Постановление Губернатора Волгоградской области от 24.04.2020 № 287

О государственной информационной системе Волгоградской области "Региональная система управления мероприятиями по обеспечению информационной безопасности Волгоградской области"

 

 

 

 

ПОСТАНОВЛЕНИЕ

 

 

ГУБЕРНАТОРАВОЛГОГРАДСКОЙ ОБЛАСТИ

 

 

от 24 апреля 2020 г.

N 287

 

 

О ГОСУДАРСТВЕННОЙИНФОРМАЦИОННОЙ СИСТЕМЕ ВОЛГОГРАДСКОЙ

ОБЛАСТИ"РЕГИОНАЛЬНАЯ СИСТЕМА УПРАВЛЕНИЯ МЕРОПРИЯТИЯМИ

ПО ОБЕСПЕЧЕНИЮИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ВОЛГОГРАДСКОЙОБЛАСТИ"

 

 

Всоответствии с федеральными законами от 27 июля 2006 г. N 149-ФЗ "Обинформации, информационных технологиях и о защите информации", от 27 июля2006 г. N 152-ФЗ "О персональных данных" и от 26 июля 2017 г. N187-ФЗ "О безопасности критической информационной инфраструктурыРоссийской Федерации", в целях обеспечения соблюдения требований побезопасности информации, обрабатываемой в государственных информационныхсистемах, информационных системах персональных данных и иных информационныхсистемах органов исполнительной власти Волгоградской области, постановляю:

1. Создать государственную информационную систему Волгоградской области"Региональная система управления мероприятиями по обеспечениюинформационной безопасности Волгоградской области".

2. Утвердить прилагаемое Положение о государственной информационнойсистеме Волгоградской области "Региональная система управлениямероприятиями по обеспечению информационной безопасности Волгоградскойобласти".

3. Определить:

комитет информационных технологий Волгоградской области операторомгосударственной информационной системы Волгоградской области "Региональнаясистема управления мероприятиями по обеспечению информационной безопасностиВолгоградской области";

государственное бюджетное учреждение Волгоградской области "Центринформационных технологий Волгоградской области" уполномоченным органом потехническому сопровождению государственной информационной системы Волгоградскойобласти "Региональная система управления мероприятиями по обеспечениюинформационной безопасности Волгоградской области".

4. Возложить на комитет информационных технологий Волгоградской областикоординацию деятельности по подключению к государственной информационнойсистеме Волгоградской области "Региональная система управлениямероприятиями по обеспечению информационной безопасности Волгоградскойобласти" органов исполнительной власти Волгоградской области, органовместного самоуправления муниципальных образований Волгоградской области иподведомственных им организаций.

5. Рекомендовать органам местного самоуправления муниципальныхобразований Волгоградской области использовать государственную информационнуюсистему Волгоградской области "Региональная система управлениямероприятиями по обеспечению информационной безопасности Волгоградской области"для обеспечения безопасности защищаемой информации.

6. Контроль за исполнением постановления возложить на первогозаместителя Губернатора Волгоградской области В.В. Бахина.

7. Настоящее постановление вступает в силу со дня его подписания иподлежит официальному опубликованию.

 

 

Губернатор

Волгоградской области                                                                                         А.И.БОЧАРОВ

 

 

 

 

 

Утверждено

постановлением

Губернатора

Волгоградскойобласти

от 24 апреля 2020г. N 287

 

ПОЛОЖЕНИЕ

О ГОСУДАРСТВЕННОЙИНФОРМАЦИОННОЙ СИСТЕМЕ ВОЛГОГРАДСКОЙ

ОБЛАСТИ "РЕГИОНАЛЬНАЯСИСТЕМА УПРАВЛЕНИЯ МЕРОПРИЯТИЯМИ

ПО ОБЕСПЕЧЕНИЮИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ВОЛГОГРАДСКОЙОБЛАСТИ"

 

1. Общиеположения

 

1.1.Настоящее Положение определяет назначение, цель создания (функционирования)государственной информационной системы Волгоградской области "Региональнаясистема управления мероприятиями по обеспечению информационной безопасностиВолгоградской области" (далее именуется - ГИС УИБ), ее состав, задачи,основные функции, участников информационного взаимодействия, порядок обеспечениядоступа к ГИС УИБ и порядок защиты информации, обрабатываемой в ГИС УИБ.

