Расширенный поиск

Постановление Губернатора Мурманской области от 14.05.2012 № 84-ПГ

 



                              ГУБЕРНАТОР
                          МУРМАНСКОЙ ОБЛАСТИ

                             ПОСТАНОВЛЕНИЕ

     от 14.05.2012                                           N 84-ПГ
                               Мурманск

          О Концепции защиты информации в Мурманской области


     В  целях  реализации  на  территории  Мурманской  области  единой
государственной  политики  в   сфере   региональной   системы   защиты
информации  и  во  исполнение  Стратегии   национальной   безопасности
Российской Федерации до  2020  года,  утвержденной  Указом  Президента
Российской Федерации от 12.05.2009 N 537, п о с т а н о в л я ю:
     1. Утвердить прилагаемую Концепцию защиты информации в Мурманской
области.
     2. Определить   Аппарат    Правительства    Мурманской    области
уполномоченным   органом,   ответственным   за    проведение    единой
государственной  политики  в  сфере  защиты  информации  в  Мурманской
области.


      Губернатор
      Мурманской области          М. Ковтун

 
                                                            Утверждена
                                            постановлением Губернатора
                                                    Мурманской области
                                                 от 14.05.2012 N 84-ПГ


     Одобрена решением Региональной      
     комиссии по защите информации в     
     Мурманской области            
     N ____ от __. __.2012 года        
         


         КОНЦЕПЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В МУРМАНСКОЙ ОБЛАСТИ


                                 2012


                               Введение

     Концепция  защиты  информации  в  Мурманской  области  (далее   -
Концепция) представляет собой систему взглядов на содержание  проблемы
защиты информации в Мурманской  области,  а  также  на  цели,  задачи,
принципы и основные направления формирования и развития системы защиты
информации в Мурманской области (далее - СЗИМО).
     Концепция  предназначена  для  использования   в   исполнительных
органах государственной власти Мурманской  области,  органах  местного
самоуправления  Мурманской  области  (далее  -  органы   власти),   на
подведомственных им предприятиях.
     В настоящей Концепции используются следующие основные понятия.
     Государственная  тайна  -  защищаемые  государством  сведения   в
области    его     военной,     внешнеполитической,     экономической,
разведывательной,   контрразведывательной    и    оперативно-разыскной
деятельности, распространение которых может нанести ущерб безопасности
Российской Федерации.
     Информация -  сведения  о  лицах,  предметах,  фактах,  событиях,
явлениях и процессах независимо от формы их предоставления.
     Информационная    система    -    организационно    упорядоченная
совокупность  документов  (массивов   документов)   и   информационных
технологий,  в  том  числе  с  использованием  средств  вычислительной
техники и связи, реализующих информационные процессы.
     Информационные  ресурсы   -   отдельные   документы   и   массивы
документов, отдельные документы и массивы документов в  информационных
системах  (библиотеках,  архивах,  фондах,   банках   данных,   других
информационных системах).
     Информация   с   ограниченным   доступом   -    документированная
информация, которая по условиям ее правового режима подразделяется  на
информацию, отнесенную к государственной тайне, и конфиденциальную.
     Конфиденциальная  информация  -   документированная   информация,
доступ к которой ограничивается  в  соответствии  с  законодательством
Российской Федерации.
     Защищаемая информация - хранящаяся, передаваемая,  обрабатываемая
на  объектах  информатизации  или   циркулирующая   в   речевом   виде
информация,  содержащая  сведения,  составляющие  государственную  или
служебную тайну.
     Защищаемый  объект  информатизации  (объект   информатизации)   -
совокупность  предназначенных  для  обработки  и  передачи  защищаемой
информации средств и систем различного  уровня  и  назначения,  систем
связи, отображения и размножения документов  вместе  с  помещением,  в
котором они установлены,  а  также  специально  выделенное  помещение,
предназначенное для ведения закрытых переговоров.
     Несанкционированный доступ к информации  -  доступ  к  защищаемой
информации  с  нарушением  установленных  прав  или  правил   доступа,
приводящий  к   получению   субъектом   возможности   ознакомления   с
информацией и/или воздействия на нее.
     Охраняемые от технических разведок сведения (охраняемые сведения)
-  составляющие  государственную  или  служебную  тайну  сведения   об
объектах защиты, в отношении которых принято решение об  их  защите  и
осуществляется защита от технических разведок.
     Объект  защиты  -  объект,  имеющий  охраняемые  сведения,  и/или
объект, на котором осуществляются работы с защищаемой информацией.
     Специальное   воздействие   на   информацию   -    преднамеренное
воздействие  на  информацию  с  нарушением  установленных  прав  и/или
правил, приводящее к  ее  уничтожению,  искажению  и/или  блокированию
доступа к ней для законных пользователей.
     Техническая разведка - деятельность,  направленная  на  добывание
разведывательной информации с помощью технических средств.
     Технический  канал  утечки  информации  -  совокупность   объекта
защиты, физической среды  и  средства  технической  разведки,  которым
добывается защищаемая информация.
     Техническая защита информации (ТЗИ) - деятельность,  направленная
на ограничение или исключение возможностей иностранных государств  или
иных заинтересованных сторон для получения, уничтожения, искажения или
блокирования  защищаемой  информации  в  результате   ее   утечки   по
техническим каналам, несанкционированного доступа к этой информации  и
специальных воздействий на нее.
     Утечка  информации  по  техническим  каналам  -  неконтролируемое
распространение защищаемой информации по техническим каналам.

