Основная информация
| Дата опубликования: | 14 мая 2012г. |
| Номер документа: | RU51000201200205 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Мурманская область |
| Принявший орган: | Губернатор Мурманской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ГУБЕРНАТОР
1
ГУБЕРНАТОР
МУРМАНСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 14.05.2012 № 84-ПГ
Мурманск
О КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В МУРМАНСКОЙ ОБЛАСТИ
В целях реализации на территории Мурманской области единой государственной политики в сфере региональной системы защиты информации и во исполнение Стратегии национальной безопасности Российской Федерации до 2020 года, утвержденной Указом Президента Российской Федерации от 12.05.2009 № 537, п о с т а н о в л я ю:
1. Утвердить прилагаемую Концепцию защиты информации в Мурманской области.
2. Определить Аппарат Правительства Мурманской области уполномоченным органом, ответственным за проведение единой государственной политики в сфере защиты информации в Мурманской области.
Губернатор
Мурманской области
М. Ковтун
Одобрена решением Региональной комиссии по защите информации в Мурманской области
№ ____ от __.__.2012 года
Утверждена
постановлением Губернатора Мурманской области
от 14.05.2012 № 84-ПГ
КОНЦЕПЦИЯ
ЗАЩИТЫ ИНФОРМАЦИИ В МУРМАНСКОЙ ОБЛАСТИ
2012
Введение
Концепция защиты информации в Мурманской области (далее - Концепция) представляет собой систему взглядов на содержание проблемы защиты информации в Мурманской области, а также на цели, задачи, принципы и основные направления формирования и развития системы защиты информации в Мурманской области (далее – СЗИМО).
Концепция предназначена для использования в исполнительных органах государственной власти Мурманской области, органах местного самоуправления Мурманской области (далее – органы власти), на подведомственных им предприятиях.
В настоящей Концепции используются следующие основные понятия.
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно–разыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления.
Информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
Информационные ресурсы – отдельные документы и массивы документов, отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информация с ограниченным доступом - документированная информация, которая по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.
Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Защищаемая информация – хранящаяся, передаваемая, обрабатываемая на объектах информатизации или циркулирующая в речевом виде информация, содержащая сведения, составляющие государственную или служебную тайну.
Защищаемый объект информатизации (объект информатизации) – совокупность предназначенных для обработки и передачи защищаемой информации средств и систем различного уровня и назначения, систем связи, отображения и размножения документов вместе с помещением, в котором они установлены, а также специально выделенное помещение, предназначенное для ведения закрытых переговоров.
Несанкционированный доступ к информации - доступ к защищаемой информации с нарушением установленных прав или правил доступа, приводящий к получению субъектом возможности ознакомления с информацией и/или воздействия на нее.
Охраняемые от технических разведок сведения (охраняемые сведения) – составляющие государственную или служебную тайну сведения об объектах защиты, в отношении которых принято решение об их защите и осуществляется защита от технических разведок.
Объект защиты – объект, имеющий охраняемые сведения, и/или объект, на котором осуществляются работы с защищаемой информацией.
Специальное воздействие на информацию – преднамеренное воздействие на информацию с нарушением установленных прав и/или правил, приводящее к ее уничтожению, искажению и/или блокированию доступа к ней для законных пользователей.
Техническая разведка - деятельность, направленная на добывание разведывательной информации с помощью технических средств.
Технический канал утечки информации - совокупность объекта защиты, физической среды и средства технической разведки, которым добывается защищаемая информация.
Техническая защита информации (ТЗИ) – деятельность, направленная на ограничение или исключение возможностей иностранных государств или иных заинтересованных сторон для получения, уничтожения, искажения или блокирования защищаемой информации в результате ее утечки по техническим каналам, несанкционированного доступа к этой информации и специальных воздействий на нее.
Утечка информации по техническим каналам - неконтролируемое распространение защищаемой информации по техническим каналам.
Общие положения
1.1. Защищаемая информация
Защите подлежит информация, циркулирующая в информационных и информационно-телекоммуникационных системах органов власти и организаций, которая содержит:
- сведения, составляющие государственную тайну;
- сведения, составляющие служебную тайну, профессиональную и другие виды тайн, доступ к которым ограничен в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
- сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- общедоступную информацию, в том числе размещаемую на официальных интернет-сайтах органов власти и организаций в соответствии со статьей 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.2. Объекты защиты органов власти Мурманской области и подведомственных им организаций
Основными объектами защиты для органов власти и подведомственных им организаций являются:
- средства и системы информатизации (средства вычислительной техники, автоматизированные системы (подсистемы), информационно-вычислительные комплексы, сети, средства изготовления и размножения документов, средства и системы связи и передачи данных);
- помещения, в которых обрабатывается информация ограниченного доступа, вспомогательные технические средства, установленные в этих помещениях;
- информация, обрабатываемая в информационных и информационно-телекоммуникационных системах органов власти Мурманской области и подведомственных им организациях;
- общесистемные и прикладные программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);
- средства защиты информации;
- средства контроля эффективности защиты информации.
1.3. Угрозы и источники угроз безопасности информации в информационных и телекоммуникационных системах органов власти Мурманской области и подведомственных им организациях
В соответствии с требованиями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация ограниченного доступа, открытая информация, обрабатываемая в информационных и информационно-телекоммуникационных системах, должна быть защищена от воздействия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз.
Общими угрозами безопасности информации при ее обработке в информационных и информационно-телекоммуникационных системах являются:
- нарушение конфиденциальности информации ограниченного доступа путём перехвата техническими средствами, хищения или копирования;
- уничтожение информации;
- модификация (искажение) информации;
- нарушение адресности при передаче информации по каналам связи;
- отрицание подлинности информации;
- навязывание ложной информации;
- блокирование общедоступной информации.
Источниками вышеперечисленных угроз безопасности информации могут являться:
- стихийные бедствия (пожары и т.п.);
- технические аварии (отказы оборудования, внезапное отключение электропитания, протечки и т.п.);
- субъекты (нарушители), осуществляющие умышленные незаконные действия в отношении информации, обрабатываемой в информационных и информационно-телекоммуникационных системах;
- субъекты (нарушители), создающие непреднамеренные угрозы безопасности информации, обрабатываемой в информационных и информационно-телекоммуникационных системах.
