Расширенный поиск
Указ Главы Карачаево-Черкесской Республики от 21.06.2011 № 207

 



                         РОССИЙСКАЯ ФЕДЕРАЦИЯ

                               У К А З

                ГЛАВЫ КАРАЧАЕВО-ЧЕРКЕССКОЙ РЕСПУБЛИКИ


Об утверждении Концепции защиты информации  в  органах  исполнительной
власти Карачаево-Черкесской Республики


     В целях   обеспечения   единого   подхода   к   вопросам   защиты
информационных     ресурсов     органов     исполнительной      власти
Карачаево-Черкесской     Республики,    выработки    методической    и
организационной    основы    информационной    безопасности    органов
исполнительной  власти  Карачаево-Черкесской  Республики и активизации
деятельности по защите информации

П О С Т А Н О В Л Я Ю:

     1. Утвердить Концепцию защиты информации в органах исполнительной
власти Карачаево-Черкесской Республики согласно приложению.
     2. Признать утратившим силу Указ Президента  Карачаево-Черкесской
Республики  от  29.08.2007 N 147 "Об утверждении Концепции обеспечения
информационной безопасности Карачаево-Черкесской Респуб-лики".
     3. Настоящий Указ вступает в силу со дня его подписания.


     Глава
     Карачаево-Черкесской Республики                      Р.Б.Темрезов



     г. Черкесск
     Дом Правительства
     21 июня 2011 года
     N 207



                                       Приложение к Указу Главы
                                       Карачаево-Черкесской Республики
                                       от 21.06.2011 N 207

                          К О Н Ц Е П Ц И Я
          защиты информации в органах исполнительной власти
                   Карачаево-Черкесской Республики

