См. Документы Министерства юстиции Российской Федерации
МИНИСТЕРСТВО ЮСТИЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 4 декабря 2018 г. N 242
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ
ОБ ОРГАНИЗАЦИИ РАБОТЫ ПО ОСУЩЕСТВЛЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
В МИНЮСТЕ РОССИИ
В соответствии с пунктом 2 части 4 статьи 6 и статьей 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038, N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658, N 23, ст. 2870, N 27, ст. 3479, N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302, N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84, N 27, ст. 3979, N 29, ст. 4389, ст. 4390; 2016, N 26, ст. 3877, N 28, ст. 4558, N 52, ст. 7491; 2017, N 18, ст. 2664, N 24, ст. 3478, N 25, ст. 3596, N 27, ст. 3953, N 31, 4790, ст. 4825, ст. 4827, N 48, ст. 7051), подпунктом "а" пункта 14 требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 06.07.2015 N 676 (Собрание законодательства Российской Федерации, 2015, N 28, ст. 4241, N 47, ст. 6599; 2017, N 21, ст. 3007), и абзацем четвертым пункта 16 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11.02.2013 N 17 (зарегистрирован Минюстом России 31.05.2013, регистрационный N 28608), приказываю:
1. Утвердить прилагаемое Положение об организации работы по осуществлению защиты информации в Минюсте России (далее - Положение).
2. Возложить обеспечение защиты информации в Минюсте России в соответствии с Положением на Департамент организации и контроля (А.В. Чумаков), Департамент управления делами (Д.Г. Киселев), территориальные органы Минюста России и ФБУ НЦПИ при Минюсте России (Е.А. Гущина).
3. Контроль за исполнением настоящего приказа возложить на первого заместителя Министра О.А. Плохого.
Министр
А.В.КОНОВАЛОВ
Не нуждается в государственной регистрации. Письмо Минюста России от 4 марта 2019 г. N ВП-01/5101-19.
Приложение
к приказу Минюста России
от 04.12.2018 N 242
ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ РАБОТЫ ПО ОСУЩЕСТВЛЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
В МИНЮСТЕ РОССИИ
I. Общие положения
1. Положение об организации работы по осуществлению защиты информации в Минюсте России (далее - Положение) регулирует вопросы обеспечения защиты информации структурными подразделениями Минюста России, его территориальными органами и ФБУ НЦПИ при Минюсте России (далее - НЦПИ) и определения перечня документов, предусматривающих правила и процедуры, реализуемые для обеспечения защиты информации в информационной системе Минюста России (далее - ИС) <1> в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации).
--------------------------------
<1> ИС состоит из центрального сегмента, размещенного в Минюсте России и НЦПИ (далее - ЦС), и территориальных сегментов, размещенных в территориальных органах Минюста России (далее - ТС).
II. Обеспечение защиты информации структурными
подразделениями Минюста России, его территориальными
органами и НЦПИ
2. К основным задачам Департамента организации и контроля относятся организация работы по технической защите информации, а также методическое руководство и контроль за эффективностью предусмотренных законодательством Российской Федерации мер по технической защите информации в Минюсте России и его территориальных органах <2>.
--------------------------------
<2> Положение о Департаменте организации и контроля, утвержденное приказом Минюста России от 04.06.2009 N 170, с изменениями, внесенными приказами Минюста России от 02.09.2009 N 279, от 15.09.2010 N 225, от 11.05.2011 N 150, от 31.05.2012 N 85, от 19.09.2012 N 185, от 25.05.2015 N 121, от 02.05.2017 N 71, от 15.06.2018 N 110.
