| 21 сентября 2012 года | N УП-365 |
УКАЗ
ПРЕЗИДЕНТА РЕСПУБЛИКИ БАШКОРТОСТАН
ОБ УТВЕРЖДЕНИИ ОСНОВ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ
В РЕСПУБЛИКЕ БАШКОРТОСТАН
В целях совершенствования системы защиты информации в Республике Башкортостан и в соответствии с решением Координационного Совета по защите информации при полномочном представителе Президента Российской Федерации в Приволжском федеральном округе от 27 октября 2011 года постановляю:
1. Утвердить прилагаемые Основы
организации защиты информации в Республике Башкортостан.
2. Государственным органам Республики Башкортостан и находящимся в их ведении организациям при планировании и осуществлении мероприятий по защите информации руководствоваться Основами
организации защиты информации в Республике Башкортостан.
3. Рекомендовать администрациям муниципальных районов и городских округов Республики Башкортостан организовать работу по защите информации в органах местного самоуправления и муниципальных организациях в соответствии с Основами
организации защиты информации в Республике Башкортостан.
4. Контроль за исполнением настоящего Указа возложить на Администрацию Президента Республики Башкортостан.
5. Указ вступает в силу со дня его подписания.
Президент
Республики Башкортостан
Р.ХАМИТОВ
Уфа, Дом Республики
21 сентября 2012 года
№ УП-365
Утверждены
Указом Президента
Республики Башкортостан
от 21 сентября 2012 г. № УП-365
ОСНОВЫ
ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В РЕСПУБЛИКЕ БАШКОРТОСТАН
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Основы организации защиты информации в Республике Башкортостан (далее - Основы) направлены на обеспечение в Республике Башкортостан безопасности информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа, а также информации, содержащейся в государственных и муниципальных информационных системах (далее - информация).
Основы определяют цели, задачи, порядок организации работ по защите информации в государственных органах Республики Башкортостан и подведомственных им организациях, органах местного самоуправления и муниципальных организациях Республики Башкортостан (далее соответственно - государственные органы, органы местного самоуправления и организации).
1.2. Целью разработки Основ является формирование единой политики в ходе реализации требований по обеспечению безопасности информации в государственных органах, органах местного самоуправления и организациях.
В Основах излагается организационная структура системы защиты информации, рассматриваются подлежащие защите объекты информатизации государственных органов, органов местного самоуправления и организаций, угрозы безопасности информации, каналы утечки информации, а также порядок организации работ по обеспечению безопасности информации.
1.3. Основы разработаны в соответствии с Доктриной
информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895, Законом
Российской Федерации "О государственной тайне", Федеральными законами "Об информации, информационных технологиях
и о защите информации", "О персональных данных"
, "О безопасности"
, иными нормативными правовыми актами Российской Федерации, регулирующими отношения в области защиты информации, а также руководящими документами федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и противодействия иностранным техническим разведкам, указанными в приложении
к настоящим Основам.
1.4. В Основах используются следующие термины и понятия:
аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации;
безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования и блокирования;
выделенное помещение - специальное помещение, предназначенное для регулярного проведения собраний, совещаний и других мероприятий секретного характера;
государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;
защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;
ПЕРЕЧЕНЬ
ОСНОВНЫХ НОРМАТИВНЫХ ПРАВОВЫХ, ОРГАНИЗАЦИОННО-
РАСПОРЯДИТЕЛЬНЫХ И МЕТОДИЧЕСКИХ ДОКУМЕНТОВ,
РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ
ЗАЩИТЫ ИНФОРМАЦИИ
1. Доктрина
информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895).
2. Закон
Российской Федерации от 21 июля 1993 г. № 5485-1 "О государственной тайне".
3. Федеральные законы:
от 27 декабря 2002 г. № 184-ФЗ
"О техническом регулировании";
от 27 июля 2006 г. № 149-ФЗ
"Об информации, информационных технологиях и о защите информации";
от 27 июля 2006 г. № 152-ФЗ
"О персональных данных";
от 28 декабря 2010 г. № 390-ФЗ
"О безопасности".
4. Указы Президента Российской Федерации:
от 30 ноября 1995 г. № 1203
"Об утверждении Перечня сведений, отнесенных к государственной тайне";
от 6 марта 1997 г. № 188
"Об утверждении Перечня сведений конфиденциального характера";
от 16 августа 2004 г. № 1085
"Вопросы Федеральной службы по техническому и экспортному контролю";
от 17 марта 2008 г. № 351
"О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";
от 26 февраля 2009 г. № 228 "Вопросы Межведомственной комиссии по защите государственной тайны";
от 12 мая 2009 г. № 537
"О Стратегии национальной безопасности Российской Федерации до 2020 года".
5. Постановления Правительства Российской Федерации:
от 15 сентября 1993 г. № 921-51 "Положение о государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам";
от 15 апреля 1995 г. № 333
"О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны";
от 26 июня 1995 г. № 608
"О сертификации средств защиты информации";
от 4 сентября 1995 г. № 870
"Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности";
от 30 апреля 1997 г. № 513
"О внесении дополнения в Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны";
от 29 августа 2001 г. № 633
"О порядке размещения и использования на территории Российской Федерации, на континентальном шельфе и в исключительной экономической зоне Российской Федерации иностранных технических средств наблюдения и контроля";
от 17 ноября 2007 г. № 781
"Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
от 18 мая 2009 г. № 424
"Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям";
от 3 февраля 2012 года № 79
"О лицензировании деятельности по технической защите конфиденциальной информации";
от 3 марта 2012 г. № 171
"О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации";
от 21 марта 2012 г. № 211
"Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
6. Документы Государственной технической комиссии при Президенте Российской Федерации, Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации, Министерства связи и массовых коммуникаций Российской Федерации (решения, приказы):
"Положение
по аттестации объектов информатизации по требованиям безопасности информации" (утверждено председателем Гостехкомиссии при Президенте РФ от 25 ноября 1994 г.);
"Типовое положение о Совете (технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам" от 14 марта 1995 г. № 32;
"Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)" (одобрено решением Гостехкомиссии при Президенте РФ от 14 марта 1995 г. № 32);
"О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте" от 3 октября 1995 г. № 42;
"Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)" от 23 мая 1997 г. № 55;
"Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)" от 30 августа 2002 г. № 282;
"Методические рекомендации по формированию аналитического прогноза по укомплектованию подразделений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию иностранным техническим разведкам и технической защите информации подготовленными кадрами на заданный период" (утверждены первым заместителем директора ФСТЭК России 23 апреля 2011 г.);
"Об утверждении Порядка проведения классификации информационных систем персональных данных" (Приказ
ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008);
"Методика
определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.);
"Базовая модель
угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.);
"Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (Приказ
ФСТЭК России от 5 февраля 2010 г. № 58);
"Основы организации защиты информации в Приволжском федеральном округе" (одобрены решением Координационного Совета по защите информации при полномочном представителе Президента РФ в ПФО, 2009 г.);
"Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования" (Приказ
ФСБ России № 416, ФСТЭК России № 489 от 31 августа 2010 г.);
"Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования" (Приказ
Минкомсвязи РФ от 25 августа 2009 г. № 104).