                             1. Введение

     Концепция  защиты  информации  в  органах  исполнительной  власти
Карачаево-Черкесской Республики представляет собой систему взглядов на
проблему информационной безопасности, в том числе на  проблему  защиты
информации с ограниченным доступом, а также на цели, задачи,  принципы
формирования  и  развития  системы   защиты   информации   в   органах
исполнительной власти Карачаево-Черкесской Республики, которая, в свою
очередь, является частью  государственной  системы  защиты  информации
Российской Федерации.
     Необходимость  разработки  Концепции  обусловлена   стремительным
расширением сферы  применения  новейших  информационных  технологий  и
процессов при обработке информации и персональных данных, в частности.
     Концепция  защиты  информации  в  органах  исполнительной  власти
Карачаево-Черкесской  Республики  направлена  на  формирование   общей
стратегии построения системы защиты информации.
     Правовую   основу   Концепции   защиты   информации   в   органах
исполнительной  власти  Карачаево-Черкесской   Республики   составляют
Конституция Российской Федерации, федеральные законы, иные нормативные
правовые акты Российской Федерации,  Конституция  Карачаево-Черкесской
Республики, законы Карачаево-Черкесской Республики,  иные  нормативные
правовые акты Карачаево-Черкесской  Республики  по  защите  информации
(безопасности  информации),  а  также   заключенные   или   признанные
Российской   Федерацией   международные   договоры    и    соглашения,
определяющие права и ответственность граждан, общества и государства в
информационной сфере.
     Концепция  защиты  информации  в  органах  исполнительной  власти
Карачаево-Черкесской  Республики  дополняет  и   развивает   Концепцию
национальной    безопасности    Российской     Федерации,     Доктрину
информационной  безопасности  Российской  Федерации  применительно   к
организации  защиты  информации  в   органах   исполнительной   власти
Карачаево-Черкесской Республики.
     1. Термины и понятия, используемые в настоящей Концепции
     Для целей настоящей Концепции используются  следующие  термины  и
понятия:
информация - сведения о лицах, предметах, фактах, событиях, явлениях и
процессах независимо от формы их представления;
     информация   с   ограниченным   доступом   -    документированная
информация, которая по условиям ее правового режима подразделяется  на
информацию, отнесенную к государственной тайне, и конфиденциальную;
     государственная  тайна  -  защищаемые  государством  сведения   в
области    его     военной,     внешнеполитической,     экономической,
разведывательной,   контрразведывательной    и    оперативно-розыскной
деятельности, распространение которых может нанести ущерб безопасности
Российской Федерации;
     конфиденциальная  информация  -  документированная  информация  с
ограниченным   доступом,   не   содержащая   сведений,    составляющих
государственную тайну, доступ к которой ограничивается в  соответствии
с законодательством Российской Федерации;
     персональные данные  (или  личные  данные)  -  любая  информация,
относящаяся к  определенному  или  определяемому  на  основании  такой
информации физическому лицу  (субъекту  персональных  данных),  в  том
числе его фамилия, имя, отчество, год, месяц, дата и  место  рождения,
адрес, семейное,  социальное,  имущественное  положение,  образование,
профессия, доходы и другая информация;
     информационные ресурсы - отдельные документы и массивы документов
в  информационных  системах  (библиотеках,  архивах,  фондах,   банках
данных, других информационных системах);
     защита информации - деятельность, направленная на  предотвращение
утечки защищаемой информации, несанкционированных  и  непреднамеренных
воздействий на защищаемую информацию;
     защищаемая  информация   -   информация,   являющаяся   предметом
собственности  и  подлежащая  защите  в  соответствии  с  требованиями
правовых документов или требованиями,  устанавливаемыми  собственником
информации;
     защищаемый  объект  информатизации  (объект   информатизации)   -
совокупность  информационных  ресурсов,  средств  и  систем  обработки
информации, используемых  в  соответствии  с  заданной  информационной
технологией, средств обеспечения объекта информатизации, помещений или
объектов (зданий, сооружений,  технических  средств),  в  которых  они
установлены, или помещения  и  объекты,  предназначенные  для  ведения
конфиденциальных переговоров;
     безопасность информации -  состояние  информации,  информационных
ресурсов и информационных систем, при котором с требуемой вероятностью
обеспечивается защита информации (данных) от утечки, хищения,  утраты,
несанкционированного уничтожения, искажения,  модификации  (подделки),
копирования, блокирования информации и т.п.;
     система  защиты  информации  -  совокупность  органов   и   (или)
исполнителей, используемой ими  техники  защиты  информации,  а  также
объектов  защиты,  организованных  и  функционирующих   по   правилам,
установленным               соответствующими                правовыми,
организационно-распорядительными и нормативными документами в  области
защиты информации;
     объект защиты - объект,  имеющий  охраняемые  сведения,  и  (или)
объект, на котором осуществляются работы с защищаемой информацией;
     техника защиты информации - средства защиты информации,  средства
контроля  эффективности  защиты   информации,   средства   и   системы
управления, предназначенные для обеспечения защиты информации;
     средство защиты информации - техническое,  программное  средство,
вещество и (или) материал, предназначенные или используемые для защиты
информации;
     средство контроля эффективности защиты информации  -  техническое
программное средство, вещество и (или) материал,  предназначенные  или
используемые для контроля эффективности защиты информации;
     технический  канал  утечки  информации  (технический   канал)   -
совокупность объекта защиты, физической среды и  средства  технической
разведки, которыми добывается защищаемая информация;
     утечка  информации  по  техническим  каналам  -  неконтролируемое
распространение  защищаемой  информации  по  техническим   каналам   в
результате  несанкционированного  доступа  к  информации  и  получения
защищаемой информации разведками;
     несанкционированный доступ к информации  -  получение  защищаемой
информации  заинтересованным  субъектом  с  нарушением   установленных
правовыми документами или собственником,  владельцем  информации  прав
или правил доступа к защищаемой информации.

