Постановление Правительства Иркутской области от 21.11.2022 N 905-пп "Об утверждении Положения о заместителе Председателя Правительства Иркутской области, ответственном за обеспечение информационной безопасности Правительства Иркутской области"

ПРАВИТЕЛЬСТВО ИРКУТСКОЙ ОБЛАСТИ

П О С Т А Н О В Л Е Н И Е

21 ноября 2022 года                          Иркутск                                          N 905-пп

Об утверждении Положения о заместителе Председателя Правительства Иркутской области, ответственном за обеспечение информационной безопасности Правительства Иркутской области

В соответствии с Указом Президента Российской Федерации от 1 мая 2022 года N 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», постановлением Правительства Российской Федерации от 15 июля 2022 года N 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)», руководствуясь частью 4 статьи 66, статьей 67 Устава Иркутской области, Правительство Иркутской области

П О С Т А Н О В Л Я Е Т:

1. Утвердить Положение о заместителе Председателя Правительства Иркутской области, ответственном за обеспечение информационной безопасности Правительства Иркутской области (прилагается).

2. Настоящее постановление подлежит официальному опубликованию

в общественно-политической газете «Областная», сетевом издании «Официальный интернет-портал правовой информации Иркутской области» (ogirk.ru), а также на «Официальном интернет-портале правовой информации» (www.pravo.gov.ru).

УТВЕРЖДЕНО

постановлением Правительства Иркутской области

от 21 ноября 2022 года N 905-пп

ПОЛОЖЕНИЕ

О ЗАМЕСТИТЕЛЕ ПРЕДСЕДАТЕЛЯ ПРАВИТЕЛЬСТВА ИРКУТСКОЙ ОБЛАСТИ, ОТВЕТСТВЕННОМ ЗА ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРАВИТЕЛЬСТВА ИРКУТСКОЙ ОБЛАСТИ

I. Общие положения

1. Настоящее положение определяет полномочия, права и обязанности заместителя Председателя Правительства Иркутской области, ответственного за обеспечение информационной безопасности Правительства Иркутской области, в том числе за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты (далее – ответственное лицо).

2. Ответственное лицо определяется первым заместителем Губернатора Иркутской области – Председателем Правительства Иркутской области.

3. Ответственное лицо осуществляет свою деятельность на основе законодательства Российской Федерации с учетом особенностей деятельности Правительства Иркутской области и подчиняется непосредственно первому заместителю Губернатора Иркутской области – Председателю Правительства Иркутской области.

4. Ответственное лицо входит в состав Президиума Правительства Иркутской области.

5. Указания и поручения ответственного лица в части обеспечения информационной безопасности являются обязательными для исполнения:

1) должностными лицами Правительства Иркутской области;

2) государственными гражданскими служащими отдела технической защиты информации Губернатора Иркутской области и Правительства Иркутской области (далее – структурное подразделение) и работниками, замещающими в структурном подразделении должности, не являющиеся должностями государственной гражданской службы Иркутской области (далее – сотрудники структурного подразделения);

3) государственными гражданскими служащими министерства цифрового развития и связи Иркутской области, работниками, замещающими в министерстве цифрового развития и связи Иркутской области должности, не являющиеся должностями государственной гражданской службы Иркутской области, и работниками областного государственного автономного учреждения «Информационно-технический центр Иркутской области», подведомственного министерству цифрового развития и связи Иркутской области (далее – сотрудники министерства и учреждения), при осуществлении функций в сфере информационно-технического обеспечения деятельности Правительства Иркутской области.

II. Квалификационные требования к ответственному лицу

6. Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), оно должно пройти обучение по программе профессиональной переподготовки по направлению «Информационная безопасность».

7. Для ответственного лица требуется наличие следующих знаний, умений и профессиональных компетенций:

1) принципы организации и деятельности, полномочия Правительства Иркутской области, специфика обеспечения информационной безопасности Правительства Иркутской области;

2) влияние информационных технологий на деятельность Правительства Иркутской области, в том числе:

роль и место информационных технологий (в том числе степень интеграции информационных технологий) в деятельности Правительства Иркутской области;

зависимость деятельности Правительства Иркутской области от информационных технологий;

3) информационно-телекоммуникационные технологии, в том числе:

современные информационно-телекоммуникационные технологии, используемые в Правительстве Иркутской области;

способы построения информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления формирования информационных ресурсов (далее – системы и сети), в том числе ограниченного доступа;

типовые архитектуры систем и сетей, требования к их оснащенности программными (программно-техническими) средствами;

принципы построения и функционирования современных операционных систем, систем управления базами данных, систем и сетей, основных протоколов систем и сетей;

4) обеспечение информационной безопасности, в том числе:

цели, задачи, основы организации, ключевые элементы, основные способы и средства обеспечения информационной безопасности;

цели обеспечения информационной безопасности применительно к деятельности Правительства Иркутской области, реализации и контроля их достижения;

принципы и направления стратегического развития информационной безопасности Правительства Иркутской области;

правила разработки, утверждения и отмены организационно-распорядительных документов по вопросам обеспечения информационной безопасности Правительства Иркутской области, состав и содержание таких документов;

порядок организации работ по обеспечению информационной безопасности Правительства Иркутской области;

основные негативные последствия, наступление которых возможно в результате реализации угроз безопасности информации, способы и методы обеспечения и поддержания необходимого уровня (состояния) информационной безопасности Правительства Иркутской области для исключения (невозможности реализации) негативных последствий, а также порядок проведения практических проверок и контроля результативности применяемых способов и методов обеспечения информационной безопасности Правительства Иркутской области;

основные угрозы безопасности информации, предпосылки их возникновения и возможные пути их реализации, а также порядок оценки таких угроз;

возможности и назначения типовых программных, программно-аппаратных (технических) средств обеспечения информационной безопасности;

способы и средства проведения компьютерных атак, актуальные тактики и техники нарушителей;

порядок организации взаимодействия структурного подразделения, министерства цифрового развития и связи Иркутской области и областного государственного автономного учреждения «Информационно-технический центр Иркутской области» при решении вопросов обеспечения информационной безопасности;

управление проектами по информационной безопасности;

антикризисное управление и принятие управленческих решений при реагировании на кризисы и компьютерные инциденты;

планирование и координация деятельности по обеспечению информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений Иркутской области, подведомственных исполнительным органам государственной власти Иркутской области (далее – государственные учреждения);

формулирование измеримых и практических результатов деятельности по обеспечению информационной безопасности Правительства Иркутской области, исполнительных органов государственной власти Иркутской области, государственных учреждений;

организация разработки политики (правил, процедур), регламентирующей вопросы информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений (далее – политика);

внедрение политики;

организация контроля и анализа применения политики;

организация мероприятий по разработке единых инструментов и механизмов контроля деятельности по обеспечению информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

поддержка и совершенствование деятельности по обеспечению информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

организация мероприятий по определению угроз безопасности информации систем и сетей, а также по формированию требований к обеспечению информационной безопасности в Правительстве Иркутской области, иных исполнительных органах государственной власти Иркутской области, государственных учреждениях;

организация внедрения способов и средств для обеспечения информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

организация мероприятий по анализу и контролю состояния информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений и модернизации (трансформации) процессов их деятельности в целях обеспечения информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

обеспечение информационной безопасности в ходе эксплуатации систем и сетей, а также при выводе их из эксплуатации;

организация мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений и реагированию на компьютерные инциденты;

организация мероприятий по отслеживанию и контролю достижения целей информационной безопасности (фактически достигнутый эффект и результат) Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений.

