1. Общие положения

1.1 Настоящее Положение устанавливает организацию и порядок проведения контроля защищенности информационных систем (ИС) города Москвы, находящихся в эксплуатации.

1.2 Положение разработано на основе действующих в Российской Федерации правовых и нормативных документов по защите информации и в соответствии с «Положением о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы».

1.3 Финансирование работ по контролю защищенности информационных систем города Москвы осуществляется:

— при проведении контроля на государственном и ведомственном уровнях, аудита информационной безопасности за счет средств бюджета города Москвы, выделяемых на эти цели;

— при проведении контроля на уровне организации за счет средств бюджета города Москвы, выделяемых на эксплуатацию.

1.4 Информационные системы органов исполнительной власти города Москвы рассматриваются в Положении как автоматизированные системы (АС). Определение понятия АС приводится в документе «Информационная безопасность информационных систем и ресурсов органов исполнительной власти и организаций города Москвы. Термины и определения».

1.5 Настоящее Положение носит обязательный характер для всех органов власти и государственных организаций города Москвы.

2. Цели и задачи контроля состояния защиты информации

2.1 Контроль состояния защиты информации в ИС (контроль защищенности ИС) осуществляется с целью своевременного выявления и предотвращения несанкционированного доступа к информации, ее утечки по техническим каналам, преднамеренных специальных воздействий на информацию (носители информации) и других угроз информационной безопасности, определенных «Положением о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы» по нормам и методикам, утвержденным ФСТЭК России.

Контроль состояния защиты информации и оценка эффективности средств защиты являются неотъемлемой составной частью работ по защите информации при создании и эксплуатации ИС.

2.2 Основными задачами контроля являются:

— проверка соответствия принятых и принимаемых мер по защите информации требованиям настоящего Положения, доведённого до организации и её сотрудников установленным порядком;

— проверка своевременности и полноты выполнения требований нормативных документов, регламентирующих организацию и порядок осуществления мероприятий по защите информации.

При проведении контроля проверяемая организация должна обеспечить подтверждение того, что:

— созданная система обеспечивает выполнение требований по защите информации при эксплуатации ИС;

— меры, средства и мероприятия, проводимые в целях защиты информации, соответствуют предъявляемым к ИС требованиям безопасности информации;

— средства защиты информации настроены и используются правильно;

— рекомендации предшествующих проверок реализованы.

3. Организация контроля

3.1 Состояние защиты информации в ИС контролируется на внешнем и внутреннем уровнях.

Внешний контроль осуществляется следующим образом:

— на государственном уровне контроль защищенности ИС, обрабатывающих конфиденциальную информацию, осуществляется ФСБ России и ФСТЭК России;

— на ведомственном уровне контроль защищенности ИС осуществляется уполномоченными Правительством Москвы органами исполнительной власти города Москвы:

— Управлением Правительства Москвы по экономической безопасности города Москвы;

— Управлением информатизации города Москвы;

— Первым управлением Правительства Москвы в соответствии с требованиями «Положения о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы».

По инициативе организации может быть проведен аудит информационной безопасности (контроль состояния защиты информации) с привлечением третьей стороны – организации, имеющей лицензию ФСТЭК России на осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации.

Внутренний контроль осуществляет подразделение информационной безопасности организации.

3.2 Основными составляющими контроля являются:

— автоматизированный контроль на основе мониторинга событий информационной безопасности;

— проверка правильности и полноты проводимых мероприятий по обеспечению соответствия ИС требованиям безопасности информации;

— проверка работоспособности и эффективности средств защиты информации. Проверка работоспособности средств защиты в рамках контрольных мероприятий проводятся в соответствии с программой проведения контроля состояния защиты информации в ИС. Данная программа разрабатывается проверяющей организацией и согласовывается с проверяемой организацией;

— проверка своевременности внесения изменений в проектную, техническую и нормативно-техническую документацию по обеспечению безопасности информации;

— принятие на основании результатов контроля мер по устранению последствий нарушений требований безопасности вплоть до полного или частичного приостановления эксплуатации ИС, приостановления или прекращения действия «Аттестата соответствия», если иными мерами невозможно устранить нарушения требований безопасности информации;

— проведение в ходе мероприятий по государственному контролю разъяснительной работы по применению требований законодательства Российской Федерации и нормативных документов в области обеспечения безопасности информации в АС.

