Постановление Правительства Нижегородской области от 31.12.2015 № 920

5) назначение в Субъектах специалистов, ответственных за направление информатизации, в дополнение к должности локальных (системных) администраторов и специалистов по ИБ в целях комплексного проведения работ по обеспечению ИБ (защите информации) и согласованности действий каждой из указанных групп специалистов, а также согласование специалистами по ИБ технических заданий и проектов на создание (модернизацию) ИС и иных объектов защиты Субъекта в случае их разработки специалистом по информатизации и (или) локальным (системным) администратором;

6) разделение функций по защите информации, не отнесенной к государственной тайне, и по защите информации, содержащей сведения, составляющие государственную тайну, между разными специалистами по ИБ Субъекта;

7) систематическое привлечение специалистами по ИБ Субъектов к участию в мероприятиях по обеспечению ИБ своих сотрудников, задействованных в процессах по использованию (созданию) объектов защиты, в целях комплексного проведения работ по обеспечению ИБ (защите информации) и согласованности действий каждой из указанных групп специалистов; 

8) проведение мероприятий (создание мотивационных рычагов влияния), направленных на привлечение и удержание специалистов по ИБ в Субъектах; 

9) усиление координирующей, методической, контрольной роли структурных подразделений (специалистов) по ИБ Органов по вопросам обеспечения ИБ (защиты информации) в отношении подведомственных им организаций.

5.2.4.3.3. Полностью или частично решаемые проблемы:

1)    отсутствие должностей штатных специалистов по ИБ;

2)    назначение на должности специалистов по ИБ сотрудников иных профилей деятельности;

3)    частая ротация назначенных специалистов по ИБ;

4)    отсутствие контроля всех Стадий обеспечения ИБ;

5)    отсутствие достаточной отчетности;

6)    отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ;

7)    отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ;

8)    подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;

9)    корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;

10)  не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ;

11)  не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;

12)  отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;

13)  не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;

14)  отсутствие должного внутреннего контроля;

15)  закупка однотипных средств защиты информации и ИТ-услуг  по различным ценам;

16)  устаревшее ИТ-оборудование, программное обеспечение;

17)  разнородная аппаратно-программная среда;

18)  программные продукты с закрытым кодом;

19)  ограниченные возможности развития ИТ-инфраструктуры.

5.2.4.4. Задача 2 - централизация ИТ-инфраструктуры.

5.2.4.4.1. Ввиду распределенного размещения ИС Нижегородской области в ряде случаев на разном по своим техническим и функциональным параметрам оборудовании без необходимых защитных мер при эксплуатации необходимо двигаться в направлении по своевременному решению вопроса повышения централизованной управляемости ИС и применения единого механизма обеспечения защиты информации.

5.2.4.4.2. Определены следующие основные подзадачи в рамках данной задачи:

1) совершенствование инфраструктуры единого защищенного информационного пространства Нижегородской области путем построения (развития) защищенного центра обработки данных Правительства Нижегородской области на базе ЦОД Головного подразделения по ТЗИ и (или) ЦОД иных ОИВ в целях обеспечения накопления, сохранности и эффективного использования объектов защиты;

2) включение локальных и совместно используемых средств вычислительной техники - центров обработки данных (серверных помещений), в единую ИТ-инфраструктуру хранения и обработки данных. Формирование  централизованной ИТ-инфраструктуры, исходя из критерия совокупного сокращения бюджетных расходов Субъектов на закупки и аренду аппаратного оборудования. Учет особенностей территориального расположения Субъектов и уровень проникновения каналов связи, пригодных для использования удаленного центра обработки данных. Развитие интегрированной вычислительной и сетевой среды, совместно используемой Субъектами;

3) выстраивание механизма безопасного функционирования ИС Субъектов на базе центра обработки данных Правительства Нижегородской области;

4) обеспечение Головного подразделения по ТЗИ необходимыми трудовыми и финансовыми ресурсами для поддержания бесперебойного функционирования центра обработки данных Правительства Нижегородской области;

5) предоставление ресурсов  центра обработки данных Правительства Нижегородской области для размещения ИС Субъектов, не подразумевающее под собой абсолютный перенос всех ИС и ИР Субъектов в ЦОД Головного подразделения по ТЗИ. Стоит проводить разумную грань при принятии тех или иных решений, оценивая риски и угрозы ИБ для каждого конкретного случая.

5.2.4.4.3. Реализуемые преимущества:

1) достаточно гибкая и мощная ИТ-инфраструктура центра обработки данных Правительства Нижегородской области в сравнении с ИТ-инфраструктурой каждого отдельного Субъекта, что дает дополнительные преимущества: 

- обеспечивается консолидация и эффективное использование вычислительных ресурсов и данных, входящих в состав информационного обеспечения ИС;

- обеспечивается решение конкретных текущих и перспективных задач, порождаемых изменяющимися и возникающими административными процессами;

- упрощается решение задач по обеспечению безопасности, достоверности и целостности данных;

2) консолидация ресурсов для создания полноценной защищенной ИТ-инфраструктуры в целях проведения мероприятий по обеспечению ИБ, в том числе размещения ИС Субъектов;  

3) унификация информационного (программного, технического) обеспечения;

4) оперативное управление ИР, ИС Субъектов;

5) проведение единой политики в сфере ИБ Нижегородской области при разработке, внедрении, эксплуатации и совершенствовании ИС Субъектов;

6) обеспечение в соответствии с требованиями действующего законодательства необходимого уровня ИБ;

7) построение объединенных хранилищ данных (централизация данных в пределах единой ИТ-инфраструктуры центра обработки данных Правительства Нижегородской области).