                          1. Общие положения

     1.1. Защищаемая информация
     Защите подлежит  информация,  циркулирующая  в  информационных  и
информационно-телекоммуникационных   системах   органов    власти    и
организаций, которая содержит:
     - сведения, составляющие государственную тайну;
     - сведения,  составляющие  служебную  тайну,  профессиональную  и
другие  виды  тайн,  доступ  к  которым  ограничен  в  соответствии  с
Федеральным   законом   от   27.07.2006    N 149-ФЗ    "Об информации,
информационных технологиях  и  о  защите  информации",  постановлением
Правительства    Российской    Федерации    от    03.11.1994    N 1233
"Об утверждении Положения о порядке обращения со служебной информацией
ограниченного распространения  в  федеральных  органах  исполнительной
власти";
     - сведения о частной жизни граждан (персональные данные),  доступ
к которым ограничен в соответствии с Федеральным законом от 27.07.2006
N 152-ФЗ "О персональных данных";
     - общедоступную  информацию,   в   том   числе   размещаемую   на
официальных   интернет-сайтах   органов   власти   и   организаций   в
соответствии со статьей 16 Федерального закона от 27.07.2006  N 149-ФЗ
"Об информации, информационных технологиях и о защите информации".
     1.2. Объекты  защиты  органов   власти   Мурманской   области   и
подведомственных им организаций
     Основными объектами защиты для органов власти и  подведомственных
им организаций являются:
     - средства  и  системы  информатизации  (средства  вычислительной
техники,        автоматизированные        системы        (подсистемы),
информационно-вычислительные комплексы, сети, средства изготовления  и
размножения документов, средства и системы связи и передачи данных);
     - помещения, в которых  обрабатывается  информация  ограниченного
доступа, вспомогательные технические средства,  установленные  в  этих
помещениях;
     - информация,     обрабатываемая     в      информационных      и
информационно-телекоммуникационных системах органов власти  Мурманской
области и подведомственных им организациях;
     - общесистемные и прикладные программные  средства  (операционные
системы, системы управления  базами  данных,  другое  общесистемное  и
прикладное программное обеспечение);
     - средства защиты информации;
     - средства контроля эффективности защиты информации.
     1.3. Угрозы  и  источники   угроз   безопасности   информации   в
информационных  и   телекоммуникационных   системах   органов   власти
Мурманской области и подведомственных им организациях
     В соответствии с требованиями Федерального закона от 27.07.2006 N
149-ФЗ  "Об информации,  информационных   технологиях   и   о   защите
информации" информация  ограниченного  доступа,  открытая  информация,
обрабатываемая в информационных  и  информационно-телекоммуникационных
системах,  должна  быть  защищена   от   воздействия   объективных   и
субъективных, внешних и внутренних, случайных и преднамеренных угроз.
     Общими  угрозами  безопасности  информации  при  ее  обработке  в
информационных и информационно-телекоммуникационных системах являются:
     - нарушение конфиденциальности информации  ограниченного  доступа
путем перехвата техническими средствами, хищения или копирования;
     - уничтожение информации;
     - модификация (искажение) информации;
     - нарушение адресности при передаче информации по каналам связи;
     - отрицание подлинности информации;
     - навязывание ложной информации;
     - блокирование общедоступной информации.
     Источниками вышеперечисленных угроз безопасности информации могут
являться:
     - стихийные бедствия (пожары и т.п.);
     - технические аварии (отказы оборудования,  внезапное  отключение
электропитания, протечки и т.п.);
     - субъекты  (нарушители),  осуществляющие  умышленные  незаконные
действия в отношении информации,  обрабатываемой  в  информационных  и
информационно-телекоммуникационных системах;
