МИНИСТЕРСТВО ЮСТИЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ
от 4 декабря 2018 г. N 242

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ
ОБ ОРГАНИЗАЦИИ РАБОТЫ ПО ОСУЩЕСТВЛЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
В МИНЮСТЕ РОССИИ

В соответствии с пунктом 2 части 4 статьи 6 и статьей 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038, N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658, N 23, ст. 2870, N 27, ст. 3479, N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302, N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84, N 27, ст. 3979, N 29, ст. 4389, ст. 4390; 2016, N 26, ст. 3877, N 28, ст. 4558, N 52, ст. 7491; 2017, N 18, ст. 2664, N 24, ст. 3478, N 25, ст. 3596, N 27, ст. 3953, N 31, 4790, ст. 4825, ст. 4827, N 48, ст. 7051), подпунктом "а" пункта 14 требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 06.07.2015 N 676 (Собрание законодательства Российской Федерации, 2015, N 28, ст. 4241, N 47, ст. 6599; 2017, N 21, ст. 3007), и абзацем четвертым пункта 16 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11.02.2013 N 17 (зарегистрирован Минюстом России 31.05.2013, регистрационный N 28608), приказываю:

1. Утвердить прилагаемое Положение об организации работы по осуществлению защиты информации в Минюсте России (далее - Положение).

2. Возложить обеспечение защиты информации в Минюсте России в соответствии с Положением на Департамент организации и контроля (А.В. Чумаков), Департамент управления делами (Д.Г. Киселев), территориальные органы Минюста России и ФБУ НЦПИ при Минюсте России (Е.А. Гущина).

3. Контроль за исполнением настоящего приказа возложить на первого заместителя Министра О.А. Плохого.

Министр
А.В.КОНОВАЛОВ

Не нуждается в государственной регистрации. Письмо Минюста России от 4 марта 2019 г. N ВП-01/5101-19.

Приложение
к приказу Минюста России
от 04.12.2018 N 242

ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ РАБОТЫ ПО ОСУЩЕСТВЛЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
В МИНЮСТЕ РОССИИ

I. Общие положения

1. Положение об организации работы по осуществлению защиты информации в Минюсте России (далее - Положение) регулирует вопросы обеспечения защиты информации структурными подразделениями Минюста России, его территориальными органами и ФБУ НЦПИ при Минюсте России (далее - НЦПИ) и определения перечня документов, предусматривающих правила и процедуры, реализуемые для обеспечения защиты информации в информационной системе Минюста России (далее - ИС) <1> в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации).

--------------------------------

<1> ИС состоит из центрального сегмента, размещенного в Минюсте России и НЦПИ (далее - ЦС), и территориальных сегментов, размещенных в территориальных органах Минюста России (далее - ТС).

II. Обеспечение защиты информации структурными
подразделениями Минюста России, его территориальными
органами и НЦПИ

2. К основным задачам Департамента организации и контроля относятся организация работы по технической защите информации, а также методическое руководство и контроль за эффективностью предусмотренных законодательством Российской Федерации мер по технической защите информации в Минюсте России и его территориальных органах <2>.

--------------------------------

<2> Положение о Департаменте организации и контроля, утвержденное приказом Минюста России от 04.06.2009 N 170, с изменениями, внесенными приказами Минюста России от 02.09.2009 N 279, от 15.09.2010 N 225, от 11.05.2011 N 150, от 31.05.2012 N 85, от 19.09.2012 N 185, от 25.05.2015 N 121, от 02.05.2017 N 71, от 15.06.2018 N 110.

