Сквирська МІСЬКА РАДА
РОЗПОРЯДЖЕННЯ
від 23 листопада 2023 року м. Сквира № 110-ОД
Про створення комплексної
системи захисту інформації
З метою забезпечення захисту інформації під час її обробки в автоматизованій системі для оформлення документів, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус, на виконання вимог законів України «Про місцеве самоврядування в Україні», «Про захист інформації в інформаційно-комунікаційних системах», «Про захист персональних даних», Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27.09.1999 №1229/99 та інших нормативних актів з питань технічного захисту інформації в Україні
ЗОБОВ’ЯЗУЮ:
2. З метою організації та проведення робіт із захисту інформації, створення вказаної у п. 1 цього розпорядження комплексної системи захисту інформації, та забезпечення її подальшої експлуатації призначити відповідальну особу за забезпечення захисту інформації. Відповідальним за забезпечення захисту – відповідальним за організацію та координацію робіт на всіх етапах створення та експлуатації комплексної системи захисту інформації призначити завідувача сектору інформаційного забезпечення організаційного відділу Сквирської міської ради Поспелова Ярослава Леонідовича.
3. Затвердити та ввести в дію Положення про Відповідальну особу за забезпечення захисту інформації АС ЦНАП, що додається.
4. Призначити адміністратором безпеки в АС ЦНАП завідувача сектору інформаційного забезпечення організаційного відділу Сквирської міської ради Поспелова Ярослава Леонідовича.
5. Призначити системним адміністратором АС ЦНАП головного спеціаліста сектору інформаційного забезпечення організаційного відділу Сквирської міської ради Осадовського Олександра Юрійовича.
6. З метою забезпечення заходів із категоріювання та обстеження об'єктів інформаційної діяльності Управління (Центр) надання адміністративних послуг Сквирської міської ради, на яких обробляється інформація з обмеженим доступом, створити комісію з технічного захисту інформації у складі:
голова комісії:
Згардівська Наталія Анатоліївна – керуюча справами (секретар) виконавчого комітету Сквирської міської ради;
члени комісії:
Поспелов Ярослав Леонідович – завідувач сектору інформаційного забезпечення організаційного відділу Сквирської міської ради;
Рибак Сергій Васильович – начальник управління – адміністратор Управління (Центр) надання адміністративних послуг Сквирської міської ради.
7. Контроль за виконанням цього розпорядження залишаю за собою.
Міська голова Валентина ЛЕВІЦЬКА
ЗАТВЕРДЖЕНО |
|
розпорядження міської голови від_23.11.2023 № 110-ОД |
|
КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ
автоматизованої системи взаємодії Управління (Центр) надання адміністративних послуг Сквирської міської ради з підсистемою «Оформлення документів, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус Єдиної інформаційно-аналітичної системи управління міграційними процесами Державної міграційної служби України» через мережу НСКЗ
(м. Сквира, вул. Карла Болсуновського, 28)
ПОЛОЖЕННЯ ПРО ВІДПОВІДАЛЬНУ ОСОБУ ЗА ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ
ЗМІСТ
2. ЗАВДАННЯ ВІДПОВІДАЛЬНОЇ ОСОБИ.. 5
3. ФУНКЦІЇ ВІДПОВІДАЛЬНОЇ ОСОБИ.. 6
3.1. Функції під час створення КСЗІ. 6
3.2. Функції під час експлуатації КСЗІ. 6
3.3. Функції з організації навчання посадових осіб з питань захисту інформації 7
4. ПОВНОВАЖЕННЯ ТА ВІДПОВІДАЛЬНІСТЬ ВІДПОВІДАЛЬНОЇ ОСОБИ.. 9
4.1. Права відповідальної особи. 9
4.2. Обов’язки відповідальної особи. 9
4.3. Відповідальність відповідальної особи. 10
5. ВЗАЄМОДІЯ ВІДПОВІДАЛЬНОЇ ОСОБИ З ІНШИМИ ПІДРОЗДІЛАМИ.. 11
6. ОРГАНІЗАЦІЯ РОБОТИ ВІДПОВІДАЛЬНОЇ ОСОБИ.. 11
АРМ |
– |
автоматизоване робоче місце |
АС |
– |
автоматизована система; |
БД |
– |
база даних; |
ДСТУ |
– |
державний стандарт України; |
ЄІАС УМП |
– |
єдина інформаційно-аналітична система управління міграційними процесами; |
ІзОД |
– |
інформація з обмеженим доступом; |
ІКС |
– |
інформаційно-комунікаційна система; |
КЗЗ |
– |
комплекс засобів захисту; |
КСЗІ |
– |
комплексна система захисту інформації; |
НД |
– |
нормативний документ; |
НД ТЗІ |
– |
нормативний документ з технічного захисту інформації; |
НСД |
– |
несанкціонований доступ |
ОС |
– |
операційна система; |
ПЗ |
– |
програмне забезпечення; |
ПЗ |
– |
програмне забезпечення |
ПОДПГУ |
– |
підсистема оформлення документів, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус Єдиної інформаційно-аналітичної системи управління міграційними процесами Державної міграційної служби України; |
СА |
– |
системний адміністратор; |
СЗІ |
– |
Служба захисту інформації |
ТЗІ |
– |
технічний захист інформації; |
ТЗІ |
– |
технічний захист інформації |
ЦНАП |
– |
Управління (Центр) надання адміністративних послуг Сквирської міської ради; |
Положення про відповідальну особу за забезпечення захисту інформації в системі взаємодії Управління (Центр) надання адміністративних послуг Сквирської міської ради з підсистемою «Оформлення документів, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус Єдиної інформаційно-аналітичної системи управління міграційними процесами Державної міграційної служби України» через мережу НСКЗ (далі – АС ЦНАП) щодо забезпечення захисту інформації під час обробки в ЦНАП (далі – Положення) є нормативним та керівним документом Сквирської міської ради і визначає завдання, функції, повноваження та відповідальність відповідальної особи щодо забезпечення безпеки інформації від несанкціонованого доступу (далі – НСД), взаємодію з іншими структурними підрозділами Сквирської міської ради та іншими державними органами, підприємствами, установами і організаціями.