3.3 Контроль подразделяется на плановый и внеплановый.

К плановому контролю относится государственный и ведомственный контроль, который проводится в соответствии с планами ведомств, осуществляющих этот контроль. Проверяемая организация информируется о времени проведения контроля.

Подразделение ИБ организации проводит как плановый (периодический), так и внеплановый контроль. Время проведения внепланового контроля проверяемым не сообщается. Порядок проведения контроля определяется организационно-распорядительными документами организации и соответствующими методиками.

Повседневный (оперативный) контроль за выполнением требований по защите информации осуществляют лица, ответственные за эксплуатацию АС, обработку информации, а также администратор безопасности и другие уполномоченные лица.

Повседневный контроль, в том числе автоматизированный контроль, включает мониторинг событий информационной безопасности с использованием возможностей Системы мониторинга информационной безопасности ИСиР города Москвы, аудита действий пользователей ИС, контроль работоспособности средств защиты и т.д.

3.4 Контроль состояния защиты информации в АС проводится экспертной комиссией, образованной по приказу руководителя организации, проводящей контроль.

Результаты контроля оформляются актами, заключениями и записями в специальных журналах и доводятся до сведения руководителя организации и должностных лиц в соответствии с уровнем контроля.

Представители органов, осуществляющих контроль (эксперты), имеют право:

— знакомиться с организацией работ по защите информации в АС;

— получать по запросу в печатном виде документацию, касающуюся функционирования АС;

— получать доступ во все места, где размещены технические средства АС и хранятся носители информации;

— требовать демонстрации режимов функционирования системы, конфигурации аппаратных и программных средств, их настроек и других параметров, влияющих на безопасность ресурсов АС;

— получать доступ через представителя проверяемой организации к журналам регистрации событий, происходящих в АС;

— получать информацию о нарушениях безопасности в АС и результаты разбора этих нарушений при наличии таковых;

— знакомиться с работой пользователей АС и другого персонала.

Проверяемая организация должна содействовать проверяющим в реализации вышеуказанных прав.

Представители органов, осуществляющих контроль (эксперты), обязаны выполнять правила и распорядок работы проверяемой организации, а так же не должны препятствовать работе пользователей и персонала проверяемой организации.

3.5 Проверки работоспособности средств защиты в рамках контрольных мероприятий проводятся в соответствии с программами проведения контроля состояния защиты информации в ИС, разрабатываемыми проверяющими организациями и согласованными с проверяемыми организациями.

3.6 Одной из форм контроля защищенности ИС является аудит информационной безопасности (контроль эффективности защиты с привлечением третьей стороны), заключающийся в оценке соответствия текущего состояния информационной безопасности ИС и требований правовых и нормативных документов в области защиты информации.

3.7 Инициатором аудита может быть как сама проверяемая организация, так и уполномоченный орган по информационной безопасности города Москвы.

3.8 Аудит информационной безопасности должен проводиться независимой от инициатора аудита организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации.

3.9 Организация, проводящая аудит, должна информировать проверяемую организацию обо всех мероприятиях, проводимых в рамках аудиторской проверки.

До сведения проверяемой организации и заказчика аудита должна доводиться информация о ходе аудита информационной безопасности и любых возникающих проблемах. Данные о защищенности ИС собранные при проведении аудита, которые выявляются критическими для информационной безопасности проверяемой организации, должны быть немедленно доведены до сведения проверяемой организации.

3.10 Проверяемая организация должна обеспечивать предоставление организации, проводящей аудит, всей необходимой информации для проведения аудита информационной безопасности.

Руководство проверяемой организации несет ответственность за:

— достоверность и полноту предоставляемых при проведении аудита данных;

— ограничения возможности осуществления организацией, проводящей аудит, своих обязательств.

3.11 Порядок выбора организации, проводящей аудит, определяется уполномоченным органом по информационной безопасности города Москвы.

4. Проведение контроля

4.1 Контроль состояния защиты информации, проводимый государственными и ведомственными органами, заключается в оценке:

— соблюдения требований правовых и организационно-распорядительных и нормативных документов по защите информации;

— корректности использования и работоспособности применяемых мер и средств защиты информации в соответствии с их эксплуатационной документацией;

— знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

В результатах контроля должны содержаться оценка состояния защиты информации в АС и, при необходимости, рекомендации по устранению недостатков и/или по совершенствованию системы защиты информации в АС.