     - субъекты  (нарушители),   создающие   непреднамеренные   угрозы
безопасности   информации,   обрабатываемой   в    информационных    и
информационно-телекоммуникационных системах.
     Угрозы, связанные с возможностью целенаправленного  осуществления
незаконных действий в отношении информационных ресурсов,  содержащихся
в информационных и информационно-телекоммуникационных системах,  могут
быть реализованы нарушителями следующими способами:
     - путем  несанкционированного  получения  средств  аутентификации
пользователей с последующим несанкционированным доступом к  конкретным
ресурсам системы;
     - путем внедрения программ, обеспечивающих получение контроля над
информационными потоками и (или) ресурсами системы;
     - путем физического вывода из строя технических средств,  хищения
носителей  информации,  визуального  съема  информации   с   мониторов
персональных компьютеров;
     - с  помощью  технических  средств,  позволяющих   контролировать
сетевой трафик;
     - путем перехвата техническими средствами побочных  информативных
электромагнитных  полей  и  электрических  сигналов,  возникающих  при
обработке информации техническими средствами по каналам ПЭМИН;
     - путем   перехвата   акустической   (речевой)    информации    с
использованием    аппаратуры,    регистрирующей     акустические     и
виброакустические   волны,   а   также   электромагнитные   излучения,
оптические  и  электрические  сигналы,  модулированные   информативным
акустическим  сигналом,   возникающие   за   счет   преобразований   в
технических средствах обработки;
     - путем  внедрения  технических  и  программных   средств   съема
информации в рабочие станции,  средства  связи  и  другие  технические
устройства информационных и информационно-телекоммуникационных систем,
в которых обрабатывается защищаемая информация;
     - путем  обхода  механизмов  разграничения  доступа,   возможного
вследствие  несовершенства  общесистемных   компонентов   программного
обеспечения (операционных систем, систем управления  базами  данных  и
других причин);
     - путем  модификации   используемого   программного   обеспечения
информационных   и   информационно-телекоммуникационных   систем   для
получения  возможности  несанкционированного  доступа   к   защищаемой
информации.
     Субъекты,  которым  предоставлены  официальные  права  доступа  к
информации,       обрабатываемой       в       информационных        и
информационно-телекоммуникационных  системах,  могут  создать   угрозы
безопасности  информации   умышленно   или   неумышленно   (ошибочными
действиями):
     - при нарушении технологии обработки и передачи информации;
     - при нарушении  правил  обращения  с  информацией  ограниченного
доступа.
     Умышленные  действия  субъектов  (нарушителей),  направленные  на
нарушение конфиденциальности, целостности  и  доступности  информации,
представляют   наибольшую    угрозу    безопасности    информации    в
информационных  и  телекоммуникационных  системах  органов  власти   и
организаций.
     1.4. Возможные последствия в случае реализации угроз безопасности
информации  в  информационных   и   информационно-телекоммуникационных
системах
     Нарушения   конфиденциальности,   целостности    и    доступности
информации,  циркулирующей  в  информационных  и  телекоммуникационных
системах, могут вызвать негативные последствия  для  граждан,  органов
власти и организаций, в том числе:
     - нарушения конституционных прав граждан;
     - ухудшение качества  функционирования  системы  государственного
управления;
     - сбои  в  работе  систем  жизнеобеспечения  объектов  Мурманской
области;
     - экономический (финансовый) ущерб  обладателям  и  пользователям
государственных и муниципальных информационных ресурсов органов власти
Мурманской области;
     - снижение авторитета и степени доверия граждан к  действующим  в
Мурманской области институтам власти;
     - предпосылки к нарушению социальной стабильности.

