Об утверждении административного регламента по исполнению государственной функции Министерства государственного управления, информационных технологий и связи Московской области "Контроль соблюдения требований по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в исполнительных органах государственной власти Московской области, государственных органах Московской области"

Во исполнение требований законов Российской Федерации "О государственной тайне", "Об информации, информационных технологиях и о защите информации", "О персональных данных", указов Президента Российской Федерации, нормативных правовых документов Правительства Российской Федерации и Правительства Московской области, руководящих и нормативно-методических документов ФСТЭК России по защите информации:

1. Утвердить прилагаемый административный регламент по исполнению государственной функции Министерства государственного управления, информационных технологий и связи Московской области "Контроль соблюдения требований по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в исполнительных органах государственной власти Московской области, государственных органах Московской области".

2. Признать утратившим силу распоряжение Министерства информационных технологий и связи Московской области от 28.04.2012 N 38.

1. Наименование государственной функции: "Контроль соблюдения требований и норм по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в государственных органах Московской области" (далее — контроль).

2. Наименование органа, исполняющего государственную функцию: Министерство государственного управления, информационных технологий и связи Московской области (далее — Министерство).

3. Административный регламент устанавливает порядок исполнения государственной функции Министерства "Контроль соблюдения требований и норм по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в государственных органах Московской области" (далее — государственная функция) и разработан в целях:

повышения качества исполнения государственной функции;

своевременного выявления и предотвращения утечки информации ограниченного доступа, оценки ее защищенности;

исключения или существенного затруднения несанкционированного доступа к информации ограниченного доступа, хищения или утраты технических средств и носителей информации;

предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации;

разработки рекомендаций по защите информации ограниченного доступа в государственных органах Московской области.

4. Перечень нормативных правовых актов, непосредственно регулирующих осуществление полномочия:

— Закон Российской Федерации от 21.07.1993 N 5485-1 "О государственной тайне";

— Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

— Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";

— Инструкция по обеспечению режима секретности в Российской Федерации, утвержденная постановлением Правительства Российской Федерации от 05.01.2004 N 3-1;

— Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи";

— Указ Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";

— Положение о государственной системе защиты информации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденное постановлением Совета Министров — Правительства Российской Федерации от 15.09.1993 N 912-51;

— Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам, утвержденные решением Гостехкомиссии России от 23.05.1997 N 55;

— Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Гостехкомиссии России от 30.08.2002 N 282;

— Положение о порядке обращения с информацией ограниченного доступа в исполнительных органах государственной власти Московской области, государственных органах и государственных учреждениях Московской области, утвержденное постановлением Правительства Московской области от 27.11.2002 N 573/46;

— Положение о Министерстве государственного управления, информационных технологий и связи Московской области, утвержденное постановлением Правительства Московской области от 13.06.2012 N 820/19;

— постановление Правительства Московской области "О некоторых вопросах организации защиты информации в Московской области от 30.05.2011 N 491/17".

5. Предметом контроля является состояние системы технической защиты информации в государственном органе Московской области.

6. При исполнении государственной функции должностные лица Министерства обязаны:

— посещать объекты (территории и помещения) проверяемого государственного органа Московской области (далее — государственные органы) в целях проведения проверки только во время исполнения служебных обязанностей при предъявлении служебного удостоверения и предписания на проведение проверки;

— своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений информационной безопасности;

— соблюдать законодательство Российской Федерации, права и законные интересы государственного органа;

— проводить проверку на основании и в строгом соответствии с предписанием на проведение проверки;

— не препятствовать представителям государственного органа при проведении мероприятия по контролю, давать разъяснения по вопросам, относящимся к предмету проверки;

— предоставлять должностным лицам государственного органа, присутствующим при проведении мероприятий по контролю, относящуюся к предмету проверки необходимую информацию;

— знакомить должностных лиц государственного органа с результатами мероприятий по контролю;

— не допускать необоснованных ограничений прав и законных интересов государственного органа;

— доказывать законность своих действий при их обжаловании государственным органом в порядке, установленном законодательством Российской Федерации.

7. При исполнении государственной функции должностные лица Министерства имеют право:

— доступа ко всей организационно-распорядительной документации по защите информации в государственном органе;

— истребовать и получать установленным порядком другие документы, необходимые для достижения целей исполнения государственной функции;

— обращаться непосредственно к должностным лицам государственного органа, ответственным за организацию работ по защите информации, для оперативного разрешения вопросов, возникающих в ходе исполнения государственной функции.

8. Должностные лица государственного органа обязаны:

— подготовить и предоставить помещение для работы комиссии, аттестованное по требованиям безопасности информации автоматизированное рабочее место (далее — АРМ), АРМ для обработки общедоступной информации с подключением к международным компьютерным сетям;

— обеспечить присутствие должностных лиц, ответственных за организацию и проведение мероприятий по защите информации;

— при невыполнении требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам (нарушение первой категории), немедленно прекратить обработку информации на объекте информатизации, где обнаружены нарушения, и принять меры по их устранению, возобновление работ разрешить после устранения нарушений и проверки достаточности и эффективности принятых мер;

— при невыполнении требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам (нарушение второй категории), принять необходимые меры по их устранению в сроки, согласованные с Министерством;

— организовать в установленном порядке расследование причин и условий, способствующих появлению нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц.