При проведении государственного (ФСБ России и ФСТЭК России) и ведомственного (Правительство Москвы) контроля в случае грубых нарушений в обеспечении безопасности информации может быть принято решение о прекращении (приостановлении) эксплуатации АС, а в отношении должностных лиц, виновных в этих нарушениях, решается вопрос о привлечении их к ответственности в соответствии с действующим законодательством. В этом случае эксплуатация АС может быть возобновлена только с разрешения органа власти, выявившего нарушения установленных требований обеспечения информационной безопасности.

4.2 Внутренний плановый контроль состояния защиты информации при эксплуатации АС проводится подразделением информационной безопасности организации в соответствии с планами организации. Планы, как правило, составляются на один год таким образом, чтобы в течение года была проведена проверка выполнения всех требований информационной безопасности, которым должна отвечать АС.

4.3 В рамках подготовки к проведению внутреннего планового контроля рекомендуется выполнить:

— формирование группы для проведения контроля из числа сотрудников подразделения ИБ организации;

— определение руководителя проверяющей группы;

— формирование плана проведения контроля;

— подготовка отчетных материалов (актов, заключений) с результатами контроля.

4.4 При проведении внутреннего планового контроля группа контроля:

— проверяет наличие необходимых организационно-распорядительных и эксплуатационных документов на СЗИ и знание их сотрудниками организации;

— проверяет выполнение требований организационно-распорядительных и эксплуатационных документов сотрудниками организации в соответствии;

— документирует результаты контроля;

— вырабатывает рекомендации по устранению недостатков в обеспечении информационной безопасности и по совершенствованию СЗИ ИС.

4.5 По результатам внутреннего планового контроля разрабатывается план по устранению недостатков в обеспечении информационной безопасности и по совершенствованию системы защиты информации ИС, в соответствии с которым в организации разрабатываются и проводятся необходимые мероприятия.

4.6 При повседневном контроле осуществляется анализ событий произошедших в ИС по различным системным журналам, включая данные Системы мониторинга событий информационной безопасности. Для расследования инцидентов, связанных с нештатными ситуациями или нарушением безопасности информации, в организации для их (инцидентов) расследований могут создаваться комиссии.

4.7 В ходе проведения аудита информационной безопасности осуществляется оценка соответствия текущего состояния информационной безопасности требованиям правовых и нормативных документов в области защиты информации.

При проведении аудита информационной безопасности осуществляется анализ:

— организационно-распорядительных и эксплуатационных документов по обеспечению безопасности информации;

— организации работ по эксплуатации АС, распределения обязанностей, ответственности и функций подразделений, участвующих в эксплуатации АС;

— состава и характеристик используемых средств защиты и порядка их применения;

— порядка разработки, приобретения, испытания, внедрения и модификации программных средств АС;

— порядка установки, эксплуатации, модификации, замены и ремонта технических средств.

4.8 В ходе проведения аудита информационной безопасности эксперты указывают на возможные нарушения и несоответствия в обеспечении безопасности информации и дают рекомендации по их устранению.

4.9 По результатам аудита организацией, проводящей аудит, составляется заключение, содержащее рекомендации по устранению нарушений и несоответствий, которые не удалось устранить в процессе проведения аудита.

Настоящая Политика конфиденциальности персональных данных (далее – Политика) действует в отношении всей информации, которую интернет-магазин Сеть фирменных магазинов «ТЕПЛЫЙ ПОЛ» (далее — «ТЕПЛЫЙ ПОЛ»), расположенный на доменном имени второго уровня teplyypol.ru (а также на его поддоменах третьего уровня), может получить от Пользователя сети Интернет (далее – Пользователь) во время использования им данного сайта.

Какие сведения входят

Это устанавливает президентский указ об утверждении перечня сведений конфиденциального характера №188 от 06.03.1997:

  • тайна судопроизводства и следствия;
  • персональные данные;
  • служебная, профессиональная и коммерческая тайна;
  • известия об изобретении (до публикации);
  • материалы из личных дел осужденных.

Как правило, реестры конфиденциальных данных предприятия состоят из нескольких видов закрытых материалов. Разделы о коммерческой тайне и персональных данных присутствуют в перечнях всех организаций, они составляются по нормам законов №98-ФЗ и №152-ФЗ. Сведения профессионального характера вносятся в номенклатуру в соответствии с профилем деятельности конкретной фирмы. Доступ к ней ограничен специальными законами: о банковском деле, об адвокатуре и пр.