В этих целях Департаментом организации и контроля осуществляются:

1) подготовка и утверждение организационно-распорядительных документов, определяющих порядок выполнения мероприятий по защите информации;

2) организация работ по внедрению в ИС технических средств защиты информации;

3) организация работ по аттестации и контролю эффективности принятых мер и технических средств защиты информации объектов информатизации Минюста России;

4) анализ состояния и оценка эффективности защиты информации, а также подготовка предложений по ее совершенствованию;

5) координация деятельности НЦПИ и территориальных органов Минюста России по выполнению работ по защите информации;

6) подготовка предложений по финансированию мероприятий по защите информации в Минюсте России, его территориальных органах и НЦПИ;

7) согласование требований к техническим характеристикам объектов закупки и технических заданий в части обеспечения защиты информации на закупку Минюстом России товаров, работ и услуг, направленных на развитие и обеспечение функционирования ИС;

8) подготовка и утверждение требований к техническим характеристикам объектов закупки и технических заданий на закупку Минюстом России товаров, работ и услуг, направленных на развитие и обеспечение защиты информации;

9) сопровождение исполнения заключенных Минюстом России контрактов (договоров) на закупку товаров, работ и услуг, направленных на развитие и обеспечение защиты информации;

10) ведение реестра средств защиты информации, приобретенных Минюстом России, его территориальными органами и НЦПИ;

11) организация и проведение служебных расследований по фактам нарушения требований по защите информации;

12) взаимодействие с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации по вопросам защиты информации в Минюсте России;

13) организация повышения квалификации федеральных государственных гражданских служащих (далее - гражданские служащие) Минюста России по защите информации;

14) проведение занятий по выполнению требований по защите информации с гражданскими служащими Минюста России.

3. К основным задачам и полномочиям Департамента управления делами в части, касающейся защиты информации, относятся:

1) организация работа по обеспечению функционирования, эксплуатации и развития ИС;

2) финансирование расходов на содержание Минюста России, его территориальных органов и федеральных бюджетных учреждений Минюста России;

3) реализация функций контрактной службы Минюста России;

4) организация планирования закупок товаров, работ, услуг;

5) координация деятельности НЦПИ;

6) обеспечение соответствия ИС требованиям безопасности;

7) инженерно-техническое оснащение объектов Минюста России и его территориальных органов <3>.

--------------------------------

<3> Положение о Департаменте управления делами, утвержденное приказом Минюста России от 15.06.2009 N 185, с изменениями, внесенными приказами Минюста России от 03.08.2009 N 242, от 15.09.2010 N 225, от 11.05.2011 N 150, от 24.08.2011 N 296, от 31.05.2012 N 86, от 31.03.2014 N 53, от 25.05.2015 N 121, от 15.06.2018 N 108.

В этих целях Департамент управления делами осуществляет:

1) обеспечение устойчивости и адаптивности ИС;

2) финансирование мероприятий по защите информации в Минюсте России, его территориальных органах и НЦПИ;

3) закупку товаров, работ и услуг, направленных на обеспечение защиты информации;

4) организацию работ по установке средств защиты информации;

5) оборудование помещений Минюста России, предназначенных для размещения средств обработки информации ИС, системами инженерно-технического обеспечения (вентиляции, теплоснабжения, кондиционирования, охраны, сигнализации, пожаротушения, энергообеспечения) в соответствии с требованиями по защите информации;

6) организацию технического обслуживания и ремонта средств вычислительной техники, предназначенных для обработки информации ограниченного доступа, с учетом требований по защите информации.

4. К основным видам деятельности НЦПИ относятся:

1) техническое сопровождение и эксплуатация;

2) вывод из эксплуатации ИС и компонентов информационно-телекоммуникационной инфраструктуры;

3) создание и развитие (модернизация) ИС и компонентов информационно-телекоммуникационной инфраструктуры;

4) осуществление работ по обеспечению требований информационной безопасности <4>.

--------------------------------

<4> Пункт 2.3 Устава федерального бюджетного учреждения "Научный центр правовой информации при Министерстве юстиции Российской Федерации", утвержденного приказом Минюста России от 22.08.2014 N 176 (зарегистрирован Минюстом России 24.09.2014, регистрационный N 34117), с изменением, внесенным приказом Минюста России от 28.12.2015 N 320 (зарегистрирован Минюстом России 20.01.2016, регистрационный N 40657).

