Информационный бюллетень Администрации Санкт-Петербурга №37 (688), 27 сентября 2010 г

Вид материала

Содержание

2.2. Сроки исполнения государственной функции
2.3. Перечень оснований для отказа в исполнении государственной функции
2.4. Другие положения
3.1. Общие сведения

Подобный материал:

1 ... 12 13 14 15 16 17 18 19 ... 44

II. Требования к порядку исполнения государственной функции по обеспечению выполнения комплекса организационно-технических мероприятий по защите персональных данных, обрабатываемых в информационных системах Комитета

2.1. Порядок информирования об исполнении государственной функции

2.1.1. Результатом исполнения государственной функции является выполнение комплекса организационно-технических мероприятий по защите персональных данных, обрабатываемых в информационных системах Комитета.

2.1.2. Место нахождения Комитета: Таврическая ул., д.39, Санкт-Петербург, 191015. График (режим) работы Комитета: ежедневно, кроме субботы, воскресенья и нерабочих праздничных дней, с 9.00 до 18.00 (по пятницам - до 17.00), перерыв с 14.00 до 14.48 (приложение № 1 к Административному регламенту).

2.1.3. Консультация по порядку исполнения государственной функции может быть получена в Отделе информационных систем и информационной безопасности Комитета по телефону: (812) 274-44-71.

2.1.4. Раздел Комитета на официальном портале Правительства Санкт-Петербурга (далее - в сети Интернет) располагается по электронному адресу: pb.ru/gov/admin/otrasl/zags. Электронный адрес для направления обращений: kzags@kzags.gov.spb.ru.

2.1.5. Информация о порядке исполнения государственной функции предоставляется государственными гражданскими служащими Комитета (далее - специалисты):

- с использованием средств телефонной связи, электронного информирования;

- непосредственно в Комитете при личном или письменном обращении.

2.1.6. Консультации предоставляются по следующим вопросам:

- о месте нахождения Комитета;

- о графике работы;

- о сроках и порядке исполнения государственной функции;

- о порядке обжалования действий (бездействия) и решений, осуществляемых и принимаемых в ходе исполнения государственной функции.

2.1.7. При ответах на телефонные звонки и устные обращения специалисты подробно и в вежливой (корректной) форме информируют обратившихся по интересующим их вопросам. Ответ на телефонный звонок должен начинаться с информации о наименовании органа, в который обратился заявитель. В случае необходимости дополнительно могут быть сообщены сведения о фамилии, имени, отчестве и должности специалиста, принявшего телефонный звонок.

Время разговора не должно превышать 10 минут.

При невозможности специалиста, принявшего звонок, самостоятельно ответить на поставленные вопросы телефонный звонок должен быть переадресован (переведен) на другое должностное лицо или же обратившемуся заявителю должен быть сообщен телефонный номер, по которому можно получить необходимую информацию.

Ответы на письменные обращения по вопросам исполнения государственной функции направляются почтой в адрес заявителей в срок, не превышающий 30 дней с момента регистрации письменного обращения в Комитете.

2.1.8. Информация, указанная в пунктах 2.1.1-2.1.4 Административного регламента, предоставляется при личном обращении заявителя, посредством телефонной связи, электронной почты.

2.2. Сроки исполнения государственной функции

2.2.1. Государственная функция исполняется в соответствии со сроками проведения организационно-технических мероприятий по защите персональных данных в ходе реализации утвержденного и согласованного с Комитетом по информатизации и связи Плана работ по защите конфиденциальной информации в Комитете на текущий год и Плана развития системы защиты информации на ближайшие три года.

2.3. Перечень оснований для отказа в исполнении государственной функции

Отсутствие финансирования является основанием для отказа в исполнении государственной функции.

2.4. Другие положения

2.4.1. Финансирование исполнения государственной функции осуществляется из бюджета Санкт-Петербурга в соответствии с согласованными и утвержденными заявками расходов по отрасли "Связь и информатизация" по статье 3300013 "Расходы на обеспечение мероприятий по защите информации, содержащей сведения, составляющие государственную и служебную тайну, и развитие систем безопасности и связи" и статье 3300008 "Расходы на эксплуатацию информационных и телекоммуникационных систем и средств автоматизации".

2.4.2. Финансирование работ по эксплуатации и развитию АИС "ЗАГС Санкт-Петербурга" осуществляется за счет финансовых средств, выделяемых на формирование и ведение Государственного регистра населения Санкт-Петербурга" в рамках целевой статьи расходов 3300015.

2.4.3. Работы по защите информации, обрабатываемой в автоматизированной информационной системе органов записи актов гражданского состояния Санкт-Петербурга (далее - АИС "ЗАГС Санкт-Петербурга"), финансируются из единственного источника и выполняются СПб ГУП "Санкт-Петербургский информационно-аналитический центр" (СПб ГУП "СПб ИАЦ") с учетом требований действующих в Российской Федерации нормативных документов и стандартов по вопросам обеспечения безопасности информации на основе разработанного и согласованного с Комитетом и утвержденного Комитетом по информатизации и связи Технического задания к Государственному контракту.

