Постановление Правительства Нижегородской области от 31.12.2015 № 920

4.2.2.2. Основные причины существования проблемы:

1) отсутствие достаточного количества кандидатов, готовых работать в сфере ИБ (защиты информации) за предлагаемое вознаграждение в Субъектах;

2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.2.3. Следствия проблемы:

1) необходимость проведения обучения назначенных специалистов вопросам ИБ (защиты информации);

2) сложность в совмещении профильных и непрофильных обязанностей;

3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.3. Частая ротация назначенных специалистов по ИБ.

4.2.3.1. В структуре большинства Субъектов наблюдается частая ротация назначенных специалистов по ИБ.

4.2.3.2. Основные причины существования проблемы:

1) сложность для сотрудника иного профиля деятельности совмещать профильные обязанности и функции специалиста по ИБ в соответствии с требованиями к качеству его работы и уровнем ответственности за ее неисполнение (не качественное исполнение) (в случае возложения соответствующих непрофильных обязанностей);

2) неудовлетворенность своей работой, стресс: дополнительные обязанности не сопровождаются дополнительными выплатами (в случае возложения соответствующих непрофильных обязанностей);

3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.3.3. Следствия проблемы:

1) затрачивание ресурсов на поиск (привлечение) нового сотрудника;

2) необходимость пересмотра внутренней системы ИБ Субъекта;

3) увеличение рисков при внедрении сложных ресурсоемких систем, нарушение преемственности технических и системных решений, а также принципов обеспечения ИБ;

4) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

5) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.4. Недостаточная квалификация назначенных специалистов по ИБ.

4.2.4.1. В большинстве Субъектов назначенные специалисты по ИБ не обладают достаточным уровнем квалификации (знания, навыки, опыт) в соответствии с требованиями действующего законодательства для исполнения возложенных на них обязанностей, что осложняет работу всей системы ИБ Нижегородской области.

4.2.4.2. Основные причины существования проблемы:

1) сложность в обеспечении назначенных специалистов необходимыми навыками и знаниями для реализации всех Стадий обеспечения ИБ ввиду недостаточного количества финансовых ресурсов, которые необходимо затратить на обучение указанных сотрудников, в том числе по причине высокой стоимости курсов обучения по необходимому направлению деятельности;

2) сложность в освоении программы обучения по направлению ИБ (защиты информации) сотрудниками иных профилей деятельности, на которых возложены узкоспециализированные функции, в случае направления их на обучение;

3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.4.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.5. Недостаточная образовательная база в Нижегородской области.

4.2.5.1. На территории Нижегородской области недостаточно развита образовательная база по направлению "ИБ (защита информации)", что проявляется в следующем:

1) присутствуют единичные образовательные центры, способные осуществлять качественную подготовку и повышение квалификации специалистов данного профиля на территории Нижегородской области (г. Нижнего Новгорода)  по указанному направлению по программам обучения, согласованным ФСТЭК России и (или) ФСБ России;

2) отсутствует возможность проведения переподготовки по указанному направлению по программам обучения, согласованным ФСТЭК России и (или) ФСБ России, на территории Нижегородской области.

4.2.5.2. Основные причины существования проблемы:

1) недостаточное внимание развитию направления информационной безопасности;

2) высокая стоимость обучения по указанному направлению деятельности.

4.2.5.3. Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.6. Формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ.

4.2.6.1. В деятельности ряда Субъектов наблюдается недостаточно активное участие назначенных специалистов по ИБ при реализации Стадий обеспечения ИБ. Наблюдается формальное отношение указанных специалистов и руководства Субъектов к вопросам ИБ.

4.2.6.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.6.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.7. Отсутствие единого ИТ-центра реализации Стадий обеспечения ИБ.

4.2.7.1. Текущей системой ИБ Нижегородской области не предусмотрено функционирование единого ИТ-центра. ИТ-центр для целей применения положений настоящей Концепции - это центр, позволяющий увязать в защищенной информационной сети (системе) все Стадии обеспечения ИБ и обеспечить единое организационно-методическое, оперативное консультационное, информационное, аналитическое, техническое обеспечение и цельный мониторинг состояния системы ИБ Нижегородской области.

4.2.7.2. Основная причина существования проблемы: отсутствие необходимых бюджетных ресурсов для организации и поддержания единого защищенного пространства, используемого в указанных целях.

4.2.7.3. Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.8. Отсутствие контроля всех Стадий обеспечения ИБ.

4.2.8.1. Отсутствует действенный контроль реализации Стадий обеспечения ИБ как со стороны головных подразделений по защите информации, так и со стороны Субъектов: практически посредством проверок осуществляется контроль только одной 3 Стадии, а для ряда Субъектов- только 2 Стадии.

4.2.8.2. Основные причины существования проблемы:

1) недостаточное количество трудовых ресурсов головных подразделений по защите информации, способных осуществлять действенный контроль за всеми Стадиями обеспечения ИБ;

2) отсутствие достаточных областных и федеральных правовых инструментов, позволяющих реализовать качественный контроль всех Стадий обеспечения ИБ (в частности, единой методики оценки эффективности проведения мероприятий по ИБ, затрагивающей качественные (социальные) аспекты, а не только показатель экономии финансовых ресурсов, и наоборот);

3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.8.3. Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.9. Отсутствие отчетности по всем Стадиям обеспечения ИБ.

