ПОСТАНОВЛЕНИЕ Администрации г. Улан-Удэ от 23.08.2006 № 357
"ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ИНФОРМАЦИОННЫХ РЕСУРСАХ"
Официальная публикация в СМИ:
публикаций не найдено
АДМИНИСТРАЦИЯ Г. УЛАН-УДЭ
ПОСТАНОВЛЕНИЕ
от 23 августа 2006 г. № 357
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ИНФОРМАЦИОННЫХ РЕСУРСАХ
В целях совершенствования системы учета и функционирования информационных ресурсов органов местного самоуправления, руководствуясь Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Законом Республики Бурятия от 25.11.2005 № 1354-III "О государственных информационных ресурсах Республики Бурятия" постановляю:
1. Утвердить Положение об информационных ресурсах (прилагается).
2. Руководителям структурных подразделений при использовании в своей деятельности информационных ресурсов и информационных систем руководствоваться настоящим Положением.
--> примечание.
В официальном тексте документа, видимо, допущена опечатка: постановление Администрации г. Улан-Удэ от 22.06.2001 имеет номер 273, а не 273-р.
3. Постановление Администрации г. Улан-Удэ от 22.06.2001 № 273-р считать утратившим силу.
4. Контроль за исполнением настоящего постановления возложить на и.о. первого заместителя мэра - председателя Комитета экономического развития Гаврилова В.Г.
Мэр г. Улан-Удэ
Г.А.АЙДАЕВ
ПОЛОЖЕНИЕ
ОБ ИНФОРМАЦИОННЫХ РЕСУРСАХ АДМИНИСТРАЦИИ Г. УЛАН-УДЭ
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Законом Республики Бурятия от 25.11.2005 № 1354-III "О государственных информационных ресурсах Республики Бурятия", Временным положением "О государственном учете и регистрации баз и банков данных", утвержденным постановлением Правительства РФ от 28.02.1996 № 226.
1.2. Настоящее Положение регулирует отношения владельцев информационных ресурсов, администратора информационных ресурсов и органов, ответственных за регистрацию и учет информационных ресурсов.
2. Используемые термины и понятия
2.1. В настоящем Положении используются следующие термины и понятия:
- Информационные ресурсы (ИР) - информационная система, с помощью которой производится учет, обработка и ведение одной или нескольких электронных баз данных.
- Информационная система (ИС) - автоматизированная прикладная программа, разработанная сторонним разработчиком или собственными силами с целью автоматизации основных видов деятельности учреждения и направленная на повышение эффективности управления, учета, планирования и производительности труда муниципальных работников.
- База данных (БД) - совокупность организованных и взаимосвязанных данных на машиночитаемых электронных носителях.
Муниципальные ИР и БД - информационные ресурсы и базы данных, создание и ведение которых осуществляется структурными подразделениями Администрации за счет средств городского бюджета. В дальнейшем по тексту под термином ИР и БД подразумеваются муниципальные ИР и муниципальные БД.
- Администратор ИР - организация, ответственная за подготовку и передачу сведений об информационных ресурсах Администрации г. Улан-Удэ в регистрирующий орган РБ, а также производящая ежегодную актуализацию сведений ИР в регистрирующем органе РБ.
- Владелец ИР - структурное подразделение Администрации г. Улан-Удэ, муниципальное учреждение или предприятие, осуществляющие эксплуатацию информационной системы и баз данных.
- Собственник ИР - Администрация г. Улан-Удэ, реализующая в полном объеме полномочия владения, пользования и распоряжения информационными ресурсами, информационными системами и базами данных.
3. Учет информационных ресурсов
3.1. Учет ИР осуществляется в следующих целях:
- регистрации и учета ИР органов местного самоуправления г. Улан-Удэ в Реестре государственных информационных ресурсов и информационных систем в Республике Бурятия;
- актуализации сведений об информационных ресурсах органов местного самоуправления г. Улан-Удэ и обеспечения доступа к ним в установленном порядке;
- оптимизации бюджетных расходов на создание, модернизацию и эксплуатацию ИС и БД;
- исключения дублирования и повышения эффективности использования ИС и БД.
