КАБИНЕТ МИНИСТРОВ РЕСПУБЛИКИ ТАТАРСТАН
РАСПОРЯЖЕНИЕ
от 24 мая 2012 г. № 837-р
В целях обеспечения в исполнительных органах государственной власти Республики Татарстан и подведомственных им учреждениях Республики Татарстан защиты сведений, составляющих государственную тайну и конфиденциальную информацию (персональные данные):
1. Утвердить прилагаемое Положение
о приемке исполнительными органами государственной власти Республики Татарстан и подведомственными им учреждениями в эксплуатацию объектов информатизации, аттестованных по требованиям безопасности информации, и порядке осуществления ими эксплуатации указанных объектов в период действия аттестата соответствия (далее - Положение).
2. Предложить органам местного самоуправления Республики Татарстан и подведомственным им учреждениям при эксплуатации объектов, аттестованных по требованиям безопасности информации, руководствоваться Положением
.
3. Министерству информатизации и связи Республики Татарстан до 1 июня 2012 года разработать и направить исполнительным органам государственной власти Республики Татарстан и органам местного самоуправления Республики Татарстан комплект примерных форм инструкций по защите сведений, составляющих государственную тайну и конфиденциальную информацию.
4. Контроль за исполнением настоящего распоряжения возложить на Министерство информатизации и связи Республики Татарстан.
Премьер-министр
Республики Татарстан
И.Ш.ХАЛИКОВ
Утверждено
распоряжением
Кабинета Министров
Республики Татарстан
от 24 мая 2012 г. № 837-р
ПОЛОЖЕНИЕ
О ПРИЕМКЕ ИСПОЛНИТЕЛЬНЫМИ ОРГАНАМИ ГОСУДАРСТВЕННОЙ ВЛАСТИ
РЕСПУБЛИКИ ТАТАРСТАН И ПОДВЕДОМСТВЕННЫМИ ИМ УЧРЕЖДЕНИЯМИ
В ЭКСПЛУАТАЦИЮ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ, АТТЕСТОВАННЫХ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, И ПОРЯДКЕ
ОСУЩЕСТВЛЕНИЯ ИМИ ЭКСПЛУАТАЦИИ УКАЗАННЫХ ОБЪЕКТОВ
В ПЕРИОД ДЕЙСТВИЯ АТТЕСТАТА СООТВЕТСТВИЯ
1. Общие положения
1.1. Настоящее Положение определяет порядок проведения приемки исполнительными органами государственной власти Республики Татарстан и подведомственными им учреждениями Республики Татарстан (далее - исполнительные органы государственной власти, учреждения соответственно) объектов информатизации, аттестованных по требованиям безопасности информации, и порядок эксплуатации указанных объектов в период действия аттестата соответствия.
1.2. Настоящее Положение разработано с учетом:
Положения
по аттестации объектов информатизации по требованиям безопасности информации, утвержденного председателем Государственной технической комиссии при Президенте Российской Федерации 25.11.1994;
Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техническим каналам, утвержденных решением Государственной технической комиссии при Президенте Российской Федерации от 23 мая 1997 г. № 55;
Специальных требований и рекомендаций по технической защите конфиденциальной информации, утвержденных Приказом Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 № 282.
2. Подготовка объектов информатизации к аттестации
по требованиям безопасности информации, проведению контроля
и надзора за эксплуатацией
2.1. Подготовка объектов информатизации к аттестации по требованиям безопасности информации должна включать следующие мероприятия:
2.1.1. Подготовку кадров исполнительного органа государственной власти, учреждения и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации:
а) приказом руководителя исполнительного органа государственной власти, учреждения назначается ответственное лицо по защите информации исполнительного органа государственной власти, учреждения;
б) лицо, ответственное за защиту информации, должно иметь высшее техническое образование в области информационных технологий либо свидетельство о прохождении курса повышения квалификации по технической защите информации (программа курсов объемом 72 часа должна быть согласована с Федеральной службой по техническому и экспортному контролю);
в) сотрудники исполнительного органа государственной власти, учреждения, которые при выполнении своих служебных обязанностей осуществляют доступ к объектам информатизации, обрабатывающим информацию ограниченного доступа (государственная тайна, персональные данные, конфиденциальная информация), должны пройти курсы повышения квалификации в области информационной безопасности;
г) на объектах информатизации, на которых обрабатывается информация ограниченного доступа (государственная тайна, персональные данные, конфиденциальная информация), разрабатываются регламенты и инструкции для администратора информационной безопасности, системного администратора и пользователей, которые утверждаются руководителем исполнительного органа государственной власти, учреждения;
д) приказом руководителя исполнительного органа государственной власти, учреждения определяется список лиц, допущенных к выделенным помещениям и объектам информатизации, на которых обрабатывается информация ограниченного доступа.