III. Административные процедуры

3.1. Общие сведения

К защищаемым информационным ресурсам Комитета относятся персональные данные граждан Санкт-Петербурга, обрабатываемые АИС "ЗАГС Санкт-Петербурга", и персональные данные сотрудников Комитета, обрабатываемые в информационных системах персональных данных автоматизированных систем (далее - АС) Комитета.

К персональным данным относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональные данные граждан (сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его как личность) и персональные данные сотрудников Комитета включены в Перечень сведений конфиденциального характера, утвержденный председателем Комитета 3 мая 2007 года.

Формируемый АИС "ЗАГС Санкт-Петербурга" информационный ресурс в соответствии с действующим законодательством Российской Федерации и Санкт-Петербурга в сфере учета и регистрации баз и банков данных зарегистрирован в Государственном регистре и Едином реестре информационных ресурсов и информационных систем Санкт-Петербурга.

База данных АИС "ЗАГС Санкт-Петербурга" имеет регистрационный № 0220510906 (Регистрационное свидетельство № 10213 от 8 декабря 2005 года). Правительством Санкт-Петербурга выдано Свидетельство о регистрации информационных ресурсов и информационных систем в Едином регистре информационных ресурсов и информационных систем Санкт-Петербурга за № 00090/06 от 02.06.2006. С момента ввода АИС в опытную эксплуатацию в электронной базе данных насчитывается более 700000 зарегистрированных записей актов гражданского состояния и около 3700000 отконвертированных записей.

Собственником информационной системы и информационных ресурсов является Санкт-Петербург; владельцем информационной системы и информационных ресурсов Комитет.

В соответствии с постановлением Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных при их обработке в информационных системах персональных данных" в АИС "ЗАГС Санкт-Петербурга" установлен класс защищенности 2 (К2).

Персональные данные сотрудников Комитета обрабатываются в информационных системах персональных данных (далее - ИСПДн):

Автоматизированная система (далее - АС) кадрового учета "Управление персоналом государственных служащих" "Кадры");

АС "1C Предприятие";

АС "Персонифицированный учет";

АС "Налогоплательщик".

Обработка персональных данных в АС кадрового учета производится в соответствии с Федеральным законом от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации" и Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента № 609 от 30.05.2005. АС является составной частью АИС "Управление персоналом государственных органов", оператором которой является Управление кадров и государственной службы Администрации Губернатора Санкт-Петербурга. АС позволяет автоматизировать работу сотрудников отдела государственной службы и кадров Комитета по направлениям:

ведение штатного расписания;

прием, увольнение, перевод сотрудников на основании подписанных приказов;

подготовка, учет и печать документов по кадровой службе;

ведение кадрового учета по категориям работников;

ведение полной информации о персонале;

формирование списков и сопроводительных документов по аттестации сотрудников;

расчет надбавок;

контроль сроков договоров, испытательного срока;

ведение кадровых журналов;

генерация отчетов по шаблонам с возможностью редактирования и вывода на печать;

шифрование данных по сотрудникам.

В АС "1C Предприятие", "Персонифицированный учет" и "Налогоплательщик" обрабатываются персональные данные сотрудников Комитета с ежемесячным представлением информации в виде налоговых деклараций и бухгалтерской отчетности в электронном виде по телекоммуникационным каналам в зашифрованном виде и использованием электронной цифровой подписи (далее - ЭЦП) в Межрайонную инспекцию Федеральной налоговой службы № 11 по Санкт-Петербургу.

АС "1C Предприятие", "Персонифицированный учет" и "Налогоплательщик" Комитета установлен класс защищенности 3 (К3).

Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных автоматизированных систем.

Объектами защиты при этом являются:

средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;

технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

защищаемые помещения.

Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применением средств защиты информации (далее - ЗИ) от утечки по техническим каналам, несанкционированного доступа, программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе ее обработки, передачи и хранения, а также работоспособности технических средств.

Для защиты конфиденциальной информации, к которой относятся, в том числе, персональные данные, используются сертифицированные по требованиям безопасности информации технические средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации. Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России.

Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации.

Организация работ по защите информации возлагается на руководителей организаций, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации - на руководителей подразделений по защите информации (служб безопасности) организации.

В соответствии с приказом председателя Комитета "О мерах по защите информации" обязанности ответственного за защиту информации в Комитете персонально возложены на главного специалиста отдела информационных систем и информационной безопасности Управления информационных технологий и ведомственного архива. В соответствии со штатным расписанием в должностные регламенты соответствующих руководителей внесены обязанности по организации контроля защиты информации базы данных АИС "ЗАГС Санкт-Петербурга" и информационных систем Комитета от несанкционированного доступа, а также осуществлению контроля целостности, достоверности и сохранности циркулирующих в АИС "ЗАГС Санкт-Петербурга" данных и обеспечению надежного хранения информации на магнитных носителях базы данных АИС "ЗАГС Санкт-Петербурга" и АС Комитета.