3.2. Регистрации подлежат все ИР, эксплуатируемые в органах местного самоуправления на территории г. Улан-Удэ. Регистрация иных ИР осуществляется на добровольной основе.
3.3. Регистрация ИР осуществляется в уполномоченном органе РБ - Управлении документальной связи, информатизации и информационных ресурсов через Администратора ИР.
3.4. Администратором ИР является МУП "Информационно-аналитический центр Администрации г. Улан-Удэ", в функции которого входит совместная с владельцем ИР подготовка регистрирующих документов и передача этих документов в регистрирующий орган РБ, а также контроль актуализации ежегодных сведений по всем ИР Администрации г. Улан-Удэ.
3.5. Порядок регистрации ИР определяется постановлением Правительства РБ от 5 июня 2006 года № 162.
3.6. Перечень и содержание документов для регистрации ИР определен распоряжением Администрации г. Улан-Удэ от 14.07.2006 № 761-р.
3.7. Регистрация ИР производится в следующих случаях:
- при покупке и вводе в эксплуатацию новой ИС;
- при модернизации существующей ИС, повлекшей за собой функциональные изменения самой системы или изменение структуры БД;
- при замене ИС или ее ликвидации;
- при смене владельца ИС.
3.8. Включение в государственный реестр ИР с получением свидетельства о регистрации для Владельцев ИР осуществляется бесплатно.
4. Порядок регистрации и учета ИР
4.1. Владелец ИР в 10-дневный срок в случаях, оговоренных пунктом 3.7 настоящего Положения, обязан подготовить и передать Администратору ИР документы для регистрации ИР.
4.2. Администратор ИР производит проверку правильности заполнения документов и передает документы в регистрирующий орган РБ. Регистрация производится в течение 15 календарных дней.
4.3. При получении регистрирующего документа (свидетельства о регистрации) Администратор ИР заносит номер свидетельства в муниципальную информационную базу и передает свидетельство о регистрации Владельцу ИР.
4.4. Владельцы ИР обязаны ежегодно в срок до 15 марта направлять Администратору ИР подтверждение о внесенных в реестр сведениях об ИР или информацию об их изменениях, дополнениях, или сообщать о прекращении ведения ИР с кратким изложением причин.
4.5. Администратор ИР на основе представленных данных от Владельцев ИР в срок до 1 апреля формирует сведения о имеющихся в органах местного самоуправления г. Улан-Удэ ИР и передает эти сведения в регистрирующий орган РБ.
5. Использование информационных ресурсов
5.1. Реализация прав на пользование ИР и БД осуществляется в соответствии со статьей 10 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
5.2. Владельцы ИР, ответственные за использование и формирование БД, обеспечивают условия для оперативного и полного предоставления информации различным категориям пользователей в соответствии с обязанностями, установленными данным положением.
5.3. По решению Собственника БД, с согласия Владельца БД, информация, содержащаяся в БД, может предоставляться юридическим или физическим лицам безвозмездно или за плату, частично или полностью. В этом случае Владелец БД обязан оформить правоустанавливающие документы на право и условия передачи информации.
6. Обязанность и ответственность Владельцев ИР
6.1. Владелец ИР обязан обеспечить соблюдение режима обработки и правил предоставления информации различным категориям пользователей, установленных законодательством РФ, Собственником ИР или настоящим Положением.
6.2. Владелец ИР несет ответственность за нарушение правил работы с информацией в порядке, предусмотренном законодательством РФ.
7. Порядок использования информации с ограниченным доступом
7.1. БД являются открытыми и общедоступными. Исключение составляет информация с ограниченным доступом, который установлен в соответствии с законодательством РФ.
7.2. Перечень данных с особым режимом доступа, включаемых в БД, прилагается (приложение 1).
