Указ Губернатора Архангельской области от 17.10.2014 № 107-у
О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области
ГУБЕРНАТОР АРХАНГЕЛЬСКОЙ ОБЛАСТИ УКАЗ от 17 октября 2014 г. N 107-у г. Архангельск О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПОЛОЖЕНИЕ О ПОРЯДКЕ ОБРАЩЕНИЯ СО СЛУЖЕБНОЙ ИНФОРМАЦИЕЙ ОГРАНИЧЕННОГО ДОСТУПА В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ АРХАНГЕЛЬСКОЙ ОБЛАСТИ В соответствии с частями 3 и 4 статьи 19 Федерального закона от27 июля 2006 года N 152-ФЗ "О персональных данных", частью 5 статьи 16Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации,информационных технологиях и о защите информации" постановляю: 1. Утвердить прилагаемые изменения, которые вносятся в Положениео порядке обращения со служебной информацией ограниченного доступа висполнительных органах государственной власти Архангельской области,утвержденное указом Губернатора Архангельской области от 25 августа2011 года N 125-у. 2. Настоящий указ вступает в силу со дня его официальногоопубликования.Исполняющий обязанностиГубернатора Архангельской области А. В. Алсуфьев УТВЕРЖДЕНЫ указом Губернатора Архангельской области от 17 октября 2014 г. N 107-у ИЗМЕНЕНИЯ, которые вносятся в Положение о порядке обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Архангельской области 1. Пункт 1 изложить в следующей редакции: "1. Настоящее Положение, разработанное в соответствии сфедеральными законами от 27 июля 2006 года N 152-ФЗ "О персональныхданных" и от 27 июля 2006 года N 149-ФЗ "Об информации, информационныхтехнологиях и о защите информации", определяет общий порядок обращенияс документами на различных носителях, в том числе с электроннымидокументами и сообщениями, содержащими служебную информациюограниченного доступа, не отнесенную к сведениям, составляющимгосударственную тайну (далее - служебная информация ограниченногодоступа), в исполнительных органах государственной властиАрхангельской области и представительствах Архангельской области(далее - исполнительные органы).". 2. В пункте 5: в абзаце первом слова "в значении, определенном Федеральнымзаконом от 27 июля 2006 года N 149-ФЗ "Об информации, информационныхтехнологиях и о защите информации"" заменить словами "в значениях,определенных федеральными законами от 27 июля 2006 года N 152-ФЗ"О персональных данных" и от 27 июля 2006 года N 149-ФЗ"Об информации, информационных технологиях и о защите информации""; абзац девятый исключить. 3. Пункты 12 и 13 изложить в следующей редакции: "12. В целях подтверждения эффективности системы защитыинформации, реализованной в ЗП, проводится его аттестация насоответствие требованиям безопасности информации. Аттестация ЗП проводится в соответствии со Специальнымитребованиями и рекомендациями по технической защите конфиденциальнойинформации (СТР-К), утвержденными приказом Гостехкомиссии России от 30августа 2002 года N 282, национальными стандартами ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общиеположения" и ГОСТ РО0043-004-2013 "Защита информации. Аттестацияобъектов информатизации. Программа и методики аттестационныхиспытаний". Указанная аттестация организуется исполнительным органом, закоторым закреплено указанное помещение, до ввода в эксплуатацию ЗП cпривлечением юридических лиц, имеющих лицензию на осуществлениедеятельности по технической защите конфиденциальной информации, нереже одного раза в 3 года. 13. Программа аттестационных испытаний ЗП согласовываетсяспециалистом по технической защите информации исполнительногооргана.". 4. Пункты 14 и 15 исключить. 5. Пункт 16 изложить в следующей редакции: "16. Ввод в действие ЗП осуществляется после его аттестации потребованиям безопасности информации на основании выданного аттестатасоответствия. Разрешение о вводе в действие ЗП принимается и документальнооформляется актом исполнительного органа, за которым закрепленоуказанное помещение.". 6. Пункт 17 исключить. 7. Пункты 18-21 изложить в следующей редакции: "18. При создании систем защиты персональных данных,обрабатываемых в информационных системах персональных данныхисполнительных органов, необходимо руководствоваться Требованиями кзащите персональных данных при их обработке в информационных системахперсональных данных, утвержденными постановлением ПравительстваРоссийской Федерации от 01 ноября 2012 года N 1119 (далее - Требованияк защите персональных данных), Составом и содержанием организационныхи технических мер по обеспечению безопасности персональных данных приих обработке в информационных системах персональных данных,утвержденным приказом ФСТЭК России от 18 февраля 2013 года N 21. Для обеспечения безопасности персональных данных при их обработкев государственных