5.2.4.4.4. Полностью или частично решаемые проблемы:

1)    частая ротация назначенных специалистов по ИБ;

2)    отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;

3)    приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;

4)    не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;

5)    разнородная аппаратно-программная среда;

6)    отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД);

7)    ограниченные возможности развития ИТ-инфраструктуры;

8)    отсутствие централизованного обслуживания и управления.

5.2.4.5. Задача 3 - лицензирование организации, осуществляющей комплекс работ по обеспечению ИБ (защиты информации, не отнесенной к государственной тайне) для Субъектов.

5.2.4.5.1. Необходимо создание (поддержание) государственной бюджетной организации или организации, в уставном (складочном) капитале которой доля (вклад) Нижегородской области составляет 50% (пятьдесят процентов) и более, и расположенной на территории Нижегородской области, которая на основании лицензий ФСТЭК России (ФСБ России) будет осуществлять комплекс работ по обеспечению ИБ (защиты информации, не отнесенной к государственной тайне) для Субъектов, на осуществление которых требуется специальное право (лицензия).

5.2.4.5.2. Преимущества:

1) контроль указанной организации и ее ресурсов со стороны Правительства Нижегородской области, головных подразделений по защите информации;  

2) быстрое (упрощенное, своевременное) взаимодействие указанной организации с ОИВ и государственными бюджетными учреждениями Нижегородской области в процессе обеспечения ИБ;

3) сосредоточение единых ресурсов для обеспечения ИБ в Субъектах в одной указанной организации;

4) возврат вложенных в указанную организацию бюджетных средств за счет поступления налогов от деятельности указанной организации в областной бюджет.

5.2.4.5.3. Полностью или частично решаемые проблемы:

1)    динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации);

2)    недостаточная квалификация специализированных организаций, лицензиатов, посреднических организаций, реализующих мероприятия по обеспечению ИБ;

3)    не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.2.5. Направление 4 - использование в деятельности Субъектов продуктов и услуг российских ИТ-компаний и облачных технологий.

5.2.5.1. В рамках данного направления необходимо осуществлять переход на использование в деятельности Субъектов продуктов и услуг только российских компаний, на базе которых обеспечивать внедрение разнопрофильных программ и ИС Нижегородской области, а также на приоритетное использование российских облачных технологий при эксплуатации ИС, ИР. Необходимо стремится к отказу в использовании Субъектами зарубежных средств защиты информации и информатизации по мере создания конкурентоспособных нижегородских (российских) средств защиты информации, средств информатизации.

5.2.5.2. Определены следующие основные задачи в рамках данного направления:

1) развитие нижегородского производства аппаратных и программных средств защиты информации в соответствии с пунктом 5.2.5.4 подраздела

5.2 раздела V настоящей Концепции;

2) защита нижегородских разработчиков и исполнителей в соответствии с пунктом 5.2.5.5 подраздела 5.2 раздела Vнастоящей Концепции;

3) при соблюдении норм действующего законодательства в сфере закупок и защиты конкуренции, а также с учетом материалов и информации, предоставленных федеральным уровнем, рассмотрение вопроса о возможности разработки и издания на областном уровне правовых актов (программ, планов), направленных на переход на использование в деятельности Субъектов продуктов и услуг только российских ИТ-компаний; 

4) в случае использования облачных технологий необходимо обращать внимание на оказание услуг облачных вычислений российскими юридическими лицами, облачная инфраструктура которых находится на территории Российской Федерации, и преимущественно Нижегородской области, на наличие законных прав у таких лиц для оказания данных услуг, а также на обязательность соблюдения и обеспечения при оказании данных услуг законодательно установленных требований по ИБ.

5.2.5.3. Полностью или частично решаемые проблемы: вероятные угрозы при использовании иностранных разработок, содержащих элементы, подрывающие ИБ Нижегородской области (Субъектов, их объектов защиты).

5.2.5.4. Задача 1 - развитие нижегородского производства аппаратных и программных средств защиты информации.

5.2.5.4.1. Необходимо развивать нижегородское производство аппаратных и программных средств защиты информации в целях решения угроз безопасности информации, которые могут возникнуть при переходе на полноценное использование центра обработки данных Правительства Нижегородской области, и не перекроются существующими российскими или иностранными разработками.