Угрозы, связанные с возможностью целенаправленного осуществления незаконных действий в отношении информационных ресурсов, содержащихся в информационных и информационно-телекоммуникационных системах, могут быть реализованы нарушителями следующими способами:
- путём несанкционированного получения средств аутентификации пользователей с последующим несанкционированным доступом к конкретным ресурсам системы;
- путём внедрения программ, обеспечивающих получение контроля над информационными потоками и (или) ресурсами системы;
- путём физического вывода из строя технических средств, хищения носителей информации, визуального съема информации с мониторов персональных компьютеров;
- с помощью технических средств, позволяющих контролировать сетевой трафик;
- путём перехвата техническими средствами побочных информативных электромагнитных полей и электрических сигналов, возникающих при обработке информации техническими средствами по каналам ПЭМИН;
- путём перехвата акустической (речевой) информации с использованием аппаратуры, регистрирующей акустические и виброакустические волны, а также электромагнитные излучения, оптические и электрические сигналы, модулированные информативным акустическим сигналом, возникающие за счет преобразований в технических средствах обработки;
- путём внедрения технических и программных средств съема информации в рабочие станции, средства связи и другие технические устройства информационных и информационно-телекоммуникационных систем, в которых обрабатывается защищаемая информация;
- путём обхода механизмов разграничения доступа, возможного вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и других причин);
- путём модификации используемого программного обеспечения информационных и информационно-телекоммуникационных систем для получения возможности несанкционированного доступа к защищаемой информации.
Субъекты, которым предоставлены официальные права доступа к информации, обрабатываемой в информационных и информационно-телекоммуникационных системах, могут создать угрозы безопасности информации умышленно или неумышленно (ошибочными действиями):
- при нарушении технологии обработки и передачи информации;
- при нарушении правил обращения с информацией ограниченного доступа.
Умышленные действия субъектов (нарушителей), направленные на нарушение конфиденциальности, целостности и доступности информации, представляют наибольшую угрозу безопасности информации в информационных и телекоммуникационных системах органов власти и организаций.
1.4. Возможные последствия в случае реализации угроз безопасности информации в информационных и информационно-телекоммуникационных системах
Нарушения конфиденциальности, целостности и доступности информации, циркулирующей в информационных и телекоммуникационных системах, могут вызвать негативные последствия для граждан, органов власти и организаций, в том числе:
- нарушения конституционных прав граждан;
- ухудшение качества функционирования системы государственного управления;
- сбои в работе систем жизнеобеспечения объектов Мурманской области;
- экономический (финансовый) ущерб обладателям и пользователям государственных и муниципальных информационных ресурсов органов власти Мурманской области;
- снижение авторитета и степени доверия граждан к действующим в Мурманской области институтам власти;
- предпосылки к нарушению социальной стабильности.
2. Цели, задачи и принципы развития системы защиты информации
2.1. Целями системы защиты информации являются:
- предотвращение или существенное снижение ущерба безопасности Российской Федерации, ее граждан, органов власти Мурманской области, подведомственных им предприятий с использованием методов и средств технической защиты информации;
- обеспечение условий, способствующих реализации политики Российской Федерации в сфере информационной безопасности в Мурманской области;
- содействие экономическому, научно-техническому прогрессу Мурманской области, обеспечению ее безопасности и устойчивому развитию;
- реализация единой государственной технической политики, организация и координация работ по технической защите информации на территории Мурманской области.
2.2. Основными задачами СЗИМО являются:
- проведение единой государственной политики по технической защите информации;
- методическое и информационное обеспечение работ по технической защите информации;
- исключение или существенное затруднение добывания информации средствами технической разведки путем предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию с целью ее уничтожения, искажения и блокирования;
- подготовка предложений по совершенствованию правового, нормативного, методического, научно–технического и организационного обеспечения технической защиты информации на объектах органов власти Мурманской области;
- принятие в пределах компетенции нормативных правовых актов, регулирующих отношения в области технической защиты информации;
- анализ состояния и прогнозирование источников угроз безопасности информации в Мурманской области;
- разработка целевых программ технической защиты информационных ресурсов и средств информатизации на объектах органов власти Мурманской области;
- формирование и организация деятельности органов по технической защите информации на объектах органов власти Мурманской области;
- определение и учет информационных ресурсов, систем и средств формирования, передачи, хранения, обработки и распространения информации, подлежащей защите;
- контроль и анализ состояния технической защиты информации в органах власти Мурманской области, на подведомственных им предприятиях, в учреждениях и организациях;
- выявление ключевых проблем Мурманской области в области защиты информации, определение приоритетных направлений развития СЗИМО;
- проведение практических мероприятий по созданию СЗИМО;
- совершенствование и развитие системы подготовки специалистов для СЗИМО.
Основными принципами развития СЗИМО являются:
- соответствие уровня развития СЗИМО задачам обеспечения национальной безопасности России, безопасности и устойчивого развития Мурманской области с учетом ее экономических возможностей;
- обеспечение своевременной и адекватной реакции на возникающие и прогнозируемые угрозы ведения технической разведки, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее;
- формирование единой технической политики в области защиты информации;
- использование коллегиальных методов руководства СЗИМО и ее развития;
- программно-целевое планирование развития СЗИМО.
Основными задачами развития СЗИМО, обеспечивающими достижение целей развития, являются:
- формирование и совершенствование организационной структуры СЗИМО, развитие ее научно-технического и кадрового потенциала;
- создание необходимых и достаточных правовых, организационных, экономических и научно-технических условий на уровне субъекта Российской Федерации для обеспечения деятельности СЗИМО;
- обеспечение эффективной технической защиты информации на объектах органов власти Мурманской области и на предприятиях, в учреждениях и организациях, находящихся в их ведении.
3. Основные направления и содержание работ по совершенствованию региональной системы защиты информации, основные требования к организации работ по защите информации
С учетом состояния системы защиты информации в Северо-Западном федеральном округе, изменений условий ее функционирования, а также для преодоления негативных тенденций и повышения динамики ее совершенствования в число приоритетных направлений выдвигается работа в региональной системе защиты информации. При этом основные усилия сосредоточиваются на следующих направлениях:
- повышение эффективности управления системой защиты информации в целом (общесистемные меры);
- совершенствование организации проведения контроля состояния региональной системы защиты информации;
- разработка конкретных организационно-технических мероприятий по уровням системы защиты информации и определение порядка их реализации.
3.1. Общесистемные меры
Имеют целью повышение эффективности управления системой защиты информации в Северо-Западном федеральном округе в целом и ее элементами, реализуются Управлением ФСТЭК России по Северо-Западному федеральному округу, руководством органов власти, включаются в ежегодные методические указания для органов власти и организаций, планируются в соответствующих годовых, других планах работ и направлены на:
- повышение качества контроля эффективности принятых мер по обеспечению безопасности региональной системы защиты информации;
- анализ и оценку выполнения операторами информационных систем и обладателями информации законодательно определенных обязанностей по их защищенности;
- повышение ответственности за нарушение требований нормативных правовых актов и методических документов в области защиты информации;
- создание и внедрение удобной для практического применения модели оценки состояния систем защиты органа власти, организации, региона и т.п.;
- подготовку типовых образцов основных документов, определяющих содержание работ по защите информации;
- расширение практики поощрения сотрудников, проявивших старание, инициативу и настойчивость при решении задач технической защиты информации;
- назначение на должности специалистов по защите информации лиц, уровень квалификации которых соответствует требованиям, установленным Единым квалификационным справочником должностей руководителей, специалистов и служащих, утверждённым приказом Минздравсоцразвития РФ от 22.04.2009 № 205, а также повышение их квалификации.
3.2. Меры в рамках региональной системы защиты информации и ее элементов
3.2.1. Правовые меры
Проводятся в рамках региональной системы защиты информации Мурманской области под руководством председателя Региональной комиссии по защите информации в Мурманской области. Имеют целью совершенствование методов и средств защиты информации. Основываются на федеральных законах и принимаемых в соответствии с ними законах и иных нормативных правовых актах, которые реализуются органами власти, наделёнными соответствующими полномочиями.
К основным правовым мерам относятся:
- определение перечня государственных и муниципальных информационных систем, информационных ресурсов Мурманской области, соответствующих обладателей информации и операторов информационных систем;
- определение условий доступа к информационным ресурсам и сервисам государственных и муниципальных информационных и информационно-телекоммуникационных систем;
- определение условий соблюдения безопасности информации в информационных и информационно-телекоммуникационных системах;
- определение условий объединения (интеграции) информационных, информационно-телекоммуникационных систем с позиций обеспечения безопасности информации;
- распределение ответственности за безопасность информации и информационных ресурсов региональной системы защиты информации между организатором региональной системы защиты информации и операторами информационных и информационно-телекоммуникационных систем - субъектами информационного взаимодействия;
- определение порядка управления региональной системой защиты информации, а также содержания и регламента контроля за ее эффективностью;
- создание резервов и возможностей для ликвидации последствий нарушения политики безопасности и восстановления системы защиты информации.
3.2.2. Организационные меры
Проводятся в рамках региональной системы защиты информации под руководством подразделения по защите информации Аппарата Правительства Мурманской области.
Имеют целью сформировать и поддерживать в надлежащем состоянии кадровые структуры региональной системы защиты информации, определить содержание их работы, а также обеспечить все уровни и элементы этих систем основными организационно-распорядительными и методическими документами по защите информации.
Указанные меры включают в себя:
1. Оценку объема работы на каждом объекте защиты для принятия решения о назначении специалистов (штатных, нештатных), планирование и проведение их обучения в соответствии с квалификационными требованиями.
2. Разработку, утверждение и внедрение в практику работы по защите информации основных организационно–распорядительных и методических документов по перечню, включающему в себя в том числе:
- системы защиты информации (политики) в органах власти Мурманской области и подведомственных им организациях, в которых закрепляется организационная структура региональной системы защиты информации;
- рекомендации для органов власти и подведомственных им организаций по организации работ по защите информации (разрабатываются отделом по защите информации или организацией–лицензиатом ФСТЭК России и ФСБ России);
- руководства по защите информации от технических разведок и от её утечки по техническим каналам (для каждого объекта защиты, на котором обрабатываются сведения, содержащие государственную тайну);
- инструкции по обеспечению режима секретности при работе на средствах вычислительной техники (для каждого объекта защиты, на котором обрабатываются сведения, содержащие государственную тайну);
- модели угроз безопасности информации (модели нарушителя) для каждой информационной системы (объекта защиты);
- положения по защите информации конфиденциального характера (для каждого органа власти и подведомственной организации, где обрабатывается такая информация), другие документы в соответствии со Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К);
- документы в соответствии с требованиями постановления Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- положения о подразделении (специалисте) по защите информации органа власти (организации);
- организационно-распорядительные документы, определяющие условия допуска в помещения и доступа к защищаемым информационным ресурсам;
- типовые инструкции администратора баз данных; инструкции администратора безопасности информации, должностные инструкции (регламенты) сотрудников в части их обязанностей и ответственности за обеспечение безопасности информации и другие.
3. Приведение организации и содержания работ по защите информации, порядка обработки защищаемой информации в информационных и информационно-телекоммуникационных системах органов власти Мурманской области и подведомственных им организаций в соответствие с общими требованиями и утвержденным технологическим процессом обработки информации.
4. Обучение пользователей мерам по защите информации и правилам эксплуатации информационных систем и средств защиты информации.
5. Планирование и организацию работ по проведению контроля и повышению персональной ответственности пользователей и должностных лиц субъектов информационного взаимодействия, обладателей информации, операторов информационных и информационно-телекоммуникационных систем за выполнение мер противодействия угрозам безопасности информации.
3.3. Технические меры включают в себя:
- применение сертифицированных средств защиты информации;
- антивирусную защиту;
- резервное копирование программ и данных;
- использование выделенных каналов связи;
- диверсификацию доступа к коммуникационным средам;
- резервирование выделенных линий связи;
- применение аппаратных платформ с повышенной надежностью;
- использование источников гарантированного электропитания;
- использование средств гарантированного уничтожения информации;
- аттестацию объектов информатизации по требованиям безопасности информации.
Наибольшая эффективность этих мер достигается при условии предварительного выполнения всех организационных мер, а также при соблюдении следующих принципов:
- возможности технических средств защиты информации, основанные на тех или иных информационных технологиях, должны максимально использоваться для целей защиты информации в информационных и информационно-телекоммуникационных системах органов власти и организаций;
- средства защиты информации субъектов информационного обмена в региональной системе защиты информации не дублируют, но взаимно дополняют возможности по противодействию угрозам безопасности информации в информационных и информационно-телекоммуникационных системах;
- в корпоративных (интегрированных) информационных и информационно-телекоммуникационных системах безопасность каждого компонента (сегмента) подтверждается их операторами выполнением требований федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, а также выданными этими федеральными органами сертификатами на используемые средства защиты информации или путем декларирования этой безопасности;
- аттестация информационных систем по требованиям безопасности информации при наличии в них информации ограниченного доступа является необходимым условием функционирования их в составе информационных и информационно-телекоммуникационных систем Мурманской области.
4. Перечень основных мероприятий по совершенствованию системы защиты информации и пути реализации Концепции
Уточняется состав Региональной комиссии по защите информации Мурманской области.
Вносятся дополнения в положения о подразделениях (специалистах) по защите информации, определенные требованиями нормативных документов по обеспечению безопасности информации в ключевых системах и безопасности персональных данных при их обработке в информационных системах.
Проводятся учёт и регистрация информационных и телекоммуникационных систем региона.
Формируется Реестр информационных и информационно-телекоммуникационных систем Мурманской области. Оператор Реестра– исполнительный орган государственной власти Мурманской области, осуществляющий работы в сфере информационных технологий Мурманской области.
Проводится анализ обрабатываемой в информационных и информационно-телекоммуникационных системах, а также в помещениях органов власти и подведомственных им организаций информации на предмет ее отнесения к информации с ограниченным доступом. Результаты анализа оформляются актами операторов информационных систем. Акты утверждаются руководителями органов власти, организаций.
Разрабатываются и утверждаются типовые перечни сведений конфиденциального характера для органов власти и подведомственных им организаций с учетом требований нормативных актов в области защиты информации.
Проводится классификация (уточнение класса защищенности) информационных систем с учетом категорий информации, определенной ранее, полученные результаты отражаются в актах классификации. Акты утверждаются руководителями органов власти, организаций.
Проводится ознакомление исполнителей с упомянутыми выше перечнями в части, их касающейся. Устанавливается разрешительная система доступа исполнителей к документам и сведениям ограниченного доступа (матрицы доступа, другие документы, отражающие полномочия пользователей), допуска в помещения, где обрабатывается информация ограниченного доступа.
Проводится оценка достаточности и соответствия принятых ранее организационных и технических мер в каждой информационной и информационно-телекоммуникационной системе требованиям нормативных правовых актов и методических документов. Разрабатываются планы работ по формированию систем защиты для каждого объекта защиты. Планы утверждаются руководителем соответствующего органа власти, организации. В наиболее важных информационных и информационно-телекоммуникационных системах планируется проведение аудита организациями, имеющими соответствующие лицензии.
Проводятся работы по анализу состояния защищённости информационных и информационно-телекоммуникационных систем органов власти Мурманской области, оцениваются общий масштаб и стоимость основных работ. Проводятся расчёты по обоснованию затрат на формирование и поддержание системы защиты информации на год. Данные расходы закладываются в бюджеты соответствующих органов власти и организаций.
Осуществляется планомерная работа по отбору и назначению специалистов (штатных, нештатных), подготовке, переподготовке и повышению квалификации данных специалистов в области защиты информации, ведется учёт специалистов и проводится оценка уровня их профессиональной подготовки. Создаются подразделения по защите информации (назначаются специалисты) в органах власти и подведомственных им организациях. Подразделения по защите информации собирают и передают в Управление ФСТЭК России по СЗФО данные в реестр ключевых систем информационной инфраструктуры федерального округа, формируют и ведут перечень ключевых систем в Мурманской области.
Определяется перечень общих и типовых документов, подлежащих централизованной разработке. Разрабатываются первоочередные нормативные правовые акты, организационно-распорядительные и методические документы для систем защиты информации.
Информационные и информационно-телекоммуникационные системы оцениваются на предмет их оснащения лицензионными программными средствами, а также сертифицированными средствами защиты информации.
Определяются: общая организация, форма и регламент контроля за выполнением требований нормативных правовых актов и методических документов в области защиты информации (собственный контроль в органах власти и организациях, контроль со стороны подразделения по защите информации), организуется контроль состояния защиты информации в региональной системе защиты информации.
Формируется база данных органов власти Мурманской области о состоянии региональной системы защиты информации.
Мероприятия, определенные данным документом, проводятся под контролем Управления ФСТЭК России по Северо-Западному федеральному округу, при поддержке Межведомственного совета по защите информации при полномочном представителе Президента Российской Федерации в Северо-Западном федеральном округе, отражаются в годовых планах работ с отчетами о проделанной работе в конце года
5. Ожидаемые результаты реализации Концепции
Реализация Концепции позволит:
- улучшить организационную структуру СЗИМО, ее кадровое обеспечение;
- улучшить обеспеченность органов СЗИМО документами в области технической защиты информации;
- комплексно, при минимальных затратах и в короткие сроки привести информационные и информационно-телекоммуникационные системы Мурманской области в соответствие с требованиями нормативных правовых актов в области защиты информации;
- завершить оснащение информационных и информационно-телекоммуникационных систем Мурманской области высокоэффективными средствами и технологиями защиты информации;
- исключить необоснованное дублирование мер защиты информации;
-повысить оперативность и качество управления региональной системой защиты информации.
Ожидаемый эффект от реализации Концепции состоит:
- в минимизации ущерба от возможной утечки информации и специальных воздействий на информационные и информационно-телекоммуникационные системы органов власти Мурманской области;
- в рациональном использовании средств бюджета, выделяемых на защиту информации;
- в обеспечении благоприятных условий для эффективного и законного использования информационных ресурсов органов власти Мурманской области.
____________________
ГУБЕРНАТОР
1
ГУБЕРНАТОР
МУРМАНСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 14.05.2012 № 84-ПГ
Мурманск
О КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В МУРМАНСКОЙ ОБЛАСТИ
В целях реализации на территории Мурманской области единой государственной политики в сфере региональной системы защиты информации и во исполнение Стратегии национальной безопасности Российской Федерации до 2020 года, утвержденной Указом Президента Российской Федерации от 12.05.2009 № 537, п о с т а н о в л я ю:
1. Утвердить прилагаемую Концепцию защиты информации в Мурманской области.
2. Определить Аппарат Правительства Мурманской области уполномоченным органом, ответственным за проведение единой государственной политики в сфере защиты информации в Мурманской области.
Губернатор
Мурманской области
М. Ковтун
Одобрена решением Региональной комиссии по защите информации в Мурманской области
№ ____ от __.__.2012 года
Утверждена
постановлением Губернатора Мурманской области
от 14.05.2012 № 84-ПГ
КОНЦЕПЦИЯ
ЗАЩИТЫ ИНФОРМАЦИИ В МУРМАНСКОЙ ОБЛАСТИ
2012
Введение
Концепция защиты информации в Мурманской области (далее - Концепция) представляет собой систему взглядов на содержание проблемы защиты информации в Мурманской области, а также на цели, задачи, принципы и основные направления формирования и развития системы защиты информации в Мурманской области (далее – СЗИМО).
Концепция предназначена для использования в исполнительных органах государственной власти Мурманской области, органах местного самоуправления Мурманской области (далее – органы власти), на подведомственных им предприятиях.
В настоящей Концепции используются следующие основные понятия.
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно–разыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления.
Информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
Информационные ресурсы – отдельные документы и массивы документов, отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информация с ограниченным доступом - документированная информация, которая по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.
Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Защищаемая информация – хранящаяся, передаваемая, обрабатываемая на объектах информатизации или циркулирующая в речевом виде информация, содержащая сведения, составляющие государственную или служебную тайну.
Защищаемый объект информатизации (объект информатизации) – совокупность предназначенных для обработки и передачи защищаемой информации средств и систем различного уровня и назначения, систем связи, отображения и размножения документов вместе с помещением, в котором они установлены, а также специально выделенное помещение, предназначенное для ведения закрытых переговоров.
Несанкционированный доступ к информации - доступ к защищаемой информации с нарушением установленных прав или правил доступа, приводящий к получению субъектом возможности ознакомления с информацией и/или воздействия на нее.
Охраняемые от технических разведок сведения (охраняемые сведения) – составляющие государственную или служебную тайну сведения об объектах защиты, в отношении которых принято решение об их защите и осуществляется защита от технических разведок.
Объект защиты – объект, имеющий охраняемые сведения, и/или объект, на котором осуществляются работы с защищаемой информацией.
Специальное воздействие на информацию – преднамеренное воздействие на информацию с нарушением установленных прав и/или правил, приводящее к ее уничтожению, искажению и/или блокированию доступа к ней для законных пользователей.
Техническая разведка - деятельность, направленная на добывание разведывательной информации с помощью технических средств.
Технический канал утечки информации - совокупность объекта защиты, физической среды и средства технической разведки, которым добывается защищаемая информация.
Техническая защита информации (ТЗИ) – деятельность, направленная на ограничение или исключение возможностей иностранных государств или иных заинтересованных сторон для получения, уничтожения, искажения или блокирования защищаемой информации в результате ее утечки по техническим каналам, несанкционированного доступа к этой информации и специальных воздействий на нее.
Утечка информации по техническим каналам - неконтролируемое распространение защищаемой информации по техническим каналам.
Общие положения
1.1. Защищаемая информация
Защите подлежит информация, циркулирующая в информационных и информационно-телекоммуникационных системах органов власти и организаций, которая содержит:
- сведения, составляющие государственную тайну;
- сведения, составляющие служебную тайну, профессиональную и другие виды тайн, доступ к которым ограничен в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
- сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- общедоступную информацию, в том числе размещаемую на официальных интернет-сайтах органов власти и организаций в соответствии со статьей 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.2. Объекты защиты органов власти Мурманской области и подведомственных им организаций
Основными объектами защиты для органов власти и подведомственных им организаций являются:
- средства и системы информатизации (средства вычислительной техники, автоматизированные системы (подсистемы), информационно-вычислительные комплексы, сети, средства изготовления и размножения документов, средства и системы связи и передачи данных);
- помещения, в которых обрабатывается информация ограниченного доступа, вспомогательные технические средства, установленные в этих помещениях;
- информация, обрабатываемая в информационных и информационно-телекоммуникационных системах органов власти Мурманской области и подведомственных им организациях;
- общесистемные и прикладные программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);
- средства защиты информации;
- средства контроля эффективности защиты информации.
1.3. Угрозы и источники угроз безопасности информации в информационных и телекоммуникационных системах органов власти Мурманской области и подведомственных им организациях
В соответствии с требованиями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация ограниченного доступа, открытая информация, обрабатываемая в информационных и информационно-телекоммуникационных системах, должна быть защищена от воздействия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз.
Общими угрозами безопасности информации при ее обработке в информационных и информационно-телекоммуникационных системах являются:
- нарушение конфиденциальности информации ограниченного доступа путём перехвата техническими средствами, хищения или копирования;
- уничтожение информации;
- модификация (искажение) информации;
- нарушение адресности при передаче информации по каналам связи;
- отрицание подлинности информации;
- навязывание ложной информации;
- блокирование общедоступной информации.
Источниками вышеперечисленных угроз безопасности информации могут являться:
- стихийные бедствия (пожары и т.п.);
- технические аварии (отказы оборудования, внезапное отключение электропитания, протечки и т.п.);
- субъекты (нарушители), осуществляющие умышленные незаконные действия в отношении информации, обрабатываемой в информационных и информационно-телекоммуникационных системах;
- субъекты (нарушители), создающие непреднамеренные угрозы безопасности информации, обрабатываемой в информационных и информационно-телекоммуникационных системах.
Угрозы, связанные с возможностью целенаправленного осуществления незаконных действий в отношении информационных ресурсов, содержащихся в информационных и информационно-телекоммуникационных системах, могут быть реализованы нарушителями следующими способами:
- путём несанкционированного получения средств аутентификации пользователей с последующим несанкционированным доступом к конкретным ресурсам системы;
- путём внедрения программ, обеспечивающих получение контроля над информационными потоками и (или) ресурсами системы;
- путём физического вывода из строя технических средств, хищения носителей информации, визуального съема информации с мониторов персональных компьютеров;
- с помощью технических средств, позволяющих контролировать сетевой трафик;
- путём перехвата техническими средствами побочных информативных электромагнитных полей и электрических сигналов, возникающих при обработке информации техническими средствами по каналам ПЭМИН;
- путём перехвата акустической (речевой) информации с использованием аппаратуры, регистрирующей акустические и виброакустические волны, а также электромагнитные излучения, оптические и электрические сигналы, модулированные информативным акустическим сигналом, возникающие за счет преобразований в технических средствах обработки;
- путём внедрения технических и программных средств съема информации в рабочие станции, средства связи и другие технические устройства информационных и информационно-телекоммуникационных систем, в которых обрабатывается защищаемая информация;
- путём обхода механизмов разграничения доступа, возможного вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и других причин);
- путём модификации используемого программного обеспечения информационных и информационно-телекоммуникационных систем для получения возможности несанкционированного доступа к защищаемой информации.
Субъекты, которым предоставлены официальные права доступа к информации, обрабатываемой в информационных и информационно-телекоммуникационных системах, могут создать угрозы безопасности информации умышленно или неумышленно (ошибочными действиями):
- при нарушении технологии обработки и передачи информации;
- при нарушении правил обращения с информацией ограниченного доступа.
Умышленные действия субъектов (нарушителей), направленные на нарушение конфиденциальности, целостности и доступности информации, представляют наибольшую угрозу безопасности информации в информационных и телекоммуникационных системах органов власти и организаций.
1.4. Возможные последствия в случае реализации угроз безопасности информации в информационных и информационно-телекоммуникационных системах
Нарушения конфиденциальности, целостности и доступности информации, циркулирующей в информационных и телекоммуникационных системах, могут вызвать негативные последствия для граждан, органов власти и организаций, в том числе:
- нарушения конституционных прав граждан;
- ухудшение качества функционирования системы государственного управления;
- сбои в работе систем жизнеобеспечения объектов Мурманской области;
- экономический (финансовый) ущерб обладателям и пользователям государственных и муниципальных информационных ресурсов органов власти Мурманской области;
- снижение авторитета и степени доверия граждан к действующим в Мурманской области институтам власти;
- предпосылки к нарушению социальной стабильности.
2. Цели, задачи и принципы развития системы защиты информации
2.1. Целями системы защиты информации являются:
- предотвращение или существенное снижение ущерба безопасности Российской Федерации, ее граждан, органов власти Мурманской области, подведомственных им предприятий с использованием методов и средств технической защиты информации;
- обеспечение условий, способствующих реализации политики Российской Федерации в сфере информационной безопасности в Мурманской области;
- содействие экономическому, научно-техническому прогрессу Мурманской области, обеспечению ее безопасности и устойчивому развитию;
- реализация единой государственной технической политики, организация и координация работ по технической защите информации на территории Мурманской области.
2.2. Основными задачами СЗИМО являются:
- проведение единой государственной политики по технической защите информации;
- методическое и информационное обеспечение работ по технической защите информации;
- исключение или существенное затруднение добывания информации средствами технической разведки путем предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию с целью ее уничтожения, искажения и блокирования;
- подготовка предложений по совершенствованию правового, нормативного, методического, научно–технического и организационного обеспечения технической защиты информации на объектах органов власти Мурманской области;
- принятие в пределах компетенции нормативных правовых актов, регулирующих отношения в области технической защиты информации;
- анализ состояния и прогнозирование источников угроз безопасности информации в Мурманской области;
- разработка целевых программ технической защиты информационных ресурсов и средств информатизации на объектах органов власти Мурманской области;
- формирование и организация деятельности органов по технической защите информации на объектах органов власти Мурманской области;
- определение и учет информационных ресурсов, систем и средств формирования, передачи, хранения, обработки и распространения информации, подлежащей защите;
- контроль и анализ состояния технической защиты информации в органах власти Мурманской области, на подведомственных им предприятиях, в учреждениях и организациях;
- выявление ключевых проблем Мурманской области в области защиты информации, определение приоритетных направлений развития СЗИМО;
- проведение практических мероприятий по созданию СЗИМО;
- совершенствование и развитие системы подготовки специалистов для СЗИМО.
Основными принципами развития СЗИМО являются:
- соответствие уровня развития СЗИМО задачам обеспечения национальной безопасности России, безопасности и устойчивого развития Мурманской области с учетом ее экономических возможностей;
- обеспечение своевременной и адекватной реакции на возникающие и прогнозируемые угрозы ведения технической разведки, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее;
- формирование единой технической политики в области защиты информации;
- использование коллегиальных методов руководства СЗИМО и ее развития;
- программно-целевое планирование развития СЗИМО.
Основными задачами развития СЗИМО, обеспечивающими достижение целей развития, являются:
- формирование и совершенствование организационной структуры СЗИМО, развитие ее научно-технического и кадрового потенциала;
- создание необходимых и достаточных правовых, организационных, экономических и научно-технических условий на уровне субъекта Российской Федерации для обеспечения деятельности СЗИМО;
- обеспечение эффективной технической защиты информации на объектах органов власти Мурманской области и на предприятиях, в учреждениях и организациях, находящихся в их ведении.
3. Основные направления и содержание работ по совершенствованию региональной системы защиты информации, основные требования к организации работ по защите информации
С учетом состояния системы защиты информации в Северо-Западном федеральном округе, изменений условий ее функционирования, а также для преодоления негативных тенденций и повышения динамики ее совершенствования в число приоритетных направлений выдвигается работа в региональной системе защиты информации. При этом основные усилия сосредоточиваются на следующих направлениях:
- повышение эффективности управления системой защиты информации в целом (общесистемные меры);
- совершенствование организации проведения контроля состояния региональной системы защиты информации;
- разработка конкретных организационно-технических мероприятий по уровням системы защиты информации и определение порядка их реализации.
3.1. Общесистемные меры
Имеют целью повышение эффективности управления системой защиты информации в Северо-Западном федеральном округе в целом и ее элементами, реализуются Управлением ФСТЭК России по Северо-Западному федеральному округу, руководством органов власти, включаются в ежегодные методические указания для органов власти и организаций, планируются в соответствующих годовых, других планах работ и направлены на:
- повышение качества контроля эффективности принятых мер по обеспечению безопасности региональной системы защиты информации;
- анализ и оценку выполнения операторами информационных систем и обладателями информации законодательно определенных обязанностей по их защищенности;
- повышение ответственности за нарушение требований нормативных правовых актов и методических документов в области защиты информации;
- создание и внедрение удобной для практического применения модели оценки состояния систем защиты органа власти, организации, региона и т.п.;
- подготовку типовых образцов основных документов, определяющих содержание работ по защите информации;
- расширение практики поощрения сотрудников, проявивших старание, инициативу и настойчивость при решении задач технической защиты информации;
- назначение на должности специалистов по защите информации лиц, уровень квалификации которых соответствует требованиям, установленным Единым квалификационным справочником должностей руководителей, специалистов и служащих, утверждённым приказом Минздравсоцразвития РФ от 22.04.2009 № 205, а также повышение их квалификации.
3.2. Меры в рамках региональной системы защиты информации и ее элементов
3.2.1. Правовые меры
Проводятся в рамках региональной системы защиты информации Мурманской области под руководством председателя Региональной комиссии по защите информации в Мурманской области. Имеют целью совершенствование методов и средств защиты информации. Основываются на федеральных законах и принимаемых в соответствии с ними законах и иных нормативных правовых актах, которые реализуются органами власти, наделёнными соответствующими полномочиями.
К основным правовым мерам относятся:
- определение перечня государственных и муниципальных информационных систем, информационных ресурсов Мурманской области, соответствующих обладателей информации и операторов информационных систем;
- определение условий доступа к информационным ресурсам и сервисам государственных и муниципальных информационных и информационно-телекоммуникационных систем;
- определение условий соблюдения безопасности информации в информационных и информационно-телекоммуникационных системах;
- определение условий объединения (интеграции) информационных, информационно-телекоммуникационных систем с позиций обеспечения безопасности информации;
- распределение ответственности за безопасность информации и информационных ресурсов региональной системы защиты информации между организатором региональной системы защиты информации и операторами информационных и информационно-телекоммуникационных систем - субъектами информационного взаимодействия;
- определение порядка управления региональной системой защиты информации, а также содержания и регламента контроля за ее эффективностью;
- создание резервов и возможностей для ликвидации последствий нарушения политики безопасности и восстановления системы защиты информации.
3.2.2. Организационные меры
Проводятся в рамках региональной системы защиты информации под руководством подразделения по защите информации Аппарата Правительства Мурманской области.
Имеют целью сформировать и поддерживать в надлежащем состоянии кадровые структуры региональной системы защиты информации, определить содержание их работы, а также обеспечить все уровни и элементы этих систем основными организационно-распорядительными и методическими документами по защите информации.
Указанные меры включают в себя:
1. Оценку объема работы на каждом объекте защиты для принятия решения о назначении специалистов (штатных, нештатных), планирование и проведение их обучения в соответствии с квалификационными требованиями.
2. Разработку, утверждение и внедрение в практику работы по защите информации основных организационно–распорядительных и методических документов по перечню, включающему в себя в том числе:
- системы защиты информации (политики) в органах власти Мурманской области и подведомственных им организациях, в которых закрепляется организационная структура региональной системы защиты информации;
- рекомендации для органов власти и подведомственных им организаций по организации работ по защите информации (разрабатываются отделом по защите информации или организацией–лицензиатом ФСТЭК России и ФСБ России);
- руководства по защите информации от технических разведок и от её утечки по техническим каналам (для каждого объекта защиты, на котором обрабатываются сведения, содержащие государственную тайну);
- инструкции по обеспечению режима секретности при работе на средствах вычислительной техники (для каждого объекта защиты, на котором обрабатываются сведения, содержащие государственную тайну);
- модели угроз безопасности информации (модели нарушителя) для каждой информационной системы (объекта защиты);
- положения по защите информации конфиденциального характера (для каждого органа власти и подведомственной организации, где обрабатывается такая информация), другие документы в соответствии со Специальными требованиями и рекомендациями по защите конфиденциальной информации (СТР-К);
- документы в соответствии с требованиями постановления Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- положения о подразделении (специалисте) по защите информации органа власти (организации);
- организационно-распорядительные документы, определяющие условия допуска в помещения и доступа к защищаемым информационным ресурсам;
- типовые инструкции администратора баз данных; инструкции администратора безопасности информации, должностные инструкции (регламенты) сотрудников в части их обязанностей и ответственности за обеспечение безопасности информации и другие.
3. Приведение организации и содержания работ по защите информации, порядка обработки защищаемой информации в информационных и информационно-телекоммуникационных системах органов власти Мурманской области и подведомственных им организаций в соответствие с общими требованиями и утвержденным технологическим процессом обработки информации.
4. Обучение пользователей мерам по защите информации и правилам эксплуатации информационных систем и средств защиты информации.
5. Планирование и организацию работ по проведению контроля и повышению персональной ответственности пользователей и должностных лиц субъектов информационного взаимодействия, обладателей информации, операторов информационных и информационно-телекоммуникационных систем за выполнение мер противодействия угрозам безопасности информации.
3.3. Технические меры включают в себя:
- применение сертифицированных средств защиты информации;
- антивирусную защиту;
- резервное копирование программ и данных;
- использование выделенных каналов связи;
- диверсификацию доступа к коммуникационным средам;
- резервирование выделенных линий связи;
- применение аппаратных платформ с повышенной надежностью;
- использование источников гарантированного электропитания;
- использование средств гарантированного уничтожения информации;
- аттестацию объектов информатизации по требованиям безопасности информации.
Наибольшая эффективность этих мер достигается при условии предварительного выполнения всех организационных мер, а также при соблюдении следующих принципов:
- возможности технических средств защиты информации, основанные на тех или иных информационных технологиях, должны максимально использоваться для целей защиты информации в информационных и информационно-телекоммуникационных системах органов власти и организаций;
- средства защиты информации субъектов информационного обмена в региональной системе защиты информации не дублируют, но взаимно дополняют возможности по противодействию угрозам безопасности информации в информационных и информационно-телекоммуникационных системах;
- в корпоративных (интегрированных) информационных и информационно-телекоммуникационных системах безопасность каждого компонента (сегмента) подтверждается их операторами выполнением требований федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, а также выданными этими федеральными органами сертификатами на используемые средства защиты информации или путем декларирования этой безопасности;
- аттестация информационных систем по требованиям безопасности информации при наличии в них информации ограниченного доступа является необходимым условием функционирования их в составе информационных и информационно-телекоммуникационных систем Мурманской области.
4. Перечень основных мероприятий по совершенствованию системы защиты информации и пути реализации Концепции
Уточняется состав Региональной комиссии по защите информации Мурманской области.
Вносятся дополнения в положения о подразделениях (специалистах) по защите информации, определенные требованиями нормативных документов по обеспечению безопасности информации в ключевых системах и безопасности персональных данных при их обработке в информационных системах.
Проводятся учёт и регистрация информационных и телекоммуникационных систем региона.
Формируется Реестр информационных и информационно-телекоммуникационных систем Мурманской области. Оператор Реестра– исполнительный орган государственной власти Мурманской области, осуществляющий работы в сфере информационных технологий Мурманской области.
Проводится анализ обрабатываемой в информационных и информационно-телекоммуникационных системах, а также в помещениях органов власти и подведомственных им организаций информации на предмет ее отнесения к информации с ограниченным доступом. Результаты анализа оформляются актами операторов информационных систем. Акты утверждаются руководителями органов власти, организаций.
Разрабатываются и утверждаются типовые перечни сведений конфиденциального характера для органов власти и подведомственных им организаций с учетом требований нормативных актов в области защиты информации.
Проводится классификация (уточнение класса защищенности) информационных систем с учетом категорий информации, определенной ранее, полученные результаты отражаются в актах классификации. Акты утверждаются руководителями органов власти, организаций.
Проводится ознакомление исполнителей с упомянутыми выше перечнями в части, их касающейся. Устанавливается разрешительная система доступа исполнителей к документам и сведениям ограниченного доступа (матрицы доступа, другие документы, отражающие полномочия пользователей), допуска в помещения, где обрабатывается информация ограниченного доступа.
Проводится оценка достаточности и соответствия принятых ранее организационных и технических мер в каждой информационной и информационно-телекоммуникационной системе требованиям нормативных правовых актов и методических документов. Разрабатываются планы работ по формированию систем защиты для каждого объекта защиты. Планы утверждаются руководителем соответствующего органа власти, организации. В наиболее важных информационных и информационно-телекоммуникационных системах планируется проведение аудита организациями, имеющими соответствующие лицензии.
Проводятся работы по анализу состояния защищённости информационных и информационно-телекоммуникационных систем органов власти Мурманской области, оцениваются общий масштаб и стоимость основных работ. Проводятся расчёты по обоснованию затрат на формирование и поддержание системы защиты информации на год. Данные расходы закладываются в бюджеты соответствующих органов власти и организаций.
Осуществляется планомерная работа по отбору и назначению специалистов (штатных, нештатных), подготовке, переподготовке и повышению квалификации данных специалистов в области защиты информации, ведется учёт специалистов и проводится оценка уровня их профессиональной подготовки. Создаются подразделения по защите информации (назначаются специалисты) в органах власти и подведомственных им организациях. Подразделения по защите информации собирают и передают в Управление ФСТЭК России по СЗФО данные в реестр ключевых систем информационной инфраструктуры федерального округа, формируют и ведут перечень ключевых систем в Мурманской области.
Определяется перечень общих и типовых документов, подлежащих централизованной разработке. Разрабатываются первоочередные нормативные правовые акты, организационно-распорядительные и методические документы для систем защиты информации.
Информационные и информационно-телекоммуникационные системы оцениваются на предмет их оснащения лицензионными программными средствами, а также сертифицированными средствами защиты информации.
Определяются: общая организация, форма и регламент контроля за выполнением требований нормативных правовых актов и методических документов в области защиты информации (собственный контроль в органах власти и организациях, контроль со стороны подразделения по защите информации), организуется контроль состояния защиты информации в региональной системе защиты информации.
Формируется база данных органов власти Мурманской области о состоянии региональной системы защиты информации.
Мероприятия, определенные данным документом, проводятся под контролем Управления ФСТЭК России по Северо-Западному федеральному округу, при поддержке Межведомственного совета по защите информации при полномочном представителе Президента Российской Федерации в Северо-Западном федеральном округе, отражаются в годовых планах работ с отчетами о проделанной работе в конце года
5. Ожидаемые результаты реализации Концепции
Реализация Концепции позволит:
- улучшить организационную структуру СЗИМО, ее кадровое обеспечение;
- улучшить обеспеченность органов СЗИМО документами в области технической защиты информации;
- комплексно, при минимальных затратах и в короткие сроки привести информационные и информационно-телекоммуникационные системы Мурманской области в соответствие с требованиями нормативных правовых актов в области защиты информации;
- завершить оснащение информационных и информационно-телекоммуникационных систем Мурманской области высокоэффективными средствами и технологиями защиты информации;
- исключить необоснованное дублирование мер защиты информации;
-повысить оперативность и качество управления региональной системой защиты информации.
Ожидаемый эффект от реализации Концепции состоит:
- в минимизации ущерба от возможной утечки информации и специальных воздействий на информационные и информационно-телекоммуникационные системы органов власти Мурманской области;
- в рациональном использовании средств бюджета, выделяемых на защиту информации;
- в обеспечении благоприятных условий для эффективного и законного использования информационных ресурсов органов власти Мурманской области.
____________________
Дополнительные сведения
| Рубрики правового классификатора: | 120.000.000 Информация и информатизация, 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
