Основная информация
Дата опубликования: | 24 ноября 2011г. |
Номер документа: | RU89000201101136 |
Текущая редакция: | 3 |
Статус нормативности: | Нормативный |
Субъект РФ: | Ямало-Ненецкий автономный округ |
Принявший орган: | Правительство Ямало-Ненецкого автономного округа |
Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
Проект
1
ПОСТАНОВЛЕНИЕ
ПРАВИТЕЛЬСТВО ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
О Концепции информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа
Документ с изменениями внесенными
-постановлением Правительства автономного округа от 28.04.2012 № 351-П
- постановлением Правительства автономного округа от 08.05.2014 № 411-П
В соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в целях единого подхода к обеспечению информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа Правительство Ямало-Ненецкого автономного округа постановляет:
1. Утвердить прилагаемую Концепцию информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа (далее – Концепция).
2. Исполнительным органам государственной власти Ямало-Ненецкого автономного округа и подведомственным им учреждениям при планировании и осуществлении мероприятий в области информационной безопасности руководствоваться положениями Концепции.
3. Определить департамент информационных технологий и связи Ямало-Ненецкого автономного округа уполномоченным исполнительным органом государственной власти Ямало-Ненецкого автономного округа ответственным за обеспечение информационной безопасности в исполнительных органах государственной власти Ямало-Ненецкого автономного округа в соответствии с разделом VII Концепции.
4. Рекомендовать органам местного самоуправления в Ямало-Ненецком автономном округе разработать концепции информационной безопасности, аналогичные Концепции, утверждённой настоящим постановлением. (в ред. от 28.04.2012 № 351-П)
5. Контроль за исполнением настоящего постановления возложить на заместителя Губернатора Ямало-Ненецкого автономного округа, руководителя аппарата Губернатора Ямало-Ненецкого автономного округа Фиголь Н.В. (пункт с изм. от 08.05.2015 № 411-П)
Губернатор Ямало-Ненецкого
автономного округа Д.Н. Кобылкин
от 24 ноября 2011 г. № 847-П
1
УТВЕРЖДЕНА
постановлением Правительства
Ямало-Ненецкого автономного округа
(с изм. от 28.04.2012 № 351-П)
КОНЦЕПЦИЯ
информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа
Введение
В Концепции на основе выборочного анализа современного состояния определены цели, задачи и ключевые проблемы обеспечения информационной безопасности. Рассмотрены объекты, угрозы информационной безопасности, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения информационной безопасности в различных сферах деятельности исполнительных органов государственной власти Ямало-Ненецкого автономного округа (далее – автономный округ). Также в Концепции излагаются основные положения государственной политики обеспечения информационной безопасности в исполнительных органах государственной власти автономного округа, организационная структура и принципы построения информационной безопасности. Концепция служит методологической основой разработки комплекса правовых актов и организационно-методических документов, регламентирующих деятельность в области информационной безопасности исполнительных органов государственной власти автономного округа.
Положения Концепции не распространяются на сведения, отнесенные к государственной тайне. (в ред. от 28.04.2012 № 351-П)
I. Общие положения
Концепция представляет собой принятую систему взглядов на проблему обеспечения информационной безопасности, методы и средства защиты жизненно важных интересов личности, общества, государства в информационной сфере и служит методологической основой изложенных направлений обеспечения информационной безопасности в автономном округе:
разработка стратегии обеспечения информационной безопасности автономного округа, включающей в себя цели, задачи и комплекс основных мер по её практической реализации, формирования и проведения государственной политики автономного округа в области обеспечения информационной безопасности;
обеспечение единого понимания всеми участниками процесса информатизации автономного округа проблем информационной безопасности;
определение уровней информационной безопасности объектов информатизации автономного округа;
разработка единых подходов к построению программно-технических систем защиты объектов информатизации автономного округа;
обеспечение условий гармонизации информационной инфраструктуры автономного округа с глобальными сетями и системами.
Комплексная система информационной безопасности автономного округа должна обеспечивать безопасное использование информационных ресурсов автономного округа и получение информационных услуг.
Концепция служит методологической основой:
формирования и проведения единой политики автономного округа в области обеспечения информационной безопасности;
разработки целевых программ автономного округа по обеспечению защиты информационных систем и ресурсов телекоммуникаций;
разработки и внедрения технологий информационной безопасности в системах распределенных ситуационных центров автономного округа;
подготовки предложений по совершенствованию правового, организационного, технического и программного обеспечения информационной безопасности в автономном округе.
Положения Концепции должны учитываться при создании информационных ресурсов и систем, развитии информационных технологий, создании и развитии единого информационного пространства автономного округа.
Правовую основу Концепции составляют Конституция Российской Федерации, Указ Президента Российской Федерации от 12 мая 2009 года № 537 «О Стратегии национальной безопасности Российской Федерации до 2020 года», Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», Доктрина информационной безопасности Российской Федерации, утвержденная приказом Президента Российской Федерации от 09 сентября 2000 года № Пр-1895, Федеральный закон от 28 декабря 2010 года № 390-ФЗ «О безопасности», Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральный закон от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», Федеральный закон от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи» и иные правовые акты.
В настоящей Концепции используются следующие основные понятия:
информационная система – совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств;
информационные ресурсы – отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация – сведения (сообщения, данные) независимо от формы их представления.
информационная безопасность объекта информатизации – состояние защищенности объекта информатизации, при котором обеспечивается безопасность информатизации и автоматизированных средств ее обработки; (в ред. от 28.04.2012 № 351-П)
техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. (в ред. от 28.04.2012 № 351-П)
II. Цели и задачи обеспечения информационной безопасности
Целью построения системы информационной безопасности исполнительных органов государственной власти автономного округа является защита объектов информационной безопасности от наиболее распространенных угроз информационной безопасности, вызванных неэффективностью процедур контроля, технологических сбоев, несанкционированных действий персонала или иных форм незаконного вмешательства в информационные ресурсы и информационные системы.