4.2.9.1. В деятельности большинства Субъектов наблюдается сложность в оперативном и своевременном предоставлении отчетности головным подразделениям по защите информации, контрольно-надзорным органам, в том числе в ее предоставлении в электронном виде с применением электронной подписи в соответствии с требованиями Федерального закона от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи". Отсутствует сбор отчетности по 1 и 2 Стадиям обеспечения ИБ, поскольку на практике собирается отчетность только одной 3 Стадии.

4.2.9.2. Основные причины существования проблемы:

1) недостаточное ведение внутриведомственной отчетности;

2) отсутствие понятных правил и норм сбора конкретной отчетности;

3) отсутствие понятной формы (системы) сбора отчетности;

4) закрепление двойной (электронная и бумажная) работы по сбору отчетности;

5) появление новых форм сбора отчетности, под которые сложно адаптировать автоматизированные системы сбора отчетности;

6) отсутствие достаточных полномочий для сбора необходимой отчетности;

7) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.9.3. Следствия проблемы:

1) сложность в отслеживании фактического состояния системы ИБ Нижегородской области и каждой организации в отдельности, в том числе сложность в анализе и оценке результативности использования бюджетных средств на мероприятия по обеспечению ИБ, соблюдения правовой базы, достижения промежуточных и итоговых результатов, качества реализации мероприятий, а также в выработке предложений по принятию мер управляющего воздействия;

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.10. Отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ.

4.2.10.1. В деятельности ряда Субъектов наблюдается отсутствие четкой и (или) присутствие слабой структуры организации процесса обеспечения ИБ (защиты информации) (отсутствует понимание, какой сотрудник за какие функции, направления, задачи и мероприятия отвечает, какие средства защиты применяются и где, и т.д.), а принимаемые решения выстраиваются с несоблюдением политики ИБ. Отсутствует и (или) присутствует недостаточное внутриведомственное взаимодействие между назначенными специалистами по ИБ и локальными администраторами, специалистами, ответственными за направление информатизации в Субъекте (при наличии), а также сотрудниками, ответственными за иные узкопрофильные направления деятельности Субъекта и использующими объекты защиты Субъекта.

4.2.10.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.10.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

 

4.3. ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ РАЗНЫХ СТАДИЙ

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

СТАДИЯ 1:

4.3.1. Динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации).

4.3.1.1. Субъекты в основном эксплуатируют зарубежные средства защиты информации, компоненты ИС, программное обеспечение, технологии, программные продукты ввиду отсутствия аналогов на российском рынке. Поэтому они сталкиваются с проблемой ценообразования на проведение мероприятий по обеспечению ИБ, которая заключается в сложности планирования таких мероприятий с их стороны при нестабильной ситуации на ценовом рынке ИБ (защиты информации), в том числе в связи с динамикой курса мировых валют.

4.3.1.2. Основная причина существования проблемы: экономические, финансовые предпосылки, а также иные внешние искусственные факторы.

4.3.1.3. Следствия проблемы:

1) увеличение стоимости владения ИТ-инфраструктурой и ИС;

2) вероятность нарушения требований действующего законодательства по ИБ (защите информации) ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защите информации); 

3) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защите информации); 

4) неэффективное использование бюджетных ресурсов ввиду завышения Субъектами стоимости мероприятий по обеспечению ИБ при планировании в целях гарантированного удовлетворения своих потребностей;

5) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.2. Отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ.

4.3.2.1. В деятельности ряда Субъектов наблюдается отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ, в ходе которых определяются потребность в финансовых ресурсах и результаты их использования. Отсутствует стратегическое планирование мероприятий по обеспечению ИБ с учетом приоритетных направлений информатизации, задач модернизации и инновационного развития Нижегородской области и каждой организации в отдельности.

4.3.2.2. Основные причины существования проблемы:

1) поиск новых решений обеспечения ИБ в связи с появлением новых угроз ИБ;

2) общее отсутствие в деятельности Субъектов выработанного единого эффективного и действенного (налаженного) механизма  регулирования текущей Стадии обеспечения ИБ (указанная Стадия регламентируется исключительно внутренними локальными актами (в том числе планами-графиками закупок), не имеющими зачастую единой стратегической цели для общей безопасности Нижегородской области), планирование и прогнозирование мероприятий по обеспечению ИБ осуществляется без участия головных подразделений по защите информации;

3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.2.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

2) отсутствие возможности грамотно спланировать (подготовить) мероприятия по обеспечению ИБ и качественно реализовать все Стадии обеспечения ИБ;

3) ошибки в определении реальных потребностей в тех или иных мерах, средствах, системах защиты и, как следствие, неэффективное использование бюджетных средств: закупается зачастую не та продукция, которая действительно нужна, не в том объеме, который действительно необходим, осуществляются не те работы, которые действительно нужны в целях обеспечения ИБ Нижегородской области (Субъектов, их объектов защиты);

4) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.3. Сложность применения регулирующих норм назначенными специалистами по ИБ.

4.3.3.1. Назначенные специалисты по ИБ в большинстве Субъектов не имеют возможности четко ориентироваться в действующем законодательстве, регламентирующем сферу ИБ, что снижает уровень защищенности Субъектов и их объектов защиты, и значит, не способствует получению оптимальных результатов проводимых мероприятий по обеспечению ИБ и ведет к неэффективности (неработоспособности) всей системы ИБ Нижегородской области.