Государственная функция представляет собой неотъемлемую часть мероприятий, разрабатываемых и исполняемых Комитетом в сфере поддержки и развития АИС "ЗАГС Санкт-Петербурга", ИСПДн, обрабатывающих персональные данные государственных служащих Комитета, и предназначена для обеспечения целостности, доступности и конфиденциальности государственных информационных ресурсов (далее - ГИР), содержащих персональные данные физических лиц - граждан Санкт-Петербурга и персональные данные служащих Комитета.

Для исполнения государственной функции Комитет, как оператор ИСПДн "АИС "Санкт-Петербурга", других ИСПДн Комитета осуществляет следующие мероприятия:

1. Инвентаризация информационных ресурсов (далее - ИР), обрабатываемых в информационных системах (далее - ИС), и определение перечня персональных данных (далее - ПДн);

2. Урегулирование правовых вопросов обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);

3. Оформление и направление в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомления об обработке ПДн;

4. Разработка модели угроз (на основании результатов обследования ИС);

5. Проведение классификации ИС с оформлением соответствующего акта;

6. Определение требований по защите ПДн при их обработке в ИСПДн в соответствии с присвоенным классом и результатами моделирования;

7. Проектирование системы защиты информации (далее - СЗИ);

8. Реализация проекта на создание СЗИ;

9. Проведение оценки соответствия ИСПДн требованиям безопасности согласно присвоенному классу.

10. Организация эксплуатации ИСПДн в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ.

Данные мероприятия разрабатываются заблаговременно и включаются в годовой План работ по защите конфиденциальной информации в Комитете на очередной год и План развития системы защиты информации на ближайшие три года, согласовываемые с Комитетом по информатизации и связи.

Планирование работ на предстоящий период производится отделом информационных систем и информационной безопасности в ноябре-декабре текущего года с учетом требований и мероприятий Годового плана по защите информации и противодействию техническим разведкам в исполнительных органах государственной власти Санкт-Петербурга (далее - ИОГВ) на очередной год, разрабатываемого Комитетом по информатизации и связи.

Персональная ответственность за своевременную подготовку годового и перспективного плана работ, представление на согласование в Комитет по информатизации и связи и утверждение председателем Комитета возложена на главного специалиста отдела информационных систем и информационной безопасности.

Контроль выполнения данной административной процедуры, а также хода и качества выполнения запланированных мероприятий по технической защите информации возложены на начальника Управления информационных технологий и ведомственного архива и заместителя председателя Комитета.

Годовой план включает мероприятия по выполнению решений ФСТЭК России, планируемые к разработке и внедрению организационно-распорядительные и методические документы, планируемые к реализации мероприятия по защите информации на объектах информатизации с отражением вопросов организационно-методического обеспечения работ по защите информации, контрольные мероприятия, планируемые к проведению руководством Комитета и вышестоящими органами.

Реализация мероприятий годового плана сотрудниками отдела при осуществлении государственной функции производится по двум направлениям:

1. Обеспечение выполнения комплекса организационно-технических мероприятий по защите персональных данных, обрабатываемых в АИС "ЗАГС Санкт-Петербурга";

2. Обеспечение выполнения комплекса организационно-технических мероприятий по защите персональных данных, обрабатываемых в ИСПДн Комитета.

Детально процедура их исполнения изложена в подразделах 3.2 и 3.3 настоящего Административного регламента.

В Комитет по информатизации и связи и Управление ФСТЭК России по Северо-Западному федеральному округу ежегодно представляются отчетные и информационные документы в виде Паспорта ТЗИ в Комитете и анкеты состояния ТЗИ.

Персональная ответственность за своевременную подготовку Паспорта технической защиты информации в Комитете и анкеты состояния ТЗИ, утверждение документов председателем Комитета и представление их в Комитет по информатизации и связи и Управление ФСТЭК России по Северо-Западному федеральному округу возложена на главного специалиста Отдела информационных систем и информационной безопасности.

Контроль выполнения данной административной процедуры, а также качества выполнения представляемых документов возложен на начальника Управления информационных технологий и ведомственного архива и заместителя председателя Комитета.

3.2. Выполнение комплекса организационно-технических мероприятий по защите персональных данных, обрабатываемых в АИС "ЗАГС Санкт-Петербурга" (приложение № 2 к Административному регламенту).

3.2.1. Разработка предложений по развитию СЗИ АИС "ЗАГС Санкт-Петербурга" для включения их в Техническое задание (ТЗ) к Государственному контракту, заключаемому между Комитетом по информатизации и связи и СПб ГУП "СПб ИАЦ", содержащих:

- требования к работам по развитию системы защиты информации (далее - СЗИ) АИС "ЗАГС Санкт-Петербурга", обеспечивающих выполнение положений Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", требований Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17.11.2007 № 781, а также новых нормативных документов ФСТЭК России, определяющих конкретные мероприятия, необходимые для обеспечения безопасности персональных данных граждан, обрабатываемых в информационных системах;

- предложения по планированию мероприятий по дооснащению вновь вводимых рабочих мест и объектов информатизации средствами защиты от несанкционированного доступа;

- предложения по планированию работ, связанных с доработкой реализованных технических решений, обусловленных развитием АИС "ЗАГС Санкт-Петербурга", появлением в ее структуре новых подсистем, расширением функциональности АИС и необходимостью взаимодействия со смежными городскими информационными системами;

- обоснование затрат на планируемые работы.

