т.п.) на отсутствие вирусов с помощью
штатных средств антивирусной защиты;
при необходимости использования машинных носителей информации,
поступивших из других управлений центрального аппарата, а также
учреждений, предприятий и организаций провести проверку этих носителей
на отсутствие вирусов;
при сообщениях тестовых программ о появлении вирусов немедленно
прекратить работу, сообщить сотруднику подразделения по защите
информации;
при обработке информации использовать только машинные носители
информации, зарегистрированные и полученные у ответственных за ведение
несекретного делопроизводства, в управлениях центрального аппарата;
соблюдать правила работы со средствами защиты информации и
установленный (в случае необходимости) режим разграничения доступа к
техническим средствам, программам, файлам с информацией при ее
обработке;
при выходе в течение рабочего дня из помещения, в котором
размещается объект информатизации, убирать машинные носители
информации в запираемое хранилище;
осуществлять ввод личного пароля в отсутствии посторонних лиц и
не производить его запись на любые носители;
при обнаружении различных неисправностей в работе компьютерной
техники, программном обеспечении, нарушений целостности пломб
(наклеек, печатей), несоответствии номеров на аппаратных средствах
сообщить сотруднику подразделения по защите информации.
3. Мероприятия по защите информации на объектах
информатизации, проводимые подразделением
по защите информации
3.1. В целях реализации организационных и технических мероприятий
по защите информации на объектах информатизации подразделением по
защите информации разрабатываются руководящие документы по защите
информации в центральном аппарате Росфиннадзора:
положение по защите информации от технических разведок и от ее
утечки по техническим каналам;
план мероприятий по защите информации;
план проверок состояния защиты информации;
модель угроз информационной безопасности;
перечень защищаемых объектов информатизации;
акты о категорировании защищаемых объектов информатизации;
схема контролируемой зоны;
акт о вводе в эксплуатацию средств вычислительной техники,
обрабатывающих информацию, и назначении сотрудника, ответственного за
эксплуатацию средств защиты информации на объекте информатизации;
инструкция по антивирусной защите.
3.2. В целях реализации технических мер защиты информации на
объектах информатизации подразделением по защите информации
организуется их аттестация (комплекс организационно-технических
мероприятий, в результате которых посредством специального документа
(аттестата соответствия) подтверждается, что объект информатизации
соответствует требованиям стандартов или иных нормативно-технических
документов по безопасности информации, установленных федеральным
органом исполнительной власти, уполномоченным в области
противодействия техническим разведкам и технической защиты информации)
и осуществляется антивирусная защита ПЭВМ.
Аттестация объектов информатизации проводится специализированной
организацией, имеющей лицензию на право работы в области защиты
информации.
Антивирусная защита информации на объектах информатизации
осуществляется путем:
внедрения и применения средств антивирусной защиты информации;
обновления баз данных средств антивирусной защиты информации;
своевременных действий при обнаружении заражения информации
программными вирусами. |