4.3.3.2. Основные причины существования проблемы:

1) периодическая доработка и изменение правовой базы сферы ИБ, в том числе в целях приведения законодательства Нижегородской области в соответствие с федеральным законодательством;

2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.3.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защите информации);  

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.4. Несогласованность разработки актов в сфере ИБ (защиты информации).

4.3.4.1. В деятельности большинства Субъектов наблюдается несогласованность разработки актов в сфере ИБ (защиты информации) на областном уровне и на уровне Субъектов.

4.3.4.2. Основные причины существования проблемы:

1) отстаивание федеральных интересов, интересов Нижегородской области и интересов отдельных Субъектов;

2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.4.3. Следствия проблемы:

1) несоблюдение сроков согласований, затягивание принятия необходимых актов, регламентирующих сферу ИБ (защиты информации) в Нижегородской области;

2) сложность для выработки единой стратегии развития ИБ Нижегородской области, в том числе по ряду ключевых вопросов;

3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

СТАДИЯ 2:

4.3.5. Подготовка некорректных документов для реализации мероприятий по обеспечению ИБ.

4.3.5.1. В большинстве случаев Субъекты формируют некорректные документы на мероприятия по обеспечению ИБ, содержащие:

1) ошибочные технические спецификации;

2) двусмысленные формулировки;

3) избыточные или недостаточные требования;

4) требования, установленные с нарушениями действующего законодательства;

5) требования, установленные без соблюдения действующих стандартов и т.д.

4.3.5.2. Основные причины существования проблемы:

1) недостаточная проработанность единого эффективного и действенного (налаженного) механизма регулирования текущей Стадии обеспечения ИБ (в частности подготовка технических заданий на мероприятия по созданию систем защиты осуществляется зачастую без участия головных подразделений по защите информации, а экспертиза технических заданий на указанные мероприятия проводится ими только для ОИВ);

2) игнорирование замечаний и рекомендаций  Головного подразделения по ТЗИ при подготовке ОИВ мероприятий по обеспечению ИБ;

3) недостаточное информирование субъектов Российской Федерации федеральными органами исполнительной власти, внедряющими сегменты ИС в субъектах Российской Федерации, об архитектуре внедряемых ИС и требованиях к их защите, не предоставление необходимых документов на ИС для качественной реализации Стадий обеспечения ИБ и т.д.;

4) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.5.3. Следствия проблемы:

1) затруднение реализации особенно сложных и длительных проектов создания и внедрения средств, систем защиты, ИС, требующих концентрации и рационального использования ресурсов;  

2) неэффективное использование выделенных бюджетных ресурсов, их несвоевременное освоение;

3) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

4) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.6. Отсутствие централизованного подхода при проведении однотипных мероприятий по обеспечению ИБ.

4.3.6.1. Для текущей системы ИБ Нижегородской области характерно, что каждый Субъект самостоятельно планирует и организует (реализует) однотипные мероприятия по обеспечению ИБ, в частности:

1) закупка однотипных средств защиты информации;

2) закупка однотипных аппаратных решений, программного обеспечения;

3) проведение однотипных правовых и организационных мероприятий.

Это требует отвлечения значительных временных, а зачастую и финансовых ресурсов, а качество реализации мероприятий по обеспечению ИБ в ряде Субъектов не соответствует минимально установленным действующим законодательством требованиям.

4.3.6.2. Основная причина существования проблемы: недостаточная проработанность единого эффективного и действенного (налаженного) механизма регулирования текущей Стадии обеспечения ИБ (в частности, не осуществляются централизованные закупки однотипных средств защиты информации, аппаратных решений, программного обеспечения и пр.).

4.3.6.3. Следствия проблемы:

1) излишнее неоправданное отвлечение временных ресурсов на разработку требований к однотипным мероприятиям по обеспечению ИБ;

2) неэффективное использование бюджетных ресурсов ввиду отсутствия централизованного подхода к проведению мероприятий по обеспечению ИБ;

3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.7. Корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ.

4.3.7.1. В Головное подразделение по ТЗИ поступают от ОИВ на рассмотрение документы на мероприятия по обеспечению ИБ. В ходе экспертизы технических заданий и (или) проектов на создание (модернизацию) ИС в части соблюдения требований по ИБ (защите информации) для каждого рассматриваемого документа Головным подразделением по ТЗИ выдаются замечания и рекомендации, подразумевающие его существенную корректировку в целях соблюдения действующего законодательства в сфере ИБ. В указанных целях экспертиза и корректировка проводится также в отношении документов, регламентирующих правовые мероприятия по обеспечению ИБ.

4.3.7.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.7.3. Следствия проблемы:

1) выявление Головным подразделением по ТЗИ  фактов вероятного нарушения требований действующего законодательства, в ряде случаев - неэффективного расходования бюджетных ресурсов и заведомо не реализуемой, реализуемой не качественно последующей Стадии обеспечения ИБ;

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.8. Не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ.

4.3.8.1. Отдельными ОИВ не соблюдается процедура согласования и экспертизы технических заданий и проектов на создание (модернизацию)  ИС в части соблюдения ими требований по ИБ (защите информации), проводимая Головным подразделением по ТЗИ.

4.3.8.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.8.3. Следствие проблемы: проявление иных проблем, указанных на Схеме 2 раздела IV настоящей Концепции.

4.3.9. Не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством.

4.3.9.1. Большинством Субъектов в ходе создания (модернизации) объектов защиты Субъектов не предусматривается проведение мероприятий по обеспечению ИБ, обязательных к исполнению в соответствии с действующим законодательством.

4.3.9.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.9.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящее Концепции.

СТАДИЯ 3:

4.3.10. Отсутствие, недостаточная оснащенность и  (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ.

4.3.10.1. В деятельности ряда Субъектов наблюдается:

1) отсутствие (несвоевременное приобретение) средств защиты, необходимость установки (эксплуатации) которых в конкретных случаях определена действующим законодательством;

2) отсутствие необходимых документов по ИБ (защите информации) на объекты защиты Субъектов и внутренние системы ИБ Субъектов;

3) недостаточная оснащенность средствами и аппаратурой контроля эффективности защиты информации, правовыми и методическими документами в области защиты информации, а также сертифицированными средствами защиты информации;

4) реализация иных проблем, указанных на схеме 2 раздела IVнастоящей Концепции.

4.3.10.2. Основные причины существования проблемы:

1) недостаточная развитость рынка разработок (в том числе российских) в сфере информационных технологий, отсутствие достаточного количества надежных российских разработок средств защиты информации при курсе Правительства Российской Федерации на их использование, которые смогли бы ликвидировать (минимизировать) угрозы ИБ при тех или иных условиях эксплуатации объектов защиты Субъектов;

2) реализация иных проблем, указанных на схеме 2 раздела IVнастоящей Концепции.

4.3.10.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

2) проявление иных проблем, указанных на схеме 2 раздела IVнастоящей Концепции.

4.3.11. Приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества.

4.3.11.1. В деятельности отдельных Субъектов наблюдается:

1) установка дублирующих по своему функционалу средств защиты информации и (или) ошибочных средств защиты информации;

2) преждевременное проведение работ, оказание (получение) услуг по ИБ (защите информации).

4.3.11.2. Основные причины существования проблемы:

1) недостаточное информирование субъектов Российской Федерации федеральными органами исполнительной власти, внедряющими сегменты ИС в субъектах Российской Федерации, об архитектуре внедряемых ИС и требованиях к их защите, не предоставление необходимых документов на ИС для качественной реализации Стадий обеспечения ИБ и т.д.;

2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.11.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба, в том числе из-за "закрытия" только одной и (или) нескольких из ряда возможных угроз;

2) неэффективное использование бюджетных ресурсов;

3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.12. Закупка однотипных средств защиты информации и ИТ-услуг по различным ценам.

4.3.12.1. При реализации мероприятий по обеспечению ИБ Субъектов приобретаются однотипные средства защиты информации и ИТ-услуги по различным ценам.

4.3.12.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.12.3. Следствия проблемы:

1) приобретение зачастую некачественной продукции;

2) зачастую неэффективное использование бюджетных и временных ресурсов;

3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.13. Недостаточная квалификация специализированных организаций, лицензиатов, посреднических организаций, реализующих мероприятия по обеспечению ИБ.

4.3.13.1. При реализации мероприятий по обеспечению ИБ в Субъектах к исполнению приступают недостаточно квалифицированные специализированные организации, лицензиаты, разработчики, посреднические организации.

4.3.13.2.Основные причины существования проблемы:

1) недостаточное наполнение российского трудового рынка квалифицированными специалистами в области ИБ (защиты информации), работающими на стороне предложения;

2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.13.3.Следствия проблемы:

1) зачастую неэффективное использование бюджетных ресурсов;

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.14. Невыполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

4.3.14.1. НекоторымиСубъектами не выполняются мероприятия по обеспечению ИБ или несвоевременно и некачественно исполняются.

4.3.14.2. Основные причины существования проблемы:

1) затягивание предыдущих Стадий обеспечения ИБ;

2) непрогнозируемые причины внешнего характера, которые невозможно предвидеть заранее;

3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.14.3. Следствия проблемы:

1) неэффективное использование бюджетных ресурсов;

2) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба; 

3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.15. Отсутствие должного внутреннего контроля.

4.3.15.1.Со стороны большинства Субъектов наблюдается отсутствие контроля  за выполнением мероприятий по обеспечению ИБ, реализуемых специализированными организациями, лицензиатами, разработчиками, посредническими организациями.

4.3.15.2.Основные причины существования проблемы:

1) недостаточное количество специалистов по ИБ, способных одновременно контролировать выполнение мероприятий по обеспечению ИБ и выполнять иные функции;

2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.15.3.Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.16. Низкая эффективность внутренней системы ИБ Субъектов.

4.3.16.1. В ряде Субъектов наблюдается недостаточная мощь текущей внутренней системы ИБ, в том числе отсутствие четкой структуры организации процесса обеспечения ИБ (защиты информации).

4.3.16.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.16.3. Следствие проблемы: высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба.

 

4.4. ПРОБЛЕМЫ ИТ-ИНФРАСТРУКТУРЫ

 

4.4.1. Устаревшее ИТ-оборудование, программное обеспечение.

4.4.1.1. В ряде Субъектов эксплуатируемое ИТ-оборудование и программное обеспечение является физически и морально устаревшим, и требует замены, что подрывает ИБ Нижегородской области (Субъектов) и оказывает негативное влияние на качественную реализацию Стадий обеспечения ИБ.

4.4.1.2. Основные причины существования проблемы:

1) отсутствие необходимых бюджетных ресурсов на приобретение современного ИТ-оборудования и программного обеспечения;

2) последствия планирования информатизации Нижегородской области (Субъектов);

3) отсутствие назначенных в ряде Субъектов специалистов, занимающихся вопросами информатизации, в том числе разработки и внедрения ИС.

4.4.1.3. Следствия проблемы:

1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба; 

3) низкая работоспособность, высокая стоимость обслуживания, невозможность эксплуатации на базе текущего ИТ-оборудования и программного обеспечения ИС различного уровня сложности и классов защищенности;

3) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.

4.4.2. Разнородная аппаратно-программная среда.

4.4.2.1. В деятельности большинства Субъектов наблюдается разнородная аппаратно-программная среда, которая характеризуется разнородностью используемых, в том числе для функционирования ИС, технических средств, базовых программных средств, средств разработки и средств защиты информации, наличием разных версий программного обеспечения (программных продуктов), отсутствием компонентов интеграции и т.д.

4.4.2.2. Основные причины существования проблемы:

1) применяются решения, необходимые для реализации функций конкретного Органа, что является неприменимым или избыточным для другого Органа;

2) разный масштаб финансирования для разных организаций на мероприятия информатизации и обеспечения ИБ; 

3) общее отсутствие в деятельности Нижегородской области (Субъектов) выработанного единого эффективного и действенного (налаженного) механизма регулирования вопроса построения единообразной аппаратно-программной среды;

4) действующее законодательство, которое не запрещает применять различные аппаратно-программные решения;

5) непрогнозируемые причины внешнего характера, которые невозможно предвидеть заранее;

6) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.

4.4.2.3. Следствия проблемы:

1) неоправданность инвестиций в ряде случаев;

2) повышенные требования к кадровому обеспечению в части обеспечения беспроблемного функционирования аппаратно-программной среды;

3) увеличение стоимости владения ИТ-инфраструктурой в каждой отдельной организации;

4) сложности проведения единой стратегии (политики) ИБ и централизации функций по ИБ (защите информации);

5) сложность в развитии комплексного подхода к автоматизации в защищенном исполнении деловых процессов;

6) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.

4.4.3. Программные продукты с закрытым кодом.

4.4.3.1. Большинством Субъектов внедряются программные продукты (например, ИС и их составляющие) с закрытым кодом.

4.4.3.2. Основные причины существования проблемы:

1) недостаточное внутриведомственное взаимодействие между назначенным специалистом по ИБ, локальным администратором и сотрудником, занимающимся вопросами информатизации в конкретном Субъекте;  

2) требования разработчиков программных продуктов;

3) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.

4.4.3.3. Следствия проблемы:

1) увеличение стоимости владения ИТ-инфраструктурой в каждой отдельной организации;

2) снижение уровня ИБ и высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

3) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ.

4.4.4. Отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД).

4.4.4.1. В деятельности большинства Субъектов наблюдается отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД).

4.4.4.2. Основные причины существования проблемы:

1) отсутствие необходимых бюджетных ресурсов;

2) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ. 

4.4.4.3. Следствия проблемы:

1) самостоятельная техническая поддержка и обслуживание вычислительного комплекса каждого отдельного Субъекта;

2) увеличение риска потери информации, нарушения ее целостности и доступности;

3) снижение общих показателей надежности и безопасности ИС;

4) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;

5) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.

4.4.5. Ограниченные возможности развития ИТ-инфраструктуры.

4.4.5.1. Текущее состояние ИТ-инфраструктуры ряда Субъектов не позволяет в необходимой степени развить вычислительные комплексы (в том числе разместить ИС с новой архитектурой и функциональными возможностями) и "гибко" применять механизмы ИБ (защиты информации).

4.4.5.2. Основные причины существования проблемы:

1) отсутствие необходимых бюджетных ресурсов;

2) недостаточность кадровых ресурсов с необходимым уровнем квалификации для создания необходимой ИТ-инфраструктуры в Нижегородской области (Субъектах);

3) степень развития рынка ИТ-продукции и ИТ-услуг на момент создания ИТ-инфраструктуры;

4) не применение перспективного планирования и прогнозирования;

5) текущие проблемы ИТ-инфраструктуры Нижегородской области;

6) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ. 

4.4.5.3. Следствия проблемы:

1) сложность применения комплексных решений ИБ (защиты информации) в Субъектах;

2) вероятность нарушения требований действующего законодательства по ИБ (защите информации) ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защите информации) из-за необходимости модернизации ИТ-инфраструктуры;   

3) дополнительные инвестиции в перестройку действующих ИС и их систем ИБ (защиты информации) и, как следствие, проведение повторного цикла Стадий обеспечения ИБ с необходимостью выделения дополнительных финансовых ресурсов;

4) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.

4.4.6. Отсутствие централизованного обслуживания и управления.

4.4.6.1. В деятельности Субъектов на областном и муниципальном уровнях не применяются механизмы обслуживания и управления из единого центра, которые бы позволили осуществлять контроль и мониторинг за безопасным функционированием ИС Субъектов, применением мер ИБ (защиты информации).

4.4.6.2. Основные причины существования проблемы:

1) недостаточное финансирование расходов на поддержание мощного ресурса централизованного обслуживания и управления на областном и муниципальном уровнях;

2) недостаточность кадровых ресурсов с необходимым уровнем квалификации для осуществления обслуживания и управления из единого центра;

3) текущие проблемы ИТ-инфраструктуры Нижегородской области;

4) рассогласованность межведомственных интересов;

5) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ. 

4.4.6.3. Следствия проблемы:

1) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области;

2) увеличение совокупной стоимости владения ИТ-инфраструктурой.

 

4.5. ОЦЕНКА ПРОБЛЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

4.5.1. В Таблице 1 подраздела 4.5 раздела IV настоящей Концепции приведена общая оценка вышеуказанных проблем по их степени значимости (критичности) для системы ИБ Нижегородской области. Применена следующая система оценки по возрастанию степени значимости (критичности) проблем для системы ИБ Нижегородской области:

1 балл:	Существование данной проблемы в наименьшей степени оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области
2 балла:	Существование данной проблемы оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области, но может в быстрой степени перекрываться проведением дополнительных мероприятий
3 балла:	Существование данной проблемы в средней степени оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области и может быть исключено проведением дополнительных мероприятий
4 балла:	Существование данной проблемы приближает уровень ИБ Нижегородской области к критическому значению и сопровождается негативным и последствиями в степени выше среднего
5 баллов:	Существование данной проблемы указывает на максимальный уровень критичности (значимости), сильно сказывается на уровне ИБ Нижегородской области и на успешном развитии системы ИБ Нижегородской области, а также может привести к значительному ущербу при реализации угроз ИБ

 

 

 

Таблица 1

Наименование проблем	Оценка в баллах
	1	2	3	4	5
ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ ВСЕХ СТАДИЙ
Отсутствие должностей штатных специалистов по ИБ					V
Назначение на должности нештатных специалистов по ИБ сотрудников иных профилей деятельности		V
Частая ротация назначенных специалистов по ИБ		V
Недостаточная квалификация назначенных специалистов по ИБ				V
Недостаточная образовательная база в Нижегородской области	V
Формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ					V
Отсутствие единого ИТ-центра  реализации Стадий обеспечения ИБ				V
Отсутствие контроля всех Стадий обеспечения ИБ					V
Отсутствие достаточной отчетности				V
Отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ			V
ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ РАЗНЫХ СТАДИЙ
1 Стадия:
Динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации)				V
Отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ				V
Сложность применения регулирующих норм назначенными специалистами по ИБ					V
Несогласованность разработки правовых актов в сфере ИБ (защиты информации)					V
2 Стадия:
Подготовка некорректных документов для реализации мероприятий по обеспечению ИБ					V
Отсутствие централизованного подхода при проведении однотипных мероприятий по обеспечению ИБ		V
Корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ			V
Не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ			V
Не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством					V
3 Стадия:
Отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ					V
Приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества					V
Закупка однотипных средств защиты информации и ИТ-услуг по различным ценам			V
Недостаточная квалификация специализированных организаций, лицензиатов, посреднических организаций, реализующих мероприятия по обеспечению ИБ					V
Не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение					V
Отсутствие должного внутреннего контроля					V
Низкая эффективность внутренней системы ИБ Субъектов					V
ПРОБЛЕМЫ ИТ-ИНФРАСТРУКТУРЫ
Устаревшее ИТ-оборудование, программное обеспечение					V
Разнородная аппаратно-программная среда					V
Программные продукты с закрытым кодом				V
Отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД)					V
Ограниченные возможности развития ИТ-инфраструктуры					V
Отсутствие централизованного обслуживания и управления				V

 

4.5.2. Проблемы Стадий обеспечения ИБ создают барьеры, в том числе искусственные, не только для функционирования самих Субъектов и выполнения ими мероприятий по обеспечению ИБ, но и для развития отношений с субъектами сферы ИБ Нижегородской области, а их существование свидетельствует о необходимости совершенствования действующей в Нижегородской области правовой и технической баз и развития системы ИБ Нижегородской области.

Схема 2

 

 

 

  

 

 

V. СОДЕРЖАНИЕ РАЗВИТИЯ СИСТЕМЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

 

5.1.ОБЩИЕ ПОЛОЖЕНИЯ

 

5.1.1. Анализ текущих проблем (недостатков), описание структурных элементов системы ИБ Нижегородской области показывают, что текущая система на сегодняшний день использует свой потенциал не в полную силу и требует развития.

5.1.2. Основной идеей развития является создание условий более высокого уровня для функционирования системы ИБ Нижегородской области, а именно: совокупности норм, процедур и правил, обеспечивающих единый цикл организации мероприятий по обеспечению ИБ и регулирующих отношения на разных Стадиях обеспечения ИБ. Целью является исполнение Субъектами на необходимом в соответствии с действующим законодательством уровне требований по ИБ (защите информации), нейтрализация угроз ИБ (защиты информации) и общее повышение качества обеспечения ИБ за счет реализации системного подхода к мероприятиям по обеспечению ИБ.

5.1.3. Общая идея системного подхода заключается в необходимости реализации субъектами системы ИБ Нижегородской области каждой Стадии обеспечения ИБ сообщав целях обеспечения ими минимизации риска приобретения некачественной и (или) незащищенной продукции (средств защиты информации, ИС и пр.) и обслуживания, и его отрицательного воздействия, получения максимальной выгоды (качества, результата) от реализации мероприятий по обеспечению ИБ при удовлетворении потребностей структур обеспечения системы ИБ Нижегородской области в части получения ими выгоды от реализации продукции (средств защиты информации, ИС и пр.), расширения рынка сбыта (оказания услуг, выполнения работ), повышения престижа и доверия. Субъектам необходимо исключить формальный подход к вопросам ИБ.  

5.1.4. Содержание развития системы ИБ Нижегородской области определяется направлениями и задачами, направленными на достижение целей защиты и нейтрализации угроз ИБ (безопасности информации). Стратегические направления и текущие задачи формируются с учетом интересов Нижегородской области в сфере ИБ.

5.1.5. Приоритетные направления развития и задачи могут находить детальное отражение в актах Губернатора Нижегородской области и Правительства Нижегородской области, головных подразделений по защите информации и Субъектов, могут корректироваться и дополняться при необходимости и с учетом выявления изменений в угрозах ИБ. 

 

5.2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ОБЪЕКТОВ ЗАЩИТЫ

 

5.2.1. В части обеспечения безопасности объектов защиты Субъектов, как уже созданных (эксплуатируемых), так и создаваемых на территории Нижегородской области, определены следующие приоритетные направления и задачи развития.

5.2.2. Направление 1 - повышение уровня профессиональной подготовки.

5.2.2.1. Учитывая, что основной причиной недостатков в системе ИБ Нижегородской области является недостаточный уровень укомплектованности и подготовленности назначенных специалистов по ИБ, следует, что профессиональная компетентность таких специалистов позволяет повысить эффективность проведения мероприятий по обеспечению ИБ и уровень защищенности (ИБ) Нижегородской области, обеспечить четкое выполнение и соблюдение норм в сфере ИБ. Важно совершенствовать уровень подготовки специалистов по ИБ. Необходимо двигаться в направлении по исключению ошибок, источником которых является человеческий фактор.

5.2.2.2. Определены следующие основные задачи в рамках данного направления:

1) в качестве постоянной меры: осуществление централизованной подготовки назначенных специалистов по ИБ путем проведения для них специалистами головных подразделений по защите информации семинаров-консультаций по темам планирования, организации и реализации мероприятий по обеспечению ИБ (далее - семинары-консультации), в том числе через единую информационную систему по ИБ, создаваемую в соответствии с пунктом 5.2.9.3 подраздела 5.2 раздела V настоящей Концепции (далее - ИАС), в целях исключения ошибок данных групп Субъектов на всех Стадиях обеспечения ИБ;

2) в качестве периодической меры:

2.1) осуществление подготовки специалистов по ИБ по профильной учебной программе, согласованной ФСТЭК России и (или) ФСБ России, в рамках курсов повышения квалификации и (или) профессиональной переподготовки, а также с применением дистанционного формата обучения для специалистов ОМСУ, удаленных от Нижнего Новгорода;  

2.2) привлечение территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, к участию в семинарах-консультациях;

2.3) привлечение специалистов других субъектов Российской Федерации к участию в семинарах-консультациях в целях обмена опытом по реализации мероприятий обеспечению ИБ;

2.4) разработка головными подразделениями по защите информации авторских обучающих курсов для специалистов по ИБ;

3) становление группы профессионалов в сфере ИБ: создание объединений специалистов в сфере ИБ (объединение в единую группу квалифицированных специалистов и специалистов, которым не хватает квалификации, реализация централизованного профессионального разрешения возникающих проблем с принятием единых решений и значительное повышение уровня правовой культуры назначенных специалистов), в том числе через ИАС;

4) развитие образовательной базы на территории Нижегородской области, реализующей разноуровневое обучение по направлению "ИБ (защита информации)" через проведение курсов повышения квалификации, переподготовки и получения высшего профессионально образования, в том числе через реализацию направления целевой контрактной подготовки. 

5.2.2.3. Полностью или частично решаемые проблемы:

1)    частая ротация назначенных специалистов по ИБ;

2)    недостаточная квалификация назначенных специалистов по ИБ;

3)    формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;

4)    отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ;

5)    недостаточная образовательная база в Нижегородской области;

6)    несогласованность разработки актов в сфере ИБ (защиты информации);

7)    подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;

8)    корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;

9)    не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ;

10)  не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;

11)  отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;

12)  приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;

13)  не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;

14)  отсутствие должного внутреннего контроля.

5.2.3. Направление 2 - развитие КСПД.

5.2.3.1. Ввиду успешного и выгодного использования ОИВ и рядом ОМСУ КСПД необходимо приобщать к ее ресурсам неподключенные ОМСУ, подведомственные Органам организации (при наличии необходимости).

5.2.3.2. Определены следующие основные задачи в рамках данного направления:

1) подключение к КСПД:

-  неподключенных ОМСУ Нижегородской области;

- подведомственных Органам организаций (при наличии необходимости);

- организаций, содержащих экономически и стратегически важную информацию;

2) определение перечня подключаемых ОМСУ и Организаций. Подключение осуществляется через узлы доступа к КСПД Органов в случае подключения подведомственной им организации.

5.2.3.3. Реализуемые преимущества:

1) повышение безопасности ИС (сетей связи) ОМСУ и подведомственных Органам организаций, содержащих экономически и стратегически важную информацию;

2) безопасность ИС ОМСУ и подведомственных Органам организаций при осуществлении международного информационного обмена посредством ИС, сетей и сетей связи, включая информационно-телекоммуникационную сеть "Интернет";

3) создание цельного защищенного пространства при передаче информации ограниченного доступа среди бюджетных учреждений Нижегородской области, реализующих государственные функции;

4) обеспечение необходимого уровня защиты каналов связи при передаче информации между Субъектами.

5.2.4. Направление 3 - централизация мероприятий по обеспечению ИБ.

5.2.4.1. Соединение в одном Субъекте функций, исполняемых им в части ИБ, приводит к его функциональной перегрузке и снижает эффективность исполнения его профильных государственных (муниципальных) функций. А ввиду отсутствия достаточного числа высококвалифицированных и опытных специалистов по ИБ на сегодняшний день в Нижегородской области, и слабой возможности сосредоточить в каждом Субъекте профессионалов в сфере ИБ (защиты информации), необходимо проводить мероприятия по выстраиванию механизма централизации реализации Стадий обеспечения ИБ на базе существующих головных подразделений по защите информации.

5.2.4.2. Определены следующие основные задачи в рамках данного направления:

1) выстраивание полноценной централизованной организационно-функциональной структуры в соответствии с пунктом 5.2.4.3 подраздела 5.2 раздела V настоящей Концепции;

2) централизация ИТ-инфраструктуры в соответствии с пунктом 5.2.4.4 подраздела 5.2 раздела V настоящей Концепции;

3) лицензирование организации в соответствии с пунктом 5.2.4.5 подраздела 5.2 раздела V настоящей Концепции.

5.2.4.3. Задача 1 - выстраивание полноценной централизованной организационно-функциональной структуры.

5.2.4.3.1. Масштабность, сложность и разнообразие функций системы ИБ Нижегородской области требуют упрочнения иерархической организационной структуры, обеспечивающей должное функционирование ряда составляющих системы ИБ Нижегородской области. Вопрос организации внутренней организационно-функциональной структуры Субъектов и повышение качества работы их отдельных структурных подразделений (специалистов, задействованных в процессах использования объектов защиты и обеспечения их безопасности) является актуальным.   

5.2.4.3.2. В рамках данного направления определена необходимость усиления системы ИБ Нижегородской области за счет развития текущей системы ИБ Нижегородской области путем реализации следующих основных подзадач в рамках данной задачи:

1) придание головным подразделениям по защите информации и ряду Органов роли уполномоченного органа (далее - Уполномоченный орган). Уполномоченный орган - это ОИВ или ОМСУ, уполномоченный на осуществление части функций по обеспечению ИБ и (или) построению ИТ-инфраструктуры  для других Субъектов своего уровня власти и подчиненности, передаваемых по соответствующему соглашению и (или) правовому акту, не противоречащих действующему законодательству (централизованная форма обеспечения ИБ), и включающих в себя правовые, организационные и (или) технические мероприятия в рамках планирования, организации и (или) реализации мероприятий по обеспечению ИБ (далее - Уполномоченный орган областного уровня (для ОИВ), Уполномоченный орган муниципального уровня (для ОМСУ));

2) усиление позиции Головного подразделения по ТЗИ как Уполномоченного органа (специализированной структуры) в части наделения его следующими дополнительными полномочиями по отношению к Субъектам (областного и муниципального уровней (по согласованию)), а именно: 

2.1) в части планирования и прогнозирования:

- комплексное (стратегическое и оперативное) управление системой (мероприятиями) ИБ Нижегородской области;

- формирование и периодическая актуализация сводных перечней объектов защиты каждого Субъекта в целях определения наиболее важных и уязвимых объектов защиты Субъектов;

- комплексное прогнозирование мероприятий по обеспечению ИБ и расходов на их реализацию; 

- согласование планов мероприятий по обеспечению ИБ с установленными приоритетами и стратегическими планами развития нижегородской (российской) технологической базы, с программами развития Нижегородской области;  

- определение приоритетов обеспечения ИБ Нижегородской области, включающих перечень мероприятий, которые должны быть проведены в первую очередь и для реализации каких функций в определенных прикладных сферах деятельности; 

2.2) в части организации:

- обеспечение взаимодействия разных субъектов системы ИБ Нижегородской области между собой, в том числе, в целях стабилизации и инновационного развития Нижегородской области;

- обобщение информации об однотипном спросе, формируемом разными Субъектами как заказчиками мероприятий по обеспечению ИБ в части закупки продукции (средств защиты информации), работ и услуг по обеспечению ИБ (защите информации);

- оказание помощи Органам в разработке технических заданий (проектов) на системы защиты создаваемых (модернизируемых) ИС, системы защиты иных объектов защиты Субъектов до направления их на экспертизу и согласование в установленном порядке;

2.3) в части реализации:

- управление рисками при осуществлении мероприятий по обеспечению ИБ;

- централизованный мониторинг и контроль обеспечения ИБ в соответствии с пунктом 5.2.9.4 подраздела 5.2 раздела V настоящей Концепции;

- контроль в рамках своей компетенции за централизацией мероприятий по обеспечению ИБ, выполнением Стадий обеспечения ИБ;

- участие в качестве членов комиссий в контрольных проверках подведомственных Органам организаций совместно с Органами; 

- участие в качестве членов комиссий, создаваемых Субъектами, для реализации мероприятий по обеспечению ИБ;  

- осуществление необходимых мер по защите Субъектов от проникновения к ним некачественных информационных продуктов и средств защиты информации в рамках своей компетенции;

4) организационное выделение деятельности по ИБ (защите информации) в самостоятельную службу (отдел, подразделение) Субъекта или выделение соответствующих штатных должностей (штатных единиц) по ИБ (защите информации) в Субъекте вместо вынужденного наделения соответствующими полномочиями (с одновременным закреплением ответственности за их реализацию) сотрудника или группы сотрудников, которые отвечали бы за действия по ИБ (защите информации) в дополнение к своим прямым обязанностям иного профиля;