2.1.2. Ответственное лицо по защите информации исполнительного органа государственной власти, учреждения организует следующие мероприятия:
а) организует категорирование объектов электронно-вычислительной техники, выделенных помещений и классификацию автоматизированных систем (при необходимости аттестации автоматизированных систем);
б) осуществляет подготовку объектов информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
в) предоставляет органам по аттестации необходимые документы и условия для проведения аттестации;
г) предоставляет необходимые документы и создает условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
3. Порядок приемки объектов информатизации, аттестованных
по требованиям безопасности информации
3.1. Ответственным лицом за приемку объектов информатизации, аттестованных по требованиям безопасности информации, назначается заместитель руководителя исполнительного органа государственной власти, учреждения, курирующий вопросы информационной безопасности.
3.2. При прохождении процедуры приемки автоматизированной системы на базе персональной электронной вычислительной машины либо локальной вычислительной сети проверяется наличие следующего оборудования, программного обеспечения, документов:
аттестата соответствия на объект информатизации (срок действия аттестата не менее 3 лет), а также других необходимых аттестационных документов;
защитных голографических наклеек на корпусе системного блока, а также на всех периферийных устройствах (в случае проведения специальных проверок и исследований);
программных и аппаратных средств защиты информации, установленных на автоматизированных системах их настройки, а также правильность их функционирования;
полного комплекта поставляемого оборудования и программного обеспечения, в том числе средств защиты информации;
полного комплекта документов на автоматизированную систему в соответствии с нормативными правовыми документами Федеральной службы по техническому и экспортному контролю.
3.3. При прохождении процедуры приемки выделенных помещений проверяется наличие следующего оборудования и документов:
аттестата соответствия на выделенное помещение (срок действия документа не менее 3 лет), а также других необходимых аттестационных документов;
всех элементов системы активного зашумления и/или других средств защиты информации, указанных в аттестационных документах и техническом паспорте;
полного комплекта документов на выделенное помещение в соответствии с нормативными правовыми документами Федеральной службы по техническому и экспортному контролю.
3.4. По итогам процедуры приемки выполненных работ производится подписание руководителем исполнительного органа государственной власти, учреждения акта выполненных работ и издается приказ о вводе в эксплуатацию объекта информатизации.
4. Порядок эксплуатации объектов информатизации,
аттестованных по требованиям безопасности информации
4.1. Порядок эксплуатации объектов информатизации, аттестованных по требованиям безопасности информации, осуществляется в соответствии с требованиями предписания на эксплуатацию объекта информатизации и внутренних документов исполнительного органа государственной власти, учреждения (инструкции, памятки, технические паспорта и т.д.).
4.2. В период эксплуатации объектов информатизации, аттестованных по требованиям безопасности информации, запрещается вносить изменения в состав основных и вспомогательных технических средств и систем, программного обеспечения и средств защиты информации в период действия аттестата соответствия.
4.3. При эксплуатации автоматизированных систем, аттестованных по требованиям безопасности информации, недопустимо:
перемещать персональные электронные вычислительные машины, вспомогательные технические средства и системы и средства защиты информации с установленного места;
нарушать целостность защитных голографических наклеек на основных и вспомогательных технических средствах и системах;
без согласования с органом по аттестации производить установку нового программного обеспечения и программно-аппаратных средств, не учтенных в аттестационных документах объекта информатизации;
использовать неучтенные носители информации на автоматизированном рабочем месте.
4.4. При эксплуатации выделенных помещений, аттестованных по требованиям безопасности информации, недопустимо:
перемещать мебель и технические средства, расположенные в данном помещении;
нарушать целостность защитных голографических наклеек на технических средствах;
устанавливать новые технические средства;
проводить ремонт в помещении.
4.5. Повседневный контроль выполнения требований по защите информации, циркулирующей на объекте информатизации, осуществляет ответственный за объект информатизации. Плановый контроль эффективности реализованных на объекте информатизации мер защиты информации осуществляется специалистами по защите информации исполнительного органа государственной власти, учреждения, в ведении которого находится объект информатизации.
4.6. Контроль за безопасностью информации, циркулирующей на аттестованном объекте информатизации (в части эффективности внедренных на объекте мер и средств защиты информации), и за его эксплуатацией в соответствии с требованиями нормативных и руководящих документов Федеральной службы по техническому и экспортному контролю, программой и методиками аттестационных испытаний осуществляется органом по аттестации в сроки и порядке, установленные законодательством.
4.7. В случае выхода из строя персональной электронной вычислительной машины, аттестованной по требованиям безопасности информации, необходимо обратиться в адрес органа по аттестации объектов информатизации, производившего аттестационные испытания, для согласования порядка проведения ремонта, повторных проверок и внесения изменений в аттестационную документацию.
4.8. Допускается внесение изменений в аттестационную документацию, не влияющих на защищенность информации на объекте информатизации, при проведении ежегодного контроля объекта информатизации по согласованию с органом по аттестации, проводившим аттестацию.
5. Ответственность исполнительного органа государственной
власти, учреждения при эксплуатации объектов
информатизации, аттестованных по требованиям
безопасности информации
5.1. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
5.2. В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.
5.3. При несоответствии аттестуемого объекта требованиям безопасности информации и невозможности оперативно устранить выявленные аттестационной комиссией недостатки орган по аттестации принимает решение об отмене или приостановке действия выданного им аттестата соответствия объекта информатизации. Владелец объекта информатизации обязан прекратить обработку сведений ограниченного доступа до устранения выявленных недостатков.