     2. Цели, задачи и принципы развития системы защиты информации

     2.1. Целями системы защиты информации являются:
     - предотвращение или существенное  снижение  ущерба  безопасности
Российской Федерации, ее граждан, органов власти  Мурманской  области,
подведомственных им предприятий с  использованием  методов  и  средств
технической защиты информации;
     - обеспечение   условий,   способствующих   реализации   политики
Российской Федерации в сфере информационной безопасности в  Мурманской
области;
     - содействие   экономическому,   научно-техническому    прогрессу
Мурманской  области,  обеспечению  ее   безопасности   и   устойчивому
развитию;
     - реализация   единой   государственной   технической   политики,
организация и координация работ по технической  защите  информации  на
территории Мурманской области.
     2.2. Основными задачами СЗИМО являются:
     - проведение  единой  государственной  политики  по   технической
защите информации;
     - методическое и информационное обеспечение работ по  технической
защите информации;
     - исключение или существенное  затруднение  добывания  информации
средствами технической разведки путем предотвращения утечки информации
по  техническим   каналам,   несанкционированного   доступа   к   ней,
специальных  воздействий  на  информацию  с  целью   ее   уничтожения,
искажения и блокирования;
     - подготовка   предложений   по   совершенствованию    правового,
нормативного, методического,  научно-технического  и  организационного
обеспечения технической защиты информации на объектах  органов  власти
Мурманской области;
     - принятие в пределах  компетенции  нормативных  правовых  актов,
регулирующих отношения в области технической защиты информации;
     - анализ   состояния   и   прогнозирование    источников    угроз
безопасности информации в Мурманской области;
     - разработка целевых программ технической  защиты  информационных
ресурсов  и  средств  информатизации  на   объектах   органов   власти
Мурманской области;
     - формирование и организация деятельности органов по  технической
защите информации на объектах органов власти Мурманской области;
     - определение и учет информационных ресурсов,  систем  и  средств
формирования,  передачи,   хранения,   обработки   и   распространения
информации, подлежащей защите;
     - контроль и анализ состояния  технической  защиты  информации  в
органах   власти   Мурманской   области,   на   подведомственных    им
предприятиях, в учреждениях и организациях;
     - выявление ключевых проблем Мурманской области в области  защиты
информации, определение приоритетных направлений развития СЗИМО;
     - проведение практических мероприятий по созданию СЗИМО;
     - совершенствование и развитие  системы  подготовки  специалистов
для СЗИМО.
     Основными принципами развития СЗИМО являются:
     - соответствие  уровня   развития   СЗИМО   задачам   обеспечения
национальной безопасности России, безопасности и устойчивого  развития
Мурманской области с учетом ее экономических возможностей;
     - обеспечение своевременной и адекватной реакции на возникающие и
прогнозируемые угрозы ведения технической разведки, утечки  информации
по техническим каналам, несанкционированного доступа  к  информации  и
специальных воздействий на нее;
     - формирование  единой  технической  политики  в  области  защиты
информации;
     - использование коллегиальных  методов  руководства  СЗИМО  и  ее
развития;
     - программно-целевое планирование развития СЗИМО.
     Основными задачами  развития  СЗИМО,  обеспечивающими  достижение
целей развития, являются:
     - формирование  и  совершенствование  организационной   структуры
СЗИМО, развитие ее научно-технического и кадрового потенциала;
     - создание необходимых и достаточных  правовых,  организационных,
экономических  и  научно-технических  условий   на   уровне   субъекта
Российской Федерации для обеспечения деятельности СЗИМО;
     - обеспечение  эффективной  технической  защиты   информации   на
объектах органов  власти  Мурманской  области  и  на  предприятиях,  в
учреждениях и организациях, находящихся в их ведении.