3.2.1.1. Основанием для начала административной процедуры является подготовка СПб ГУП "СПб ИАЦ" ТЗ к Государственному контракту на очередной год.

3.2.1.2. Срок представления материалов в ТЗ - декабрь текущего года.

3.2.1.3. Персональная ответственность за своевременную подготовку материалов в ТЗ возложена на главного специалиста отдела информационных систем и информационной безопасности.

3.2.1.4. Контроль выполнения административной процедуры, а также качества выполнения представляемых документов возложен на начальника Управления информационных технологий и ведомственного архива и заместителя председателя Комитета.

3.2.1.5. Результатом административной процедуры является направление предложений в ТЗ к Государственному контракту Исполнителю работ - СПб ГУП "СПб ИАЦ".

3.2.2. Организация мероприятий по подготовке помещений и оборудования, обеспечение выполнения правил по охране труда, технике безопасности, противопожарной безопасности и санитарии, организация доступа Исполнителя на объекты информатизации с выполнением требуемых организационных мероприятий по защите информации от несанкционированного доступа. Предоставление Исполнителю необходимой проектной и эксплуатационной документации, необходимой для своевременного и качественного проведения запланированных работ. Инструктаж работников Исполнителя по внутриобъектному режиму, контроль хода проведения работ, проведение необходимых консультаций.

3.2.2.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.2.2.2. Срок выполнения административной процедуры определяется календарным планом проведения работ по Государственному контракту.

3.2.2.3. Персональная ответственность за организацию работ Исполнителем на объектах информатизации возложена на начальника отдела информационных систем и информационной безопасности Управления информационных технологий и ведомственного архива Комитета.

3.2.2.4. Контроль выполнения административной процедуры возложен на начальника Управления информационных технологий и ведомственного архива.

3.2.2.5. Результатом административной процедуры является выполнение требований Государственного контракта по выполнению обязательств Заказчика, связанных с организацией работ Исполнителем.

3.2.3. Участие в создании и работе специально созданных комиссий для проведения обследования объектов информатизации, проведения работ по уточнению класса ИСПДн в связи с возрастанием требований к защите обрабатываемой информации, развитием АИС "ЗАГС Санкт-Петербурга", проведения промежуточных приемосдаточных испытаний в связи с вводом в действие или обновлением средств защиты информации.

3.2.3.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.2.3.2. Срок выполнения административной процедуры определяется Календарным планом проведения работ по Государственному контракту.

3.2.3.3. Персональная ответственность за выполнение административной процедуры возложена на начальника Управления информационных технологий и ведомственного архива.

3.2.3.4. Контроль выполнения административной процедуры возложен на заместителя председателя Комитета.

3.2.3.5. Результатом административной процедуры является отчет об обследовании объекта информатизации, акт классификации ИСПДн АИС "ЗАГС Санкт-Петербурга", акт о вводе в опытную эксплуатацию средств защиты информации.

3.2.4. Непосредственное участие в разработке Исполнителем дорабатываемой проектно-эксплуатационной и организационно-распорядительной документации с целью ее адаптации к принятому в Комитете регламенту работы, обеспечению утвержденных соответствующими инструкциями мероприятий по защите конфиденциальной информации. Согласование представляемой Исполнителем документации на этапе ее утверждения Заказчиком работ в соответствии с Календарным планом в целях ее соответствия требованиям Технического задания.

3.2.4.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.2.4.2. Срок выполнения административной процедуры определяется календарным планом проведения работ по Государственному контракту.

3.2.4.3. Персональная ответственность за выполнение административной процедуры возложена на начальника отдела информационных систем и информационной безопасности.

3.2.4.4. Контроль выполнения административной процедуры возложен на начальника Управления информационных технологий и ведомственного архива.

3.2.4.5. Результатом административной процедуры является разработка и согласование проектной, рабочей, эксплуатационной и организационно-распорядительной документации на СЗИ АИС "ЗАГС Санкт-Петербурга".

3.2.5. Организация и обеспечение работы Исполнителя по сопровождению СЗИ АИС "ЗАГС Санкт-Петербурга", включающие мероприятия по планированию работ, организации регламентированного доступа специалистов на объекты информатизации, участия в тестировании вышедшего из строя оборудования в целях его замены или ремонта, контроля хода работ и приемки результатов с оформлением актов приема-сдачи работ.

3.2.5.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.2.5.2. Срок выполнения административной процедуры определяется календарным планом проведения работ по Государственному контракту.

3.2.5.3. Персональная ответственность за выполнение административной процедуры возложена на начальника отдела информационных систем и информационной безопасности.

3.2.5.4. Контроль выполнения административной процедуры возложен на начальника Управления информационных технологий и ведомственного архива.

3.2.5.5. Результатом административной процедуры является акт приема-сдачи выполненных работ, акт рекламации оборудования, средств защиты информации.

3.2.6. Участие в создании и работе специально созданных комиссий по проведению приемо-сдаточных испытаний доработанных подсистем СЗИ АИС "ЗАГС Санкт-Петербурга" и вводу их в опытную эксплуатацию.

3.2.6.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.2.6.2. Срок выполнения административной процедуры определяется календарным планом проведения работ по Государственному контракту.

3.2.6.3. Персональная ответственность за выполнение административной процедуры возложена на начальника Управления информационных технологий и ведомственного архива.

3.2.6.4. Контроль выполнения административной процедуры возложен на заместителя председателя Комитета.

3.2.6.5. Результатом административной процедуры являются предложения о включении в состав комиссий по проведению приемо-сдаточных испытаний доработанных подсистем СЗИ АИС "ЗАГС Санкт-Петербурга" и вводу их в опытную эксплуатацию, рекомендации Заказчику по планированию приемо-сдаточных испытаний, разрабатываемые Комитетом по результатам промежуточных этапов работ.

3.2.7. Опытная эксплуатация СЗИ АИС "ЗАГС Санкт-Петербурга", обеспечиваемая специалистами отдела информационных систем и информационной безопасности с привлечением специалистов по защите информации СПб ГУП "СПб ИАЦ".

3.2.7.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.2.7.2. Срок выполнения административной процедуры определяется календарным планом проведения работ по Государственному контракту.

3.2.7.3. Персональная ответственность за выполнение административной процедуры возложена на начальника отдела информационных систем и информационной безопасности. Ответственность за своевременное внесение изменений в формуляр СЗИ АИС "ЗАГС Санкт-Петербурга", обеспечение требований инструкций по защите информации от несанкционированного доступа (НСД) при работе пользователей и обслуживающего персонала возложена на главного специалиста отдела информационных систем и информационной безопасности.

3.2.7.4. Контроль выполнения административной процедуры возложен на начальника Управления информационных технологий и ведомственного архива.

3.2.7.5. Результатом административной процедуры являются акты о замене вышедшего из строя оборудования, акты дефектации устройств, подсистем, средств защиты информации от несанкционированного доступа, средств межсетевого экранирования, технические решения по доработке СЗИ АИС "ЗАГС Санкт-Петербурга".

3.2.8. Обучение пользователей АИС "ЗАГС Санкт-Петербурга" работе со средствами защиты информации от НСД, контроль выполнения требований организационно-распорядительной документации по обеспечению регламентированного доступа к защищаемой информации, обеспечение работоспособности СЗИ АИС "ЗАГС Санкт-Петербурга", мониторинг работоспособности системы адаптивной безопасности, средств анализа вторжений, средств межсетевого экранирования и средств защиты от НСД в ходе опытной эксплуатации СЗИ АИС "ЗАГС Санкт-Петербурга".

3.2.8.1. Основанием для начала административной процедуры является Календарный план работ по ТЗИ в Комитете на очередной год.

3.2.8.2. Срок выполнения административной процедуры определен Календарным планом работ по ТЗИ и организационно-распорядительной и эксплуатационной документацией на СЗИ АИС "ЗАГС Санкт-Петербурга".

3.2.8.3. Персональная ответственность за выполнение административной процедуры возложена на главного специалиста отдела информационных систем и информационной безопасности.

3.2.8.4. Контроль выполнения административной процедуры возложен на начальника отдела информационных систем и информационной безопасности.

3.2.8.5. Результатом административной процедуры является план обучения пользователей работе с введенными в опытную эксплуатацию средствами защиты информации, план повышения квалификации специалистов структурных подразделений Комитета, приказы председателя Комитета по внесению изменений в ранее утвержденные организационно-распорядительные документы по организации регламентированного доступа пользователей к защищаемым информационным ресурсам в связи с кадровыми перемещениями, акты и предписания по результатам выполнения требований организационно-распорядительной документации по обеспечению регламентированного доступа к защищаемой информации.

3.3. Выполнение комплекса организационно-технических мероприятий по защите персональных данных, обрабатываемых в информационных системах Комитета.

Выполнение работ по обеспечению выполнения комплекса организационно-технических мероприятий по защите персональных данных, обрабатываемых в информационных системах Комитета, производится специалистами отдела информационных систем и информационной безопасности с привлечением специалистов сторонних организаций, проводящих работы на конкурсной основе.

Работы выполняются специализированной организацией, имеющей необходимые лицензии на право осуществления видов деятельности по технической защите конфиденциальной информации и соответствующей обязательным требованиям, предъявляемым законодательством Российской Федерации.

Контракт на проведение работ заключается Комитетом по информатизации и связи по результатам конкурса (аукциона), котировок, проводимых Заказчиком.

Информация о планируемых работах, конкурсная документация и информация о результатах конкурса (аукциона) размещается на сайте в сфере информационного обеспечения государственного заказа Санкт-Петербурга "Государственный заказ Санкт-Петербурга" по адресу: www.gz-spb.ru.

Конкурсная документация предоставляется со дня опубликования в официальном печатном издании и размещена на сайте www.gz-spb.ru на основании письменного заявления любого заинтересованного лица в течение двух дней со дня его получения при предъявлении заинтересованным лицом документа, удостоверяющего личность, либо представителем заинтересованного лица - также доверенности на право получения конкурсной документации.