информационных системах (далее - ГИС) исполнительныхорганов необходимо руководствоваться Требованиями о защите информации,не составляющей государственную тайну, содержащейся в ГИС,утвержденными приказом ФСТЭК России от 11 февраля 2013 года N 17(далее - Требования о защите информации) и Требованиями к защитеперсональных данных. При этом в соответствии с пунктом 27 Требований о защитеинформации должно быть обеспечено соответствующее соотношение классазащищенности ГИС с уровнем защищенности персональных данных. В случаеесли определенный в установленном порядке уровень защищенностиперсональных данных выше, чем установленный класс защищенности ГИС, тоосуществляется повышение класса защищенности до значения,обеспечивающего выполнение пункта 27 Требований о защите информации. 19. Уровень защищенности персональных данных, обрабатываемых винформационной системе персональных данных исполнительного органа,устанавливается комиссией исполнительного органа с привлечениемспециалиста по технической защите информации исполнительного органа всоответствии с Требованиями к защите персональных данных и оформляетсяактом. Класс защищенности ГИС исполнительного органа, в которойобрабатываются персональные данные, устанавливается комиссиейисполнительного органа с привлечением специалиста по техническойзащите информации исполнительного органа в соответствии с пунктом 14.2Требований о защите информации и оформляется актом. 20. Безопасность персональных данных при их обработке винформационной системе обеспечивается с помощью системы защитыперсональных данных, нейтрализующей актуальные угрозы, определенные всоответствии с частью 5 статьи 19 Федерального закона от27 июля 2006 года N 152-ФЗ "О персональных данных". Система защиты персональных данных включает в себяорганизационные и (или) технические меры, определенные с учетомактуальных угроз безопасности персональных данных и информационныхтехнологий, используемых в информационных системах. Определение типов угроз безопасности персональных данных,актуальных для информационной системы, производится исполнительныморганом в соответствии с пунктом 7 Требований к защите персональныхданных. Для выбора и реализации в ГИС исполнительного органа мер защитыинформации в соответствии с пунктом 21 Требований о защите информацииприменяется методический документ "Меры защиты информации вгосударственных информационных системах", утвержденный ФСТЭК России 11февраля 2014 года. По решению исполнительного органа указанный методический документприменяется для обеспечения безопасности персональных данных при ихобработке в информационных системах персональных данных, защитакоторых обеспечивается в соответствии с Составом и содержаниеморганизационных и технических мер по обеспечению безопасностиперсональных данных при их обработке в информационных системахперсональных данных, утвержденным приказом ФСТЭК России от 18 февраля2013 года N 21. 21. Оценка эффективности принимаемых мер по обеспечениюбезопасности персональных данных проводится до ввода в эксплуатациюинформационной системы персональных данных исполнительным органомсамостоятельно или с привлечением юридических лиц, имеющих лицензию наосуществление деятельности по технической защите конфиденциальнойинформации. Указанная оценка проводится не реже одного раза в 3 года. Решение по форме оценки эффективности и документов,разрабатываемых по результатам (в процессе) оценки эффективности,принимается исполнительным органом самостоятельно и (или) посоглашению с лицом, привлекаемым для проведения оценки эффективностиреализованных мер по обеспечению безопасности персональных данных. Оценка эффективности реализованных мер может быть проведена врамках работ по аттестации информационной системы персональных данныхв соответствии с национальным стандартом ГОСТ РО 0043-003-2012. В части ГИС, в которых обрабатываются персональные данные, оценкаэффективности принимаемых мер по обеспечению безопасности персональныхданных проводится в рамках обязательной аттестации ГИС по требованиямзащиты информации в соответствии с Требованиями о защите информации,национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013. Указанная аттестация проводится не реже одного раза в 3года.". 8. Пункт 23 дополнить новым абзацем пятым следующего содержания: "приказ ФСБ России от 10 июля 2014 года N 378 "Об утвержденииСостава и содержания организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в информационныхсистемах персональных данных с использованием средствкриптографической защиты информации, необходимых для выполненияустановленных Правительством Российской Федерации требований к защитеперсональных данных для каждого из уровней защищенности". ______________