8. С учетом специфики деятельности Правительства Иркутской области от ответственного лица требуется знание нормативных правовых актов Российской Федерации, методических документов, международных и национальных стандартов в области:

1) защиты государственной тайны;

2) защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе персональных данных;

3) обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

4) обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;

5) создания и обеспечения безопасного функционирования государственных информационных систем и информационных систем в защищенном исполнении;

6) создания, обеспечения технических условий установки и эксплуатации средств защиты информации;

7) иных нормативных правовых актов и стандартов в области информационной безопасности.

III. Должностные обязанности ответственного лица

9. Ответственное лицо принимает участие в формировании политики, отвечает за согласование стратегии развития Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений в части вопросов обеспечения информационной безопасности.

10. Ответственное лицо:

1) организует разработку политики, направленной в том числе на обеспечение и поддержание стабильной деятельности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений в случае проведения компьютерных атак, отвечает за согласование и утверждение политики, реализацию мероприятий, предусмотренных политикой, отслеживает и контролирует результаты реализации политики;

2) организует работу по обеспечению информационной безопасности Правительства Иркутской области и координирует деятельность по обеспечению информационной безопасности  иных исполнительных органов государственной власти Иркутской области, государственных учреждений в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, формулированию перечня негативных последствий, проведению мероприятий по их недопущению, отслеживанию и контролю эффективности (результативности) таких мероприятий, а также по необходимому информационному обмену;

3) организует доведение до иных исполнительных органов государственной власти Иркутской области, государственных учреждений организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю с учетом меняющихся угроз в информационной сфере, а также самостоятельно ответственным лицом в результате своей деятельности;

4) организует реализацию и контроль проведения в Правительстве Иркутской области организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю с учетом меняющихся угроз в информационной сфере, а также самостоятельно ответственным лицом в результате своей деятельности;

5) организует беспрепятственный доступ (в том числе удаленный) должностным лицам Федеральной службы безопасности Российской Федерации и ее территориальных органов к информационным ресурсам, принадлежащим Правительству Иркутской области либо используемым Правительством Иркутской области, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети «Интернет», в целях осуществления мониторинга их защищенности, а также сотрудникам структурного подразделения;

6) организует взаимодействие с должностными лицами Федеральной службы безопасности Российской Федерации и ее территориальных органов, в том числе контроль исполнения указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами по результатам мониторинга защищенности информационных ресурсов, принадлежащих Правительству Иркутской области, либо используемых Правительством Иркутской области, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети «Интернет»;

7) организует контроль за выполнением требований нормативных правовых актов, нормативно-технической документации, за соблюдением установленного порядка выполнения работ при решении вопросов, касающихся защиты информации;

8) организует развитие информационной безопасности, формирование и развитие навыков сотрудников структурного подразделения в сфере информационной безопасности;

9) организует разработку и реализацию мероприятий по обеспечению информационной безопасности Правительства Иркутской области в соответствии с требованиями к обеспечению информационной безопасности, установленными федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации;

10) организует контроль пользователей информационных ресурсов Правительства Иркутской области в части соблюдения ими режима конфиденциальности информации, правил работы со съемными машинными носителями информации, выполнения организационных и технических мер по защите информации;

11) организует планирование мероприятий по обеспечению информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

12) организует подготовку правовых актов, иных организационно-распорядительных документов по вопросам обеспечения информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений, осуществляет согласование иных документов Правительства Иркутской области в части обеспечения информационной безопасности;

13) координирует проведение научно-исследовательских и опытно-конструкторских работ по вопросам обеспечения информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

14) организует проведение контроля за состоянием обеспечения информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений, включая оценку защищенности систем и сетей, оператором которых является Правительство Иркутской области, иные исполнительные органы государственной власти Иркутской области, государственные учреждения.

