Обязанности и права должностных лиц

6.1. Руководство технической защитой конфиденциальной информации в органе исполнительной власти возлагается на заместителя ОИВ.

6.2. Руководители подразделений органа исполнительной власти организуют и обеспечивают техническую защиту информации, циркулирующую в технических средствах и помещениях подчиненных им подразделений.

6.3. Начальник структурного подразделения по технической защите конфиденциальной информации (ответственный сотрудник) осуществляет непосредственное руководство разработкой мероприятий по технической защите конфиденциальной информации и контролю в органе исполнительной власти.

6.4. Владельцы и пользователи ОТСС обеспечивают уровень технической защиты информации в соответствии с требованиями (нормами), установленными в нормативных документах.

6.5. Руководители подразделений, владельцы и пользователи ОТСС обязаны вносить предложения о приостановке работ с использованием сведений, составляющих конфиденциальную или служебную тайну, в случае обнаружения утечки (или предпосылок к утечке) этих сведений. Предложения докладываются заместителю органа исполнительной власти (через структурное подразделение по технической защите конфиденциальной информации или ответственного сотрудника).

6.6. Заместитель органа исполнительной власти имеет право привлекать к проведению работ по технической защите конфиденциальной информации в установленном порядке организации, имеющие лицензии на соответствующие виды деятельности.

7. Планирование работ по технической защите конфиденциальной информации и контролю.

7.1. В органе исполнительной власти составляются годовые планы работ по технической защите конфиденциальной информации и контролю. Проекты планов разрабатываются структурным подразделением по технической защите конфиденциальной информации или ответственным сотрудником совместно с подразделениями органа исполнительной власти, выполняющими работы с защищаемой информацией, рассматриваются постоянно действующей технической комиссией и утверждаются руководителем органа исполнительной власти. Сроки разработки, представления и утверждения планов устанавливаются руководителем органа исполнительной власти.

7.2. В годовые планы по технической защите конфиденциальной информации и контролю включаются:

мероприятия по выполнению постановлений и распоряжений Мэра Москвы, Правительства Москвы, руководителя органа исполнительной власти по вопросам защиты конфиденциальной информации;

подготовка проектов распорядительных документов по вопросам организации технической защиты информации в органе исполнительной власти, инструкций, рекомендаций, памяток и других документов по обеспечению безопасности информации при использовании конкретных технических средств обработки и передачи информации, на автоматизированных рабочих местах, в ЗП;

аттестация вводимых в эксплуатацию ОТСС и ЗП, а также периодическая переаттестация находящихся в эксплуатации ОТСС и ЗП на соответствие требованиям по технической защите конфиденциальной информации;

проведение периодического контроля состояния технической защиты информации;

мероприятия по устранению нарушений и выявленных недостатков по результатам контроля;

мероприятия по совершенствованию технической защиты информации на объектах органа исполнительной власти.

7.3. Контроль выполнения планов и отчетность по ним возлагается на структурное подразделение по технической защите конфиденциальной информации или ответственного сотрудника.

8. Контроль состояния технической защиты конфиденциальной информации.

8.1. Основными задачами контроля состояния технической защиты конфиденциальной информации являются оценка уровня органа исполнительной власти и эффективности, принятых мер защиты, своевременное выявление и предотвращение утечки по техническим каналам информации, составляющей конфиденциальную или служебную тайну, НСД к информации, преднамеренных программно-технических воздействий на информацию с целью ее уничтожения, искажения, блокирования, нарушения правового режима использования информации.

8.2. Контроль осуществляется:

ФСТЭК России (силами Центрального аппарата и Управления по соответствующему федеральному округу);

Управлением Федеральной службы безопасности;

Проверочной комиссией Правительства Москвы – не реже 1 раза в 2 года;

Внутренней комиссией органа исполнительной власти – не реже 1 раза в год;

Структурным подразделением по технической защите конфиденциальной информации или ответственным сотрудником и пользователем – непрерывно.

8.3. Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты конфиденциальной информации, решений ФСТЭК России, постановлений и распоряжений Мэра Москвы, Правительства Москвы, руководителя органа исполнительной власти, наличия соответствующих документов по технической защите конфиденциальной информации, в инструментальной и визуальной проверке ОТСС и ЗП на наличие каналов утечки информации, на соответствие требованиям и нормам технической защиты информации.

9. Аттестация рабочих мест

9.1. Аттестации на соответствие требованиям по технической защите конфиденциальной информации в реальных условиях эксплуатации подлежат системы и средства информатизации и связи, предназначенные для обработки и передачи конфиденциальной информации, а также помещения, предназначенные для ведения конфиденциальных переговоров. Указанная аттестация проводится в соответствии с "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным Председателем Гостехкомиссии России 25 ноября 1994 г. Аттестация систем правительственной и иной закрытой шифрованием связи проводится в соответствии с нормативными документами ФАПСИ.

9.2. По результатам аттестации выдается "Аттестат соответствия", получение которого дает право использования аттестованных систем и средств для обработки и передачи информации, составляющей конфиденциальную или служебную тайну, и ведения конфиденциальных переговоров в аттестованных помещениях.

Переаттестация систем и средств информатизации, связи и помещений проводится по истечении срока действия "Аттестата соответствия", при изменении мер технической защиты информации, условий технической защиты или применяемых технологий обработки и передачи информации.

10. Взаимодействие с предприятиями, учреждениями и организациями

10.1. При проведении совместных работ органа исполнительной власти с предприятиями, учреждениями и организациями должна быть обеспечена техническая защита информации, составляющей конфиденциальную или служебную тайну, независимо от места проведения работ.

10.2. В технических заданиях на выполнение совместных работ с использованием конфиденциальной информации, должны быть предусмотрены требования (или меры) по ее технической защите, которые должны выполняться каждой из сторон. Технические задания на выполнение совместных работ согласовываются с подразделениями по технической защите конфиденциальной информации органа исполнительной власти или ответственным сотрудником и взаимодействующих предприятий (учреждений, организаций).

10.3. Организация технической защиты информации возлагается на руководителей совместных работ, а ответственность за обеспечение технической защиты информации - на исполнителей работ (пользователей) при использовании ими технических средств для обработки и передачи информации, подлежащей защите.

12. Положение о порядке обработки и обеспечении безопасности персональных данных в органах исполнительной власти и их подведомственных учреждениях
__________________________________________________________ (наименование органа исполнительной власти)
	УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 2010 г.
Типовая форма положения о порядке обработки и обеспечении безопасности персональных данных в органах исполнительной власти и их подведомственных учреждениях
Москва 2010

Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральным законом «О персональных данных» (далее – Федеральный закон), постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и устанавливает единый порядок обработки персональных данных в органе исполнительной власти города Москвы и их подведомственных учреждениях.

1.2. В целях настоящего Положения используются следующие термины и понятия:

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

- информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

- обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.