Основные задачи обеспечения информационной безопасности исполнительных органов государственной власти автономного округа:
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся и обрабатываемых в информационных системах;
обеспечение соблюдения требований законодательства Российской Федерации в области информационной безопасности;
формирование и проведение единой политики в обеспечении информационной безопасности;
организация и координация работ по информационной безопасности в различных сферах деятельности;
возложение ответственности за обеспечение безопасности информации и системы её обработки на каждого участника в пределах его полномочий;
пересмотр и улучшение применяемых защитных мер, требований, норм и правил информационной безопасности с учётом изменения информационной среды и условий;
осознание необходимости обеспечения информационной безопасности как неотъемлемой части культуры;
постоянный контроль выполнения требований правовых актов, регламентирующих деятельность в области информационной безопасности;
создание системы непрерывного обучения, тренировки и проверки осведомленности персонала по вопросам обеспечения информационной безопасности;
осуществление деятельности по обеспечению доверия к информационной безопасности;
обеспечение защиты информации от несанкционированного доступа на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
предотвращение утраты, искажения или уничтожения информации на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
обеспечение непрерывного функционирования информационных систем и системы обеспечения информационной безопасности;
своевременное прогнозирование, выявление и нейтрализация угроз информационной безопасности;
обеспечение эффективной работы механизмов оперативного реагирования на угрозы информационной безопасности;
мониторинг состояния защищенности информации.
Достижение намеченной цели зависит от качественного решения основных задач в вопросе обеспечения информационной безопасности исполнительных органов государственной власти автономного округа.
III. Объекты информационной безопасности
К объектам информационной безопасности исполнительных органов государственной власти автономного округа относятся:
1) информационные ресурсы исполнительных органов государственной власти автономного округа, содержащие конфиденциальную информацию (служебная тайна, коммерческая тайна, персональные данные и прочая информация ограниченного распространения), а также открытую (общедоступную) информацию;
2) системы формирования, распространения и использования информационных ресурсов, включающие в себя информационные системы различного класса и назначения, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;
3) информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации.
Информационная безопасность всех вышеуказанных объектов создает условия надежного функционирования исполнительных органов государственной власти автономного округа.
IV. Основные угрозы информационной безопасности
Угроза информационной безопасности – совокупность факторов и условий, создающих опасность для нормального функционирования информационной инфраструктуры.
Источники угроз информационной безопасности исполнительных органов государственной власти автономного округа разделяются на внешние и внутренние.
К внешним угрозам относятся:
деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных систем;
перехват и утечка информации по техническим каналам;
неконтролируемое самопроизвольное распространение компьютерных вирусов и иных вредоносных программ;
стихийные бедствия, катастрофы, пожары и аварии.
Внутренними источниками угроз являются:
невыполнение требований законодательства и несвоевременное принятие необходимых правовых актов, регламентирующих деятельность в сфере информационной безопасности;
нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, создающие предпосылки к утечке либо разглашению сведений, составляющих государственную, служебную и иную тайну;
внедрение несовершенных или устаревших информационных технологий и средств информатизации;
умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;
отказы, сбои, неисправности, несогласованности инженерно-технических, программных и системно-прикладных средств защиты информационных и телекоммуникационных систем;
использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты и контроля информации;
привлечение к работам по созданию, развитию и защите информационных систем сторонних организаций, не имеющих прав на осуществление соответствующих видов деятельности.
Приведенная выше классификация угроз носит условный характер, не является окончательной и не ранжирована по степени приоритетности. В объективной реальности угрозы, как правило, носят комбинированный характер.
Непрерывный процесс прогнозирования, выявления, идентификации, конкретизации, анализа и выработки мер по локализации угроз является неотъемлемой задачей текущей деятельности в построении системы информационной безопасности исполнительных органов государственной власти автономного округа.
V. Основные направления деятельности по обеспечению информационной безопасности
Деятельность по обеспечению информационной безопасности призвана способствовать снижению рисков от угроз в информационной сфере, повышению эффективности и устойчивости в управлении информационными ресурсами и системами.
Основные направления обеспечения информационной безопасности:
1) правовое обеспечение информационной безопасности – деятельность в этой области направлена на создание и поддержание в актуальном состоянии системы локальных нормативных актов, регламентирующих деятельность по обеспечению информационной безопасности;
2) организация деятельности по обеспечению информационной
безопасности – деятельность в этой области направлена на создание документированных процессов обеспечения информационной безопасности, скоординированных между исполнительными органами государственной власти автономного округа;
3) обеспечение информационной безопасности при управлении информационными ресурсами – деятельность в этой области направлена на идентификацию, классификацию информационных ресурсов и их владельцев, формирование и поддержание необходимого уровня информационной безопасности информационных ресурсов;
4) обеспечение информационной безопасности, связанное с персоналом, – деятельность в этой области направлена на минимизацию рисков, вызванных действиями работников в отношении информационных ресурсов, путем создания системы непрерывного обучения, тренировки и проверки осведомленности всех работников по вопросам обеспечения информационной безопасности;
5) физическая безопасность информационных ресурсов – деятельность в этой области направлена на минимизацию и предотвращение ущерба, вызванного физическим воздействием на информационные ресурсы;
6) обеспечение информационной безопасности на этапах жизненного цикла информации в информационной инфраструктуре – деятельность в этой области направлена на минимизацию рисков, возникающих в процессе создания, обработки, обмена и уничтожения информации в информационной инфраструктуре;
7) управление доступом к информационным ресурсам – деятельность в этой области направлена на создание порядка доступа к информационным ресурсам, контроль и мониторинг доступа;
8) управление инцидентами информационной безопасности – деятельность в этой области направлена на создание процесса по своевременному выявлению и реагированию на инциденты информационной безопасности;
9) соответствие требованиям – деятельность в этой области направлена на соответствие требованиям законодательства, локальных нормативных актов по обеспечению информационной безопасности.