В этих целях Департаментом организации и контроля осуществляются:
1) подготовка и утверждение организационно-распорядительных документов, определяющих порядок выполнения мероприятий по защите информации;
2) организация работ по внедрению в ИС технических средств защиты информации;
3) организация работ по аттестации и контролю эффективности принятых мер и технических средств защиты информации объектов информатизации Минюста России;
4) анализ состояния и оценка эффективности защиты информации, а также подготовка предложений по ее совершенствованию;
5) координация деятельности НЦПИ и территориальных органов Минюста России по выполнению работ по защите информации;
6) подготовка предложений по финансированию мероприятий по защите информации в Минюсте России, его территориальных органах и НЦПИ;
7) согласование требований к техническим характеристикам объектов закупки и технических заданий в части обеспечения защиты информации на закупку Минюстом России товаров, работ и услуг, направленных на развитие и обеспечение функционирования ИС;
8) подготовка и утверждение требований к техническим характеристикам объектов закупки и технических заданий на закупку Минюстом России товаров, работ и услуг, направленных на развитие и обеспечение защиты информации;
9) сопровождение исполнения заключенных Минюстом России контрактов (договоров) на закупку товаров, работ и услуг, направленных на развитие и обеспечение защиты информации;
10) ведение реестра средств защиты информации, приобретенных Минюстом России, его территориальными органами и НЦПИ;
11) организация и проведение служебных расследований по фактам нарушения требований по защите информации;
12) взаимодействие с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации по вопросам защиты информации в Минюсте России;
13) организация повышения квалификации федеральных государственных гражданских служащих (далее - гражданские служащие) Минюста России по защите информации;
14) проведение занятий по выполнению требований по защите информации с гражданскими служащими Минюста России.
3. К основным задачам и полномочиям Департамента управления делами в части, касающейся защиты информации, относятся:
1) организация работа по обеспечению функционирования, эксплуатации и развития ИС;
2) финансирование расходов на содержание Минюста России, его территориальных органов и федеральных бюджетных учреждений Минюста России;
3) реализация функций контрактной службы Минюста России;
4) организация планирования закупок товаров, работ, услуг;
5) координация деятельности НЦПИ;
6) обеспечение соответствия ИС требованиям безопасности;
7) инженерно-техническое оснащение объектов Минюста России и его территориальных органов <3>.
--------------------------------
<3> Положение о Департаменте управления делами, утвержденное приказом Минюста России от 15.06.2009 N 185, с изменениями, внесенными приказами Минюста России от 03.08.2009 N 242, от 15.09.2010 N 225, от 11.05.2011 N 150, от 24.08.2011 N 296, от 31.05.2012 N 86, от 31.03.2014 N 53, от 25.05.2015 N 121, от 15.06.2018 N 108.
В этих целях Департамент управления делами осуществляет:
1) обеспечение устойчивости и адаптивности ИС;
2) финансирование мероприятий по защите информации в Минюсте России, его территориальных органах и НЦПИ;
3) закупку товаров, работ и услуг, направленных на обеспечение защиты информации;
4) организацию работ по установке средств защиты информации;
5) оборудование помещений Минюста России, предназначенных для размещения средств обработки информации ИС, системами инженерно-технического обеспечения (вентиляции, теплоснабжения, кондиционирования, охраны, сигнализации, пожаротушения, энергообеспечения) в соответствии с требованиями по защите информации;
6) организацию технического обслуживания и ремонта средств вычислительной техники, предназначенных для обработки информации ограниченного доступа, с учетом требований по защите информации.
4. К основным видам деятельности НЦПИ относятся:
1) техническое сопровождение и эксплуатация;
2) вывод из эксплуатации ИС и компонентов информационно-телекоммуникационной инфраструктуры;
3) создание и развитие (модернизация) ИС и компонентов информационно-телекоммуникационной инфраструктуры;
4) осуществление работ по обеспечению требований информационной безопасности <4>.
--------------------------------
<4> Пункт 2.3 Устава федерального бюджетного учреждения "Научный центр правовой информации при Министерстве юстиции Российской Федерации", утвержденного приказом Минюста России от 22.08.2014 N 176 (зарегистрирован Минюстом России 24.09.2014, регистрационный N 34117), с изменением, внесенным приказом Минюста России от 28.12.2015 N 320 (зарегистрирован Минюстом России 20.01.2016, регистрационный N 40657).