Відповідальна особа щодо забезпечення захисту інформації (далі - ВО), що виконує обов'язки Служби захисту інформації, визначені в даному Положенні, призначається (визначається) розпорядженням Сквирської міської голови.
Метою призначення відповідальної особи (далі – ВО) є організаційне забезпечення завдань керування комплексною системою захисту інформації (далі – КСЗІ) в ЦНАП та здійснення контролю за її функціонуванням. На ВО покладається виконання робіт з визначення вимог з захисту інформації в ЦНАП, проектування, розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в ЦНАП.
Функції служби захисту інформації на об’єкті, як правило, покладаються на адміністратора безпеки, який призначений відповідним розпорядчим актом.
Правову основу для створення і діяльності ВО становлять Закон України "Про захист інформації в інформаційно-комунікаційних системах".
Відповідальна особа у своїй діяльності керується Конституцією України, законами України, нормативно-правовими актами Президента України і Кабінету Міністрів, іншими нормативно-правовими актами з питань захисту інформації з обмеженим доступом, розпорядчими та іншими документами Сквирської міської ради, а також цим Положенням.
Відповідальна особа здійснює діяльність відповідно до Плану захисту інформації в АС та календарного плану, затверджених встановленим порядком.
Відповідальна особа щодо забезпечення захисту інформації призначається розпорядженням Сквирської міської голови.
У своїй роботі відповідальна особа взаємодіє з іншими підрозділами Сквирської міської ради, з державними органами, установами та організаціями, діяльність яких пов’язана із захистом інформації.
У разі потреби, до виконання робіт можуть залучатися інші підрозділи (зовнішні організації), що мають дозволи та ліцензії на відповідний вид діяльності у сфері захисту інформації.
До завдань відповідальної особи відносять:
- захист законних прав щодо безпеки інформації організації, окремих структурних підрозділів, персоналу в процесі інформаційної діяльності та взаємодії між собою, а також у взаємовідносинах з зовнішніми закордонними організаціями;
- дослідження технології обробки інформації в ЦНАП з метою виявлення можливих загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;
- організація та координація робіт, пов’язаних з захистом інформації в ЦНАП, підтримка необхідного рівня захищеності інформації, ресурсів і технології;
- розроблення внутрішніх проектів нормативних і розпорядчих документів, згідно з якими повинен забезпечуватися захист інформації в ЦНАП;
- організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу ЦНАП;
- участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів ЦНАП з питань захисту інформації;
- формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів, що стосуються сфери захисту інформації;
- організація забезпечення виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів з захисту інформації в ЦНАП та проведення контрольних перевірок їх виконання.
- визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об’єктів захисту в ЦНАП, класифікація інформації за вимогами до її конфіденційності або важливості для Сквирської міської ради, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в ЦНАП;
- участь у розробці та коригуванні моделі загроз, політики безпеки інформації в ЦНАП;
- визначення і формування вимог до КСЗІ;
- організація і координація робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ;
- підготовка технічних пропозицій, рекомендацій щодо попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;
- організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи;
- вибір організацій-виконавців робіт з створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт з захисту інформації, у взаємодії з іншими підрозділами Сквирської міської ради, погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт тощо);
- участь у розробці нормативних документів, чинних у межах організації, які встановлюють відповідальність за порушення вимог з безпеки інформації та встановлених правил експлуатації КСЗІ;
- участь у розробці внутрішніх документів, чинних у межах організації, які встановлюють правила доступу користувачів до ресурсів АС, визначають порядок, норми, правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій тощо).
- організація процесу керування КСЗІ;
- розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження даних таких подій;
- вжиття заходів у разі виявлення спроб НСД до ресурсів ЦНАП, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів, проведення у таких випадках робіт з викриття порушника, негайне повідомлення керівництва Сквирської міської ради про виявлені атаки та викритих порушників;
- забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;
- підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в ЦНАП, впровадження нових технологій захисту і модернізації КСЗІ;
- спостереження за функціонуванням КСЗІ та її компонентів;
- організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій АС або КСЗІ;
- участь у роботах з модернізації ЦНАП – узгодженні пропозицій щодо введення до складу ЦНАП нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;
- забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;
- проведення аналітичної оцінки поточного стану безпеки інформації в ЦНАП (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз тощо);
- підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в ЦНАП, впровадження нових технологій захисту і модернізації КСЗІ;
- інформування посадових осіб Сквирської міської ради про можливі загрози, технічні можливості захисту інформації в ЦНАП і типові правила, встановлені для посадових осіб і користувачів ЦНАП;
- подання звітів керівництву Сквирської міської ради про виконання користувачами ЦНАП вимог з захисту інформації;
- контроль стану захищеності інформації в ЦНАП, виконання посадовими особами і користувачами ЦНАП вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації у тому числі контроль за забезпеченням захисту інформації у разі обробки в ЦНАП інформації, що підлягає захисту;
- контроль за забезпеченням порядку зберігання машинних носіїв інформації, які містять відомості, що підлягають захисту;
- розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них.
- доведення до посадових осіб і користувачів ЦНАП інформацію про зміни в сфері захисту інформації, які їх стосуються;
- розроблення програм і планів навчання посадових осіб і користувачів ЦНАП, які б враховували особливості технології обробки інформації, необхідний рівень її захищеності тощо;
- участь в організації і проведенні навчання посадових осіб і користувачів ЦНАП правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами;
- взаємодія з державними органами, науковими та навчальними закладами, іншими організаціями з питань навчання та підвищення кваліфікації;
- участь в організації забезпечення навчального процесу необхідними нормативно-правовими актами, нормативними документами, методичною літературою тощо.
Відповідальна особа має право:
- здійснювати контроль за діяльністю підрозділів Сквирської міської ради щодо виконання ним вимог нормативно-правових актів і нормативних документів з захисту інформації;
- подавати керівництву Сквирської міської ради пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки, тощо у випадку виявлення порушень політики безпеки або у випадку виникнення реальної загрози порушення безпеки;
- складати і подавати керівництву Сквирської міської ради акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення;
- ініціювати проведення службових розслідувань у випадках виявлення порушень та брати участь у цих розслідуваннях;
- отримувати доступ до робіт та документів Сквирської міської ради, необхідних для оцінки вжитих заходів з захисту інформації та підготовки пропозицій щодо їхнього подальшого удосконалення;
- готувати пропозиції щодо залучення на договірній основі до виконання робіт з захисту інформації інших організацій, які мають ліцензії на відповідний вид діяльності;
- готувати пропозиції щодо забезпечення ЦНАП необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації;
- виходити до керівництва організації з пропозиціями щодо узгодження планів і регламенту відвідування ЦНАП сторонніми особами.
Відповідальна особа зобов’язана:
- організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів з захисту інформації в ЦНАП;
- вчасно і в повному обсязі доводити до користувачів і персоналу ЦНАП інформацію про зміни в галузі захисту інформації, які їх стосуються;
- перевіряти відповідність прийнятих в організації правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог;
- здійснювати контрольні перевірки стану захищеності інформації в ЦНАП;
- сприяти і, у разі необхідності, брати безпосередню участь у проведенні вищими органами перевірок стану захищеності інформації в ЦНАП;
- сприяти (технічними та організаційними заходами) створенню і дотриманню умов збереження інформації, отриманої організацією на договірних, контрактних або інших підставах від організацій-партнерів, постачальників, клієнтів та приватних осіб;
- подавати керівництву організації звіт про стан захищеності інформації в ЦНАП і дотримання користувачами та персоналом ЦНАП встановленого порядку і правил захисту інформації;
- негайно повідомляти керівництво Сквирської міської ради про виявлені атаки та викритих порушників.
Відповідальна особа Сквирської міської ради за невиконання або неналежне виконання службових обов’язків, допущені ним порушення встановленого порядку захисту інформації в ЦНАП несе дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність згідно з законодавством України.
Відповідальна особа здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами та установами, що займаються питаннями захисту інформації.
Заходи щодо захисту інформації в ЦНАП повинні бути узгоджені ВО з заходами з адміністрування, охоронної та, за наявності, режимно-секретної діяльності Сквирської міської ради.
Відповідальна особа взаємодіє, узгоджує свою діяльність та встановлює зв’язки з:
- іншими структурними підрозділами Сквирської міської ради;
- зовнішніми організаціями, які є партнерами, користувачами, постачальниками, виконавцями робіт;
- науковими, виробничими організаціями, державними органами і установами, іншими суб’єктами діяльності у сфері надання адміністративних послуг та захисту інформації.
Відповідальна особа здійснює свою роботу з реалізації основних організаційних та організаційно-технічних заходів з створення і забезпечення функціонування КСЗІ у відповідності з розпорядчими актами Сквирського міського голови, Планом захисту інформації в ЦНАП та календарними планами робіт.
Відповідальна особа за організацію робіт із захисту інформації |
|
Ярослав ПОСПЕЛОВ
|