1.2. ГИС УИБ является государственной информационной системойВолгоградской области, созданной в целях обеспечения соблюдения требований побезопасности информации, обрабатываемой в государственных информационныхсистемах, информационных системах персональных данных и иных информационныхсистемах органов исполнительной власти Волгоградской области и органов местногосамоуправления муниципальных образований Волгоградской области (далее именуются- информационные системы), в соответствии с законодательством РоссийскойФедерации в области обеспечения безопасности информации ограниченного доступа,не составляющей государственную тайну, в том числе персональных данных, а такжесоблюдения требований по обеспечению безопасности информационных систем,являющихся объектами критической информационной инфраструктуры органовисполнительной власти Волгоградской области и органов местного самоуправлениямуниципальных образований Волгоградской области в соответствии сзаконодательством Российской Федерации в области обеспечения безопасностикритической информационной инфраструктуры.

1.3. ГИС УИБ состоит из информационно-технологических средств,размещаемых в составе центрального сегмента в едином центре обработки данныхорганов исполнительной власти Волгоградской области, и пользовательскихсегментов, размещаемых в органах исполнительной власти Волгоградской области,органах местного самоуправления муниципальных образований Волгоградской областии подведомственных им организациях.

1.4. Оператором ГИС УИБ является комитет информационных технологийВолгоградской области.

1.5. Пользователями ГИС УИБ являются органы исполнительной властиВолгоградской области, органы местного самоуправления муниципальных образованийВолгоградской области и подведомственные им организации.

1.6. Уполномоченный орган по техническому сопровождению ГИС УИБ -государственное бюджетное учреждение Волгоградской области "Центринформационных технологий Волгоградской области".

 

2. Задачи ифункции ГИС УИБ

 

2.1.Задачами ГИС УИБ являются:

а) создание единого централизованного информационного ресурса,содержащего следующую информацию:

сведения об информационных системах пользователей ГИС УИБ,представляющих общую информацию об информационных системах;

сведения об аттестации и количестве актуальных угроз информационнымсистемам;

процент технической защищенности и состояние защищенности каждойинформационной системы требуемыми средствами защиты информации;

рекомендации по устранению актуальных угроз и проставления отметок овыполнении необходимых мер по закрытию угроз;

реестр специалистов по защите информации пользователей ГИС УИБ;

б) формирование организационно-распорядительной документации повопросам обеспечения безопасности персональных данных и информации,обрабатываемой в информационных системах, в соответствии со стандартамиделопроизводства и требованиями регуляторов;

в) обеспечение мониторинга защиты информации в информационных системах,в том числе являющихся объектами критической информационной инфраструктуры, иотображение текущего состояния информационной безопасности в информационныхсистемах пользователей ГИС УИБ;

г) повышение осведомленности специалистов по защите информациипользователей ГИС УИБ в области информационной безопасности;

д) организация мероприятий и формирование задач по защите информациипользователей ГИС УИБ.

2.2. Основные функции ГИС УИБ:

автоматизация процессов формирования организационно-распорядительнойдокументации по вопросам обеспечения безопасности персональных данных иинформации, обрабатываемой в информационных системах, разработка моделей угрозбезопасности информации (включая модель нарушителя), комплекта техническойдокументации по вопросам обеспечения безопасности персональных данных иинформации, обрабатываемой в информационных системах, документации поэксплуатации криптографических средств защиты информации и категорированиюобъектов критической информационной инфраструктуры;

ведение плана внутренних мероприятий пользователей ГИС УИБ на текущийгод и выгрузка отчета о проведении внутренних проверок;

учет информации о специалистах по защите информации (ответственныхсотрудниках), формирование перечня ответственных сотрудников пользователей ГИСУИБ;

ведение журналов по информационной безопасности, требуемыхзаконодательством, в электронном виде и обеспечение возможности выгрузкипечатных форм;

формирование индивидуальной формы согласия на обработку персональныхданных, включающей перечень действий с персональными данными для каждой категориисубъектов персональных данных;

предоставление пользователю ГИС УИБ возможности планировать задачи,получать уведомление о запланированных мероприятиях и событиях (плановыхпроверках регуляторов и запланированных пользователем внутренних проверках);

представление информации о готовности пользователей ГИС УИБ к проверкеФедеральной службы по надзору в сфере связи, информационных технологий имассовых коммуникаций (далее именуется - Роскомнадзор) и представление перечнямероприятий, которые необходимо выполнить для прохождения проверки;

представление информации о готовности пользователей ГИС УИБ к проверкеФедеральной службы безопасности Российской Федерации (далее именуется - ФСБРоссии) в части выполнения организационных мер по защите информации и требованийпо эксплуатации средств криптографической защиты информации;

представление информации о готовности пользователей ГИС УИБ к проверкеФедеральной службы по техническому и экспортному контролю (далее именуется -ФСТЭК России) в части выполнения организационных мер по защите информации;

определение уже имеющихся информационных систем пользователей ГИС УИБкак объектов критической информационной инфраструктуры с указанием свойствобъекта критической информационной инфраструктуры и формирование пакетадокументов по категорированию объектов критической информационнойинфраструктуры.

 

3. Состав ГИС УИБ

 

3.1. ГИСУИБ имеет модульную структуру и состоит из следующих подсистем и модулей:

подсистема внесения (изменения) исходных данных;

подсистема управления пользовательскими стилями в документации;

подсистема генерации и выгрузки документации;

подсистема управления профилем пользователя;

подсистема информационной поддержки пользователя (консультирования);

подсистема планирования событий и постановки задач (контроля за ихвыполнением), получения уведомлений;

подсистема ведения журналов по информационной безопасности вэлектронном виде;

подсистема оценки готовности к проверкам Роскомнадзора;

подсистема оценки готовности к проверкам ФСБ России;

подсистема оценки готовности к проверкам ФСТЭК России;

подсистема учета плановых и внеплановых проверок надзорных органов;

подсистема планирования мероприятий по внутреннему контролю;

подсистема автоматической подачи уведомления (информационного письма) вРоскомнадзор;

подсистема быстрого доступа к формам документов в областиинформационной безопасности;

подсистема "База знаний";

подсистема оперативного мониторинга состояния защиты информации ворганизации;

подсистема быстрой обработки "рабочих ситуаций";

подсистема автоматического формирования согласий на обработкуперсональных данных, адаптированных под категории субъектов персональныхданных;

подсистема ведения реестра информационных систем;

подсистема формирования отчетности по данным организации;

подсистема анализа уязвимостей;

подсистема контроля подведомственных учреждений;

подсистема создания типовых конфигураций информационных систем, ихиспользования и формирования нормативно-правового акта, регламентирующегоугрозы безопасности информации;

подсистема ведения реестра специалистов по защите информации ворганизации;

подсистема категорирования объектов критической информационнойинфраструктуры.

3.2. ГИС УИБ включает в себя следующие сегменты:

центральный сегмент ГИС УИБ - информационно-технологический ителекоммуникационный комплекс, состоящий из программно-аппаратных средств иканалов передачи данных, размещенный в едином центре обработки данных органовисполнительной власти Волгоградской области;

пользовательский сегмент ГИС УИБ - программно-технические комплексы иканалы передачи данных, функционирующие у участников информационноговзаимодействия, предназначенные для обеспечения работы пользователей.

Границей центрального сегмента ГИС УИБ являются программно-аппаратныесредства криптографической защиты информации, передаваемой по каналам передачиданных, установленные в едином центре обработки данных органов исполнительнойвласти Волгоградской области.

 

Границейпользовательских сегментов ГИС УИБ являются программно-аппаратные средствакриптографической защиты информации, передаваемой по каналам передачи данных,установленные у участников информационного взаимодействия.

 

4. Участникиинформационного взаимодействия

 

4.1. ВГИС УИБ предусматриваются следующие участники информационного взаимодействия:

оператор ГИС УИБ;

уполномоченный орган по техническому сопровождению ГИС УИБ;

пользователи ГИС УИБ.

4.2. Оператор ГИС УИБ выполняет следующие функции:

организует функциональное развитие ГИС УИБ;

организует и регламентирует доступ пользователей к ГИС УИБ;

определяет порядок ведения и обработки информации в ГИС УИБ и доступа кней;

обеспечивает защиту информации, содержащейся в ГИС УИБ, отнесанкционированного доступа, утраты, искажения и разрушения;

осуществляет контроль соответствия ГИС УИБ требованиям по защитеинформации;

осуществляет консультационную поддержку пользователей по вопросамиспользования ГИС УИБ.

4.3. Уполномоченный орган по техническому сопровождению ГИС УИБвыполняет следующие функции:

обеспечивает функционирование и эксплуатацию серверного и сетевогооборудования, а также общесистемного программного обеспечения (операционныесистемы и системы управления базами данных) центрального сегмента ГИС УИБ,расположенного в едином центре обработки данных органов исполнительной властиВолгоградской области;

выполняет работы по администрированию системного, сетевого иприкладного программно-аппаратного обеспечения ГИС УИБ;

осуществляет защиту информации, обрабатываемой в центральном сегментеГИС УИБ, в соответствии с требованиями, утвержденными оператором ГИС УИБ;

осуществляет контроль за уровнем защищенности информации, содержащейсяв ГИС УИБ;

своевременное обновление общесистемного программного обеспечения исредств защиты информации;

организует резервное копирование информации, обрабатываемой в ГИС УИБ.

4.4. Пользователи ГИС УИБ выполняют следующие функции:

обеспечивают назначение лиц из числа сотрудников, осуществляющихфункции по защите информации;

осуществляют формирование и ввод сведений (данных), их обработку иактуализацию в информационных системах;

обеспечивают достоверность информации, содержащейся в электронныхдокументах и сведениях, вводимых в ГИС УИБ;

обеспечивают функционирование пользовательского сегмента;

осуществляют мероприятия по обеспечению информационной безопасностипользовательского сегмента.

 

5. Порядокобеспечения доступа к ГИС УИБ

 

5.1.Доступ к информации, содержащейся в ГИС УИБ, получают зарегистрированныепользователи с использованием средств идентификации и аутентификации.

5.2. Регистрация и предоставление учетных записей для доступа к ГИС УИБосуществляется оператором информационной системы.

5.3. Информация о правах доступа к ГИС УИБ размещается в подсистемеуправления профилем пользователя оператором информационной системы.

 

6. Порядок защитыинформации, обрабатываемой в ГИС УИБ

 

6.1.Информация, содержащаяся в ГИС УИБ, хранится в едином центре обработки данныхорганов исполнительной власти Волгоградской области и подлежит защите всоответствии с законодательством Российской Федерации.

6.2. Защита информации, содержащейся в ГИС УИБ, обеспечиваетсяпосредством применения организационных и технических мер защиты информации.

6.3. Для обеспечения защиты информации в ходе создания, эксплуатации иразвития ГИС УИБ оператор ГИС УИБ:

формирует требования к защите информации, содержащейся в информационныхсистемах;

осуществляет контроль соответствия ГИС УИБ требованиям по защитеинформации;

обеспечивает техническую защиту информации при ее передаче поинформационно-телекоммуникационным сетям;

обеспечивает предотвращение несанкционированного доступа к информации,содержащейся в центральном сегменте ГИС УИБ, и (или) передачу такой информациилицам, не имеющим права на доступ к этой информации;

обеспечивает недопущение несанкционированного воздействия, нарушающегофункционирование входящих в состав центрального сегмента ГИС УИБ технических ипрограммных средств обработки информации;

обеспечивает контроль за уровнем защищенности информации, содержащейсяв ГИС УИБ.

6.4. Пользователи ГИС УИБ обеспечивают:

конфиденциальность и безопасность информации при подключении к ГИС УИБ;

применение организационных и технических мер по обеспечениюбезопасности информации пользовательского сегмента ГИС УИБ.