Конкурсная документация представляется в составе томов 1, 2, 3 и 4 бесплатно по адресу: Смольный, Комитет по информатизации и связи, Санкт-Петербург, 191060, в рабочие дни с 10.00 до 16.00 часов, перерыв на обед с 13.00 до 14.00 часов, на основании заявления любого заинтересованного лица, поданного в письменной форме.

3.3.1. Разработка ТЗ для проведения открытого конкурса на право заключения Государственного контракта Санкт-Петербурга на выполнение работ по созданию (развитию) Автоматизированной системы в защищенном исполнении (далее - АСЗИ) Комитета с обоснованием перечня работ, сроков их выполнения, ожидаемых результатов и обоснованием затрат.

3.3.1.1. Основанием для начала административной процедуры является Закон Санкт-Петербурга "О бюджете Санкт-Петербурга на 2009 год и на плановый период 2010-2011 годов". План работ по технической защите информации в Комитете на очередной год.

3.3.1.2. Срок разработки ТЗ - декабрь текущего года.

3.3.1.3. Персональная ответственность за своевременную разработку ТЗ возложена на главного специалиста отдела информационных систем и информационной безопасности.

3.3.1.4. Контроль выполнения административной процедуры, а также качества выполнения представляемых документов возложены на начальника Управления информационных технологий и ведомственного архива и заместителя председателя Комитета.

3.3.1.5. Результатом административной процедуры является ТЗ для проведения конкурса на право заключения Государственного контракта Санкт-Петербурга на выполнение работ по созданию (развитию) АСЗИ Комитета.

3.3.2. Организация мероприятий по подготовке помещений и оборудования, обеспечение выполнения правил по охране труда, технике безопасности, противопожарной безопасности и санитарии, организация доступа Исполнителя на объекты информатизации с выполнением требуемых организационных мероприятий по защите информации от несанкционированного доступа. Предоставление Исполнителю необходимой проектной и эксплуатационной документации, необходимой для своевременного и качественного проведения запланированных работ. Инструктаж работников Исполнителя по внутриобъектному режиму, контроль хода проведения работ, проведение необходимых консультаций

3.3.2.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту, заключенному Комитетом по информатизации и связи со сторонней организацией по результатам проведенного конкурса (аукциона, котировок).

3.3.2.2. Срок выполнения административной процедуры определяется календарным планом проведения работ по Государственному контракту.

3.3.2.3. Персональная ответственность за организацию работ Исполнителем на объектах информатизации возложена на начальника отдела информационных систем и информационной безопасности Управления информационных технологий и ведомственного архива Комитета.

3.3.2.4. Контроль выполнения административной процедуры возложен на начальника Управления информационных технологий и ведомственного архива.

3.3.2.5. Результатом административной процедуры является выполнение требований Государственного контракта по выполнению обязательств Заказчика, связанных с организацией работ Исполнителем.

3.3.3. Участие в создании и работе специально созданных комиссий для проведения обследования объектов информатизации, проведения работ по уточнению класса ИСПДн в связи с возрастанием требований к защите информации, обрабатываемой в ИС Комитета, появлением новых информационных систем и развитием существующих, проведения промежуточных приемо-сдаточных испытаний в связи с вводом в действие или обновлением средств защиты информации.

3.3.3.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.3.3.2. Срок выполнения административной процедуры определяется календарным планом проведения работ по Государственному контракту.

3.3.3.1. Персональная ответственность за выполнение административной процедуры возложена на начальника Управления информационных технологий и ведомственного архива.

3.3.3.4. Контроль выполнения административной процедуры возложен на заместителя председателя Комитета.

3.3.3.5. Результатом административной процедуры являются предложения о включении специалистов Комитета в состав комиссий по проведению приемо-сдаточных испытаний АСЗИ Комитета и вводу ее в опытную эксплуатацию, рекомендации Заказчику по планированию приемо-сдаточных испытаний, предлагаемые Комитетом по результатам промежуточных этапов работ, акты классификации ИСПДн, акты ввода в действие подсистем защиты информации.

3.3.4. Непосредственное участие в разработке Исполнителем дорабатываемой проектно-эксплуатационной и организационно-распорядительной документации с целью ее адаптации к принятому в Комитете регламенту работы, обеспечению утвержденных соответствующими инструкциями мероприятий по защите конфиденциальной информации. Согласование представляемой Исполнителем документации на этапе ее утверждения Заказчиком работ в соответствии с календарным планом в целях ее соответствия требованиям Технического задания.

3.3.4.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту.

3.2.4.2. Срок выполнения административной процедуры определяется Календарным планом проведения работ по Государственному контракту.

3.2.4.3. Персональная ответственность за выполнение административной процедуры возложена на начальника отдела информационных систем и информационной безопасности.

3.3.4.4. Контроль выполнения административной процедуры возложен на начальника Управления информационных технологий и ведомственного архива.

3.3.4.5. Результатом административной процедуры является согласованная Комитетом документация, разработанная исполнителем работ и адаптированная к принятому в Комитете регламенту работ.

3.3.5. Организация и обеспечение работы Исполнителя по сопровождению средств защиты информации АСЗИ Комитета, включающие мероприятия по планированию работ, организации регламентированного доступа специалистов к автоматизированным рабочим местам (далее - АРМ) пользователей, участия в тестировании вышедшего из строя оборудования в целях его замены или ремонта, контроля хода работ и приемки результатов с оформлением актов приема-сдачи работ.

3.3.5.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.3.5.2. Срок выполнения административной процедуры определяется календарным планом проведения работ по Государственному контракту.

3.3.5.3. Персональная ответственность за выполнение административной процедуры возложена на начальника отдела информационных систем и информационной безопасности.

3.3.5.4. Контроль выполнения административной процедуры возложен на начальника Управления информационных технологий и ведомственного архива.

3.3.5.5. Результатом административной процедуры являются акты приема-сдачи выполненных работ, акты рекламации оборудования, средств защиты информации, план работ по сопровождению средств защиты информации АСЗИ Комитета, приказ председателя Комитета об организации доступа сотрудников организации - исполнителя работ в структурные подразделения Комитета.

3.3.6. Участие в создании и работе специально созданных комиссий по проведению приемо-сдаточных испытаний подсистем АСЗИ Комитета и вводу их в опытную эксплуатацию.

3.3.6.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.3.6.2. Срок выполнения административной процедуры определяется Календарным планом проведения работ по Государственному контракту.

3.3.6.3. Персональная ответственность за выполнение административной процедуры возложена на начальника Управления информационных технологий и ведомственного архива.

3.3.6.4. Контроль выполнения административной процедуры возложен на заместителя председателя Комитета.

3.3.6.5. Результатом административной процедуры являются предложения о включении специалистов Комитета в состав комиссии по проведению приемо-сдаточных испытаний АСЗИ Комитета и вводу ее в опытную эксплуатацию, рекомендации Заказчику по планированию приемо-сдаточных испытаний, разрабатываемые Комитетом по результатам промежуточных этапов работ.

3.3.7. Опытная эксплуатация АСЗИ Комитета, обеспечиваемая специалистами Отдела информационных систем и информационной безопасности с привлечением специалистов по защите информации организации - исполнителя работ по Государственному контракту.

3.3.7.1. Основанием для начала административной процедуры является ТЗ к Государственному контракту на очередной год.

3.3.7.2. Срок выполнения административной процедуры определяется календарным планом проведения работ по Государственному контракту.

3.3.7.3. Персональная ответственность за выполнение административной процедуры возложена на начальника отдела информационных систем и информационной безопасности. Ответственность за своевременное внесение изменений в формуляр АСЗИ Комитета, обеспечение требований инструкций по защите информации от несанкционированного доступа при работе пользователей и обслуживающего персонала возложена на главного специалиста отдела информационных систем и информационной безопасности.

3.3.7.4. Контроль выполнения административной процедуры возложен на начальника Управления информационных технологий и ведомственного архива.

3.3.7.5. Результатом административной процедуры являются акты о замене вышедшего из строя оборудования, акты дефектации устройств, подсистем, средств защиты информации от несанкционированного доступа, средств межсетевого экранирования, технические решения по доработке АСЗИ Комитета.

3.3.8. Обучение пользователей АСЗИ Комитета работе со средствами защиты информации от НСД, контроль выполнения требований организационно-распорядительной документации по обеспечению регламентированного доступа к защищаемой информации, обеспечение работоспособности АСЗИ Комитета, мониторинг работоспособности средств межсетевого экранирования, антивирусной защиты и средств защиты от НСД в ходе опытной эксплуатации АСЗИ Комитета.

3.3.8.1. Основанием для начала административной процедуры является Календарный план работ по ТЗИ в Комитете на очередной год.

3.3.8.2. Срок выполнения административной процедуры определен Календарным планом работ по ТЗИ и организационно-распорядительной и эксплуатационной документацией на АСЗИ Комитета.

3.3.8.3. Персональная ответственность за выполнение административной процедуры возложена на главного специалиста отдела информационных систем и информационной безопасности.

3.3.8.4. Контроль выполнения административной процедуры возложен на начальника отдела информационных систем и информационной безопасности.

3.3.8.5. Результатом административной процедуры являются план обучения пользователей работе с введенными в опытную эксплуатацию средствами защиты информации, план повышения квалификации сотрудников структурных подразделений Комитета, приказы председателя Комитета по внесению изменений в ранее утвержденные организационно-распорядительные документы по организации регламентированного доступа пользователей к защищаемым информационным ресурсам в связи с кадровыми перемещениями, акты и предписания по результатам выполнения требований организационно-распорядительной документации по обеспечению регламентированного доступа к защищаемой информации.

3.4. Выполнение комплекса организационно-технических мероприятий по защите персональных данных при информационном взаимодействии со сторонними организациями.

3.4.1. Обеспечение защиты информации при информационном взаимодействии АИС "ЗАГС Санкт-Петербурга" и информационных систем администраций районов Санкт-Петербурга.

3.4.1.1. Основанием для начала административной процедуры является ст.16 п.2.8, п.6 Федерального закона № 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан РФ".

3.4.1.2. Ответственными за исполнение административной процедуры являются специалисты отдела информационных систем и информационной безопасности Управления информационных технологий и ведомственного архива.