Сколько времени надо хранить тайну

Период хранения коммерческой тайны прописывается всегда индивидуально. В некоторых компаниях он составляет ровно то время, которое работник числится на предприятии. В других — даже после увольнения бывший сотрудник обязан удерживаться от оглашения и распространения секретов бывшего работодателя.

Как сформировать приказ, особенности документа

Если вы читаете этот материал, значит перед вами, скорее всего, встала задача по составлению приказа о неразглашении коммерческой тайны. Прежде чем дать вам детальное представление о документе, предоставим общую информацию, которая имеет отношение ко всем подобного рода распорядительным актам.

Для начала имейте в виду, что сейчас практически любые приказы можно писать в произвольной форме (за исключением тех, которые создаются в государственных структурах – там обычно используются унифицированные формуляры).

Однако, если внутри вашего предприятия есть разработанный и утвержденный в учетной политике шаблон документа – делайте приказ по его типу.

Далее учитывайте, что в большинстве случаев для документа подойдет обыкновенный листок любого удобного вам формата – предпочтительно А4 или А5 или же фирменный бланк – опять же если такое условие установлено в нормативных бумагах компании. Приказ можно писать вручную (разборчиво, без помарок, неточностей, ошибок и правок) или же набирать на компьютере, но если вы создали электронный текст, его нужно распечатать – это необходимо для того, чтобы руководитель и ответственные работники могли поставить под ним свои подписи.

Печать на документе ставьте только тогда, когда требование о применении штампов для визирования внутренней документации прописано в локальных актах фирмы.

Делайте приказ в одном оригинальном экземпляре, но если надо, размножьте документ (например, для передачи его в структурные подразделения компании), заверив надлежащим образом.

Сведения о приказе внесите в журнал учета распорядительной документации. Готовый бланк вложите в папку с прочими подобного рода бумагами и храните период, прописанный в законодательстве или установленный в нормативно-правовых документах вашей организации.

Приказ о неразглашении коммерческой тайны

Сохранять коммерческую тайну тех компаний, с которыми имеет деловые отношения Компания.

6. Не использовать знания коммерческой тайны Компании для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб Компании.

(должностное лицо или подразделение Компании)

(должностное лицо или подразделение Компании)

Я предупрежден, что в случае невыполнения любого из пунктов 1, 2, 3, 4, 5, 6, 7, 8 настоящего Обязательства могу быть уволен. До моего сведения также доведены (с разъяснениями) соответствующие положения по обеспечению сохранности коммерческой тайны Компании, и я получил один экземпляр этих положений.

и в виде лишения свободы, денежного штрафа, обязанности по возмещению ущерба Компании (убытков, упущенной выгоды и морального ущерба) и других наказаний.

Администрация Компании подтверждает, что данные Вами обязательства не ограничивают Ваших прав на интеллектуальную собственность. Об окончании срока действия обязательства администрация Компании уведомит Вас заблаговременно в письменной форме.

_____________________________ __________________ _________ __________

ФИ0 должность дата подпись

Один экземпляр обязательства получил

Кто имеет доступ

Работников, получивших доступ, знакомят с реестром и мерами, обеспечивающими режим конфиденциальности, под роспись. Лиц, допущенных к информации, относящейся к перечню конфиденциальности, определяет руководитель. Обычно это список должностей, который оформляется приложением к приказу или отдельным пунктом в инструкции или положении. Сотруднику обеспечиваются условия для сохранения тайны: специальная мебель, запирающиеся шкафы и пр. Допуск к сведениям ограниченного доступа, если он не предусмотрен трудовым договором, предоставляется с согласия служащего.

Ответственность за нарушение

Работники или контрагенты, разгласившие перечень информации, относящейся к конфиденциальной информации, несут ответственность:

  • административную: по ст. 13.14 КоАП. Штрафы для физлиц — 500–1000 руб., для юрлиц — 4000–5000 руб.;
  • уголовную: сбор и огласка данных коммерческого, банковского или налогового характера карается по ст. 183 УК РФ штрафом, принудительными работами или ограничением свободы;
  • материальную: по ст. 139 ГК РФ работник, виновный в разглашении, возмещает работодателю ущерб;
  • дисциплинарную: по ст. 81 ТК РФ за разглашение тайны, охраняемой законом, с работником расторгается трудовой договор.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *