Постановление Правительства Нижегородской области от 31.12.2015 № 920

 

ПРАВИТЕЛЬСТВО НИЖЕГОРОДСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 31 декабря 2015 года № 920

 

Об утверждении Концепции

информационной безопасности

Нижегородской области

 

 

В целях обеспечения необходимого уровня информационной безопасности в Нижегородской области Правительство Нижегородской области постановляет:

1. Утвердить прилагаемую Концепцию информационной безопасности Нижегородской области (далее - Концепция).

2. Органам исполнительной власти Нижегородской области и подведомственным им организациям при планировании, организации и реализации мероприятий по обеспечению информационной безопасности (защиты информации) учитывать положения, предусмотренные Концепцией.

3. Рекомендовать органам местного самоуправления муниципальных районов (городских округов) Нижегородской области и подведомственным им организациям при планировании, организации и реализации мероприятий по обеспечению информационной безопасности (защиты информации) руководствоваться положениями, предусмотренными Концепцией.

4. Рекомендовать организациям, в уставном (складочном) капитале которых доля (вклад) Нижегородской области и (или) муниципальных образований Нижегородской области составляет 50% (пятьдесят процентов) и более, и расположенным на территории Нижегородской области, при планировании, организации и реализации мероприятий по обеспечению информационной безопасности (защиты информации) руководствоваться положениями, предусмотренными Концепцией.

5. Рекомендовать органам и организациям, указанным в пунктах 2 - 4 настоящего постановления, привести  акты, определяющие организацию и функционирование их внутренней системы информационной безопасности (защиты информации), в соответствие с Концепцией.

 

 

 

Губернатор                                                                 В.П.Шанцев

 

 

 

УТВЕРЖДЕНА

постановлением Правительства

Нижегородской области

от 31 декабря 2015 года № 920

 

 

КОНЦЕПЦИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

НИЖЕГОРОДСКОЙ ОБЛАСТИ

(далее - Концепция)

 

 

I. ОСНОВНЫЕ ПОЛОЖЕНИЯ

 

1.1. ВВЕДЕНИЕ

 

1.1.1. Настоящая Концепция представляет собой единую систему взглядов на проблемы информационной безопасности, построение (развитие) системы информационной безопасности Нижегородской области, направленные на согласованное исполнение органами исполнительной власти и местного самоуправления муниципальных образований Нижегородской области, организациями Нижегородской области, в том числе подведомственными органам исполнительной власти и органам местного самоуправления муниципальных образований Нижегородской области (далее - Субъекты), требований по обеспечению информационной безопасности (защиты информации), установленных на федеральном и областном уровнях. 

1.1.2. Положения настоящей Концепции детализируют Доктрину информационной безопасности Российской Федерации, утвержденную Президентом Российской Федерации от 9 сентября  2000 года № Пр-1895, применительно к сфере информационной безопасности Нижегородской области, а также Стратегию национальной безопасности Российской Федерации до 2020 года, утвержденную Указом Президента Российской Федерации от 12 мая 2009 года № 537, применительно к информационной сфере Нижегородской области.

1.1.3. Настоящая Концепция разработана на основе анализа текущего состояния системы информационной безопасности Нижегородской области во избежание причинения ущерба Нижегородской области и субъектам правоотношений вследствие реализации информационных рисков и угроз информационной безопасности, и определяет:

1) проблемные области обеспечения информационной безопасности Нижегородской области (Субъектов, их объектов защиты), требующие решения на современном этапе развития;

2) актуальные направления, задачи и принципы развития текущей системы информационной безопасности Нижегородской области. 

1.1.4. Настоящая Концепция служит основой для:

1) создания государственных программ, а также планов Субъектов по информационной безопасности (защите информации);

2) уточнения содержания иных связанных с ней программ, планов, правовых и организационно-распорядительных документов, находящихся в стадии выполнения или разработки;

3) проведения единой согласованной политики в сфере обеспечения информационной безопасности Нижегородской области;

4) подготовки предложений по совершенствованию правового, научно-технического и организационного обеспечения информационной безопасности Нижегородской области.

1.1.5. Положения настоящей Концепции разработаны на основе:

1) основных направлений государственной политики в области информационной безопасности, сформулированных в Концепции региональной информатизации, утвержденной распоряжением Правительства Российской Федерации от 29 декабря 2014 года № 2769-р;

2) решений, методических рекомендаций Совета Безопасности Российской Федерации, Координационного Совета по защите информации при полномочном представителе Президента Российской Федерации в ПФО (далее - Координационный Совет), управления Федеральной службы по техническому и экспортному контролю Российской Федерации (далее - ФСТЭК России) по Приволжскому федеральному округу (далее - ПФО), управления Федеральной службы безопасности Российской Федерации (далее - ФСБ России) по Нижегородской области по организации системы информационной безопасности (защиты информации) в субъектах Российской Федерации;

3) Основ организации защиты информации в ПФО, одобренных решением Координационного Совета от 12 ноября 2009 года;

4) иных нормативных правовых актов, методических рекомендаций федеральных органов исполнительной власти, регулирующих отношения и вопросы в области информации, информационных технологий и информационной безопасности (защиты информации) в Российской Федерации.

1.1.6. В настоящей  Концепции используются понятия, определения и сокращения, установленные Федеральными законами от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 года № 152-ФЗ "О персональных данных", Законом Российской Федерации от 21 июля 1993 года № 5485-1 "О  государственной тайне", ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации", ГОСТ Р 51188-98 "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от  30 августа 2002 года № 282,  Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008  года, а также следующие понятия, определения и сокращения:

"ИС" - информационная система;

"ИР" - информационный ресурс; 

"ОМСУ" - орган (ы) местного самоуправления муниципальных образований Нижегородской области, в том числе муниципальных районов и (или) городских округов Нижегородской области;

"ОИВ" - орган (ы) исполнительной власти Нижегородской области;

"Органы" - ОИВ и ОМСУ;

"Организации" - организации, в уставном (складочном) капитале которых доля (вклад) Нижегородской области и (или) муниципальных образований  Нижегородской области составляет 50% (пятьдесят процентов) и более, и расположенные на территории Нижегородской области;

"Подведомственные организации" - организации, подведомственные Органам;

"Субъекты" - Органы, Организации и Подведомственные организации;

"специалист по ИБ" - специалист по информационной безопасности и (или) защите (технической) информации,  не отнесенной к государственной тайне, и (или) защите (технической) информации, содержащей сведения, составляющие государственную тайну;

"мероприятия по обеспечению ИБ" - мероприятия по обеспечению информационной безопасности, в том числе по защите (технической) информации, проводимые Субъектами;

"НО" - Нижегородская область;

"ИБ" - информационная  безопасность как состояние защищенности Субъектов и (или) их объектов защиты;

"ИБ НО" - ИБ (защита информации) Нижегородской области, Субъектов и их объектов защиты;

"головное подразделение по защите информации" - ОИВ, обеспечивающие реализацию государственной политики, организацию координации и межведомственного взаимодействия, а также контроль в области обеспечения безопасности информации по вопросам технической защиты информации, составляющей государственную тайну, информации ограниченного доступа, не отнесенной  к государственной тайне; противодействие иностранным  техническим разведкам; обеспечение безопасности информации в ключевых системах информационной инфраструктуры и в открытых информационных системах.

 

1.2. ОБЪЕКТЫ ЗАЩИТЫ

 

1.2.1. В рамках реализации функций Субъектов защите подлежат следующие основные объекты (далее - объекты защиты Субъектов):

1.2.1.1. Информация ограниченного доступа и открытая (общедоступная) информация, содержащаяся в ИС и ИР Субъектов.

1.2.1.2. Информационные технологии, используемые Субъектами.

1.2.1.3. Информационные системы, содержащие защищаемую информацию и автоматизирующие исполнение государственных и (или) муниципальных функций, функций Субъектов, предоставление государственных и (или) муниципальных услуг населению:

1) справочно-правовые (информационно-правовые), содержащие тексты законов, указов, постановлений иных нормативных правовых актов,  решений различных государственных органов и т.п., консультации специалистов по праву, бухгалтерскому и  налоговому учёту, судебные решения, типовые формы деловых  документов и другие (например, "Гарант", "Консультант" и т.п.);

2) информационно-справочные, используемые для официального доведения любой информации до определенного или неопределенного круга лиц, при этом факт доведения такой информации не порождает правовых последствий, однако может являться обязательным в силу действующего законодательства (например, официальные порталы  (сайты) Субъектов, закрытые порталы для нескольких групп участников, интернет-портал государственных и муниципальных услуг Нижегородской области и т.п.);

3) сегментные, представляющие собой сегменты федеральных  ИС, создаваемые и эксплуатируемые на уровне Нижегородской области на основании предоставляемых с федерального уровня рекомендаций (правовых, организационных, технических) и используемые для сбора, обработки, свода данных на уровне Нижегородской области и передачи их на уровень федеральный, и  наоборот, при этом цели и задачи создания (модернизации), эксплуатации данных ИС определяются на федеральном уровне (например, "Региональный сегмент Единой Государственной Информационной Системы в сфере Здравоохранения Нижегородской области", "Информационная система персональных данных отдела социально-правовой защиты детей министерства образования Нижегородской области, обеспечивающая автоматизацию процессов получения, обработки, хранения и передачи информации о детях, оставшихся без попечения родителей, и граждан, желающих принять ребенка на опеку (попечительство) и усыновление", "АИСТ" (автоматизированная информационная система трансфузиологии, обеспечивающая информационное взаимодействие с единым информационным центром и ведение единой информационной  базы данных службы крови России) и т.п.);

4) внутриобластные, создаваемые и эксплуатируемые по решению органов государственной власти Нижегородской области (ОМСУ) или Субъекта в интересах нескольких Субъектов, при этом цели и задачи создания (модернизации), эксплуатации данных ИС, а также требования к ним определяются на уровне Нижегородской области (муниципальных образований области) или Субъекта, соответственно (например, "ЕСЭДД", "РСМЭВ", "АИС МФЦ", "НЭТИС" и т.п.);

5) ведомственные, создаваемые (эксплуатируемые) по решению Субъекта в интересах Субъекта и группы подведомственных ему организаций, цели и задачи создания (модернизации), эксплуатации которых определяются Субъектом (например, "1С: Свод отчетов" и т.п.);

6) служебные, создаваемые (эксплуатируемые) по решению Субъекта и в его интересах, цели и задачи создания (модернизации), эксплуатации которых определяются Субъектом, и используемые для автоматизации определённой области деятельности или типовой деятельности, неспецифичной относительно полномочий конкретного Субъекта (например, "Управление персоналом (кадрами)", "Продукты Microsoft Office" и т.п.);

7)  межрегиональные, используемые группой субъектов Российской Федерации и создаваемые (эксплуатируемые) в интересах Субъектов, при этом инициатором создания таких ИС и их оператором является один из субъектов Российской Федерации.

1.2.1.4. Информационные  ресурсы (файлы, базы данных, электронные и бумажные документы (носители) и т.д., содержащие защищаемую информацию и подразделяемые:

1) по категориям доступа на:

- внешние (открытые (общедоступные)),  доступные всем пользователям услуг Субъектов, и обеспечивающие их взаимодействие с гражданами и юридическими лицами;

- внешние с разграничением  доступа, доступ к которым предоставлен гражданами и юридическими лицами, но ограничен в соответствии с правилами разграничения доступа;

- внутренние (с ограниченным доступом), доступные определенным группам сотрудников Субъектов и взаимодействующих органов власти, организаций, Субъектов;

2) как объекты права собственности на:

- федеральные;

- находящиеся в совместном ведении Российской Федерации и Нижегородской области как субъекта Российской Федерации;

- принадлежащие Нижегородской области как субъекту Российской Федерации;

- принадлежащие ОИВ;

- принадлежащие ОМСУ;

- принадлежащие другим Субъектам;

- принадлежащие  другим субъектам  Российской  Федерации;

- принадлежащие иностранным юридическим и физическим лицам.

1.2.1.5. Информационно-телекоммуникационные сети, предназначенные для передачи по линиям связи защищаемой информации.

1.2.1.6. ИТ-инфраструктура - информационно-телекоммуникационная  инфраструктура, включающая в себя: информационную инфраструктуру, представленную серверным оборудованием, оборудованием для консолидированного хранения данных, автоматизированными рабочими местами пользователей и т.д., техническим (аппаратным),  программным и информационным обеспечением для их управления, и обеспечивающую основные функции - обработку и хранение защищаемой информации; телекоммуникационную инфраструктуру, обеспечивающую взаимосвязь элементов информационной инфраструктуры, а также  передачу данных между информационной инфраструктурой и пользователями.

1.2.1.7. Инженерная  инфраструктура, представленная техническими средствами и системами, не используемыми в ходе обработки и передачи информации, но размещенными в помещениях, где она обрабатывается и хранится, и обеспечивающая оптимальное функционирование основных систем ИТ-инфраструктуры, в том числе в целях нейтрализации утечек защищаемой информации (кондиционирование для поддержания температуры и уровня влажности в заданных параметрах, бесперебойное электроснабжение для автономной работы ИС в случаях отключения центральных источников электроэнергии, средства пожаротушения, система управления питанием и т.д.).

1.2.1.8. Помещения, где располагается вышеуказанная инфраструктура, в том числе:

1) помещения, в которых находятся вычислительные центры обработки данных, серверными помещениями;

2) помещения, где располагаются автоматизированные рабочие места, на которых осуществляется обработка защищаемой информации, устройства ввода (вывода) и хранилища носителей защищаемой информации;

3) специальные помещения, предназначенные для регулярного проведения собраний, совещаний и других мероприятий закрытого характера (за исключением обсуждения сведений, составляющих государственную тайну).

1.2.1.9. Носители защищаемой информации.

1.2.1.10. Объекты, содержащие носители защищаемой информации, не отнесенные к вышеуказанным объектам защиты Субъектов.

1.2.2. Детализированный  перечень объектов  защиты, актуальный для конкретного Субъекта (далее - объекты защиты, объекты защиты Субъекта), определяется, исходя из объектов защиты Субъектов, и закрепляется каждым Субъектом самостоятельно в своем внутреннем акте, который может содержать перечень защищаемой информации, названия ИС (подсистем), автоматизированных рабочих  мест, баз данных, информационных массивов, пакетов прикладных программ, обладателей информации, помещений, инфраструктур и прочего, подлежащего защите конкретным Субъектом. При необходимости указанный перечень согласовывается с вышестоящими организациями по подведомственности (в случае их наличия).

1.2.3. Перечни объектов защиты Субъектов подлежат централизованному своду, а указанные в них объекты защиты - обязательному учету и защите конкретным Субъектом. Порядок сбора и анализа сводных данных устанавливается актом головного подразделения по защите информации.

 

1.3. ИНТЕРЕСЫ НИЖЕГОРОДСКОЙ ОБЛАСТИ

В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

1.3.1. Основополагающими интересами Нижегородской области в сфере ИБ являются:

1) своевременное количественное и качественное обеспечение ИБ Субъектов, их объектов защиты, как уже созданных (эксплуатируемых), так и создаваемых на территории Нижегородской области;

2) соблюдение конституционных прав и свобод  человека (гражданина) в области получения информации и пользования ею, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала Нижегородской области при использовании объектов защиты Субъектов;

3) информационное  обеспечение политики Нижегородской области  (Субъектов), связанное с доведением до нижегородской и российской общественности достоверной информации об официальной позиции Нижегородской области (Субъектов) по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым ИС, ИР Нижегородской области (Субъектов).

1.3.2. Интересы Нижегородской области в сфере ИБ достигаются путем эффективного использования Субъектами имеющихся ресурсов.

 

 

II. ВИДЫ, ПЕРЕЧЕНЬ, ИСТОЧНИКИ И ВОЗМОЖНЫЕ ПОСЛЕДСТВИЯ

ВОЗДЕЙСТВИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

2.1. УГРОЗЫ  ИНФОРМАЦИОННОЙ  БЕЗОПАСНОСТИ И ИХ ИСТОЧНИКИ

 

2.1.1. Деятельность Субъектов, а также условия областной и международной информатизации способствуют значительному расширению использования ИС и ИР для целей оперативного управления и, одновременно с этим, повышению уровня информационных рисков, таких как  утечка информации, ее несанкционированное  уничтожение, искажение, недоступность хранимой, обрабатываемой и передаваемой информации. В существенной степени возникновению и реализации информационных рисков способствуют:

1) рост автоматизации деловых процессов  в  Субъектах и в целом по Нижегородской области;

2) увеличение объема обрабатываемой, передаваемой и хранимой Субъектами информации;

3) сосредоточение в базах данных Субъектов информации различного уровня важности, конфиденциальности и доступа;

4) расширение круга пользователей, имеющих доступ к  ИС и ИР Нижегородской области, в том числе в связи с расширением сотрудничества Субъектов с другими субъектами Российской Федерации и иными партнерами;

5) увеличение числа удаленных рабочих мест пользователей, появление мобильных рабочих мест;

6) широкое использование Субъектами информационно-телекоммуникационной сети "Интернет" и различных каналов связи;

7) рост деловой и инвестиционной активности в Нижегородской области, который требует соответствующей динамики развития системы управления Нижегородской областью, которая, в свою очередь, требует развития ИТ-инфраструктуры;

8) рост компьютерных преступлений и прочих видов угроз ИБ;

9) присутствие на территории Нижегородской области совместных предприятий (в том числе с иностранным участием);

10) возрастание опасности угроз, возникающих в непосредственной близости от защищаемых объектов Субъектов;

11) неспособность отдельных организаций Нижегородской области самостоятельно обеспечить эффективную внутреннюю систему защиты.

2.1.2. Для каждого объекта защиты в том или ином исполнении характерны свои угрозы, последствия реализации угроз, источники угроз, методы, способы и средства защиты от угроз, подходы к оценке эффективности реализуемых мероприятий по обеспечению ИБ.

2.1.3. Исходя из интересов Нижегородской области в сфере ИБ, современного этапа развития и условий информатизации Нижегородской области, а также тенденций развития Российской Федерации и зарубежных стран, влияющих на развитие Нижегородской области, а также ввиду разнородности объектов защиты Субъектов, архитектуры их исполнения основными угрозами ИБ по своей общей направленности являются:

1) угрозы безопасности объектов защиты Субъектов, как уже созданных (эксплуатируемых), так и создаваемых Субъектами на территории Нижегородской области; 

2) угрозы конституционным правам и свободам человека (гражданина) в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию при использовании объектов защиты Субъектов;

3) угрозы информационному обеспечению политики Нижегородской области (Субъектов).

2.1.4. Для каждого из направлений угроз, указанных в пункте 2.1.3 настоящего раздела, характерны естественные (объективные) и искусственные (субъективные) классы угроз.

2.1.4.1. Естественные - это угрозы, вызванные воздействиями на объект защиты и его элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

2.1.4.2. Искусственные - это угрозы, вызванные деятельностью человека. Таким образом, в качестве источников угроз ИБ Нижегородской области (Субъектов) могут выступать как физическое лицо - лицо, которое в результате умышленных или неумышленных действий может нанести ущерб объектам защиты и всей Нижегородской области, так и объективные проявления, независящие от человека.

Среди искусственных классов угроз, исходя из мотивации действий, можно выделить: 

1) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании объектов защиты и их элементов, ошибками в программном обеспечении, ошибками в действиях человека и т.п.;

2) преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей.

2.1.5. Источники естественных и искусственных классов угроз по отношению к объектам защиты могут быть внешними или внутренними, то есть находиться как внутри объекта защиты - внутренние, так и вне его - внешние.

2.1.5.1. Внешние угрозы исходят от природных явлений, а также от субъектов, не входящих в круг пользователей и обслуживающего персонала объектов защиты, разработчиков объектов защиты - ИС, и субъектов, не имеющих непосредственного контакта с объектами защиты. К основным внешним источникам следует отнести:

1)    деятельность иностранных политических, экономических, разведывательных и информационных структур на территории Нижегородской области, направленная против интересов Российской Федерации в информационной сфере;

2)    деятельность международных террористических организаций;

3)    стремление ряда стран к доминированию и ущемлению интересов Нижегородской области (равно как и всей страны) в мировом информационном пространстве, вытеснению ее с информационного рынка;

4)    обострение конкуренции за обладание информационными технологиями и ресурсами;

5)    увеличение технологического отрыва ряда стран и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

6) деятельность космических и наземных технических и иных средств (видов) разведки иностранных государств;

7)    разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы Нижегородской области (всей страны в целом), нарушение нормального функционирования информационно-телекоммуникационных сетей (средств, систем), сохранности ИР, получение несанкционированного доступа к ним.

2.1.5.2. Внутренние угрозы исходят от пользователей, администраторов ИС и обслуживающего персонала объектов защиты, разработчиков объектов защиты, ИС, других лиц, вовлеченных в информационные процессы, и имеющих непосредственный контакт с объектами защиты, как допущенных, так и не допущенных к секретным (конфиденциальным) сведениям. К основным внутренним источникам следует отнести:  

1)    недостаточно конкурентоспособное состояние нижегородских (российских) отраслей промышленности, оказывающих влияние на сферу информации, информатизации и ИБ;

2)    неблагоприятная криминогенная  обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к информации ограниченного доступа, усиления влияния организованной преступности на жизнь общества;

3)    недостаточная координация деятельности Субъектов по формированию и реализации единой политики в области обеспечения ИБ Нижегородской области;

4)    недостаточная разработанность правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

5)    недостаточное финансирование мероприятий по обеспечению ИБ Нижегородской области;

6)    недостаточное количество квалифицированных кадров в области обеспечения ИБ;

7)    недостаточная активность Субъектов в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых ИР и развитии системы доступа к ним граждан; 

8)    отставание Нижегородской области от ведущих субъектов Российской Федерации и стран по уровню информатизации Субъектов и в иных сферах; 

9)    действия сотрудников Субъектов в отношении объектов защиты Субъектов, порождающие реализацию угроз безопасности информации.  

2.1.6. Основные угрозы ИБ могут реализовываться информационными, программно-математическими, физическими, радиоэлектронными, организационно-правовыми способами. 

 

2.2. УГРОЗЫ БЕЗОПАСНОСТИ ОБЪЕКТОВ ЗАЩИТЫ

 

2.2.1. В настоящем подразделе представлены угрозы безопасности объектов защиты Субъектов, как уже созданных (эксплуатируемых), так и создаваемых Субъектами на территории Нижегородской области.

2.2.2. Основными способами реализации воздействия непреднамеренных угроз (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) могут являться:

1) неумышленные действия, приводящие к частичному или полному отказу ИС, или разрушению аппаратных, программных ИС (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

2) неправомерное отключение оборудования, программного обеспечения, средств защиты или изменение режимов работы устройств и программ;

3) неумышленная порча носителей информации;

4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности ИС (зависания или зацикливания) или осуществляющих необратимые изменения в ИС (форматирование или реструктуризацию носителей информации, удаление данных и т.п.;

5) нелегальное внедрение и использование неучтённых программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

6) заражение автоматизированных рабочих мест компьютерными вирусами;

7) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;

8) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

9) проектирование архитектуры  ИС, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности ИС и безопасности информации;

10) игнорирование организационных ограничений (установленных правил) при работе в ИС;

11) вход в ИС в обход средств защиты (загрузка посторонней операционной системы со сменных носителей и т.п.);

12) некомпетентное использование, настройка или неправомерное отключение средств защиты работниками служб безопасности;

13) пересылка данных по ошибочному адресу абонента (устройства);

14) ввод ошибочных данных;

15) неумышленное повреждение каналов связи;

16) закупки несовершенных, устаревших или неперспективных информационных технологий и средств информатизации;

17) использование несертифицированных российских и зарубежных информационных технологий, средств защиты, средств информатизации, телекоммуникации и связи при создании и развитии информационно-телекоммуникационных сетей, инженерной и ИТ-инфраструктуры Субъектов; 

18) использование нелицензионного программного обеспечения;

19) невыполнение требований действующего законодательства и задержки в разработке и принятии необходимых правовых и технических документов в сфере информации, информатизации и ИБ;

20) неумышленное неправомерное ограничение доступа к документам (источникам), содержащим важную для граждан и организаций информацию (нарушение законных ограничений на распространение информации);

21) иные способы.

2.2.3. Основными способами реализации воздействия угроз умышленной дезорганизации работы, в том числе всей Нижегородской области (Субъектов), вывода ИС из строя, проникновения в ИС и несанкционированного доступа к информации могут являться:

1) физическое разрушение ИС (ИТ-инфраструктуры) (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации и т.п.);

2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);

3) несанкционированное уничтожение, повреждение, разрушение или хищение машинных (магнитных дисков, лент, микросхем памяти, запоминающих устройств) или других оригиналов носителей информации;

4) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж людей, постановка мощных активных радиопомех на частотах работы устройств и т.п.);

5) внедрение агентов в число доверенных лиц (в том числе, возможно, и в административную группу, отвечающую за безопасность);

6) вербовка (путем подкупа, шантажа и т.п.) людей или отдельных пользователей, имеющих определенные полномочия в сфере ИБ;

7) воздействие на персонал и пользователей ИС с целью создания благоприятных условий для реализации угроз ИБ НО;

8) манипулирование информацией (дезинформация, сокрытие или искажение информации);

9) угрозы виртуальной инфраструктуры;

10) угрозы, реализуемые в ходе и после загрузки ИС;

11) нарушение адресности и своевременности (оперативности) информационного обмена, противозаконный сбор, распространение и использование информации;

12) применение подслушивающих устройств, дистанционной фото- и видеосъемки и т.п.;

13) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.); перехват информации за счет её утечки по техническим каналам;

14) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил  вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в ИС; перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи; вскрытие шифров криптозащиты информации;

15) несанкционированные (незаконные): доступ к ИР, к информации, находящейся в банках и базах данных; копирование носителей информации; копирование данных и программ; уничтожение информации; уничтожение или модификация данных в ИС; хищение информации из библиотек, архивов, банков и баз данных; хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.); чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств; чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки многозадачных операционных систем и систем программирования; использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.; получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя;

16) воздействие на парольно-ключевые системы автоматизированных систем обработки и передачи информации;

17) компрометация ключей и средств  криптографической защиты информации; хищение программных или аппаратных ключей средств защиты и средств криптографической защиты информации;

18) внедрение  (установка) на стадии проектирования, внедрения или эксплуатации систем программных и аппаратных закладочных устройств, компьютерных вирусов, то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования ИС, а также приводящие к компрометации систем защиты (внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на такие изделия);

19) внедрение электронных устройств перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи и в помещения Субъектов (в том числе серверные);

20) разработка и распространение программ, нарушающих стабильное функционирование информационно-телекоммуникационных сетей (средств, систем), в том числе систем защиты;

21) поставка "зараженных" компонентов ИС;

22) внедрение компьютерных вирусов;

23) несанкционированное уничтожение, разрушение или хищение средств обработки и защиты, средств  связи и целенаправленное внесение в них неисправностей;

24) незаконное подключение к линиям связи с целью: работы "между строк", с  использование пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений; прямой подмены законного пользователя путем его физического отключения после входа в ИС и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений;

25) радиоэлектронное подавление линий связи и систем управления;

26) нарушение технологии обработки информации, данных и информационного обмена;

27) реализация угроз, не являющихся атаками;

28) диверсионные действия по отношению к объектам защиты Субъектов;

29) использование средств массовой информации Нижегородской области с позиций, противоречащих интересам граждан, организаций и Нижегородской области (равно как и всей страны);

30) противодействие доступу Субъектов к новейшим информационным технологиям (разработкам) в сфере защиты информации, создание условий для усиления технологической зависимости Нижегородской области в области современных информационных технологий;

31) иные способы.

2.2.4. Ряд вышеуказанных основных возможных путей умышленной дезорганизации работы, вывода ИС из строя, проникновения в ИС и несанкционированного доступа к информации при определенных обстоятельствах (условиях) может носить непреднамеренный характер, и наоборот.

 

2.3. УГРОЗЫ КОНСТИТУЦИОННЫМ ПРАВАМ И СВОБОДАМ ЧЕЛОВЕКА (ГРАЖДАНИНА)

 

2.3.1. В настоящем подразделе представлены угрозы конституционным правам и свободам человека (гражданина) в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному обновлению Нижегородской области при использовании объектов защиты Субъектов.

2.3.2. Основными способами реализации воздействия угроз могут являться:

1) принятие на уровне Нижегородской области и Субъектов решений, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;

2) создание монополий на формирование, получение и распространение информации в Нижегородской области, в том числе с использованием телекоммуникационных систем;

3) противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;

4) неправомерное ограничение доступа к общественно необходимой информации;

5) противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;

6) неисполнение Субъектами требований действующего законодательства, регулирующего отношения в информационной сфере и сфере ИБ;

7) неправомерное  ограничение доступа граждан к открытым ИР (ИС) Нижегородской области, к открытым архивным материалам и социально значимой информации;

8) дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;

9) нарушение конституционных прав и свобод человека (гражданина) в области массовой информации;

10) вытеснение нижегородских информационных агентств, средств массовой информации с нижегородского (внутреннего) информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни Нижегородской области от зарубежных информационных структур;

11) девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;

12) снижение духовного и нравственного потенциала населения Нижегородской области, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования информационных технологий;

13) манипулирование информацией (дезинформация, сокрытие или искажение информации).

 

2.4. УГРОЗЫ ИНФОРМАЦИОННОМУ ОБЕСПЕЧЕНИЮ

 

2.4.1. В настоящем подразделе представлены угрозы информационному обеспечению политики Нижегородской области (Субъектов).

2.4.2. Основными способами реализации воздействия угроз информационному обеспечению политики Нижегородской области (Субъектов) могут являться:

1) монополизация информационного рынка Нижегородской области, его отдельных секторов зарубежными информационными структурами;

2) блокирование деятельности нижегородских средств массовой информации и ИС;

3) недостаточность информационного обеспечения политики Нижегородской области (Субъектов) вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации информационной политики.

 

2.5. ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Основными последствиями реализации угроз ИБ являются:

1)    причинение материального ущерба Субъектам и (или) физического и (или) морального ущерба личности: 

- от любых неправомерных действий с объектами защиты;

- от нарушения конституционных прав и свобод личности;

- от необходимости восстановления нарушенных прав и объектов защиты;

- от дезорганизации их деятельности;

- от уничтожения (утраты) объектов защиты и средств их обработки;

2)    причинение ущерба жизненно важным интересам Нижегородской области;

3)    нарушение доступности информации и работоспособности ИС (блокирование данных и ИС, разрушение элементов ИС, компрометация системы зашиты информации и т.д.);

4)    нарушение секретности (конфиденциальности) информации (разглашение, утрата, хищение, утечка, перехват и т.д.);

5)    нарушение целостности защищаемой информации (несанкционированное уничтожение, искажение и т.д.);

6)    подрывание деловой  репутации Субъектов, Нижегородской области на российской и международной аренах;

7)    создание атмосферы напряженности и политической нестабильности на территории Нижегородской области;

8)    антисоциальное и криминальное поведение групп людей или отдельных лиц, противоречащее принятым в российском обществе нормам (правилам) поведения, негативное влияние на процессы формирования личности;

9)    провокация социальных, национальных и религиозных конфликтов;

10)  нарушение функционирования системы государственного управления, объектов повышенного стратегического значения Нижегородской области;

11)  затруднение принятия важнейших политических, экономических и других решений;

12)  создание препятствия на пути равноправного сотрудничества Нижегородской области с развитыми субъектами Российской Федерации, странами (государствами);

13)  снижение темпов научно-технического развития Нижегородской области;

14)  нарушение баланса интересов личности, общества и Нижегородской области;

15)  утрата культурного наследия, проявление бездуховности и безнравственности.

 

 

III. СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

    

3.1. ПОНЯТИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

 

3.1.1. Объекты защиты Субъектов, интересы Нижегородской области в сфере ИБ, наличие угроз ИБ (безопасности информации) и уровень последствий реализации угроз являются основаниями формирования и существования системы ИБ Нижегородской области.

3.1.2.Система ИБ Нижегородской области - это: совокупность правил, определяющих суть и формы отношений, направленных на обеспечение ИБ Субъектов, их объектов защиты, а также лиц, участвующих в этих отношениях; совокупность мер правового, организационного и технического характера, направленных на обеспечение безопасности объектов защиты  Субъектов от угроз ИБ (безопасности информации).

3.1.3.Система ИБ Нижегородской области представляет собой часть общей системы обеспечения ИБ Российской Федерации, обеспечения национальной безопасности страны, организационно входит в систему защиты информации в ПФО и ориентируется в своей деятельности на государственную политику обеспечения безопасности Российской Федерации.

3.1.4.Система ИБ Нижегородской области объединяет два самостоятельных уровня: системы ИБ (защиты информации) Субъектов (первый уровень) и системы защиты объектов защиты (второй уровень), и определяет единые направления и принципы их организации.

3.1.5. Основными функциями системы ИБ Нижегородской области являются:

1) разработка и реализация единой стратегии (политики) обеспечения ИБ Нижегородской области (Субъектов, их объектов защиты); 

2) оценка состояния ИБ Нижегородской области, выявление источников внутренних и внешних угроз ИБ, определение направлений предотвращения и нейтрализации угроз;

3) координация и контроль деятельности отдельных субъектов системы ИБ Нижегородской области;

4) организация разработки государственных программ по информационной безопасности (защите информации), а также планов Субъектов в сфере ИБ (защиты информации) и координация работ по их реализации;

5) проведение единой технической политики в области обеспечения ИБ Нижегородской области;

6) организация исследований в области ИБ Нижегородской области;

7) обеспечение контроля за созданием и применением средств защиты информации, систем защиты в Нижегородской области;

8) реализация прав граждан на получение, распространение и использование информации;

9) реализация мероприятий по обеспечению ИБ в Нижегородской области;

10) представление интересов Нижегородской области в сфере ИБ (защиты информации);

11) осуществление мероприятий по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения ИБ (защиты информации) Нижегородской области; 

12) внесение предложений по совершенствованию системы обеспечения ИБ Российской Федерации;

13) взаимодействие с федеральными органами исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, по вопросам исполнения действующего законодательства, решений Президента Российской Федерации, Правительства Российской Федерации и Совета Безопасности Российской Федерации в области обеспечения ИБ (защиты информации) Российской Федерации, а также по вопросам реализации государственных программ в этой сфере.

3.1.6. Реализация единой политики в области ИБ в Нижегородской области, а также обеспечение выполнения требований нормативных, методических документов по ИБ в Нижегородской области достигаются с помощью системы ИБ Нижегородской области.

 

3.2. СТРУКТУРНЫЕ ЭЛЕМЕНТЫ СИСТЕМЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

 

3.2.1. Действующая система ИБ Нижегородской области создает определенную вертикаль в организации и реализации мероприятий по обеспечению ИБ:

 

 

Схема 1

    

 

3.2.2. Действующая система ИБ Нижегородской области представлена внутренними и внешними субъектами. В основу ее организационной структуры положен принцип разделения прав, обязанностей, полномочий и функций с сочетанием самостоятельности и персональной ответственности при решении вопросов ИБ. Возможные и реализуемые связи субъектов системы ИБ Нижегородской области представлены на схеме 1настоящего подраздела.  

3.2.3. Субъекты системы  ИБ Нижегородской области взаимодействуют друг с другом напрямую или косвенно, что помогает обеспечивать реализацию интересов Нижегородской области в сфере ИБ. При этом достижение указанных интересов зависит как от механизма взаимодействия структурных элементов, составляющих систему ИБ Нижегородской области, и степени его проработанности, так и от организации работы каждого элемента в отдельности.

3.2.4. Субъектами правоотношений в процессе обеспечения ИБ (защиты информации) помимо субъектов системы ИБ Нижегородской области являются юридические лица независимо от организационно-правовой формы, места нахождения и любое физическое лицо, в том числе индивидуальный предприниматель, сведения о которых накапливаются в ИС, ИР Нижегородской области (Субъектов).

 

3.3. ВНУТРЕННИЕ СУБЪЕКТЫ СИСТЕМЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

 

3.3.1. Внутренними субъектами системы ИБ Нижегородской области являются:

3.3.1.1. Должностные лица и органы, осуществляющие управление в данной сфере:

1) Губернатор Нижегородской области, Председатель Правительства;

2) коллегиальные совещательные органы областного и муниципального уровней, обеспечивающие решение актуальных вопросов ИБ (защиты информации):

- межведомственный технический совет по защите информации Нижегородской области (далее - Совет Нижегородской области);

- межведомственный технический совет по защите информации муниципального образования Нижегородской области (далее - Совет муниципального образования) (в случае его наличия);

3) постоянно действующие технические комиссии по защите государственной тайны в ОИВ (далее - ПДТК);

4) головные подразделения по защите информации:

- головное подразделение ОИВ по технической защите информации, не отнесённой к государственной тайне (далее - Головное подразделение по ТЗИ);

- головное подразделение по защите государственной тайны ОИВ (далее - Головное подразделение по защите ГТ).

3.3.1.2. Объекты управления:

1) Субъекты;

2) структурные подразделения (специалисты) по ИБ Субъектов.

3.3.2. Губернатор Нижегородской области, Председатель Правительства.

Губернатор Нижегородской области, Председатель Правительства возглавляет систему ИБ Нижегородской области. Непосредственное руководство системой ИБ Нижегородской области осуществляет заместитель Губернатора, заместитель Председателя Правительства Нижегородской области, к блоку которого относятся головные подразделения по защите информации.

3.3.3. Совет Нижегородской области.

3.3.3.1. Совет Нижегородской области возглавляет Губернатор Нижегородской области, Председатель Правительства.

3.3.3.2. Совет Нижегородской области является коллегиальным органом, обеспечивающим взаимодействие с территориальными органами федеральных органов исполнительной власти, а также с акционерными обществами с долей участия Правительства Нижегородской области, и осуществляющим в рамках своей компетенции координацию деятельности ОИВ и ОМСУ по защите информации.

3.3.3.3. Совет Нижегородской области осуществляет деятельность на плановой основе и рассматривает актуальные для Нижегородской области (Субъектов) вопросы ИБ (защиты информации ограниченного доступа).

3.3.3.4. Решения Совета Нижегородской области доводятся до ОИВ в части их касающейся и являются обязательными для исполнения.

3.3.3.5. Состав Совета Нижегородской области, порядок его функционирования и полномочия, связанные с защитой информации ограниченного доступа, установлены распоряжением Губернатора Нижегородской области от 6 сентября 2014 года № 1477-р "О создании межведомственного технического совета по защите информации Нижегородской области". 

3.3.4. Совет муниципального образования.

3.3.4.1. Совет муниципального образования (в случае его наличия) возглавляет руководитель муниципального образования Нижегородской области.

3.3.4.2. Совет муниципального образования может быть создан по решению руководителя муниципального образования Нижегородской области.

3.3.4.3. Совет муниципального образования представляет собой коллегиальный, постоянно действующий совещательный и консультативный орган, координирующий деятельность ОМСУ конкретного муниципального образования Нижегородской области, подведомственных им организаций по реализации действующего законодательства по вопросам ИБ (защиты информации).

3.3.4.4. Совет муниципального образования осуществляет деятельность на плановой основе и рассматривает актуальные для конкретного муниципального образования Нижегородской области вопросы ИБ (защиты информации ограниченного доступа).  

3.3.4.5. Основными задачами деятельности Совета муниципального образования могут являться:

1) организация исполнения решений Координационного Совета;

2) организация исполнения решений Совета Нижегородской области;

3) совершенствование системы ИБ конкретного муниципального образования Нижегородской области. 

3.3.4.6. Решения Совета муниципального образования доводятся до соответствующих   ОМСУ в части их касающейся и являются обязательными для исполнения на своем уровне.

3.3.5. ПДТК.

3.3.5.1. ПДТК возглавляет лицо из числа руководителей соответствующего ОИВ, при этом ПДТК подотчетна Правительству Нижегородской области.

3.3.5.2. ПДТК представляет собой коллегиальный, постоянно действующий совещательный и консультативный орган, координирующий деятельность ОИВ по реализации действующего законодательства в сфере защиты государственной тайны на территории Нижегородской области. Члены ПДТК имеют допуск к государственной тайне по установленной форме.

3.3.5.3. ПДТК осуществляет деятельность на плановой основе и рассматривает актуальные для  ОИВ  вопросы защиты государственной тайны. Основными направлениями работы ПДТК являются:

1) надежное и эффективное управление системой защиты государственной тайны в ОИВ;

2) своевременное выявление и закрытие возможных каналов неправомерного распространения сведений, составляющих государственную тайну;

3) организация и координация работ по противодействию иностранным техническим разведкам и технической защите информации;

4) совершенствование систем физической и технической защиты информации.

3.3.5.4. Состав, порядок функционирования ПДТК и полномочия, связанные с защитой государственной тайны, устанавливаются Правительством Нижегородской области. 

3.3.6. Головные подразделения по защите информации.

3.3.6.1. Головные подразделения по защите информации определяются распоряжением Губернатора Нижегородской области.

3.3.6.2. Головные подразделения по защите информации имеют в своем составе структурные подразделения по ИБ, которые занимаются вопросами защиты информации, не отнесенной к государственной тайне, и (или) защиты информации, содержащей сведения, составляющие государственную тайну.

3.3.6.3. Назначение на должности руководителей структурных подразделений по ИБ головных подразделений по защите информации осуществляется по согласованию с управлением ФСТЭК России по ПФО путем направления представлений и материалов на кандидатов.

3.3.6.4. Головные подразделения по защите информации наделены полномочиями по:

1) координации в рамках своей компетенции деятельности ОИВ, ОМСУ и подведомственных им организаций по обеспечению безопасности общедоступной информации, а также информации ограниченного доступа, не отнесенной к государственной тайне, в том числе координации деятельности по обеспечению безопасности персональных данных ОИВ;

2) контролю в рамках своей компетенции за выполнением мероприятий по обеспечению ИБ в ОИВ и подведомственных им организациях;

3) контролю в рамках своей компетенции в области обеспечения безопасности информации по следующим вопросам:

- техническая защита информации, составляющей государственную тайну;

- техническая защита информации ограниченного доступа, не отнесенной к государственной тайне, в том числе обеспечение безопасности персональных данных;

- обеспечение защиты информации в открытых ИС;

- противодействие иностранным техническим разведкам;

- обеспечение безопасности информации в ключевых системах информационной инфраструктуры;

- защита государственной тайны при ведении секретного делопроизводства.

3.3.6.5. Головные подразделения по защите информации при исполнении своих полномочий, функций руководствуются поручениями председателя Совета Нижегородской области. 

3.3.6.6. Головные подразделения по защите информации в своей деятельности взаимодействуют с территориальными органами (управлениями) федеральных органов исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, по вопросам реализации действующего законодательства в области ИБ (защиты информации).

3.3.7. Субъекты.

3.3.7.1. В соответствии с действующим законодательством:

1) мероприятия по обеспечению ИБ (защите информации) являются составной частью управленческой, научной и производственной деятельности органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций;

2) Субъекты осуществляют правомочия обладателя информации, в соответствии с которыми обязаны принимать меры по ее защите. Субъекты обязаны обеспечивать защиту эксплуатируемых ими объектов защиты путем создания их систем защиты. Для этого они обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для поддержания необходимого уровня безопасности объектов защиты. При этом при выборе тех или иных мер защиты они должны руководствоваться требованиями действующего законодательства по ИБ (защите информации). Принятие указанного комплекса мер должно основываться на определении:

- источников угроз  ИБ, вероятности реализации угроз ИБ на конкретных объектах (от кого защищать);

- перечней объектов защиты (что защищать);

- средств и методов защиты (как защищать).

3.3.7.2. Каждый Субъект формирует свою внутреннюю систему ИБ, в соответствии с которой выступает на стороне спроса в необходимости обеспечения ИБ и сочетает в себе три функции:

1) общественного представителя, наделенного полномочиями выражать потребность в проведении тех или иных мероприятий по обеспечению ИБ;

2) закупщика, организатора по сделкам на рынке ИБ (защиты информации);

3) потребителя и (или) контролера результатов мероприятий по обеспечению ИБ.

3.3.7.3. Систему ИБ Субъекта возглавляет его руководитель. Непосредственное руководство деятельностью системы осуществляет руководитель или один из заместителей руководителя, или руководитель структурного подразделения по ИБ Субъекта, или назначенный специалист по ИБ Субъекта (при отсутствии структурного подразделения по ИБ). Указанные полномочия на него возлагаются соответствующим организационно-распорядительным документом Субъекта.    

3.3.7.4. Для организации и реализации мероприятий по обеспечению ИБ Субъекты могут привлекать на договорной основе лицензиатов ФСТЭК России и ФСБ России, посреднические и специализированные организации (децентрализованная форма обеспечения ИБ), а также создавать внутренние совещательные комиссии, советы. 

3.3.7.5. Каждый Субъект координирует деятельность подведомственных ему организаций (при их наличии) в области ИБ в отношении в рамках своей компетенции.

3.3.8. Структурные подразделения (специалисты) по ИБ Субъектов.

3.3.8.1. Непосредственная организация работ по обеспечению ИБ в конкретном Субъекте осуществляется его руководителем или одним из заместителей руководителя через структурное подразделение по ИБ данного Субъекта или назначенного специалиста по ИБ Субъекта.

3.3.8.2. Ответственность за состояние обеспечения ИБ в конкретном Субъекте возлагается на его руководителя. Ответственность за своевременность и качество проведения мероприятий по обеспечению ИБ возлагается на руководителя структурного подразделения по ИБ данного Субъекта (при его отсутствии - на назначенных специалистов по ИБ Субъекта). 

3.3.8.3. Структурное подразделение по ИБ (при наличии) является самостоятельным структурным подразделением Субъекта и напрямую подчиняется руководителю Субъекта.

3.3.8.4. В зависимости от объема работ с использованием защищаемой информации, а также при наличии иных условий и обстоятельств руководителями Субъектов создаются структурные подразделения по ИБ либо только назначаются специалисты по ИБ. Допустима также ситуация, при которой специалист по ИБ конкретного Субъекта выполняет свой функционал применительно к ряду иных Субъектов, которые находятся на материальном обеспечении у такого Субъекта. Перечень таких условий и обстоятельств определяется на основании действующего законодательства, методических рекомендаций федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, методических рекомендаций, одобренных решением Координационного Совета, и головного подразделения по защите информации (в случае их дополнительной разработки).

3.3.8.5. Наличие структурного подразделения по ИБ и количество специалистов по ИБ в конкретном Субъекте устанавливается на основании федеральных законов и (или) методических рекомендаций уполномоченных государственных органов власти, методических рекомендаций, одобренных решением Координационного Совета, и головного подразделения по защите информации (в случае их дополнительной разработки).

3.3.8.6. Среди специалистов по ИБ определяются ответственные за планирование, организацию и реализацию мероприятий по обеспечению ИБ, в том числе ответственные за правовые, организационные и технические мероприятия. Также среди указанных специалистов по ИБ выделяются штатные и нештатные специалисты. Разделение на штатных и нештатных специалистов осуществляется головными подразделениями по защите информации в целях ведения учета таких специалистов и проведения процедур согласования назначения их на должности. Назначение на должности специалистов по ИБ и руководителей структурных подразделений по ИБ Субъектов согласовывается с головными подразделениями по защите информации по соответствующему профилю деятельности путем направления представлений и материалов на кандидатов. Подробный порядок согласования кандидатов устанавливается актами головных подразделений по защите информации.

3.3.8.6.1. Штатным считается специалист:

1) имеющий высшее профильное образование по направлению ИБ (защиты информации) и (или) образование в области информационных технологий и повышение квалификации и (или) переподготовку по указанному направлению деятельности;

2) работающий в Субъекте по указанному направлению деятельности в структурном подразделении по ИБ Субъекта (при наличии) или вне его (при отсутствии структурного подразделения по ИБ), и не совмещающий деятельность по ИБ с иным основным для него функционалом в Субъекте, например, бухгалтерия, юриспруденция и т.п.;

3) занимающий выделенную должность специалиста по ИБ, предусмотренную штатным расписанием (при наличии должности в штатном расписании).

3.3.8.6.2. Нештатным считается специалист:

1) не имеющий профильного образования по направлению ИБ (защиты информации) и (или) образования в области информационных технологий и повышения квалификации, и (или) переподготовки по указанному направлению деятельности;

2) работающий в Субъекте по указанному направлению деятельности в структурном подразделении по ИБ Субъекта (при наличии) или вне его (при отсутствии структурного подразделения по ИБ);

3) совмещающий деятельность по ИБ с иным основным для него функционалом в Субъекте, например, бухгалтерия, юриспруденция и т.п.

3.3.8.6.3. Случаи отнесения специалистов к категориям штатных и нештатных могут дополнительно определяться (разъясняться) головными подразделениями по защите информации и закрепляться в соответствующем документе.

3.3.8.7. Структурные подразделения (специалисты) по ИБ осуществляют свою деятельность во взаимодействии (под методическим и координационным руководством) с головными подразделениями по защите информации: в случае защиты информации, не отнесенной к государственной тайне, - с Головным подразделением по ТЗИ; в случае защиты информации, содержащей сведения, составляющие государственную тайну, - с Головным подразделением по защите ГТ.

3.3.8.8. Функции, права, полномочия и обязанности структурных подразделений по ИБ закрепляются в соответствующих положениях о структурных подразделениях по ИБ конкретного Субъекта. Функции, права, полномочия и обязанности специалистов по ИБ указаны в пункте 3.6.2  подраздела 3.6 раздела III настоящей Концепции и отражаются в их должностных регламентах (инструкциях), и обязательно включают в себя проведение координирующей и контрольной политики (работ) в области ИБ в отношении подведомственных организаций (при их наличии) в рамках их компетенции.  

 

3.4. ВНЕШНИЕ СУБЪЕКТЫ СИСТЕМЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

 

3.4.1. Внешними субъектами системы ИБ Нижегородской области являются:

3.4.1.1. Орган управления: Координационный совет.

Координационный совет представляет собой коллегиальный орган, определяющий направления деятельности субъектов Российской Федерации, входящих в ПФО, по реализации действующего законодательства в сфере ИБ (защиты информации) на территории ПФО. Координационный Совет обеспечивает взаимодействие с федеральными органами исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, с органами государственной власти субъектов Российской Федерации.

Координационный совет осуществляет деятельность на плановой основе и рассматривает актуальные для  ПФО  вопросы ИБ (защиты информации ограниченного доступа). Основными задачами деятельности Координационного совета являются:

1) оказание содействия субъектам Российской Федерации, входящим в ПФО, в решении вопросов ИБ;

2) совершенствование системы ИБ в ПФО;

3) рассмотрение вопросов и выработка рекомендаций по управлению системой защиты информации в  ПФО, ее функционированию и совершенствованию; организации и координации работ по защите информации ограниченного доступа в ПФО; выявлению и закрытию возможных каналов неправомерного доступа к информации ограниченного доступа.  

3.4.1.2. Органы контроля: территориальные органы (управления) федеральных органов исполнительной власти, уполномоченные в вопросах обеспечения безопасности и (или) противодействия иностранным техническим разведками (или)защиты информации:

1) управление ФСБ России по Нижегородской области (далее - УФСБ России по НО);

2) управление ФСТЭК России по ПФО (далее - УФСТЭК России по ПФО);

3) управление специальной связи и информации Федеральной службы охраны Российской Федерации в ПФО (далее - УССИ ФСО России в ПФО);

4) управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по ПФО (далее - Управление Роскомнадзора по ПФО).

3.4.1.2.1. УФСБ России по НО.

УФСБ России  по НО является территориальным органом (управлением) ФСБ России - федерального органа исполнительной власти, осуществляющего специальные и контрольные функции в области государственной безопасности по вопросам, установленным Положением о ФСБ России, утвержденным Указом Президента Российской Федерации от 11 августа 2003 года № 960, и осуществляет свои полномочия применительно к Нижегородской области.

3.4.1.2.2. УФСТЭК России по ПФО.

УФСТЭК России по ПФО является территориальным органом (управлением) ФСТЭК России - федерального органа исполнительной власти, осуществляющего специальные и контрольные функции в области государственной безопасности по вопросам, установленным Положением о ФСТЭК России,  утвержденным Указом Президента Российской Федерации от 16 августа 2004 года №1085, и осуществляет свои полномочия применительно к ПФО.

3.4.1.2.3. УССИ ФСО России в ПФО.

УССИ ФСО России в ПФО является территориальным органом(управлением) ФСО России - федерального органа исполнительной власти, осуществляющего специальные и контрольные функции в области государственной охраны, связи для нужд органов государственной власти, функции по информационно-технологическому и информационно-аналитическому обеспечению деятельности Президента Российской Федерации, Правительства Российской Федерации, иных государственных органов по вопросам, установленным Положением о ФСО России, утвержденным Указом Президента Российской Федерации от 7 августа 2004 года № 1013, и осуществляет свои полномочия применительно к ПФО.

3.4.1.2.4. Управление Роскомнадзора по ПФО.

Управление Роскомнадзора по ПФО является территориальным органом (управлением) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций - федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям действующего законодательства в области персональных данных (уполномоченного по защите прав субъектов персональных данных), в соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства Российской Федерации от 16 марта 2009 года № 228, и осуществляет свои полномочия применительно к ПФО. 

3.4.1.3. Органы и организации, обеспечивающие ИБ:

1) аттестационные центры ФСБ России;

2) органы по аттестации объектов информатизации по требованиям безопасности информации, находящиеся на территории Нижегородской области (далее - Органы по аттестации);

3) лицензиаты ФСТЭК России и ФСБ России, а также посреднические организации, научно-исследовательские, научно-технические, проектные и конструкторские организации, находящиеся на территории Нижегородской области;

4) организации (учебные заведения), расположенные на территории Нижегородской области и осуществляющие обучение кадров для работы в системе ИБ Нижегородской области;

5) специализированные организации.

3.4.1.3.1.Аттестационные центры ФСБ России.

Аттестационные центры ФСБ России решают задачи проведения специальных экспертиз организаций для получения лицензий на проведение работ, связанных с использованием сведений, составляющих государственную тайну, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны.

3.4.1.3.2.Органы по аттестации.

Аттестация объектов информатизации включает в себя проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых оценивается и подтверждается соответствие применяемой системы защиты требованиям правовых актов Российской Федерации, руководящих документов ФСТЭК России, ФСБ России, регламентирующих вопросы ИБ (защиты информации). Для реализации данного мероприятия создается специальный орган по аттестации, основными задачами которого являются:

1) организация и проведение аттестации объектов информатизации по требованиям безопасности информации;

2) контроль за состоянием и эксплуатацией аттестованных объектов информатизации.

Деятельность органа по аттестации, аккредитованного соответствующим государственным органом по сертификации и аттестации, осуществляется на основе лицензии на определенные виды деятельности и аттестата аккредитации, выданных ему на право проведения аттестации объектов информатизации.

3.4.1.3.3. Лицензиаты ФСТЭК России и ФСБ России, а также посреднические организации, научно-исследовательские, научно-технические, проектные и конструкторские организации, находящиеся на территории Нижегородской области.

Спрос в необходимости обеспечения ИБ (защиты информации) со стороны Субъектов должен удовлетворяться предложением. Наличие предложения обеспечивают посреднические организации и лицензиаты-юридические лица независимо от организационно-правовой формы, места нахождения или любое физическое лицо, в том числе индивидуальный предприниматель (если допустимо по требованиям действующего законодательства), которые готовы обеспечить ИБ (защиту информации) Субъектов, объектов защиты, имеют для этого необходимые собственные или приобретенные ресурсы (разработки программные, информационно-технические, организационно-методические) и претендуют на получение права обеспечения ИБ (защиты информации), то есть являются потенциальными поставщиками (исполнителями, подрядчиками), обладающими возможностями (законными правами) удовлетворить спрос Субъектов.

Вышеуказанные группы субъектов осуществляют деятельность по непосредственному выполнению мероприятий для Субъектов в области ИБ (защиты информации) и (или) по созданию средств защиты информации, а также программных продуктов в соответствии с требованиями действующего законодательства.

Посреднические организации не обладают лицензиями на право оказания определенных видов деятельности по ИБ (защите информации) в отличие от лицензиатов, поэтому могут принимать участие только в реализации правовых и организационных мероприятий по обеспечению ИБ, или поставлять оборудование для ИТ-инфраструктуры Субъектов при соблюдении требований действующего законодательства. 

3.4.1.3.4. Организации (учебные заведения), расположенные на территории Нижегородской области и осуществляющие обучение кадров для работы в системе ИБ Нижегородской области.

Указанные организации (учебные заведения) осуществляют по направлениям "ИБ" и (или)"защита государственной тайны"и (или)"техническая защита информации, не отнесенная к государственной тайне" и т.д.:

1) первичную подготовку специалистов по ИБ (комплексной защите информации);

2) переподготовку и повышение квалификации специалистов по ИБ Субъектов, и иных субъектов системы ИБ Нижегородской области;

3) усовершенствование знаний руководителей Субъектов.

Данные организации (учебные заведения) имеют лицензию на образовательную деятельность и реализуют соответствующие образовательные программы в сфере ИБ (защиты информации), согласованные ФСТЭК России и (или) ФСБ России.

Субъекты системы ИБ Нижегородской области с целью подготовки, переподготовки и повышения квалификации своих специалистов по ИБ осуществляют взаимодействие с такими организациями (учебными заведениями).

3.4.1.3.5. Специализированная организация.

Специализированная организация - юридическое лицо, привлекаемое Субъектом на основе контракта (договора) для осуществления им ряда функций ИБ (защиты информации) для этого Субъекта и для создания ИТ-базы для функционирования его ИС в защищенном исполнении. При этом привлекающий Субъект обладает рядом исключительных функций, которые свойственно выполнять только ему, и передача которых специализированной организации не допускается, так же как распределение прав и ответственности.

 

3.5. ПРАВОВАЯ ОСНОВА ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

 

Правовую основу функционирования системы ИБ Нижегородской области составляют:

1) Конституция Российской Федерации;

2) международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере;

3) федеральные законы, регламентирующие сферу ИБ (защиты информации), информации и информатизации;

3) акты Президента и Правительства Российской Федерации, относящиеся к сфере ИБ (защиты информации), информации, информатизации, безопасности;

4) решения Совета Безопасности Российской Федерации, Координационного Совета, федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, Совета Нижегородской области;

5) законы Нижегородской области, регламентирующие сферу ИБ (защиты информации), информации и информатизации;

6) акты Губернатора Нижегородской области и Правительства Нижегородской области, относящиеся к сфере ИБ (защиты информации), информации, информатизации, безопасности; 

7) иные правовые акты, методические документы федерального, окружного и областного (муниципального) уровней, регулирующие отношения и вопросы в области  ИБ (защиты информации), информации, информатизации, безопасности, информационных технологий.

 

3.6. МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

3.6.1. Мероприятия, проводимые головными подразделениями по защите информации

 

3.6.1.1. Головными подразделениями по защите информации в рамках текущих подходов к построению и развитию системы ИБ Нижегородской области реализуются следующие группы мероприятий по обеспечению ИБ.

3.6.1.1.1. Головным подразделением по ТЗИ создана и ежегодно поддерживается в работоспособном состоянии защищённая корпоративная информационно-телекоммуникационная сеть ОИВ (далее - КСПД). 

КСПД объединяет все ОИВ и ОМСУ. Подключение узлов организовано по волоконно-оптическим линиям, линии арендуются у провайдера услуг связи. КСПД используется для централизации каналов связи.

КСПД позволяет обеспечить безопасность конфиденциальной информации при ее передаче между участниками КСПД по выделенным каналам связи в соответствии с требованиями ФСБ России к средствам криптографической защиты, и существенно снизить расходы на использование каналов связи, в том числе за счет организованного унифицированного подключения к информационно-телекоммуникационной сети "Интернет" через единую точку доступа. 

Назначение КСПД, подробная структура, состав, участники, функции КСПД определены Положением о КСПД, утвержденным постановлением Правительства Нижегородской области от 29 августа 2008 года № 365 "О корпоративной информационно-телекоммуникационной сети органов исполнительной власти Нижегородской области".

3.6.1.1.2. В рамках функционирования КСПД Головным подразделением по ТЗИ создан и ежегодно поддерживается (обеспечивается бесперебойное функционирование) в работоспособном состоянии центр обработки данных (далее - ЦОД) Головного подразделения по ТЗИ. ЦОД построен с применением технологий отказоустойчивости как на программном, так и на аппаратном уровне, а также аттестован по требованиям безопасности информации, что позволяет на его базе размещать любые ИС Субъектов до 1 (высшего) класса защищенности включительно и не создавать отдельные ЦОД каждым Субъектом, а также не арендовать их у коммерческих организаций.

ЦОД объединяет важные по своей социальной направленности государственные информационные системы Нижегородской области. Большинство данных ИС функционируют с применением облачных технологий.  

В сочетании с КСПД  ЦОД позволяет организовать гарантированное защищенное информационное взаимодействие участников КСПД между собой и с федеральными ИР, ИС.

3.6.1.1.3. Головными подразделениями по защите информации в соответствии с Положением о головных подразделениях по защите информации ОИВ, утвержденным распоряжением Губернатора Нижегородской области от 29 июля 2011 года № 1148-р, выполняются функции головных подразделений по защите информации по отношению к Субъектам, в ходе которых осуществляются выездные контрольные проверки подотчетных организаций, оказываются консультации по применению норм действующего законодательства в области ИБ (информации, информационных технологий и защиты информации, в том числе персональных данных) и т.д.

3.6.1.1.4. Головным подразделением по ТЗИ ежегодно организуется для назначенных специалистов по ИБ проведение обучающих курсов по ИБ (защите информации), не отнесенной к государственной тайне, по программам, согласованным ФСТЭК России, а также семинары на областных мероприятиях с участием представителей территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации.

3.6.1.1.5. Головным подразделением по ТЗИ периодически (при необходимости) проводятся совещания с УФСТЭК России по ПФО по вопросам применения действующего законодательства в области защиты информации, а также реализации решений Координационного Совета.

Заместитель Губернатора, заместитель Председателя Правительства Нижегородской области, к блоку которого относятся головные подразделения по защите информации при участии Головного подразделения по ТЗИ ежегодно принимает участие:

- в заседаниях Координационного Совета;

- в окружных сборах со специалистами структурных подразделений органов государственной власти субъектов Российской Федерации, являющихся головными по защите информации в субъектах Российской Федерации, в рамках которого субъекты Российской Федерации обмениваются опытом применения решений по обеспечению ИБ (защите информации).

В рамках крупных всероссийских форумов в области информационных и коммуникационных технологий представители Нижегородской области обмениваются опытом соблюдения требований к защите информации при эксплуатации важных ИС.

3.6.1.1.6. В целях максимального соблюдения требований действующего законодательства в сфере ИБ (защиты информации)  Головным подразделением по ТЗИ осуществляется согласование технических заданий и проектов на создание (модернизацию) ИС ОИВ в части выполнения ими мероприятий по обеспечению ИБ в соответствии с распоряжением Губернатора Нижегородской области от 30 декабря 2011 года № 2036-р "Об утверждении регламента согласования технических заданий и проектов на создание информационных систем".

При этом такая процедура не исключает в установленных случаях необходимости проведения согласовательных процедур с федеральными органами исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации (в том числе территориальными). В случае предварительного отнесения ИС к категории ключевых, техническое задание на ее разработку (модернизацию) направляется в УФСТЭК России по ПФО на согласование в части соблюдения требований по безопасности информации, предъявляемых к ключевым системам информационной инфраструктуры.

3.6.1.1.7. Головным подразделением по ТЗИ с участием представителей ряда территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, и  ОМСУ муниципальных образований Нижегородской области обеспечивается работа Совета Нижегородской области в соответствии с Положением о межведомственном техническом совете по защите информации Нижегородской области, утвержденным распоряжением Губернатора Нижегородской области от 6 февраля 2012 года № 140-р.

3.6.1.1.8. Головным подразделением по защите ГТ с участием ОИВ ведется работа ПДТК в соответствии с Положением о постоянно действующей технической комиссии (ПДТК) по защите государственной тайны в ОИВ, утвержденным распоряжением Правительства Нижегородской области от 17 августа 2006 года № 613-р "Об утверждении Положения о постоянно действующей технической  комиссии по защите государственной тайны в органах исполнительной власти Нижегородской области".

3.6.1.1.9. Разработка правовой базы, определяющей порядок и правила функционирования системы ИБ Нижегородской области.

Разработана правовая база Нижегородской области, регулирующая следующие вопросы ИБ (защиты информации):

1) назначения сотрудников Органов на должности специалистов по технической защите информации;

2) особенности подключения государственных ИС Нижегородской области к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, устанавливающие "Требования по обеспечению целостности, устойчивости функционирования и безопасности ИС общего пользования" и "Требования о защите информации, содержащейся в ИС общего пользования";

3) правила использования электронной почты в ОИВ, утвержденные приказом министерства информационных технологий, связи и средств массовой информации от 26 февраля 2015 года №13-од, рекомендуемые для использования в ОМСУ, подведомственных Органам организациях, и устанавливающие правила защищенной передачи информации;

4) иные вопросы.

3.6.1.2. Выполняемые головными подразделениями по защите информации группы мероприятий представляет собой правовые, организационные и технические меры, направленные на создание, поддержание и развитие системы ИБ Нижегородской области. Указанные мероприятия проводятся в соответствии с требованиями действующего законодательства в сфере ИБ (информации, информационных технологий и защиты информации), решениями Совета Безопасности Российской Федерации и Координационного Совета.

 

3.6.2. Мероприятия, проводимые назначенными специалистами по ИБ

 

3.6.2.1. В целях обеспечения ИБ объектов защиты Субъектов назначенными специалистами по ИБ реализуется комплекс базовых мероприятий, определенных:

1) единым квалификационным справочником должностей руководителей, специалистов и служащих (раздел "Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации"), утвержденным приказом Минздравсоцразвития России от 22 апреля 2009 года №205 (для специалистов по защите информации, в том числе технической);

2) профессиональным стандартом "Специалист информационной безопасности" (для специалистов по ИБ и защите информации);

3) Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 года №912-51 (для специалистов по технической защите информации);

4) иным действующим законодательством в сфере ИБ (информации, информационных технологий и защиты информации).

3.6.2.2. Дополнительно назначенными специалистами в зависимости от специфики работы Субъекта, использования объектов защиты и их объема выполняется комплекс иных мероприятий, необходимых для организации системы защиты в конкретном Субъекте.

3.6.2.3. Выполняемый назначенными специалистами комплекс мероприятий представляет собой правовые, организационные и технические меры, направленные на создание, поддержание и развитие системы ИБ каждого Субъекта. Указанные мероприятия проводятся в соответствии с требованиями действующего законодательства в сфере ИБ (информации, информационных технологий и защиты информации, в том числе персональных данных) однократно, периодически, по мере необходимости и (или) постоянно.

 

 

IV. АНАЛИЗ СОСТОЯНИЯ СИСТЕМЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

 

4.1. СТАДИИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Анализ состояния системы ИБ Нижегородской области показывает степень успешности проводимых мероприятий по обеспечению  ИБ при текущей системе ИБ Нижегородской области и выявляет проблемные области, требующие решения на современном этапе развития. Проблемные области представлены в настоящей Концепции в виде их проявления на следующих типичных для Субъектов стадиях обеспечения ИБ (далее - Стадии обеспечения ИБ, Стадии):

Стадия 1:	Планирование (подготовка) мероприятия по обеспечению ИБ;
Стадия 2:	Организация (проведение) процедур, направленных на: - самостоятельную реализацию Субъектами мероприятий по обеспечению ИБ или - реализацию мероприятий по обеспечению ИБ посредством привлечения к их исполнению сторонних лиц: лицензиатов ФСТЭК России и (или) ФСБ России, посреднических и специализированных организаций для реализации мероприятий по обеспечению ИБ;
Стадия 3:	Реализация мероприятий по обеспечению ИБ

 

4.2. ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ ВСЕХ СТАДИЙ

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

4.2.1. Отсутствие должностей штатных специалистов по ИБ.

4.2.1.1. В большинстве Субъектов отсутствуют выделенные должности штатных специалистов по ИБ, организационно-штатная структура Субъектов не предусматривает наличие в штатном расписании отдельной должности специалиста по ИБ.

4.2.1.2. Основные причины существования проблемы:

1) отсутствие достаточного количества кандидатов, готовых работать в сфере ИБ (защиты информации) за предлагаемое вознаграждение в Субъекте;

2) наличие высоких требований к уровню образования специалистов по ИБ, а также к качеству их работы и уровнем ответственности за ее неисполнение (не качественное исполнение).

4.2.1.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.2. Назначение на должности нештатных специалистов по ИБ сотрудников иных профилей деятельности.

4.2.2.1. В структуре большинства Субъектов наблюдается назначение на должности специалистов по ИБ сотрудников иных профилей деятельности, не имеющих необходимо уровня образования для реализации Стадий обеспечения ИБ.