                          2. Общие положения

     Защита информации является неотъемлемой составной частью основной
деятельности  государственных  органов  власти  и  достигается   путем
проведения  комплекса   правовых,   организационных,   технических   и
методических   мероприятий,   направленных   на   предотвращение   или
преодоление угроз безопасности информации  в  зависимости  от  условий
деятельности и решаемых задач.
     Совершенствование  способов  и  средств   технической   разведки,
повышение опасности угроз несанкционированного доступа к информации  и
специальных воздействий на нее в системах и средствах информатизации и
связи, происходящие с течением времени изменения условий и приоритетов
защиты объектов,  обусловливают  необходимость  интенсивного  развития
системы защиты информации.
     Финансирование  мероприятий  по  защите  информации   в   органах
исполнительной власти Карачаево-Черкесской  Республики  осуществляется
за счет средств республиканского бюджета.
     Проведение указанного комплекса мероприятий по защите  информации
должно основываться на определении:
     источников угроз безопасности информации, вероятности  реализации
угроз на конкретных объектах;
     перечней объектов защиты;
     средств и методов защиты информации.
     Целями защиты информации являются:
     предотвращение  утечки,  хищения,  утраты,  искажения,   подделки
информации;
     предотвращение    угроз    безопасности    личности,    общества,
государства;
     предотвращение  несанкционированных  действий   по   уничтожению,
модификации, искажению, копированию, блокированию информации;
     предотвращение   других   форм   незаконного   вмешательства    в
информационные ресурсы и информационные системы, обеспечение правового
режима документированной информации как объекта собственности;
     защита конституционных прав граждан на сохранение личной тайны  и
конфиденциальности персональных  данных,  имеющихся  в  информационных
системах;
     сохранение     государственной     тайны,      конфиденциальности
документированной   информации   в    соответствии    с    федеральным
законодательством;
     обеспечение прав  субъектов  в  информационных  процессах  и  при
разработке,   производстве   и   применении   информационных   систем,
технологий и средств их обеспечения;
     содействие экономическому, научно-техническому прогрессу.
     Основными задачами защиты информации являются:
     реализация единой политики по защите информации;
     формирование и организация деятельности по защите информации;
     определение и учет  информационных  ресурсов,  систем  и  средств
формирования,  передачи,   хранения,   обработки   и   распространения
информации, подлежащей защите;
     исключение  или  существенное  затруднение  добывания  информации
средствами технической разведки путем предотвращения утечки информации
по  техническим   каналам,   несанкционированного   доступа   к   ней,
специальных  воздействий  на  информацию  с  целью   ее   уничтожения,
искажения и блокирования;
     подготовка   предложений    по    совершенствованию    правового,
нормативного, методического,  научно-технического  и  организационного
обеспечения защиты информации;
     принятие  в  пределах  компетенции  нормативных  правовых  актов,
регулирующих отношения в области защиты информации;
     анализ состояния и прогнозирование источников угроз  безопасности
информации;
     выявление ключевых проблем и определение приоритетных направлений
развития системы защиты информации;
     проведение  практических  мероприятий  по  созданию  и   развитию
системы защиты информации;
     методическое  и  информационное  обеспечение  работ   по   защите
информации;
     контроль и анализ состояния защиты информации;
     совершенствование и развитие системы подготовки  специалистов  по
защите информации.
     Основными объектами защиты информации являются:
     информационные  ресурсы,  содержащие   сведения,   отнесенные   к
государственной тайне;
     конфиденциальная информация (персональные данные, в частности);
     информация в ключевых информационных системах;
     средства  и  системы  информатизации   (средства   вычислительной
техники,  информационно-вычислительные  комплексы,  сети  и  системы),
программные средства (операционные системы, системы управления  базами
данных, другое общесистемное и  прикладное  программное  обеспечение),
автоматизированные  системы  управления,  системы  связи  и   передачи
данных,  осуществляющие  прием,   обработку,   хранение   и   передачу
информации с ограниченным доступом;
     технические   средства   и   системы,   обрабатывающие   открытую
информацию, но размещенные  в  помещениях,  в  которых  обрабатывается
информация  с  ограниченным  доступом,   а   также   сами   помещения,
предназначенные для обработки такой информации;
     помещения,  предназначенные  для  ведения  переговоров,  в   ходе
которых оглашаются сведения ограниченного доступа.

    3. Состояние защиты информации в органах исполнительной власти
                   Карачаево-Черкесской Республики

     Скачок  в  развитии  средств  вычислительной  техники  привел   к
созданию   большого   количества   разного   рода   автоматизированных
информационных и управляющих  систем,  к  возникновению  принципиально
новых  информационных  технологий,   в   том   числе   и   в   органах
исполнительной власти  Карачаево-Черкесской  Республики.  Одновременно
возникла   и   проблема   обеспечения   безопасности   хранящейся    и
обрабатываемой в таких системах  информации,  неправомерное  искажение
или фальсификация,  уничтожение  или  разглашение  определенной  части
которой может нанести серьезный материальный и моральный  урон  многим
субъектам (государству, юридическим и физическим лицам), участвующим в
процессах автоматизированного информационного взаимодействия. Несмотря
на достаточно длительный период,  в  который  происходило  становление
организационной  структуры  системы  защиты  информации  в  Российской
Федерации и ее субъектах, формировались  основы  нормативной  правовой
базы и накапливался опыт ее функционирования в  новых  политических  и
экономических условиях, и по  сегодняшний  день  возникает  целый  ряд
проблем в области защиты информации,  требующих  неотложного  решения.
Среди основных проблем, характеризующих современное состояние  системы
обеспечения  защиты  информации  в   органах   исполнительной   власти
Карачаево-Черкесской Республики, можно выделить следующие:
     нехватка и  низкий  уровень  подготовки  специалистов  в  области
защиты информации;
     слабая оснащенность подразделения по защите информации средствами
и аппаратурой контроля эффективности защиты  информации,  нормативными
правовыми и методическими документами в области защиты  информации,  а
также сертифицированными средствами защиты информации;
     недостаточное     использование     возможностей      современных
информационных технологий для  обеспечения  потребителей  необходимыми
документами, носящими открытый и обязательный характер;
     возрастание  зависимости  результатов  деятельности   в   органах
исполнительной власти Карачаево-Черкесской Республики от достоверности
используемой   ими   информации,   своевременности    ее    получения,
эффективности принятых мер по ее защите;
     придание информации статуса объекта  собственности,  формирование
информационных    ресурсов    в    органах    исполнительной    власти
Карачаево-Черкесской Республики, информационных ресурсов организаций и
граждан и, как следствие, обеспечение необходимой защиты этих ресурсов
от противоправных действий;
     использование      в      органах      исполнительной      власти
Карачаево-Черкесской  Республики  глобальных  информационных   систем,
накапливающих и передающих  большие  объемы  информации,  потенциально
уязвимых для несанкционированного доступа  к  информации,  возрастание
опасности  несанкционированных  и  непреднамеренных   воздействий   на
информацию в этих системах.
     увеличение количества возможных источников информационных  угроз,
возникающих в отношении государственных органов;
     рост числа преступлений в сфере информационных технологий;
     использование в государственных органах технических и программных
средств,  обеспечивающих  сбор,   хранение,   обработку   и   передачу
информации, не только  не  прошедших  сертификацию  в  соответствии  с
требованиями    безопасности    информации,    но    и     нелегальных
(контрафактных).
     Перечисленные факторы ставят  в  число  приоритетных  направлений
задачу развития системы защиты  информации  в  органах  исполнительной
власти Карачаево-Черкесской Республики.

      4. Цели, задачи, принципы формирования и развития системы
          защиты информации в органах исполнительной власти
                   Карачаево-Черкесской Республики

     Главной  целью  развития  системы  защиты  информации  в  органах
исполнительной   власти   Карачаево-Черкесской   Республики   является
формирование  комплекса  эффективно  функционирующих   систем   защиты
информации,  соответствующего  задачам  обеспечения  как  национальной
безопасности Российской Федерации, так и устойчивого развития  органов
исполнительной   власти   Карачаево-Черкесской   Республики   в    век
информационных технологий.
     Основными задачами в сфере развития системы защиты  информации  в
органах   исполнительной   власти   Карачаево-Черкесской    Республики
являются:
     формирование  и  совершенствование  системы  защиты   информации,
развитие ее технического и кадрового потенциала;
     создание необходимых  и  достаточных  правовых,  организационных,
экономических   и   научно-технических   условий    для    обеспечения
деятельности системы защиты информации;
     обеспечение эффективной технической защиты информации на объектах
органов исполнительной власти Карачаево-Черкесской Республики;
     создание эффективной и гибкой системы управления системой  защиты
информации.
     Основными принципами развития системы защиты информации в органах
исполнительной власти Карачаево-Черкесской Республики являются:
     соответствие уровня развития системы  защиты  информации  задачам
обеспечения   национальной    безопасности    Российской    Федерации,
безопасности и устойчивого развития в  органах  исполнительной  власти
Карачаево-Черкесской   Республики   с   учетом    его    экономических
возможностей;
     обеспечение в органах исполнительной власти  Карачаево-Черкесской
Республики  своевременной  и  адекватной  реакции  на  возникающие   и
прогнозируемые угрозы ведения технической разведки, утечки  информации
по техническим каналам, несанкционированного доступа  к  информации  и
специальных воздействий на нее;
     использование  новейших  методов  руководства   системой   защиты
информации и ее развития;
     программно-целевое   планирование   развития    системы    защиты
информации.