7.3. Защите подлежит любая информация, неправомерное использование которой может нанести ущерб ее собственнику, владельцу, пользователю.
Режим защиты информации устанавливается:
- в отношении конфиденциальной информации, содержащейся в БД, - Собственником ИР, Владельцем ИР или уполномоченным лицом в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- в отношении данных с особым режимом доступа, содержащихся в БД, - Собственником БД, Владельцем ИР или уполномоченным лицом в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- в отношении персональных данных - Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
7.4. Целями защиты информации являются:
- предотвращение утечки, хищения, утраты, искажения и подделки информации;
- предотвращение угроз безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в ИР и информационные системы, обеспечение правового режима информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности данных, имеющихся в БД;
- сохранение государственной тайны, конфиденциальности информации в соответствии с законодательством РФ;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
7.5. Отнесение информации к государственной тайне осуществляется в соответствии с Законом РФ "О государственной тайне".
Приведение работ по обеспечению требований к обработке информации, отнесенной к государственной тайне, осуществляется уполномоченными органами на основании Закона РФ "О государственной тайне" и в настоящем Положении не рассматривается.
7.6. Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством РФ.
7.7. Перечень сведений конфиденциального характера, включаемых в БД, прилагается (приложение 1).
7.8. Состав данных с особым режимом доступа, включаемых в БД, определяется перечнем, который утверждает мэр города. При этом в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" не допускается включение в состав БД информации:
- О частной жизни;
- Информации, нарушающей личную тайну, тайну переписки, телефонных переговоров, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Данные с особым режимом доступа не могут быть использованы в целях причинения имущественного и морального вреда гражданам, ограничения или затруднения реализации прав и свобод граждан РФ на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности.
7.9. Порядок наполнения и обработки данных с особым режимом доступа и конфиденциальной информации, содержащихся в БД, правила их защиты и порядок доступа к ним определяется Владельцами БД, ответственными за формирование и использование БД.
При этом Собственник БД, или уполномоченные им организации, при разработке информационных технологий, а также в процессе накопления и обработки данных с особым режимом доступа и конфиденциальной информации обязаны обеспечить выполнение общих требований и правил ее защиты (приложение 2).
7.10. Организации, обрабатывающие данные с особым режимом доступа и конфиденциальную информацию, которая является муниципальной собственностью, назначают ответственных лиц за обеспечение защиты информации.
7.11. Владельцы БД, которые содержат данные с особым режимом доступа и конфиденциальную информацию, обязаны обеспечить уровень защиты информации в соответствии с настоящим Положением. Владельцы и пользователи данных с особым режимом доступа и конфиденциальной информации обязаны оповещать Собственника БД обо всех фактах нарушения режима защиты информации.
7.12. Собственник БД имеет право запрещать или приостанавливать обработку данных с особым режимом доступа и конфиденциальной информации в случаях невыполнения требований по ее защите, предусмотренных законодательством РФ и настоящим Положением.
Приложение № 1
к Положению об
информационных ресурсах
ПЕРЕЧЕНЬ
ДАННЫХ С ОСОБЫМ РЕЖИМОМ ДОСТУПА, ВКЛЮЧАЕМЫХ В МУНИЦИПАЛЬНЫЕ
БАЗЫ ДАННЫХ
----T----------------------T-------------------------------¬
¦ № ¦ Наименование ¦ Примечание ¦
¦п/п¦ ¦ ¦
+---+----------------------+-------------------------------+
¦1. ¦Фамилия, имя, отчество¦Особый режим доступа к данным, ¦
¦2. ¦Паспортные данные ¦представленным в пунктах 1...4,¦
¦3. ¦Адрес места жительства¦является обязательным только в ¦
¦4. ¦Дата рождения ¦совокупности с данными пунктов ¦
¦ ¦ ¦5...7 ¦
+---+----------------------+-------------------------------+
¦5. ¦Пол ¦Особый режим доступа к данным, ¦
¦6. ¦Национальность ¦представленным в пунктах 5...7,¦
¦7. ¦Прочие данные (место ¦является обязательным только в ¦
¦ ¦рождения, смена ¦совокупности с любым сочетанием¦
¦ ¦фамилии, судимость...)¦данных пунктов 1...3 ¦
L---+----------------------+--------------------------------
Примечание: Особый режим доступа к данным является обязательным для данных по группе граждан.
Приложение № 2
к Положению об
информационных ресурсах
ПЕРЕЧЕНЬ
СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА, ВКЛЮЧАЕМЫХ В
МУНИЦИПАЛЬНЫЕ БАЗЫ ДАННЫХ
1. Сведения, составляющие тайну следствия и судопроизводства.
2. Служебные сведения, доступ к которым ограничен органами государственной власти и городского самоуправления в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
3. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами, законами Республики Бурятия, Уставом г. Улан-Удэ, решениями Народного Хурала Республики Бурятия, постановлениями и распоряжениями мэра города (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и т.д.).
4. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами, законами Республики Бурятия, Уставом г. Улан-Удэ, решениями Народного Хурала Республики Бурятия, постановлениями и распоряжениями мэра города (коммерческая тайна).
5. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Приложение № 3
к Положению об
информационных ресурсах
ОБЩИЕ ТРЕБОВАНИЯ И ПРАВИЛА ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ И ДАННЫХ С ОСОБЫМ РЕЖИМОМ ДОСТУПА, СОДЕРЖАЩИХСЯ В
МБД И ПОРЯДОК ДОСТУПА К НИМ
1. Требования на стадии разработки МБД
1.1. Разработка МБД, содержащих конфиденциальную информацию и данные с особым режимом доступа (далее по тексту информация с ограниченным доступом), осуществляется по письменному указанию мэра города, его заместителей.
1.2. При проектировании и внедрении информационных технологий должны быть учтены и реализованы правила и требования к организационному и программно-математическому обеспечению информации с ограниченным доступом, изложенные в разделах 2 и 3 настоящих требований и правил.
1.3. В случаях использования информации с ограниченным доступом в процессе разработки МБД организация-исполнитель должна обеспечить уровень защиты информации.
1.4. В случае, когда планируется разработка программного обеспечения для обработки информации с ограниченным доступом, собственник или уполномоченное им лицо должно указать исполнителю на уровень конфиденциальности информации в стадии разработки технических условий или технического задания.
2. Организационные меры защиты информации с ограниченным
доступом
2.1. Право граждан и организаций на доступ к МБД, содержащим информацию с ограниченным доступом и условия ее предоставления, устанавливаются письменным разрешением Собственника или Владельца этих баз данных в пределах его полномочий.
2.2. Условиями предоставления информации с ограниченным доступом, содержащейся в МБД, должны оговариваться право и порядок ее включения пользователем в создаваемую им производную информацию.
2.3. Ответственность за обеспечение уровня защиты информации несет руководитель организации, которая осуществляет обработку информации с ограниченным доступом. Для организации работ по обеспечению защиты информации с ограниченным доступом назначается ответственный исполнитель. В случае применения при обработке информации с ограниченным доступом, содержащейся в МБД, с применением средств программной защиты, в организации должен быть назначен ответственный исполнитель за их эксплуатацию.
2.4. В организации, осуществляющей обработку информации с ограниченным доступом, должен быть составлен список исполнителей, имеющих право использовать в своей работе информацию с ограниченным доступом, либо список лиц, участвующих в процессе обработки информации с ограниченным доступом. Список исполнителей утверждается руководителем организации. Исполнители, имеющие право доступа к информации с ограниченным доступом, должны быть проинструктированы и ознакомлены под роспись с требованиями и правилами защиты информации и ответственностью за нарушение режима защиты информации.
2.5. Для регистрации и учета деятельности по обработке информации с ограничением доступом, содержащейся в МБД, в организации, независимо от того, применяются ли при обработке информации средства программной защиты, ведется соответствующий журнал.
2.5.1. Журнал регистрации и учета должен отвечать следующим требованиям:
- страницы пронумерованы; журнал прошит, опечатан и скреплен подписью ответственного за обеспечение режима защиты информации;
- записи в журнал заносятся исполнителем под роспись одновременно с проведением работ;
- проверка журнала ответственным исполнителем производится ежедневно в конце рабочего дня, результаты проверки оформляются письменно под роспись;
- проверка журнала руководителем организации осуществляется ежемесячно, результаты проверки оформляются письменно под роспись;
- журнал предоставляется собственнику информации или уполномоченным им лицам для осуществления контроля по первому их требованию.
2.5.2. В состав сведений, характеризующих процесс обработки информации, должны входить:
- дата и время проведения операций по обработке информации;
- Ф.И.О. исполнителя; цель, основание для проведения и результат операций по обработке информации;
- применение в процессе обработки информации средств вычислительной и копировально-множительной техники;
- реквизиты получателя информации; количество экземпляров и носитель (регистрационный номер машиночитаемого носителя), на котором передается информация. Кроме того, в журнале могут содержаться и другие сведения, позволяющие определить, кто и в каких целях использует информацию с ограниченным доступом.
2.6. Для регистрации и учета машиночитаемых носителей информации, применяемых при обработке информации с ограниченным доступом, содержащейся в МБД, в организации ведется соответствующий журнал, в котором фиксируются факты регистрации носителей с указанием даты, типа носителя и присваиваемого ему регистрационного номера.
2.7. В случае одновременной обработки на электронных вычислительных машинах МБД, содержащих информацию с ограниченным доступом, и прочей открытой информации данные работы должны производиться только исполнителями, определяемыми в соответствии с п. 2.4 настоящих общих требований и правил. Исключение составляют случаи, предусмотренные в п. 3.2.2.
2.8. Порядок предоставления пользователем информации с ограниченным доступом, содержащейся в МБД, должен предусматривать:
- указание места;
- ответственных должностных лиц;
- времени и периодичности;
- вид носителей, на которых предоставляется информация, а также необходимых процедур оформления передачи информации.
2.9. При контроле выполнения требований по защите информации владелец информации, собственник МБД или уполномоченные им лица должны соблюдать условия конфиденциальности самой информации и результатов проверки.
2.10. В случае выявления нарушений в организации защиты информации собственником МБД или уполномоченными им лицами, пользователь или владелец МБД обязаны приостановить обработку конфиденциальной информации до особого разрешения.
3. Программное обеспечение защиты информации с ограниченным
доступом
3.1. Программное обеспечение защиты информации с ограниченным доступом применяется при формировании и использовании МБД с помощью электронных вычислительных машин.
3.2. При формировании и использовании МБД программное обеспечение должно реализовывать следующие требования защиты информации от несанкционированного доступа.
3.2.1. Парольный доступ, реализующий идентификацию прав исполнителя при интерактивном (диалоговом) режиме обработки информации с ограниченным доступом.
3.2.2. При обработке информации с ограниченным доступом в реальном масштабе времени реализуются следующие функции:
- регистрация пользователей с присвоением индивидуальных кодов (паролей) с установлением прав доступа к информации;
- идентификация и разграничение прав пользователей по их индивидуальным кодам;
- возможность отслеживания попыток несанкционированного доступа к информации;
- кодирование информации при передаче по незащищенным каналам связи;
- ведение системного журнала обработки конфиденциальной информации с регистрацией (даты, времени, характера и результата операции; индивидуального кода пользователя; количества экземпляров и носителя, на который выводится информация, и других сведений, позволяющих определить, кто и в каких целях использует конфиденциальную информацию);
- периодическое либо по требованию представление информации системного журнала в машинописном виде.
3.3. По требованию собственника, информации с ограниченным доступом при ее передаче по линиям связи могут применяться криптографические методы защиты.
3.4. Применение программных средств и мер защиты не отменяет необходимости организационных мер защиты информации с ограниченным доступом.