В этих целях НЦПИ обеспечивает:

1) исключение несанкционированного доступа к информационным ресурсам ЦС;

2) администрирование защиты (безопасности) информационных ресурсов ЦС;

3) создание и выдачу пользователям ИС ключей шифрования информации;

4) проведение аттестационных испытаний объектов информатизации Минюста России, обрабатывающих конфиденциальную информацию;

5) участие в подготовке организационно-распорядительных документов Минюста России по обеспечению защиты информации;

6) разграничение доступа к информационным ресурсам ЦС;

7) проведение технического обслуживания и ремонт средств вычислительной техники, обрабатывающей информацию ограниченного доступа, с учетом требований по защите информации.

5. Начальники территориальных органов Минюста России обеспечивают организацию работ по защите информации, включая применение программно-аппаратных средств ТС и защиту информации, обрабатываемой ТС, в части возложенных задач.

В этих целях из числа гражданских служащих или работников территориального органа Минюста России назначается администратор защиты информации, который осуществляет:

1) контроль выполнения пользователями ИС мероприятий по защите информации;

2) обеспечение функционирования средств антивирусной защиты ТС;

3) контроль применения машинных носителей информации в территориальном органе Минюста России;

4) обеспечение криптографической защиты информации;

5) контроль выполнения установленных требований к размещению средств обработки информации;

6) учет применяемых в ТС средств защиты информации;

7) разграничение доступа к информационным ресурсам ТС.

6. Пользователи ИС в структурных подразделениях Минюста России, его территориальных органах и НЦПИ обеспечивают:

1) выполнение требований организационно-распорядительных документов по защите информации;

2) соблюдение конфиденциальности информации ограниченного доступа, полученной или ставшей им доступной в процессе служебной деятельности;

3) защиту целостности и доступности пользовательских информационных ресурсов;

4) соблюдение правил применения съемных (отчуждаемых) машинных носителей информации;

5) соблюдение правил работы со средствами криптографической защиты информации;

6) своевременное информирование непосредственного руководителя о фактах нарушения конфиденциальности информации ограниченного доступа, ставших им известными, и о возникновении предпосылок к таким нарушениям;

7) использование для обработки информации только разрешенных к применению в ИС программных продуктов;

8) выполнение требований по исключению несанкционированного использования закрепленных за гражданским служащим или работником автоматизированного рабочего места (рабочей станции) и машинных носителей информации;

9) сохранение в тайне своих аутентификационных данных, осуществление ввода аутентификационных данных для доступа к информационным ресурсам только собственноручно;

10) соблюдение положений организационно-распорядительных документов по защите информации.

III. Организационно-распорядительные документы
по защите информации

7. В целях организации работы по защите информации в Минюсте России Департаментом организации и контроля разрабатываются следующие организационно-распорядительные документы по защите информации:

инструкция по организации применения криптографических средств в Минюсте России и его территориальных органах;

инструкция по защите информационной системы Минюста России от вредоносных программ;

инструкция по обеспечению безопасности информационных ресурсов информационной системы Минюста России при использовании информационно-телекоммуникационных сетей;

инструкция по контролю доступа к информационным ресурсам информационной системы Минюста России;

инструкция по обеспечению целостности информационных ресурсов информационной системы Минюста России;

порядок учета машинных носителей информации, применяемых в информационной системе Минюста России.

8. При необходимости Департамент организации и контроля может издавать иные организационно-распорядительные документы в соответствии с нормативными правовыми актами Российской Федерации в области защиты информации.

9. Территориальные органы Минюста России разрабатывают и утверждают соответствующие организационно-распорядительные документы, регламентирующие деятельность гражданских служащих территориальных органов Минюста России по обеспечению защиты информации, с учетом требований Положения и указанных в пункте 7 Положения организационно-распорядительных документов по защите информации.

10. Меры по защите информации должны предусматриваться при разработке любых документов территориальных органов Минюста России, касающихся их деятельности, связанной с обработкой информации.