3.4.1.3. Сотрудник СПб ГУП "СПб ИАЦ", действующий на основании доверенностей, выданных главами администраций районов Санкт-Петербурга, в начале месяца, следующего за отчетным, в устной форме согласовывает со специалистом отдела информационных систем и информационной безопасности Управления информационных технологий и ведомственного архива (далее - отдела) время прибытия для получения сведений о государственной регистрации смерти граждан.

Специалист отдела подготавливает необходимые данные, которые шифруются и подписываются электронной цифровой подписью с использованием сертифицированного ФСБ России средства криптографической защиты информации (СКЗИ) - КриптоПро CSP 3.0, а также программного комплекса "Крипто АРМ - Стандарт".

В назначенное время сотрудник СПб ГУП "СПб ИАЦ" прибывает в Комитет со своим съемным носителем.

Специалист отдела проверяет представленный носитель на отсутствие вредоносных программ. После проверки данные копируются на представленный носитель. По результатам копирования информации составляется акт приема-передачи.

3.4.1.4. Максимальный срок выполнения административной процедуры - 1 день.

3.4.1.5. Контроль выполнения административной процедуры осуществляет начальник Управления информационных технологий и ведомственного архива.

3.4.1.6. Результатом административной процедуры является передача сведений о фактах государственной регистрации смерти граждан сотруднику СПб ГУП "СПб ИАЦ" для последующей передачи в районные администрации.

3.4.2. Обеспечение защиты информации при информационном взаимодействии АИС "ЗАГС Санкт-Петербурга" и информационных систем Межрайонной инспекции Федеральной налоговой службы № 6 по Санкт-Петербургу.

3.4.2.1. Основанием для начала административной процедуры являются ст.12 п.2 Федерального закона № 143-ФЗ от 15.11.1997 "Об актах гражданского состояния" и ст.85 п.3 Налогового кодекса Российской Федерации.

3.4.2.2. Ответственными за исполнение административной процедуры являются специалисты отдела информационных систем и информационной безопасности Управления информационных технологий и ведомственного архива.

3.4.2.3. Специалист отдела информационных систем и информационной безопасности осуществляет выборку из базы данных АИС "ЗАГС Санкт-Петербурга" требуемой информации, шифрование полученных данных и запись на съемный носитель информации для передачи представителю Межрайонной инспекции Федеральной налоговой службы № 6 по Санкт-Петербургу. По результатам передачи составляется акт приема-передачи информации.

3.4.2.4. Максимальный срок выполнения административной процедуры - 3 дня.

3.4.2.5. Контроль выполнения административной процедуры осуществляет начальник Управления информационных технологий и ведомственного архива.

3.4.2.6. Результатом административной процедуры является передача сведений о фактах государственной регистрации смерти граждан в Межрайонную инспекцию Федеральной налоговой службы № 6 по Санкт-Петербургу.

3.4.3. Обеспечение защиты информации при информационном взаимодействии АИС "ЗАГС Санкт-Петербурга" и информационных систем Отделения Пенсионного фонда РФ по Санкт-Петербургу и Ленинградской области и информационных систем Санкт-Петербургского государственного учреждения "Городской информационно-расчетный центр".

3.4.3.1. Основанием для начала административной процедуры являются ст.12 Федерального закона № 143-ФЗ от 15.11.1997 "Об актах гражданского состояния", Соглашение об информационном взаимодействии Комитета с Отделением Пенсионного фонда РФ по Санкт-Петербургу и Ленинградской области и Соглашение об информационном взаимодействии Комитета и Санкт-Петербургским государственным учреждением "Городской информационно-расчетный центр".

3.4.3.2. Ответственными за исполнение административной процедуры являются специалисты отдела информационных систем и информационной безопасности Управления информационных технологий и ведомственного архива.

3.4.3.3. Специалист отдела информационных систем и информационной безопасности осуществляет выборку из базы данных АИС "ЗАГС Санкт-Петербурга" требуемой информации. Подготовленная информация передается по защищенным каналам ЕМТС получателю с использованием криптографических средств защиты информации. По результатам передачи представитель Отделения Пенсионного фонда РФ по Санкт-Петербургу и Ленинградской области и представитель Санкт-Петербургского государственного учреждения "Городской информационно-расчетный центр" направляют акты приема-передачи, подписанные электронно-цифровой подписью. Акт сдачи-приемки информации на бумажном носителе представляется ежемесячно.

3.4.3.4. Максимальный срок выполнения административной процедуры - 1 день.

3.4.3.5. Контроль выполнения административной процедуры осуществляет начальник Управления информационных технологий и ведомственного архива.

3.4.3.6. Результатом административной процедуры является передача сведений о фактах государственной регистрации смерти граждан в Отделение Пенсионного фонда РФ по Санкт-Петербургу и Ленинградской области и сведений о фактах государственной регистрации смерти граждан в Санкт-Петербургское государственное учреждение "Городской информационно-расчетный центр".

Blog

Информационный бюллетень Администрации Санкт-Петербурга №37 (688), 27 сентября 2010 г

Содержание