  3. Основные направления и содержание работ по совершенствованию
   региональной системы защиты информации, основные требования к
              организации работ по защите информации

     С учетом состояния системы защиты  информации  в  Северо-Западном
федеральном округе, изменений условий ее функционирования, а также для
преодоления   негативных   тенденций   и   повышения    динамики    ее
совершенствования в число приоритетных направлений выдвигается  работа
в региональной системе защиты информации.  При  этом  основные  усилия
сосредоточиваются на следующих направлениях:
     - повышение эффективности управления системой защиты информации в
целом (общесистемные меры);
     - совершенствование организации  проведения  контроля   состояния
региональной системы защиты информации;
     - разработка конкретных организационно-технических мероприятий по
уровням системы защиты информации и определение порядка их реализации.
     3.1. Общесистемные меры
     Имеют целью повышение эффективности  управления  системой  защиты
информации  в  Северо-Западном  федеральном  округе  в  целом   и   ее
элементами, реализуются Управлением ФСТЭК России  по  Северо-Западному
федеральному  округу,  руководством  органов  власти,   включаются   в
ежегодные методические указания  для  органов  власти  и  организаций,
планируются  в  соответствующих  годовых,  других   планах   работ   и
направлены на:
     - повышение  качества  контроля  эффективности  принятых  мер  по
обеспечению безопасности региональной системы защиты информации;
     - анализ и оценку выполнения операторами информационных систем  и
обладателями информации законодательно определенных обязанностей по их
защищенности;
     - повышение ответственности за нарушение  требований  нормативных
правовых актов и методических документов в области защиты информации;
     - создание  и  внедрение  удобной  для  практического  применения
модели оценки состояния  систем  защиты  органа  власти,  организации,
региона и т.п.;
     - подготовку типовых образцов основных  документов,  определяющих
содержание работ по защите информации;
     - расширение практики поощрения сотрудников, проявивших старание,
инициативу  и  настойчивость  при  решении  задач  технической  защиты
информации;
     - назначение на должности специалистов по защите информации  лиц,
уровень квалификации которых соответствует требованиям,  установленным
Единым   квалификационным   справочником   должностей   руководителей,
специалистов и служащих, утвержденным приказом Минздравсоцразвития  РФ
от 22.04.2009 N 205, а также повышение их квалификации.
     3.2. Меры в рамках региональной системы защиты  информации  и  ее
элементов
     3.2.1. Правовые меры
     Проводятся  в  рамках  региональной  системы  защиты   информации
Мурманской области под руководством председателя Региональной комиссии
по   защите   информации   в   Мурманской   области.    Имеют    целью
совершенствование методов и средств защиты информации. Основываются на
федеральных законах и принимаемых в соответствии с ними законах и иных
нормативных  правовых  актах,  которые  реализуются  органами  власти,
наделенными соответствующими полномочиями.
     К основным правовым мерам относятся:
     - определение перечня     государственных     и     муниципальных
информационных систем,  информационных  ресурсов  Мурманской  области,
соответствующих обладателей  информации  и  операторов  информационных
систем;
     - определение условий  доступа  к   информационным   ресурсам   и
сервисам   государственных   и    муниципальных    информационных    и
информационно-телекоммуникационных систем;
     - определение условий  соблюдения   безопасности   информации   в
информационных и информационно-телекоммуникационных системах;
     - определение условий  объединения  (интеграции)  информационных,
информационно-телекоммуникационных  систем   с   позиций   обеспечения
безопасности информации;
     - распределение ответственности  за  безопасность  информации   и
информационных ресурсов региональной системы защиты  информации  между
организатором региональной системы  защиты  информации  и  операторами
информационных   и   информационно-телекоммуникационных    систем    -
субъектами информационного взаимодействия;
     - определение порядка  управления  региональной  системой  защиты
информации,  а  также  содержания  и   регламента   контроля   за   ее
эффективностью;
     - создание резервов и  возможностей  для  ликвидации  последствий
нарушения  политики  безопасности  и  восстановления  системы   защиты
информации.
     3.2.2. Организационные меры
     Проводятся в рамках региональной системы  защиты  информации  под
руководством подразделения по защите информации Аппарата Правительства
Мурманской области.
     Имеют целью сформировать и поддерживать  в  надлежащем  состоянии
кадровые структуры региональной системы защиты информации,  определить
содержание их работы, а также обеспечить все уровни  и  элементы  этих
систем  основными  организационно-распорядительными  и   методическими
документами по защите информации.
     Указанные меры включают в себя:
     1. Оценку объема работы на каждом  объекте  защиты  для  принятия
решения о назначении специалистов (штатных, нештатных), планирование и
проведение   их   обучения   в   соответствии   с    квалификационными
требованиями.
     2. Разработку, утверждение  и  внедрение  в  практику  работы  по
защите   информации   основных    организационно-распорядительных    и
методических документов по перечню, включающему в себя в том числе:
     - системы  защиты  информации   (политики)   в   органах   власти
Мурманской области  и  подведомственных  им  организациях,  в  которых
закрепляется организационная  структура  региональной  системы  защиты
информации;
     - рекомендации для   органов   власти   и   подведомственных   им
организаций по организации работ по защите информации (разрабатываются
отделом по защите информации или организацией-лицензиатом ФСТЭК России
и ФСБ России);
     - руководства по защите информации от технических разведок  и  от
ее утечки по техническим  каналам  (для  каждого  объекта  защиты,  на
котором обрабатываются сведения, содержащие государственную тайну);
     - инструкции по обеспечению  режима  секретности  при  работе  на
средствах вычислительной  техники  (для  каждого  объекта  защиты,  на
котором обрабатываются сведения, содержащие государственную тайну);
     - модели угроз безопасности информации  (модели  нарушителя)  для
каждой информационной системы (объекта защиты);
     - положения по защите информации конфиденциального характера (для
каждого   органа   власти   и   подведомственной   организации,    где
обрабатывается такая информация), другие документы в  соответствии  со
Специальными требованиями и рекомендациями по защите  конфиденциальной
информации (СТР-К);
     - документы в   соответствии   с    требованиями    постановления
Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении
Положения об  обеспечении  безопасности  персональных  данных  при  их
обработке в информационных системах персональных данных";
     - положения о подразделении (специалисте)  по  защите  информации
органа власти (организации);
     - организационно-распорядительные документы, определяющие условия
допуска в помещения и доступа к защищаемым информационным ресурсам;
     - типовые инструкции  администратора   баз   данных;   инструкции
администратора   безопасности   информации,   должностные   инструкции
(регламенты) сотрудников в части их обязанностей и ответственности  за
обеспечение безопасности информации и другие.
     3. Приведение  организации   и   содержания   работ   по   защите
информации, порядка обработки защищаемой информации в информационных и
информационно-телекоммуникационных системах органов власти  Мурманской
области и подведомственных им  организаций  в  соответствие  с  общими
требованиями  и  утвержденным  технологическим   процессом   обработки
информации.
     4. Обучение пользователей мерам по защите информации  и  правилам
эксплуатации информационных систем и средств защиты информации.
     5. Планирование и организацию  работ  по  проведению  контроля  и
повышению персональной ответственности пользователей и должностных лиц
субъектов  информационного  взаимодействия,  обладателей   информации,
операторов информационных и информационно-телекоммуникационных  систем
за выполнение мер противодействия угрозам безопасности информации.
     3.3. Технические меры включают в себя:
     - применение сертифицированных средств защиты информации;
     - антивирусную защиту;
     - резервное копирование программ и данных;
     - использование выделенных каналов связи;
     - диверсификацию доступа к коммуникационным средам;
     - резервирование выделенных линий связи;
     - применение аппаратных платформ с повышенной надежностью;
     - использование источников гарантированного электропитания;
     - использование средств гарантированного уничтожения информации;
     - аттестацию объектов информатизации по требованиям  безопасности
информации.
     Наибольшая  эффективность  этих  мер  достигается   при   условии
предварительного выполнения всех  организационных  мер,  а  также  при
соблюдении следующих принципов:
     - возможности технических средств защиты  информации,  основанные
на  тех  или  иных  информационных  технологиях,  должны   максимально
использоваться  для  целей  защиты  информации  в   информационных   и
информационно-телекоммуникационных   системах   органов    власти    и
организаций;
     - средства защиты информации субъектов информационного  обмена  в
региональной  системе  защиты  информации  не  дублируют,  но  взаимно
дополняют  возможности   по   противодействию   угрозам   безопасности
информации  в  информационных   и   информационно-телекоммуникационных
системах;
     - в корпоративных     (интегрированных)     информационных      и
информационно-телекоммуникационных   системах   безопасность   каждого
компонента  (сегмента)  подтверждается  их   операторами   выполнением
требований  федерального  органа  исполнительной  власти   в   области
обеспечения безопасности и федерального органа исполнительной  власти,
уполномоченного в  области  противодействия  техническим  разведкам  и
технической защиты информации,  в  пределах  их  полномочий,  а  также
выданными этими федеральными органами  сертификатами  на  используемые
средства защиты информации или путем декларирования этой безопасности;
     - аттестация информационных систем  по  требованиям  безопасности
информации при наличии в них информации ограниченного доступа является
необходимым условием функционирования их в  составе  информационных  и
информационно-телекоммуникационных систем Мурманской области.

   4. Перечень основных мероприятий по совершенствованию системы
           защиты информации и пути реализации Концепции

     Уточняется состав  Региональной  комиссии  по  защите  информации
Мурманской области.
     Вносятся дополнения в положения о  подразделениях  (специалистах)
по защите информации, определенные требованиями нормативных документов
по  обеспечению  безопасности  информации  в   ключевых   системах   и
безопасности персональных данных при  их  обработке  в  информационных
системах.
     Проводятся    учет     и     регистрация     информационных     и
телекоммуникационных систем региона.
     Формируется           Реестр           информационных           и
информационно-телекоммуникационных систем Мурманской области. Оператор
Реестра-  исполнительный  орган  государственной   власти   Мурманской
области,  осуществляющий  работы  в  сфере  информационных  технологий
Мурманской области.
     Проводится   анализ    обрабатываемой    в    информационных    и
информационно-телекоммуникационных  системах,  а  также  в  помещениях
органов власти и подведомственных им организаций информации на предмет
ее отнесения к информации с ограниченным доступом. Результаты  анализа
оформляются актами операторов информационных систем. Акты утверждаются
руководителями органов власти, организаций.
     Разрабатываются   и   утверждаются   типовые   перечни   сведений
конфиденциального характера для органов власти и  подведомственных  им
организаций с учетом требований нормативных  актов  в  области  защиты
информации.
     Проводится   классификация   (уточнение   класса    защищенности)
информационных систем  с  учетом  категорий  информации,  определенной
ранее, полученные результаты отражаются в  актах  классификации.  Акты
утверждаются руководителями органов власти, организаций.
     Проводится ознакомление исполнителей с упомянутыми выше перечнями
в части, их касающейся. Устанавливается разрешительная система доступа
исполнителей к документам и сведениям ограниченного  доступа  (матрицы
доступа,  другие  документы,  отражающие  полномочия   пользователей),
допуска  в  помещения,  где  обрабатывается  информация  ограниченного
доступа.
     Проводится оценка достаточности  и  соответствия  принятых  ранее
организационных  и  технических  мер   в   каждой   информационной   и
информационно-телекоммуникационной  системе  требованиям   нормативных
правовых актов и методических документов. Разрабатываются планы  работ
по формированию  систем  защиты  для  каждого  объекта  защиты.  Планы
утверждаются    руководителем    соответствующего    органа    власти,
организации.     В     наиболее      важных      информационных      и
информационно-телекоммуникационных  системах  планируется   проведение
аудита организациями, имеющими соответствующие лицензии.
     Проводятся   работы    по    анализу    состояния    защищенности
информационных  и  информационно-телекоммуникационных  систем  органов
власти Мурманской  области,  оцениваются  общий  масштаб  и  стоимость
основных  работ.  Проводятся  расчеты   по   обоснованию   затрат   на
формирование и поддержание системы защиты информации  на  год.  Данные
расходы закладываются  в  бюджеты  соответствующих  органов  власти  и
организаций.
     Осуществляется  планомерная  работа  по   отбору   и   назначению
специалистов  (штатных,  нештатных),  подготовке,   переподготовке   и
повышению  квалификации   данных   специалистов   в   области   защиты
информации, ведется учет специалистов и проводится  оценка  уровня  их
профессиональной  подготовки.  Создаются   подразделения   по   защите
информации   (назначаются   специалисты)   в    органах    власти    и
подведомственных им организациях. Подразделения по  защите  информации
собирают и передают в Управление ФСТЭК России по СЗФО данные в  реестр
ключевых систем  информационной  инфраструктуры  федерального  округа,
формируют и ведут перечень ключевых систем в Мурманской области.
     Определяется перечень  общих  и  типовых  документов,  подлежащих
централизованной    разработке.     Разрабатываются     первоочередные
нормативные   правовые   акты,    организационно-распорядительные    и
методические документы для систем защиты информации.
     Информационные   и   информационно-телекоммуникационные   системы
оцениваются  на  предмет  их  оснащения   лицензионными   программными
средствами, а также сертифицированными средствами защиты информации.
     Определяются: общая организация, форма и  регламент  контроля  за
выполнением  требований  нормативных  правовых  актов  и  методических
документов в области защиты информации (собственный контроль в органах
власти и организациях, контроль со  стороны  подразделения  по  защите
информации),  организуется  контроль  состояния  защиты  информации  в
региональной системе защиты информации.
     Формируется база  данных  органов  власти  Мурманской  области  о
состоянии региональной системы защиты информации.
     Мероприятия,  определенные  данным  документом,  проводятся   под
контролем Управления ФСТЭК  России  по  Северо-Западному  федеральному
округу, при поддержке Межведомственного совета  по  защите  информации
при  полномочном  представителе  Президента  Российской  Федерации   в
Северо-Западном федеральном округе, отражаются в годовых планах  работ
с отчетами о проделанной работе в конце года

             5. Ожидаемые результаты реализации Концепции

     Реализация Концепции позволит:
     - улучшить   организационную   структуру   СЗИМО,   ее   кадровое
обеспечение;
     - улучшить обеспеченность органов  СЗИМО  документами  в  области
технической защиты информации;
     - комплексно,  при  минимальных  затратах  и  в  короткие   сроки
привести информационные и  информационно-телекоммуникационные  системы
Мурманской области в соответствие с требованиями нормативных  правовых
актов в области защиты информации;
     - завершить          оснащение          информационных          и
информационно-телекоммуникационных    систем    Мурманской     области
высокоэффективными средствами и технологиями защиты информации;
     - исключить необоснованное дублирование мер защиты информации;
     -повысить оперативность  и   качество   управления   региональной
системой защиты информации.
     Ожидаемый эффект от реализации Концепции состоит:
     - в  минимизации  ущерба  от  возможной   утечки   информации   и
специальных       воздействий        на        информационные        и
информационно-телекоммуникационные системы органов  власти  Мурманской
области;
     - в рациональном использовании  средств  бюджета,  выделяемых  на
защиту информации;
     - в  обеспечении  благоприятных  условий   для   эффективного   и
законного  использования  информационных   ресурсов   органов   власти
Мурманской области.

                         



Информация по документу
Читайте также