VI. Принципы формирования системы информационной безопасности
Реализация основных концептуальных направлений информационной безопасности исполнительных органов государственной власти автономного округа осуществляется на основе следующих принципов:
1) централизация управления – предполагает, что деятельность по обеспечению информационной безопасности должна быть встроена в управленческие процессы исполнительных органов государственной власти автономного округа, подчиняться понятным руководителям закономерностям и оцениваться с позиций эффективности, для этого процессы обеспечения информационной безопасности должны быть организованы, управляемы и оцениваемы подобно другим процессам и согласованы с ними;
2) законность – предполагает осуществление защитных мероприятий и разработку системы информационной безопасности в соответствии с действующим законодательством в области информационных технологий и защиты информации;
3) персональная ответственность – предполагает персональную ответственность в пределах должностных полномочий за несоблюдение регламентирующих документов в области информационной безопасности;
4) минимизация полномочий – предполагает предоставление прав доступа сотрудникам исполнительных органов государственной власти автономного округа к информационным ресурсам в объеме, достаточном для качественного выполнения своих должностных (функциональных) обязанностей;
5) своевременность – предполагает своевременность выявления проблем, связанных с обеспечением информационной безопасности, и обнаружение угроз, потенциально способных нанести ущерб;
6) системность – системный подход к построению системы информационной безопасности предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, имеющих существенное значение для понимания и решения проблемы обеспечения информационной безопасности, включающим фазы планирования, реализации, контроля и совершенствования системы информационной безопасности;
7) комплексный подход – предполагает всестороннее обеспечение информационной безопасности и предусматривает использование взаимоувязанных программно-технических, организационных, правовых, нормативно-методических и других мер обеспечения информационной безопасности на единой концептуальной основе;
8) непрерывность – предполагает непрерывный, целенаправленный процесс по выявлению угроз информационной безопасности и принятию адекватных мер защиты;
9) унифицированность – предполагает, что принципы, правила, процедуры, требования и технические решения по обеспечению информационной безопасности должны быть унифицированы;
10) простота – предполагает, что порядок действий и процесс использования средств защиты информации должны быть понятны пользователю.
VII. Структура подразделений, обеспечивающих информационную безопасность в исполнительных органах государственной власти автономного округа
Основываясь на принципах построения системы информационной безопасности в исполнительных органах государственной власти автономного округа, определяется исполнительный орган государственной власти автономного округа, отвечающий за обеспечение информационной безопасности во всех исполнительных органах государственной власти автономного округа, который наделяется соответствующими полномочиями и обязанностями:
разработка правовых актов по информационной безопасности для исполнительных органов государственной власти автономного округа;
проведение проверочных мероприятий по информационной безопасности в исполнительных органах государственной власти автономного округа;
выбор средств обеспечения информационной безопасности информационных и телекоммуникационных систем в исполнительных органах государственной власти автономного округа;
создание и развитие системы защиты информации в региональной межведомственной телекоммуникационной сети автономного округа;
администрирование системы защиты информации в региональной межведомственной телекоммуникационной сети автономного округа;
участие в разработке (доработке) подсистем защиты информации в информационных системах исполнительных органах государственной власти автономного округа.
В каждом исполнительном органе государственной власти автономного округа создается подразделение (либо определяется сотрудник), отвечающее за информационную безопасность. Руководитель исполнительного органа государственной власти автономного округа несет ответственность за организацию работ по обеспечению информационной безопасности.
Исполнительные органы государственной власти автономного округа обязаны согласовывать требования к внедряемым в исполнительных органах государственной власти автономного округа технических, программных и программно-технических средств защиты с центральным исполнительным органом государственной власти автономного округа, ответственным за проведение государственной политики и осуществление исполнительно-распорядительной деятельности в сфере защиты государственной тайны и технической защиты информации. (в ред. от 28.04.2012 № 351-П)
VIII. Модель взаимодействия участников информационной системы
Моделирование информационной системы необходимо для описания процессов информационного взаимодействия в информационной системе и определения зон ответственности.
Участник информационной системы – физическое или юридическое лицо, непосредственно взаимодействующее с информационной системой.
Участники информационной системы подразделяются на 4 группы:
1) Владельцы информационной системы.
Зона ответственности:
разработка (доработка) информационной системы;
поддержание работоспособности информационной системы;
защита информации в информационной системе;
определение круга пользователей информации.
2) Оператор информационной системы.
Зона ответственности:
эксплуатация информационной системы, обработка информации.
3) Поставщик (владелец) информации.
Зона ответственности:
достоверность и своевременность предоставляемой информации;
наделение пользователей информации правами на получение информации из информационной системы.
4) Пользователь информации.
Зона ответственности:
соблюдение правил и прав на получение информации из информационной системы;
сохранение конфиденциальности полученных из информационной системы сведений.
Участник информационной системы может одновременно находиться в нескольких группах.
Владелец информационной системы при разработке (доработке) информационной системы взаимодействует со структурным подразделением, отвечающим за обеспечение информационной безопасности во всех исполнительных органах государственной власти автономного округа, в том числе:
1) представляет документацию на информационную систему;
2) согласует документацию на разработку (доработку) информационной системы;
3) информирует о ходе проведения работ по обеспечению информационной безопасности информационной системы.
Оператор информационной системы взаимодействует с владельцем информационной системы и структурным подразделением, отвечающим за обеспечение информационной безопасности во всех исполнительных органах государственной власти автономного округа, в том числе:
1) представляет документы, регламентирующие правила получения информации из информационной системы;
2) представляет документы, регламентирующие права пользователей на информацию;
3) представляет документы, регламентирующие правила приема информации в информационную систему.
IX. Меры, методы и средства обеспечения безопасности информационных систем
Анализ технических, структурных, эксплуатационных и иных особенностей информационных систем имеет важное значение для организации и внедрения надежной системы обеспечения информационной безопасности.
При выборе и использовании комплекса методов, способов и средств защиты информации, необходимых для обеспечения безопасности информации в конкретных информационных системах, должны учитываться такие факторы, как:
наличие конфиденциальной информации (персональные данные, служебная тайна и т.д.);
условия размещения и эксплуатации технических средств;
способы обработки данных в системе;
особенности обработки и пересылки информации в электронном виде;
количество пользователей и способы организации их работы с информационной системой;
способы хранения информации.
Проблема обеспечения информационной безопасности может быть решена в результате комплексного применения всех мер защиты, включающих в себя:
правовые (законодательные);
организационные;
технические.
Правовые (законодательные) меры обеспечения безопасности информационных систем
К правовым (законодательным) мерам обеспечения безопасности информационных систем относятся действующие в Российской Федерации правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения принятых в них правил.
Правовые (законодательные) меры обеспечения безопасности информационных систем выделяют правовую область, в переделах которой допускается использовать информационные ресурсы различных субъектов информационных отношений.
Организационные меры обеспечения безопасности
информационных систем
Организационные меры обеспечения безопасности информационных систем – меры организационного характера, регламентирующие процессы функционирования информационных систем, использование их ресурсов, деятельность обслуживающего персонала, а также порядок обращения пользователей информации с информационными системами таким образом, чтобы в наибольшей степени затруднить либо исключить возможность реализации угроз информационной безопасности, снизить размер потерь в случае реализации угроз.
Технические меры обеспечения безопасности
информационных систем
Технические меры обеспечения безопасности информационных систем должны быть основаны на использовании единых программных и технических средств, входящих в состав информационных систем и выполняющих самостоятельно или в комплексе с другими средствами функции защиты.
При учёте всех требований и принципов обеспечения безопасности информации в информационной системе в состав системы включают следующие технические и программные средства:
идентификации пользователей;
аутентификации пользователей (потребителей) информации и информационных объектов (терминалов, программных алгоритмов, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
разграничения доступа к данным;
управления информационными потоками;
информационная безопасность в линиях передачи данных, в хранилищах информации;
обеспечения и контроля целостности программных и информационных ресурсов;
регистрации и контроля обращений к информации, подлежащей защите;
реагирования на попытки реализации несанкционированного доступа;
активные и пассивные средства защиты информации, обрабатываемой техническими средствами информационных систем и циркулирующей в помещениях объекта от утечки по техническим каналам.
X. Порядок организации работ при разработке и эксплуатации информационных систем и системы обеспечения информационной безопасности
Разработка любой прикладной информационной системы требует обязательной доработки системы обеспечения информационной безопасности, в связи с чем данные рабочие процессы должны протекать параллельно, без отрыва друг от друга.
Процессу разработки, модернизации информационной системы должен предшествовать процесс определения перечня информации, которую в будущем будут обрабатывать в данной системе, и присвоения категорий защищаемой информации.
Этапу ввода в эксплуатацию прикладной информационной системы должен предшествовать этап ввода в эксплуатацию разработанной (доработанной) системы информационной безопасности. Разработанная (доработанная) система информационной безопасности должна предусматривать:
назначение уровня полномочий и должностных лиц, ответственных за присвоение категории обрабатываемой информации (служебная тайна, персональные данные, открытая информация общего пользования и т.д.);
назначение уровня полномочий и должностных лиц, имеющих право распоряжаться информацией, – применительно к каждой категории защищаемой информации;
условия и порядок допуска пользователей информации к работе с информацией – применительно к каждой категории защищаемой информации;
определение объема информации, необходимой и достаточной для эффективного выполнения работниками организации своих прямых должностных обязанностей;
определение границ применения информации пользователями информации;
разработку необходимого пакета документов, регламентирующих работу в информационной системе.
Стадия ввода в действие прикладной информационной системы завершается аттестацией объекта информатизации, в состав которого вводится данная система.
XI. Порядок управления системой обеспечения информационной безопасности
Управление системой обеспечения информационной безопасности исполнительных органов государственной власти автономного округа представляет собой целенаправленное воздействие на ее компоненты, обеспечивающее защищенность информации, обрабатываемой в информационных системах.
Цель процесса управления системой обеспечения информационной безопасности – обеспечение надежной защиты информации в процессе ее сбора, обработки, хранения и предоставления (передачи) конечному пользователю информации.
Управление системой информационной безопасности исполнительных органов государственной власти автономного округа должно осуществляться на всех этапах существования информационной системы, с момента проведения научно-технических изысканий, предшествующих проектным работам по созданию новой информационной системы до момента вывода этой системы из технической эксплуатации по причине её морального устаревания.
Управление системой обеспечения информационной безопасности исполнительных органов государственной власти автономного округа осуществляют специальные подразделения в структуре исполнительных органов государственной власти автономного округа, отвечающие за информационную безопасность, объединяющие в своем составе квалифицированных специалистов в области информационных технологий и защиты информации.
XII. Контроль состояния информационной безопасности
Контроль состояния информационной безопасности осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Основная решаемая задача – получение объективных оценок текущего состояния защиты информации ограниченного распространения, оценка эффективности применяемых мер и технических решений для обеспечения информационной безопасности исполнительных органов государственной власти автономного округа, оказание методической помощи по обеспечению режима защиты информации, организация работы по обеспечению информационной безопасности.
Под постоянным контролем находятся:
дисциплина выполнения правовых, организационно-распорядительных и нормативных документов органов государственной власти;
действующие меры обеспечения информационной безопасности;
обоснованность и эффективность применения мер обеспечения информационной безопасности.
Общее состояния информационной безопасности контролируется структурным подразделением исполнительного органа государственной власти автономного округа, отвечающим за информационную безопасность. С целью получения объективного заключения о состоянии информационной безопасности исполнительных органов государственной власти автономного округа структурное подразделение исполнительного органа государственной власти автономного округа, отвечающее за информационную безопасность, может привлекать к выполнению оперативного контроля и аудита состояния безопасности информации специалистов других исполнительных органов государственной власти автономного округа, участвующих в поддержании и эксплуатации прикладных информационных систем, а также организации, обладающие соответствующими правами на осуществление деятельности в области защиты информации.
Оценка эффективности мер информационной безопасности проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
Проект
1
ПОСТАНОВЛЕНИЕ
ПРАВИТЕЛЬСТВО ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
О Концепции информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа
Документ с изменениями внесенными
-постановлением Правительства автономного округа от 28.04.2012 № 351-П
- постановлением Правительства автономного округа от 08.05.2014 № 411-П
В соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в целях единого подхода к обеспечению информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа Правительство Ямало-Ненецкого автономного округа постановляет:
1. Утвердить прилагаемую Концепцию информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа (далее – Концепция).
2. Исполнительным органам государственной власти Ямало-Ненецкого автономного округа и подведомственным им учреждениям при планировании и осуществлении мероприятий в области информационной безопасности руководствоваться положениями Концепции.
3. Определить департамент информационных технологий и связи Ямало-Ненецкого автономного округа уполномоченным исполнительным органом государственной власти Ямало-Ненецкого автономного округа ответственным за обеспечение информационной безопасности в исполнительных органах государственной власти Ямало-Ненецкого автономного округа в соответствии с разделом VII Концепции.
4. Рекомендовать органам местного самоуправления в Ямало-Ненецком автономном округе разработать концепции информационной безопасности, аналогичные Концепции, утверждённой настоящим постановлением. (в ред. от 28.04.2012 № 351-П)
5. Контроль за исполнением настоящего постановления возложить на заместителя Губернатора Ямало-Ненецкого автономного округа, руководителя аппарата Губернатора Ямало-Ненецкого автономного округа Фиголь Н.В. (пункт с изм. от 08.05.2015 № 411-П)
Губернатор Ямало-Ненецкого
автономного округа Д.Н. Кобылкин
от 24 ноября 2011 г. № 847-П
1
УТВЕРЖДЕНА
постановлением Правительства
Ямало-Ненецкого автономного округа
(с изм. от 28.04.2012 № 351-П)
КОНЦЕПЦИЯ
информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа
Введение
В Концепции на основе выборочного анализа современного состояния определены цели, задачи и ключевые проблемы обеспечения информационной безопасности. Рассмотрены объекты, угрозы информационной безопасности, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения информационной безопасности в различных сферах деятельности исполнительных органов государственной власти Ямало-Ненецкого автономного округа (далее – автономный округ). Также в Концепции излагаются основные положения государственной политики обеспечения информационной безопасности в исполнительных органах государственной власти автономного округа, организационная структура и принципы построения информационной безопасности. Концепция служит методологической основой разработки комплекса правовых актов и организационно-методических документов, регламентирующих деятельность в области информационной безопасности исполнительных органов государственной власти автономного округа.
Положения Концепции не распространяются на сведения, отнесенные к государственной тайне. (в ред. от 28.04.2012 № 351-П)
I. Общие положения
Концепция представляет собой принятую систему взглядов на проблему обеспечения информационной безопасности, методы и средства защиты жизненно важных интересов личности, общества, государства в информационной сфере и служит методологической основой изложенных направлений обеспечения информационной безопасности в автономном округе:
разработка стратегии обеспечения информационной безопасности автономного округа, включающей в себя цели, задачи и комплекс основных мер по её практической реализации, формирования и проведения государственной политики автономного округа в области обеспечения информационной безопасности;
обеспечение единого понимания всеми участниками процесса информатизации автономного округа проблем информационной безопасности;
определение уровней информационной безопасности объектов информатизации автономного округа;
разработка единых подходов к построению программно-технических систем защиты объектов информатизации автономного округа;
обеспечение условий гармонизации информационной инфраструктуры автономного округа с глобальными сетями и системами.
Комплексная система информационной безопасности автономного округа должна обеспечивать безопасное использование информационных ресурсов автономного округа и получение информационных услуг.
Концепция служит методологической основой:
формирования и проведения единой политики автономного округа в области обеспечения информационной безопасности;
разработки целевых программ автономного округа по обеспечению защиты информационных систем и ресурсов телекоммуникаций;
разработки и внедрения технологий информационной безопасности в системах распределенных ситуационных центров автономного округа;
подготовки предложений по совершенствованию правового, организационного, технического и программного обеспечения информационной безопасности в автономном округе.
Положения Концепции должны учитываться при создании информационных ресурсов и систем, развитии информационных технологий, создании и развитии единого информационного пространства автономного округа.
Правовую основу Концепции составляют Конституция Российской Федерации, Указ Президента Российской Федерации от 12 мая 2009 года № 537 «О Стратегии национальной безопасности Российской Федерации до 2020 года», Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», Доктрина информационной безопасности Российской Федерации, утвержденная приказом Президента Российской Федерации от 09 сентября 2000 года № Пр-1895, Федеральный закон от 28 декабря 2010 года № 390-ФЗ «О безопасности», Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральный закон от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», Федеральный закон от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи» и иные правовые акты.
В настоящей Концепции используются следующие основные понятия:
информационная система – совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств;
информационные ресурсы – отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация – сведения (сообщения, данные) независимо от формы их представления.
информационная безопасность объекта информатизации – состояние защищенности объекта информатизации, при котором обеспечивается безопасность информатизации и автоматизированных средств ее обработки; (в ред. от 28.04.2012 № 351-П)
техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. (в ред. от 28.04.2012 № 351-П)
II. Цели и задачи обеспечения информационной безопасности
Целью построения системы информационной безопасности исполнительных органов государственной власти автономного округа является защита объектов информационной безопасности от наиболее распространенных угроз информационной безопасности, вызванных неэффективностью процедур контроля, технологических сбоев, несанкционированных действий персонала или иных форм незаконного вмешательства в информационные ресурсы и информационные системы.
Основные задачи обеспечения информационной безопасности исполнительных органов государственной власти автономного округа:
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся и обрабатываемых в информационных системах;
обеспечение соблюдения требований законодательства Российской Федерации в области информационной безопасности;
формирование и проведение единой политики в обеспечении информационной безопасности;
организация и координация работ по информационной безопасности в различных сферах деятельности;
возложение ответственности за обеспечение безопасности информации и системы её обработки на каждого участника в пределах его полномочий;
пересмотр и улучшение применяемых защитных мер, требований, норм и правил информационной безопасности с учётом изменения информационной среды и условий;
осознание необходимости обеспечения информационной безопасности как неотъемлемой части культуры;
постоянный контроль выполнения требований правовых актов, регламентирующих деятельность в области информационной безопасности;
создание системы непрерывного обучения, тренировки и проверки осведомленности персонала по вопросам обеспечения информационной безопасности;
осуществление деятельности по обеспечению доверия к информационной безопасности;
обеспечение защиты информации от несанкционированного доступа на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
предотвращение утраты, искажения или уничтожения информации на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
обеспечение непрерывного функционирования информационных систем и системы обеспечения информационной безопасности;
своевременное прогнозирование, выявление и нейтрализация угроз информационной безопасности;
обеспечение эффективной работы механизмов оперативного реагирования на угрозы информационной безопасности;
мониторинг состояния защищенности информации.
Достижение намеченной цели зависит от качественного решения основных задач в вопросе обеспечения информационной безопасности исполнительных органов государственной власти автономного округа.
III. Объекты информационной безопасности
К объектам информационной безопасности исполнительных органов государственной власти автономного округа относятся:
1) информационные ресурсы исполнительных органов государственной власти автономного округа, содержащие конфиденциальную информацию (служебная тайна, коммерческая тайна, персональные данные и прочая информация ограниченного распространения), а также открытую (общедоступную) информацию;
2) системы формирования, распространения и использования информационных ресурсов, включающие в себя информационные системы различного класса и назначения, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;
3) информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации.
Информационная безопасность всех вышеуказанных объектов создает условия надежного функционирования исполнительных органов государственной власти автономного округа.
IV. Основные угрозы информационной безопасности
Угроза информационной безопасности – совокупность факторов и условий, создающих опасность для нормального функционирования информационной инфраструктуры.
Источники угроз информационной безопасности исполнительных органов государственной власти автономного округа разделяются на внешние и внутренние.
К внешним угрозам относятся:
деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных систем;
перехват и утечка информации по техническим каналам;
неконтролируемое самопроизвольное распространение компьютерных вирусов и иных вредоносных программ;
стихийные бедствия, катастрофы, пожары и аварии.
Внутренними источниками угроз являются:
невыполнение требований законодательства и несвоевременное принятие необходимых правовых актов, регламентирующих деятельность в сфере информационной безопасности;
нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, создающие предпосылки к утечке либо разглашению сведений, составляющих государственную, служебную и иную тайну;
внедрение несовершенных или устаревших информационных технологий и средств информатизации;
умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;
отказы, сбои, неисправности, несогласованности инженерно-технических, программных и системно-прикладных средств защиты информационных и телекоммуникационных систем;
использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты и контроля информации;
привлечение к работам по созданию, развитию и защите информационных систем сторонних организаций, не имеющих прав на осуществление соответствующих видов деятельности.
Приведенная выше классификация угроз носит условный характер, не является окончательной и не ранжирована по степени приоритетности. В объективной реальности угрозы, как правило, носят комбинированный характер.
Непрерывный процесс прогнозирования, выявления, идентификации, конкретизации, анализа и выработки мер по локализации угроз является неотъемлемой задачей текущей деятельности в построении системы информационной безопасности исполнительных органов государственной власти автономного округа.
V. Основные направления деятельности по обеспечению информационной безопасности
Деятельность по обеспечению информационной безопасности призвана способствовать снижению рисков от угроз в информационной сфере, повышению эффективности и устойчивости в управлении информационными ресурсами и системами.
Основные направления обеспечения информационной безопасности:
1) правовое обеспечение информационной безопасности – деятельность в этой области направлена на создание и поддержание в актуальном состоянии системы локальных нормативных актов, регламентирующих деятельность по обеспечению информационной безопасности;
2) организация деятельности по обеспечению информационной
безопасности – деятельность в этой области направлена на создание документированных процессов обеспечения информационной безопасности, скоординированных между исполнительными органами государственной власти автономного округа;
3) обеспечение информационной безопасности при управлении информационными ресурсами – деятельность в этой области направлена на идентификацию, классификацию информационных ресурсов и их владельцев, формирование и поддержание необходимого уровня информационной безопасности информационных ресурсов;
4) обеспечение информационной безопасности, связанное с персоналом, – деятельность в этой области направлена на минимизацию рисков, вызванных действиями работников в отношении информационных ресурсов, путем создания системы непрерывного обучения, тренировки и проверки осведомленности всех работников по вопросам обеспечения информационной безопасности;
5) физическая безопасность информационных ресурсов – деятельность в этой области направлена на минимизацию и предотвращение ущерба, вызванного физическим воздействием на информационные ресурсы;
6) обеспечение информационной безопасности на этапах жизненного цикла информации в информационной инфраструктуре – деятельность в этой области направлена на минимизацию рисков, возникающих в процессе создания, обработки, обмена и уничтожения информации в информационной инфраструктуре;
7) управление доступом к информационным ресурсам – деятельность в этой области направлена на создание порядка доступа к информационным ресурсам, контроль и мониторинг доступа;
8) управление инцидентами информационной безопасности – деятельность в этой области направлена на создание процесса по своевременному выявлению и реагированию на инциденты информационной безопасности;
9) соответствие требованиям – деятельность в этой области направлена на соответствие требованиям законодательства, локальных нормативных актов по обеспечению информационной безопасности.
VI. Принципы формирования системы информационной безопасности
Реализация основных концептуальных направлений информационной безопасности исполнительных органов государственной власти автономного округа осуществляется на основе следующих принципов:
1) централизация управления – предполагает, что деятельность по обеспечению информационной безопасности должна быть встроена в управленческие процессы исполнительных органов государственной власти автономного округа, подчиняться понятным руководителям закономерностям и оцениваться с позиций эффективности, для этого процессы обеспечения информационной безопасности должны быть организованы, управляемы и оцениваемы подобно другим процессам и согласованы с ними;
2) законность – предполагает осуществление защитных мероприятий и разработку системы информационной безопасности в соответствии с действующим законодательством в области информационных технологий и защиты информации;
3) персональная ответственность – предполагает персональную ответственность в пределах должностных полномочий за несоблюдение регламентирующих документов в области информационной безопасности;
4) минимизация полномочий – предполагает предоставление прав доступа сотрудникам исполнительных органов государственной власти автономного округа к информационным ресурсам в объеме, достаточном для качественного выполнения своих должностных (функциональных) обязанностей;
5) своевременность – предполагает своевременность выявления проблем, связанных с обеспечением информационной безопасности, и обнаружение угроз, потенциально способных нанести ущерб;
6) системность – системный подход к построению системы информационной безопасности предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, имеющих существенное значение для понимания и решения проблемы обеспечения информационной безопасности, включающим фазы планирования, реализации, контроля и совершенствования системы информационной безопасности;
7) комплексный подход – предполагает всестороннее обеспечение информационной безопасности и предусматривает использование взаимоувязанных программно-технических, организационных, правовых, нормативно-методических и других мер обеспечения информационной безопасности на единой концептуальной основе;
8) непрерывность – предполагает непрерывный, целенаправленный процесс по выявлению угроз информационной безопасности и принятию адекватных мер защиты;
9) унифицированность – предполагает, что принципы, правила, процедуры, требования и технические решения по обеспечению информационной безопасности должны быть унифицированы;
10) простота – предполагает, что порядок действий и процесс использования средств защиты информации должны быть понятны пользователю.
VII. Структура подразделений, обеспечивающих информационную безопасность в исполнительных органах государственной власти автономного округа
Основываясь на принципах построения системы информационной безопасности в исполнительных органах государственной власти автономного округа, определяется исполнительный орган государственной власти автономного округа, отвечающий за обеспечение информационной безопасности во всех исполнительных органах государственной власти автономного округа, который наделяется соответствующими полномочиями и обязанностями:
разработка правовых актов по информационной безопасности для исполнительных органов государственной власти автономного округа;
проведение проверочных мероприятий по информационной безопасности в исполнительных органах государственной власти автономного округа;
выбор средств обеспечения информационной безопасности информационных и телекоммуникационных систем в исполнительных органах государственной власти автономного округа;
создание и развитие системы защиты информации в региональной межведомственной телекоммуникационной сети автономного округа;
администрирование системы защиты информации в региональной межведомственной телекоммуникационной сети автономного округа;
участие в разработке (доработке) подсистем защиты информации в информационных системах исполнительных органах государственной власти автономного округа.
В каждом исполнительном органе государственной власти автономного округа создается подразделение (либо определяется сотрудник), отвечающее за информационную безопасность. Руководитель исполнительного органа государственной власти автономного округа несет ответственность за организацию работ по обеспечению информационной безопасности.
Исполнительные органы государственной власти автономного округа обязаны согласовывать требования к внедряемым в исполнительных органах государственной власти автономного округа технических, программных и программно-технических средств защиты с центральным исполнительным органом государственной власти автономного округа, ответственным за проведение государственной политики и осуществление исполнительно-распорядительной деятельности в сфере защиты государственной тайны и технической защиты информации. (в ред. от 28.04.2012 № 351-П)
VIII. Модель взаимодействия участников информационной системы
Моделирование информационной системы необходимо для описания процессов информационного взаимодействия в информационной системе и определения зон ответственности.
Участник информационной системы – физическое или юридическое лицо, непосредственно взаимодействующее с информационной системой.
Участники информационной системы подразделяются на 4 группы:
1) Владельцы информационной системы.
Зона ответственности:
разработка (доработка) информационной системы;
поддержание работоспособности информационной системы;
защита информации в информационной системе;
определение круга пользователей информации.
2) Оператор информационной системы.
Зона ответственности:
эксплуатация информационной системы, обработка информации.
3) Поставщик (владелец) информации.
Зона ответственности:
достоверность и своевременность предоставляемой информации;
наделение пользователей информации правами на получение информации из информационной системы.
4) Пользователь информации.
Зона ответственности:
соблюдение правил и прав на получение информации из информационной системы;
сохранение конфиденциальности полученных из информационной системы сведений.
Участник информационной системы может одновременно находиться в нескольких группах.
Владелец информационной системы при разработке (доработке) информационной системы взаимодействует со структурным подразделением, отвечающим за обеспечение информационной безопасности во всех исполнительных органах государственной власти автономного округа, в том числе:
1) представляет документацию на информационную систему;
2) согласует документацию на разработку (доработку) информационной системы;
3) информирует о ходе проведения работ по обеспечению информационной безопасности информационной системы.
Оператор информационной системы взаимодействует с владельцем информационной системы и структурным подразделением, отвечающим за обеспечение информационной безопасности во всех исполнительных органах государственной власти автономного округа, в том числе:
1) представляет документы, регламентирующие правила получения информации из информационной системы;
2) представляет документы, регламентирующие права пользователей на информацию;
3) представляет документы, регламентирующие правила приема информации в информационную систему.
IX. Меры, методы и средства обеспечения безопасности информационных систем
Анализ технических, структурных, эксплуатационных и иных особенностей информационных систем имеет важное значение для организации и внедрения надежной системы обеспечения информационной безопасности.
При выборе и использовании комплекса методов, способов и средств защиты информации, необходимых для обеспечения безопасности информации в конкретных информационных системах, должны учитываться такие факторы, как:
наличие конфиденциальной информации (персональные данные, служебная тайна и т.д.);
условия размещения и эксплуатации технических средств;
способы обработки данных в системе;
особенности обработки и пересылки информации в электронном виде;
количество пользователей и способы организации их работы с информационной системой;
способы хранения информации.
Проблема обеспечения информационной безопасности может быть решена в результате комплексного применения всех мер защиты, включающих в себя:
правовые (законодательные);
организационные;
технические.
Правовые (законодательные) меры обеспечения безопасности информационных систем
К правовым (законодательным) мерам обеспечения безопасности информационных систем относятся действующие в Российской Федерации правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения принятых в них правил.
Правовые (законодательные) меры обеспечения безопасности информационных систем выделяют правовую область, в переделах которой допускается использовать информационные ресурсы различных субъектов информационных отношений.
Организационные меры обеспечения безопасности
информационных систем
Организационные меры обеспечения безопасности информационных систем – меры организационного характера, регламентирующие процессы функционирования информационных систем, использование их ресурсов, деятельность обслуживающего персонала, а также порядок обращения пользователей информации с информационными системами таким образом, чтобы в наибольшей степени затруднить либо исключить возможность реализации угроз информационной безопасности, снизить размер потерь в случае реализации угроз.
Технические меры обеспечения безопасности
информационных систем
Технические меры обеспечения безопасности информационных систем должны быть основаны на использовании единых программных и технических средств, входящих в состав информационных систем и выполняющих самостоятельно или в комплексе с другими средствами функции защиты.
При учёте всех требований и принципов обеспечения безопасности информации в информационной системе в состав системы включают следующие технические и программные средства:
идентификации пользователей;
аутентификации пользователей (потребителей) информации и информационных объектов (терминалов, программных алгоритмов, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
разграничения доступа к данным;
управления информационными потоками;
информационная безопасность в линиях передачи данных, в хранилищах информации;
обеспечения и контроля целостности программных и информационных ресурсов;
регистрации и контроля обращений к информации, подлежащей защите;
реагирования на попытки реализации несанкционированного доступа;
активные и пассивные средства защиты информации, обрабатываемой техническими средствами информационных систем и циркулирующей в помещениях объекта от утечки по техническим каналам.
X. Порядок организации работ при разработке и эксплуатации информационных систем и системы обеспечения информационной безопасности
Разработка любой прикладной информационной системы требует обязательной доработки системы обеспечения информационной безопасности, в связи с чем данные рабочие процессы должны протекать параллельно, без отрыва друг от друга.
Процессу разработки, модернизации информационной системы должен предшествовать процесс определения перечня информации, которую в будущем будут обрабатывать в данной системе, и присвоения категорий защищаемой информации.
Этапу ввода в эксплуатацию прикладной информационной системы должен предшествовать этап ввода в эксплуатацию разработанной (доработанной) системы информационной безопасности. Разработанная (доработанная) система информационной безопасности должна предусматривать:
назначение уровня полномочий и должностных лиц, ответственных за присвоение категории обрабатываемой информации (служебная тайна, персональные данные, открытая информация общего пользования и т.д.);
назначение уровня полномочий и должностных лиц, имеющих право распоряжаться информацией, – применительно к каждой категории защищаемой информации;
условия и порядок допуска пользователей информации к работе с информацией – применительно к каждой категории защищаемой информации;
определение объема информации, необходимой и достаточной для эффективного выполнения работниками организации своих прямых должностных обязанностей;
определение границ применения информации пользователями информации;
разработку необходимого пакета документов, регламентирующих работу в информационной системе.
Стадия ввода в действие прикладной информационной системы завершается аттестацией объекта информатизации, в состав которого вводится данная система.
XI. Порядок управления системой обеспечения информационной безопасности
Управление системой обеспечения информационной безопасности исполнительных органов государственной власти автономного округа представляет собой целенаправленное воздействие на ее компоненты, обеспечивающее защищенность информации, обрабатываемой в информационных системах.
Цель процесса управления системой обеспечения информационной безопасности – обеспечение надежной защиты информации в процессе ее сбора, обработки, хранения и предоставления (передачи) конечному пользователю информации.
Управление системой информационной безопасности исполнительных органов государственной власти автономного округа должно осуществляться на всех этапах существования информационной системы, с момента проведения научно-технических изысканий, предшествующих проектным работам по созданию новой информационной системы до момента вывода этой системы из технической эксплуатации по причине её морального устаревания.
Управление системой обеспечения информационной безопасности исполнительных органов государственной власти автономного округа осуществляют специальные подразделения в структуре исполнительных органов государственной власти автономного округа, отвечающие за информационную безопасность, объединяющие в своем составе квалифицированных специалистов в области информационных технологий и защиты информации.
XII. Контроль состояния информационной безопасности
Контроль состояния информационной безопасности осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Основная решаемая задача – получение объективных оценок текущего состояния защиты информации ограниченного распространения, оценка эффективности применяемых мер и технических решений для обеспечения информационной безопасности исполнительных органов государственной власти автономного округа, оказание методической помощи по обеспечению режима защиты информации, организация работы по обеспечению информационной безопасности.
Под постоянным контролем находятся:
дисциплина выполнения правовых, организационно-распорядительных и нормативных документов органов государственной власти;
действующие меры обеспечения информационной безопасности;
обоснованность и эффективность применения мер обеспечения информационной безопасности.
Общее состояния информационной безопасности контролируется структурным подразделением исполнительного органа государственной власти автономного округа, отвечающим за информационную безопасность. С целью получения объективного заключения о состоянии информационной безопасности исполнительных органов государственной власти автономного округа структурное подразделение исполнительного органа государственной власти автономного округа, отвечающее за информационную безопасность, может привлекать к выполнению оперативного контроля и аудита состояния безопасности информации специалистов других исполнительных органов государственной власти автономного округа, участвующих в поддержании и эксплуатации прикладных информационных систем, а также организации, обладающие соответствующими правами на осуществление деятельности в области защиты информации.
Оценка эффективности мер информационной безопасности проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
Дополнительные сведения
Государственные публикаторы: | Газета "Красный Север" № 74 от 29.11.2011 |
Рубрики правового классификатора: | 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030), 120.000.000 Информация и информатизация |
Вопрос юристу
Поделитесь ссылкой на эту страницу: