Без рубрики
Об утверждении административного регламента по исполнению государственной функции Министерства информационных технологий и связи Московской области "Контроль соблюдения требований по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в органах Московской области"
Распоряжение Министерства информационных технологий и связи МО от 28.04.2012 N 38
Документ утратил силу
Во исполнение требований Законов Российской Федерации "О государственной тайне", "Об информации, информационных технологиях и о защите информации", "О персональных данных", Указов Президента Российской Федерации, нормативных правовых документов Правительства Российской Федерации и Правительства Московской области, руководящих и нормативно-методических документов ФСТЭК России по защите информации:
Утвердить прилагаемый административный регламент по исполнению государственной функции Министерства информационных технологий и связи Московской области "Контроль соблюдения требований по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в органах Московской области".
Министр А.В. Шарыкин
Утвержден распоряжением министерства информационных технологий и связи Московской области от 28 апреля 2012 г. N 38
АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ ПО ИСПОЛНЕНИЮ ГОСУДАРСТВЕННОЙ ФУНКЦИИ МИНИСТЕРСТВА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СВЯЗИ МОСКОВСКОЙ ОБЛАСТИ "КОНТРОЛЬ СОБЛЮДЕНИЯ ТРЕБОВАНИЙ И НОРМ ПО ЗАЩИТЕ ИНФОРМАЦИИ, ПРОВЕДЕНИЕ ОЦЕНКИ ОБОСНОВАННОСТИ И ЭФФЕКТИВНОСТИ МЕР ЗАЩИТЫ ИНФОРМАЦИИ, ПРИНЯТЫХ В ГОСУДАРСТВЕННЫХ ОРГАНАХ МОСКОВСКОЙ ОБЛАСТИ"
I. Общие положения
1. Наименование государственной функции: "Контроль соблюдения требований и норм по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в государственных органах Московской области" (далее — контроль).
2. Наименование органа, исполняющего государственную функцию: Министерство информационных технологий и связи Московской области (далее — Министерство).
3. Административный регламент устанавливает порядок исполнения государственной функции Министерства "Контроль соблюдения требований и норм по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в государственных органах Московской области" (далее — государственная функция) и разработан в целях:
повышения качества исполнения государственной функции;
своевременного выявления и предотвращения утечки информации ограниченного доступа, оценки ее защищенности;
исключения или существенного затруднения несанкционированного доступа к информации ограниченного доступа, хищения или утраты технических средств и носителей информации;
предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации;
разработки рекомендаций по защите информации ограниченного доступа в государственных органах Московской области.
4. Перечень нормативных правовых актов, непосредственно регулирующих осуществление полномочия:
— Закон Российской Федерации от 21.07.1993 N 5485-1 "О государственной тайне";
— Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
— Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";
— Инструкция по обеспечению режима секретности в Российской Федерации, утвержденная постановлением Правительства Российской Федерации от 05.01.2004 N 3-1;
— Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи";
— Указ Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";
— Положение о государственной системе защиты информации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденное постановлением Совета Министров — Правительства Российской Федерации от 15.09.1993 N 912-51;
— Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам, утвержденные решением Гостехкомиссии России от 23.05.1997 N 55;
— Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Гостехкомиссии России от 30.08.2002 N 282;
— Положение о порядке обращения с информацией ограниченного доступа в исполнительных органах государственной власти Московской области, государственных органах и государственных учреждениях Московской области, утвержденное постановлением Правительства Московской области от 27.11.2002 N 573/46;
— Положение о Министерстве информационных технологий и связи Московской области, утвержденное постановлением Правительства Московской области от 15.10.2007 N 775/36;
— постановление Правительства Московской области "О некоторых вопросах организации защиты информации в Московской области" от 30.05.2011 N 491/17.
5. Предметом контроля является состояние системы технической защиты информации в государственном органе Московской области.
6. При исполнении государственной функции должностные лица Министерства обязаны:
— посещать объекты (территории и помещения) проверяемого государственного органа Московской области (далее — государственные органы) в целях проведения проверки только во время исполнения служебных обязанностей при предъявлении служебного удостоверения и предписания на проведение проверки;
— своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений информационной безопасности;
— соблюдать законодательство Российской Федерации, права и законные интересы государственного органа;
— проводить проверку на основании и в строгом соответствии с предписанием на проведение проверки;
— не препятствовать представителям государственного органа при проведении мероприятия по контролю, давать разъяснения по вопросам, относящимся к предмету проверки;
— предоставлять должностным лицам государственного органа, присутствующим при проведении мероприятий по контролю, относящуюся к предмету проверки необходимую информацию;
— знакомить должностных лиц государственного органа с результатами мероприятий по контролю;
— не допускать необоснованных ограничений прав и законных интересов государственного органа;
— доказывать законность своих действий при их обжаловании государственным органом в порядке, установленном законодательством Российской Федерации.
7. При исполнении государственной функции должностные лица Министерства имеют право:
— доступа ко всей организационно-распорядительной документации по защите информации в государственном органе;
— истребовать и получать установленным порядком другие документы, необходимые для достижения целей исполнения государственной функции;
— обращаться непосредственно к должностным лицам государственного органа, ответственным за организацию работы по защите информации, для оперативного разрешения вопросов, возникающих в ходе исполнения государственной функции.
8. Должностные лица государственного органа обязаны:
— подготовить и предоставить помещение для работы комиссии, аттестованное по требованиям безопасности информации автоматизированное рабочее место (далее — АРМ), АРМ для обработки общедоступной информации с подключением к международным компьютерным сетям;
— обеспечить присутствие должностных лиц, ответственных за организацию и проведение мероприятий по защите информации;
— при невыполнении требований или норм по защите информации, создавших или создающих реальную возможность ее утечки по техническим каналам, немедленно прекратить обработку информации на объекте информатизации, где обнаружены нарушения, и принять меры по их устранению, возобновление работ разрешить после устранения нарушений и проверки достаточности и эффективности принятых мер;
— при невыполнении требований по защите информации, создающих предпосылки к ее утечке по техническим каналам, принять необходимые меры по устранению выявленных предпосылок в сроки, согласованные с Министерством;
— организовать в установленном порядке расследование причин и условий, способствующих появлению нарушений, с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц.
9. Должностные лица государственного органа имеют право:
— непосредственно присутствовать при проведении мероприятий, проводимых в ходе контроля, давать объяснения по вопросам, относящимся к предмету проверки;
— знакомиться с результатами мероприятий, проводимых в ходе контроля, и указывать в актах о своем ознакомлении, согласии или несогласии с ними, а также с действиями должностных лиц Министерства;
— обжаловать действия (бездействие) должностных лиц Министерства в соответствии с законодательством Российской Федерации.
10. Результатом исполнения государственной функции является:
Акт контроля выполнения требований нормативных правовых актов по защите информации в государственном органе Московской области.
11. Функция исполняется в государственных органах Московской области.
II. Требования к порядку исполнения функции
Порядок информирования о правилах исполнения функции
12. Информация о порядке исполнения функции представляется посредством ее размещения на официальном сайте Министерства www.mits.mosreg.ru.
Место нахождения и почтовый адрес Министерства: 143407, Московская область, г. Красногорск-7, бульвар Строителей, д. 1.
Консультация по порядку исполнения функции может быть получена заинтересованными лицами по телефонам Управления информационной безопасности: 8 (498) 602-29-68, 8 (498) 602-29-64, факс: 8 (498) 602-29-66.
Адрес электронной почты Министерства: mits@mosreg.ru.
График работы Министерства:
Понедельник 9.00-18.00 Вторник 9.00-18.00 Среда 9.00-18.00 Четверг 9.00-18.00 Пятница 9.00-16.45 Суббота Выходной день Воскресенье Выходной день Перерыв на обед 13.00-13.45
13. Исполнение государственной функции осуществляется путем проведения плановых и внеплановых проверок деятельности государственных органов Московской области по соблюдению требований нормативных правовых актов и нормативных методических документов по защите информации, обоснованности и эффективности мер защиты информации, принимаемых в государственных органах Московской области.
14. Все виды проверок осуществляются на основании предписания на выполнение задания по контролю выполнения требований нормативных правовых актов по защите информации, подписанного министром информационных технологий и связи Правительства Московской области (далее — министр) (форма 5 к постановлению Правительства РФ от 06.02.2010 N 63 "Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне").
Сроки исполнения государственной функции
15. Проверки производятся в течение календарного года в сроки, установленные Планом контроля выполнения требований нормативных правовых актов по защите информации в государственных органах Московской области (далее — План контроля), который подписывается министром и утверждается Губернатором Московской области. При возникновении необходимости изменение сроков производится по решению Губернатора Московской области.
16. По распоряжению Губернатора Московской области исполнение государственной функции осуществляется безотлагательно в пределах установленного в распоряжении срока. Продление срока выполнения распоряжения возможно по решению Губернатора Московской области или заместителя Председателя Правительства Московской области — руководителя аппарата Правительства Московской области.
Основания для приостановления государственной функции
17. Распоряжение Губернатора Московской области.
III. Административные процедуры
18. Исполнение государственной функции включает в себя следующие административные процедуры:
— проведение плановых и внеплановых проверок;
— оформление результатов проведения проверок;
— проведение анализа итогов проводимых проверок, обобщение, определение причин нарушений и мер по их устранению.
Проведение проверок
19. План контроля разрабатывается и представляется на подпись министру и на утверждение Губернатору Московской области в декабре на первое полугодие следующего года, в июне на второе полугодие текущего года. В Плане контроля указываются наименования государственных органов Московской области, в отношении которых планируется исполнение государственной функции, руководитель проверки и дата (месяц) проведения проверки. Государственный орган Московской области может быть подвергнут плановому контролю не чаще одного раза в 3 года.
Уведомление о предстоящей проверке направляется в государственный орган Московской области в семидневный срок после утверждения Плана контроля.
20. Даты начала и окончания проверки устанавливаются в приказе министра "О проведении контроля выполнения требований нормативных правовых актов по защите информации в государственном органе Московской области" (далее — приказ). Продолжительность проверки не может быть менее 10 рабочих дней.
Приказ издается не позднее чем за 14 дней до начала проверки. Уведомление о дате проверки направляется в орган государственной власти не менее чем за 10 рабочих дней до начала проверки. В уведомлении указывается состав комиссии, предмет и план проверки.
Перед началом проверки должностному лицу, ответственному за защиту информации в проверяемом государственном органе, вручается копия приказа.
По окончании проверки на копии приказа делается запись руководителя кадрового структурного подразделения проверяемого государственного органа о проведении проверки лицами, уполномоченными на проведение контроля (указываются пофамильно), с указанием фактических сроков проведения проверки, запись заверяется печатью с наименованием государственного органа.
21. Плановые проверки проводятся в соответствии с утвержденным Планом контроля вне зависимости от сроков проведения внеплановых проверок.
22. Внеплановые проверки осуществляются в следующих случаях:
— при получении документально подтвержденной и иной заслуживающей внимания информации о нарушениях информационной безопасности в государственных органах Московской области;
— при проведении служебных расследований по выявлению причин и условий нарушений информационной безопасности, по фактам невыполнения требований или норм по защите информации, осуществлении контроля за устранением этих нарушений;
— по распоряжению Губернатора Московской области или заместителя Председателя Правительства — руководителя аппарата Правительства Московской области.
23. При проведении проверок специалисты Управления информационной безопасности Министерства (далее — Управление) действуют в соответствии с требованиями настоящего административного регламента.
24. Контроль соблюдения требований и норм по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в государственных органах Московской области, заключается в:
— проверке выполнения требований нормативных правовых актов, нормативно-методических документов по защите информации ФСТЭК России, решений и рекомендаций Комиссии по информационной безопасности при полномочном представителе Президента в Центральном федеральном округе, Московской областной комиссии по информационной безопасности;
— проверке параметров настройки и работоспособности применяемых средств защиты информации;
— проведении инструментального контроля защищенности объектов информатизации;
— выявлении вероятных каналов утечки информации ограниченного доступа;
— проверке уровня подготовки кадров, обеспечивающих защиту информации.
25. В ходе контроля:
— уточняются общие сведения о контролируемом государственном органе;
— оцениваются общие вопросы организации технической защиты информации;
— проверяется правильность категорирования и классификации объектов информатизации и информационных систем в государственных органах Московской области;
— проверяется ход выполнения мероприятий, направленных на обеспечение защиты информации в государственных органах Московской области от неправомерных действий в отношении такой информации;
— оценивается организация защиты информации, содержащей сведения, составляющие государственную тайну;
— оценивается организация защиты конфиденциальной информации, в том числе персональных данных.
26. Состояние организации технической защиты информации ограниченного доступа, циркулирующей в выделенном помещении, определяется экспертно-документальным методом при его осмотре. В ходе осмотра проверяется наличие организационно-распорядительных документов и выполнение их требований.
27. Выполнение требований по обеспечению безопасности информации ограниченного доступа при ее обработке на автоматизированном рабочем месте контролируется экспертно-документальным методом. В ходе контроля проверяется наличие организационно-распорядительных документов и выполнение их требований.
Оформление результатов проведения проверок
28. Результаты проверки оформляются Актом контроля выполнения требований нормативных правовых актов по защите информации (далее — Акт), в котором отмечаются все выявленные факты нарушения действующего законодательства и недостатки в деятельности проверяемого государственного органа Московской области по обеспечению защиты информации ограниченного доступа.
Акт подписывается лицами, уполномоченными на проведение контроля, и представляется для ознакомления руководителю государственного органа.
Акт составляется в двух экземплярах. Экземпляр N 1 направляется в проверенный государственный орган, экземпляр N 2 хранится в Управлении.
К акту прилагаются:
— протоколы контроля выполнения требований по обеспечению безопасности информации ограниченного доступа при ее обработке на автоматизированных рабочих местах и в локальных вычислительных сетях;
— протокол осмотра выделенного помещения.
29. В течение 30 дней с момента получения Акта руководитель проверенного государственного органа Московской области обязан представить на согласование в Министерство План устранения недостатков, выявленных в ходе проведения контроля.
Проведение анализа итогов проводимых проверок, обобщение, определение причин и нарушений и мер по их устранению
30. Аналитическая работа по результатам проведения проверок проводится в Управлении.
31. Результаты анализа, обобщения, исследования причин и последствий выявленных нарушений и статистические данные итогов проводимых проверок оформляются в форме информационно-аналитического материала и выносятся на рассмотрение Московской областной комиссии по информационной безопасности.
IV. Порядок и формы контроля осуществления полномочия
32. Контроль осуществления полномочия включает в себя проведение, выявление и устранение нарушений прав проверяемых государственных органов, рассмотрение, принятие решений и подготовку ответов на их обращения, содержащие жалобы на решения, действия (бездействие) должностных лиц Министерства.
33. Текущий контроль за осуществлением полномочия организует заместитель министра в соответствии с распределением обязанностей между заместителями министра.
34. Контроль за соблюдением последовательности действий, определенных административными процедурами по осуществлению полномочия, организует заведующий отделом контроля защиты информации Управления, который несет персональную ответственность за:
— разработку проекта Плана контроля;
— разработку проекта приказа;
— подготовку и направление уведомлений о предстоящей проверке в орган государственной власти Московской области;
— подготовку акта и приложений к нему;
— подготовку рекомендаций по приведению системы защиты информации к требованиям нормативных правовых актов.
35. Должностные лица Управления за решения и действия (бездействие), принимаемые (осуществляемые) в ходе исполнения государственной функции, несут ответственность в соответствии с законодательством Российской Федерации.
V. Досудебный (внесудебный) порядок обжалования решений и действий (бездействия) Министерства информационных технологий и связи, а также его должностных лиц
36. Проверяемый государственный орган Московской области имеет право на обжалование действий (бездействия) должностных лиц Министерства, исполняющих государственную функцию, заместителю Председателя Правительства — руководителю аппарата Правительства Московской области в порядке, предусмотренном нормативными правовыми актами Московской области.