    5. Основные направления формирования и развития системы защиты
              информации в органах исполнительной власти
                   Карачаево-Черкесской Республики

     Основные положения настоящей Концепции реализуются  в  результате
целенаправленной  повседневной  деятельности  государственных  органов
власти,     выполнения     общегосударственных     и      региональных
научно-технических программ  в  области  защиты  информации,  а  также
программ информатизации общества, и могут быть выполнены:
     5.1. При  решении   задачи   формирования   и   совершенствования
организационной структуры  системы  защиты  информации,  то  есть  при
условии:
     формирования обособленного структурного подразделения  по  защите
информации;
     создания  и  развития   системы   подготовки   и   переподготовки
специалистов в области защиты информации.
     5.2. При  решении  задачи  создания  необходимых  и   достаточных
правовых, организационных  и  экономических  условий  для  обеспечения
деятельности системы защиты информации, то есть при условии:
     совершенствования концептуальных и  правовых  основ  деятельности
системы защиты информации;
     организации и обеспечения  работ  по  выявлению  и  оценке  угроз
безопасности  информации,  прогнозированию  их  развития,   разработке
типового перечня угроз безопасности информации для объектов защиты;
     разработки нормативных правовых актов и  методических  документов
по  защите  информации,  конкретизирующих  и   дополняющих   документы
федерального уровня;
     оснащения объектов информатизации современными сертифицированными
средствами  защиты  информации  (в  том  числе   средствами   контроля
эффективности защиты информации).
     5.3. При  решении  задачи  обеспечения  эффективной   технической
защиты информации в органах исполнительной власти Карачаево-Черкесской
Республики, то есть при условии:
     проведения  мероприятий  по  защите  информации  при  организации
выставок,  конференций,  совещаний,  в  том  числе  с   использованием
открытых информационных систем;
     использования только легального  и  сертифицированного  общего  и
специального  программного  обеспечения,   сертифицированных   средств
защиты информации.
     5.4. При решении задачи создания  эффективной  и  гибкой  системы
управления системой защиты информации, приспособленной к  изменяющимся
условиям обстановки, то есть при условии:
     создания системы мониторинга состояния системы защиты  информации
в интересах информационного обеспечения  принятия  решений  по  защите
информации;
     создания  и  развертывания  информационно-аналитической   системы
защиты информации.

      6. Этапы формирования и развития системы защиты информации

     Можно выделить следующие этапы  формирования  и  развития  единой
системы защиты информации:
     определение   принципов    взаимодействия    государственных    и
муниципальных  органов  и  организаций  при   решении   задач   защиты
информации, создание организационно-правовой базы;
     корректирование   действующих   и    разработка    первоочередных
нормативных правовых  актов  и  методических  документов  для  системы
защиты информации;
     создание структурных  подразделений  (служб)  или  учреждения  по
защите информации в государственных органах, назначение в организациях
ответственных лиц (специалистов) в сфере защиты информации;
     осуществление подготовки и переподготовки специалистов в  области
защиты информации;
     определение перечня информационных ресурсов,  подлежащих  защите,
определение структуры и порядка  деятельности  соответствующих  систем
формирования, учета, хранения и распространения информации;
     проведение анализа состояния защиты информации и начало  создания
элементов информационно-аналитической системы оценки состояния  защиты
информации;
     оснащение средствами защиты информации и  контроля  эффективности
защиты информации;
     совершенствование   нормативно-методического    и    технического
обеспечения организации  и  ведения  работ  по  защите  информации  на
объектах защиты всех уровней;
     совершенствование   организационных   мероприятий,    технических
методов и техники защиты информации на объектах защиты;
     проектирование и создание системы  технического  контроля  защиты
информации.

        7. Ожидаемые результаты реализации настоящей Концепции

     Реализация настоящей Концепции позволит:
     улучшить организационную  структуру  системы  защиты  информации,
обеспечить ее высококвалифицированными специалистами;
     повысить  оснащенность   высокоэффективными   средствами   защиты
информации, а также средствами контроля ее эффективности;
     улучшить обеспеченность документами в области защиты информации;
     повысить  обоснованность,  оперативность  и  качество  управления
системой      защиты      информации      за       счет       создания
информационно-аналитической системы защиты информации.
     В  результате  будет  создана  система,  соответствующая  задачам
обеспечения   национальной    безопасности    Российской    Федерации,
безопасности и  устойчивого  развития  органов  исполнительной  власти
Карачаево-Черкесской Республики,  а  также  своевременно  и  адекватно
реагирующая на угрозы безопасности информации.


                      __________________________