11. Ответственное лицо:

1) осуществляет регулярный контроль текущего уровня (состояния) информационной безопасности Правительства Иркутской области, а также отвечает за реализацию мероприятий, направленных на поддержание и развитие уровня (состояния) информационной безопасности Правительства Иркутской области, в том числе с учетом появления новых угроз безопасности информации и современных способов и методов проведения компьютерных атак;

2) осуществляет регулярное и своевременное информирование о компьютерных инцидентах, текущем уровне (состоянии) информационной безопасности Правительства Иркутской области и результатах практических учений по противодействию компьютерным атакам;

3) осуществляет контроль за ведением организационно-распорядительной документации, статистического учета и отчетности по курируемым разделам работы;

4) организует разработку и осуществляет согласование требований к системам и сетям, оператором которых является Правительство Иркутской области, иные исполнительные органы государственной власти Иркутской области, государственные учреждения в части обеспечения информационной безопасности.

12. Ответственное лицо:

1) организует и контролирует проведение мероприятий по анализу и оценке состояния информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений и контролирует их результаты;

2) организует и контролирует функционирование системы обеспечения информационной безопасности Правительства Иркутской области, координирует вопросы организации и контроля функционирования систем обеспечения информационной безопасности иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

3) координирует деятельность сотрудников структурного подразделения, сотрудников министерства и учреждения, государственных гражданских служащих исполнительных органов государственной власти Иркутской области и работников, замещающих в исполнительных органах государственной власти Иркутской области должности, не являющиеся должностями государственной гражданской службы Иркутской области, работников государственных учреждений по вопросам обеспечения информационной безопасности.

13. Ответственное лицо согласовывает политику, технические задания и иную основополагающую документацию в сфере информационных технологий, цифровизации и цифровой трансформации Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений.

14. Ответственное лицо с использованием нормативных правовых документов и методических материалов Федеральной службы безопасности Российской Федерации организует обнаружение, предупреждение и ликвидацию последствий компьютерных атак, реагирование на компьютерные инциденты с информационными ресурсами Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений, а также взаимодействие с Национальным координационным центром по компьютерным инцидентам одним (или несколькими) из следующих способов:

1) заключением соглашения о взаимодействии с Федеральной службой безопасности Российской Федерации (Национальным координационным центром по компьютерным инцидентам), включающего в том числе права и обязанности сторон, порядок проведения совместных мероприятий, регламент информационного обмена, порядок и сроки представления отчетности, порядок и формы контроля;

2) силами структурного подразделения с его аккредитацией как центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

3) силами организаций, являющихся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

15. Ответственное лицо обеспечивает планирование и реализацию мероприятий по переводу систем и сетей на отечественные средства защиты информации, а также контроль за соблюдением запрета на использование средств защиты информации, странами происхождения которых являются иностранные государства в соответствии с пунктом 6 Указа Президента Российской Федерации от 1 мая 2022 года N 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

16. Ответственное лицо сопровождает мероприятия по разработке (модернизации) систем и сетей в части информационной безопасности, а также требований нормативных правовых актов, нормативно-технических и методических документов по защите информации и выполнения этих требований.

17. Ответственное лицо проводит работу по унификации способов и средств по обеспечению информационной безопасности, иных технических решений в Правительстве Иркутской области, иных исполнительных органах государственной власти Иркутской области, государственных учреждениях.

18. Ответственное лицо принимает меры по совершенствованию обеспечения информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений.

19. Ответственное лицо повышает на постоянной основе профессиональную компетенцию, знания и навыки в области обеспечения информационной безопасности.

20. Ответственное лицо выполняет иные обязанности, исходя из возложенных полномочий в рамках обеспечения информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений.

21. Ответственное лицо:

1) соблюдает и обеспечивает выполнение законодательства Российской Федерации;

2) в случаях, установленных законодательством Российской Федерации, согласовывает политику с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю;

3) представляет по запросам Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю достоверные сведения о результатах реализации политики (фактически достигнутом эффекте и результате) и текущем уровне (состоянии) информационной безопасности Правительства Иркутской области;

4) поддерживает уровень квалификации и постоянно развивает свои навыки в области информационной безопасности, необходимые для обеспечения информационной безопасности Правительства Иркутской области;

5) организовывает при необходимости проведение и участвует в пределах своей компетенции в отраслевых, межотраслевых, межрегиональных и международных выставках, семинарах, конференциях, работе межведомственных рабочих групп, отраслевых экспертных сообществ, международных органов и организаций;

6) участвует в пределах компетенции в осуществлении закупок товаров, работ, услуг для обеспечения нужд в сфере информационной безопасности.

IV. Права ответственного лица

22. Ответственное лицо имеет право:

1) в пределах компетенции давать обязательные для исполнения указания и поручения должностным лицам Правительства Иркутской области, сотрудникам структурного подразделения, сотрудникам министерства и учреждения в части обеспечения информационной безопасности;

2) запрашивать от должностных лиц Правительства Иркутской области, сотрудников структурного подразделения, сотрудников министерства и учреждения, государственных гражданских служащих иных исполнительных органов государственной власти Иркутской области и работников, замещающих в иных исполнительных органах государственной власти Иркутской области должности, не являющиеся должностями государственной гражданской службы Иркутской области, работников государственных учреждений информацию и материалы, необходимые для реализации возложенных на ответственное лицо прав и обязанностей;

3) участвовать в заседаниях Президиума Правительства Иркутской области, совещательных и координационных органов при Правительстве Иркутской области, принятии решений по вопросам деятельности Правительства Иркутской области, а также по внесению предложений по совершенствованию деятельности Правительства Иркутской области;

4) участвовать в разработке политики, выносить политику на обсуждение, утверждение Президиуму Правительства Иркутской области;

5) представлять результаты реализации политики Президиуму Правительства Иркутской области;

6) принимать решения по вопросам обеспечения информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

7) взаимодействовать с Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и иными федеральными органами исполнительной власти по вопросам обеспечения информационной безопасности, в том числе по вопросам совершенствования законодательства Российской Федерации в области обеспечения информационной безопасности;

8) вносить предложения о привлечении организаций, имеющих соответствующие лицензии на деятельность в области защиты информации, в соответствии с законодательством Российской Федерации к проведению работ по обеспечению информационной безопасности;

9) инициировать проверки уровня (состояния) обеспечения информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

10) организовывать мероприятия по информационной безопасности, разработку и представление первому заместителю Губернатора Иркутской области – Председателю Правительства Иркутской области предложений по внесению изменений в процессы функционирования, принятию других мер, направленных на недопущение реализации негативных последствий;

11) получать доступ в установленном порядке к сведениям, составляющим государственную тайну, если исполнение обязанностей ответственного лица связано с использованием таких сведений и наличием необходимых прав и полномочий;

12) получать доступ в установленном порядке в связи с исполнением своих обязанностей в государственные органы, органы местного самоуправления, общественные объединения и другие организации;

13) обеспечивать надлежащие организационно-технические условия, необходимые для исполнения обязанностей ответственного лица.

V. Ответственность ответственного лица

23. Ответственное лицо в соответствии с законодательством Российской Федерации несет ответственность:

1) за неисполнение или ненадлежащее исполнение своих обязанностей;

2) за действия (бездействие), ведущие к нарушению прав и законных интересов Правительства Иркутской области;

3) за разглашение государственной тайны и иных сведений, ставших ему известными в связи с исполнением своих обязанностей;

4) за достижение целей обеспечения информационной безопасности;

5) за поддержание и непрерывное развитие информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений для исключения (невозможности реализации) негативных последствий;

6) за организацию мероприятий по разработке (модернизации) систем и сетей в части информационной безопасности Правительства Иркутской области, иных исполнительных органов государственной власти Иркутской области, государственных учреждений;

7) за нарушения требований по обеспечению информационной безопасности;

8) за нарушения в обеспечении защиты систем и сетей, повлекшие негативные последствия.