9. Должностные лица государственного органа имеют право:

— непосредственно присутствовать при проведении мероприятий, проводимых в ходе контроля, давать объяснения по вопросам, относящимся к предмету проверки;

— знакомиться с результатами мероприятий, проводимых в ходе контроля, и указывать в актах о своем ознакомлении, согласии или несогласии с ними, а также с действиями должностных лиц Министерства;

— обжаловать действия (бездействие) должностных лиц Министерства в соответствии с законодательством Российской Федерации.

10. Результатом исполнения государственной функции является:

Акт контроля выполнения требований нормативных правовых актов по защите информации в государственном органе Московской области.

11. Функция исполняется в государственных органах Московской области.

12. Информация о порядке исполнения функции представляется посредством ее размещения на официальном сайте Министерства www.mits.mosreg.ru.

Место нахождения и почтовый адрес Министерства: 143407, Московская область, г. Красногорск-7, бульвар Строителей, д. 1.

Консультация по порядку исполнения функции может быть получена заинтересованными лицами по телефонам отдела по организации защиты информационных ресурсов Московской области: 8 (498) 602-29-68, 8 (498) 602-29-64, факс: 8 (498) 602-29-66.

Адрес электронной почты Министерства: mits@mosreg.ru.

График работы Министерства:

13. Исполнение государственной функции осуществляется путем проведения плановых и внеплановых проверок деятельности государственных органов Московской области по соблюдению требований нормативных правовых актов и нормативных методических документов по защите информации, обоснованности и эффективности мер защиты информации, принимаемых в государственных органах Московской области.

14. Все виды проверок осуществляются на основании предписания на выполнение задания по контролю выполнения требований нормативных правовых актов по защите информации, подписанного министром государственного управления, информационных технологий и связи Московской области (далее — министр) (форма 5 к постановлению Правительства РФ от 06.02.2012 N 63 "Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне").

15. Проверки производятся в течение календарного года в сроки, установленные Планом контроля выполнения требований нормативных правовых актов по защите информации в государственных органах Московской области (далее — План контроля), который подписывается министром и утверждается Губернатором Московской области. При возникновении необходимости изменение сроков производится по решению Губернатора Московской области.

16. По распоряжению Губернатора Московской области исполнение государственной функции осуществляется безотлагательно в пределах установленного в распоряжении срока. Продление срока выполнения распоряжения возможно по решению Губернатора Московской области или заместителя Председателя Правительства Московской области — руководителя аппарата Правительства Московской области.

17. Распоряжение Губернатора Московской области.

18. Исполнение государственной функции включает в себя следующие административные процедуры:

— проведение плановых и внеплановых проверок;

— оформление результатов проведения проверок;

— проведение анализа итогов проводимых проверок, обобщение, определение причин нарушений и мер по их устранению.

19. План контроля разрабатывается и представляется на подпись министру и на утверждение Губернатору Московской области в декабре на первое полугодие следующего года, в июне на второе полугодие текущего года. В Плане контроля указываются наименования государственных органов Московской области, в отношении которых планируется исполнение государственной функции, руководитель проверки и дата (месяц) проведения проверки. Государственный орган Московской области может быть подвергнут плановому контролю не чаще одного раза в 3 года.

Уведомление о предстоящей проверке направляется в государственный орган Московской области в семидневный срок после утверждения Плана контроля.

20. Даты начала и окончания проверки устанавливаются в приказе министра "О проведении контроля выполнения требований нормативных правовых актов по защите информации в государственном органе Московской области" (далее — приказ). Продолжительность проверки не может быть менее 10 рабочих дней.

Приказ издается не позднее чем за 14 дней до начала проверки. Уведомление о дате проверки направляется в орган государственной власти не менее чем за 10 рабочих дней до начала проверки. В уведомлении указывается состав комиссии, тема и план проверки.

Перед началом проверки должностному лицу, ответственному за защиту информации в проверяемом государственном органе, вручается копия приказа.

По окончании проверки на копии приказа делается запись руководителя кадрового структурного подразделения проверяемого государственного органа о том, что проверка проведена лицами, уполномоченными на проведение контроля (указываются пофамильно), с указанием сроков проведения проверки, запись заверяется печатью с наименованием государственного органа.

21. Плановые проверки проводятся в соответствии с утвержденным Планом контроля вне зависимости от сроков проведения внеплановых проверок.

22. Внеплановые проверки осуществляются в следующих случаях:

— при получении документально подтвержденной и иной заслуживающей внимания информации о нарушениях информационной безопасности в государственных органах Московской области;

— при проведении служебных расследований по выявлению причин и условий нарушений информационной безопасности, по фактам невыполнения требований или норм по защите информации, осуществлении контроля за устранением этих нарушений;

— по распоряжению Губернатора Московской области или заместителя Председателя Правительства — руководителя аппарата Правительства Московской области.

23. При проведении проверок специалисты отдела по организации защиты информационных ресурсов Московской области Управления телекоммуникаций и информационной безопасности Министерства (далее — Отдел) действуют в соответствии с требованиями настоящего административного регламента.

24. Контроль соблюдения требований и норм по защите информации, проведение оценки обоснованности и эффективности мер защиты информации, принятых в государственных органах Московской области, заключается в:

— проверке выполнения требований нормативных правовых актов, нормативно-методических документов по защите информации ФСТЭК России, решений и рекомендаций Комиссии по информационной безопасности при полномочном представителе Президента в Центральном федеральном округе, Московской областной комиссии по информационной безопасности;

— проверке параметров настройки и работоспособности применяемых средств защиты информации;

— проведении инструментального контроля защищенности объектов информатизации;

— выявлении вероятных каналов утечки информации ограниченного доступа;

— проверке уровня подготовки кадров, обеспечивающих защиту информации.

25. В ходе контроля:

— уточняются общие сведения о контролируемом государственном органе;

— оцениваются общие вопросы организации технической защиты информации;

— проверяется правильность категорирования и классификации объектов информатизации и информационных систем в государственных органах Московской области;

— проверяется ход выполнения мероприятий, направленных на обеспечение защиты информации в государственных органах Московской области от неправомерных действий в отношении такой информации;

— оценивается организация защиты информации, содержащей сведения, составляющие государственную тайну;

— оценивается организация защиты конфиденциальной информации, в том числе персональных данных.

26. Состояние организации технической защиты информации ограниченного доступа, циркулирующей в выделенном помещении, определяется экспертно-документальным методом при его осмотре. В ходе осмотра проверяется наличие организационно-распорядительных документов и выполнение их требований.

27. Выполнение требований по обеспечению безопасности информации ограниченного доступа при ее обработке на автоматизированном рабочем месте контролируется экспертно-документальным методом. В ходе контроля проверяется наличие организационно-распорядительных документов и выполнение их требований.

28. Результаты проверки оформляются Актом контроля выполнения требований нормативных правовых актов по защите информации (далее — Акт), в котором отмечаются все выявленные факты нарушения действующего законодательства и недостатки в деятельности проверяемого государственного органа Московской области по обеспечению защиты информации ограниченного доступа.

Акт подписывается лицами, уполномоченными на проведение контроля, утверждается министром и представляется для ознакомления руководителю государственного органа.

Акт составляется в двух экземплярах. Экземпляр N 1 направляется в проверенный государственный орган, экземпляр N 2 хранится в Отделе.

К акту прилагаются:

— протоколы контроля выполнения требований по обеспечению безопасности информации ограниченного доступа при ее обработке на автоматизированных рабочих местах и в локальных вычислительных сетях;

— протокол осмотра выделенного помещения.

29. В течение 30 дней с момента получения Акта руководитель проверенного государственного органа Московской области обязан представить на согласование в Министерство План устранения недостатков, выявленных в ходе проведения контроля.

30. Аналитическая работа по результатам проведения проверок проводится в Отделе.

31. Результаты анализа, обобщения, исследования причин и последствий выявленных нарушений и статистические данные итогов проводимых проверок оформляются в форме информационно-аналитического материала и выносятся на рассмотрение Московской областной комиссии по информационной безопасности.

32. Контроль осуществления полномочия включает в себя проведение, выявление и устранение нарушений прав Заявителей, рассмотрение, принятие решений и подготовку ответов на их обращения, содержащие жалобы на решения, действия (бездействие) должностных лиц Министерства.

33. Текущий контроль за осуществлением полномочия организует заместитель министра в соответствии с распределением обязанностей между заместителями министра.

34. Контроль за соблюдением последовательности действий, определенных административными процедурами по осуществлению полномочия, организует заведующий отделом, который несет персональную ответственность за:

— разработку проекта Плана контроля;

— разработку проекта приказа;

— подготовку и направление уведомлений о предстоящей проверке в орган государственной власти Московской области;

— подготовку акта и приложений к нему;

— подготовку рекомендаций по приведению системы защиты информации к требованиям нормативных правовых актов.

35. Должностные лица Отдела за решения и действия (бездействие), принимаемые (осуществляемые) в ходе исполнения государственной функции, несут ответственность в соответствии с законодательством Российской Федерации.

36. Проверяемый государственный орган Московской области имеет право на обжалование действий (бездействия) должностных лиц Министерства, исполняющих государственную функцию, заместителю Председателя Правительства — руководителю аппарата Правительства Московской области в порядке, предусмотренном нормативными правовыми актами Московской области.