В этих целях НЦПИ обеспечивает:
1) исключение несанкционированного доступа к информационным ресурсам ЦС;
2) администрирование защиты (безопасности) информационных ресурсов ЦС;
3) создание и выдачу пользователям ИС ключей шифрования информации;
4) проведение аттестационных испытаний объектов информатизации Минюста России, обрабатывающих конфиденциальную информацию;
5) участие в подготовке организационно-распорядительных документов Минюста России по обеспечению защиты информации;
6) разграничение доступа к информационным ресурсам ЦС;
7) проведение технического обслуживания и ремонт средств вычислительной техники, обрабатывающей информацию ограниченного доступа, с учетом требований по защите информации.
5. Начальники территориальных органов Минюста России обеспечивают организацию работ по защите информации, включая применение программно-аппаратных средств ТС и защиту информации, обрабатываемой ТС, в части возложенных задач.
В этих целях из числа гражданских служащих или работников территориального органа Минюста России назначается администратор защиты информации, который осуществляет:
1) контроль выполнения пользователями ИС мероприятий по защите информации;
2) обеспечение функционирования средств антивирусной защиты ТС;
3) контроль применения машинных носителей информации в территориальном органе Минюста России;
4) обеспечение криптографической защиты информации;
5) контроль выполнения установленных требований к размещению средств обработки информации;
6) учет применяемых в ТС средств защиты информации;
7) разграничение доступа к информационным ресурсам ТС.
6. Пользователи ИС в структурных подразделениях Минюста России, его территориальных органах и НЦПИ обеспечивают:
1) выполнение требований организационно-распорядительных документов по защите информации;
2) соблюдение конфиденциальности информации ограниченного доступа, полученной или ставшей им доступной в процессе служебной деятельности;
3) защиту целостности и доступности пользовательских информационных ресурсов;
4) соблюдение правил применения съемных (отчуждаемых) машинных носителей информации;
5) соблюдение правил работы со средствами криптографической защиты информации;
6) своевременное информирование непосредственного руководителя о фактах нарушения конфиденциальности информации ограниченного доступа, ставших им известными, и о возникновении предпосылок к таким нарушениям;
7) использование для обработки информации только разрешенных к применению в ИС программных продуктов;
8) выполнение требований по исключению несанкционированного использования закрепленных за гражданским служащим или работником автоматизированного рабочего места (рабочей станции) и машинных носителей информации;
9) сохранение в тайне своих аутентификационных данных, осуществление ввода аутентификационных данных для доступа к информационным ресурсам только собственноручно;
10) соблюдение положений организационно-распорядительных документов по защите информации.
III. Организационно-распорядительные документы
по защите информации
7. В целях организации работы по защите информации в Минюсте России Департаментом организации и контроля разрабатываются следующие организационно-распорядительные документы по защите информации:
инструкция по организации применения криптографических средств в Минюсте России и его территориальных органах;
инструкция по защите информационной системы Минюста России от вредоносных программ;
инструкция по обеспечению безопасности информационных ресурсов информационной системы Минюста России при использовании информационно-телекоммуникационных сетей;
инструкция по контролю доступа к информационным ресурсам информационной системы Минюста России;
инструкция по обеспечению целостности информационных ресурсов информационной системы Минюста России;
порядок учета машинных носителей информации, применяемых в информационной системе Минюста России.
8. При необходимости Департамент организации и контроля может издавать иные организационно-распорядительные документы в соответствии с нормативными правовыми актами Российской Федерации в области защиты информации.
9. Территориальные органы Минюста России разрабатывают и утверждают соответствующие организационно-распорядительные документы, регламентирующие деятельность гражданских служащих территориальных органов Минюста России по обеспечению защиты информации, с учетом требований Положения и указанных в пункте 7 Положения организационно-распорядительных документов по защите информации.
10. Меры по защите информации должны предусматриваться при разработке любых документов территориальных органов Минюста России, касающихся их деятельности, связанной с обработкой информации.