5.2.5.4.2. Определены следующие основные подзадачи в рамках данной задачи:

1) взаимодействие головных подразделений по защите информации по вопросам разработки и производства аппаратных и программных средств защиты информации с УФСБ России по НО и УФСТЭК России по ПФО, научно-исследовательскими институтами (разработчиками) и иными органами и организациями федерального уровня при необходимости;

2) обеспечение государственной поддержки нижегородских разработок в сфере защиты информации;

3) приоритетная опытная эксплуатация Нижегородской областью новейших разработок, созданных по заказу Нижегородской области, в рамках пилотных проектов.

5.2.5.4.3. Полностью или частично решаемые проблемы:

1)    динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации);

2)    отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;

3)    не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.2.5.5. Задача 2 - защита нижегородских разработчиков и исполнителей.

5.2.5.5.1. Необходимо развивать систему ИБ Нижегородской области как инструмент проведения политики по защите нижегородских разработчиков и исполнителей как участников рынка.

При соблюдении норм действующего законодательства в сфере закупок и защиты конкуренции необходимо рассмотреть возможность разработки и издания на областном уровне правовых актов, определяющих меры, направленные на развитие данного направления (решение вышеуказанных подзадач).

5.2.5.5.3. Преимущества:

1) стимулирование развития территории Нижегородской области в разных направлениях и создание новых рабочих мест;

2) оправданные финансовые показатели за счет перераспределения отчислений в бюджет: прибыль, получаемая нижегородскими (российскими) разработчиками и исполнителями в рамках реализации мероприятий по обеспечению ИБ, возвращается в виде налоговых поступлений, а финансирование зарубежных разработок представляет собой инвестиции в экономику других стран, поскольку свободный доступ иностранных разработок на нижегородский (российский) рынок ведет к снижению национального дохода и налогооблагаемой базы нижегородских (российских) компаний;

3) своевременное реагирование исполнителей на проблемы Субъектов как заказчиков мероприятий по обеспечению ИБ.

5.2.5.5.4. Полностью или частично решаемые проблемы:

1)    динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации);

2)    не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.2.6. Направление 5 - развитие технологической и материально-технической баз.

5.2.6.1. В целях предотвращения и нейтрализации угроз ИБ, а также проблем обеспечения ИБ в рамках данного направления необходимо решать следующие основные задачи:

1) модернизация системной инфраструктуры в соответствии с пунктом 5.2.6.3 подраздела 5.2 раздела V настоящей Концепции;

2) модернизация базовой программно-технологической инфраструктуры в соответствии с пунктом 5.2.6.4 подраздела 5.2 раздела V настоящей Концепции;

3) модернизация прикладной программно-технологической инфраструктуры в соответствии с пунктом 5.2.6.5 подраздела 5.2 раздела V настоящей Концепции;

4) обязательное оснащение объектов защиты Субъектов в законодательно предусмотренных случаях современными (обновленными) сертифицированными средствами защиты информации (в том числе средствами контроля эффективности защиты информации);

5) приоритетное использование сертифицированного общего и специального программного обеспечения при обработке защищаемой информации.

5.2.6.2. Полностью или частично решаемые проблемы:

1)    устаревшее ИТ-оборудование, программное обеспечение;

2)    разнородная аппаратно-программная среда;

3) программные продукты с закрытым кодом;

4)    отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД);

5)    ограниченные возможности развития ИТ-инфраструктуры;

6)    отсутствие централизованного обслуживания и управления.

5.2.6.3. Задача 1 - модернизация системной инфраструктуры.

Определены следующие основные подзадачи в рамках данной задачи:

1) постепенная замена технически и морально устаревшей вычислительной техники Субъектов, используемой на рабочих местах пользователей ИС, при возможности соблюдения единообразных требований к ней;

2) исполнение подзадачи построения (развития) центра обработки данных Правительства Нижегородской области в рамках задачи пункта 5.2.4.4 подраздела 5.2 раздела V настоящей Концепции с рациональной стоимостью и потенциалом к масштабированию вычислительных ресурсов и хранилищ данных, а также последовательное расширение его конфигурации по мере модернизации прикладной и базовой программно-технологической инфраструктуры.

5.2.6.4. Задача 2 - модернизация базовой программно-технологической инфраструктуры.

Определены следующие основные подзадачи в рамках данной задачи:

1) замена компонентов рабочего окружения пользователей по мере переоборудования их рабочих мест, по мере модернизации прикладной программно-технологической инфраструктуры;

2) определение правил межсистемного защищенного взаимодействия для интеграции прикладных ИС.

5.2.6.5. Задача 3 - модернизация прикладной программно-технологической инфраструктуры.

Определена необходимость постепенного и поэтапного перевода существующих прикладных ИС на новые технологии функционирования при одновременном расширении области охвата деловых процессов, а также интеграции этих ИС. Для определения приоритетных направлений разработки следует использовать следующую схему качественных критериев:

1) область охвата: область охвата деловых процессов Субъектов с учетом их значимости и текущего уровня автоматизации;

2) универсальность: оценка возможности использования ИС другими Субъектами при ее минимальной адаптации;

3) уровень специализации: оценка возможности использования ИС или ее компонент для автоматизации других областей деятельности Субъектов(потенциал к расширению области действия ИС);

4) ресурсоемкость: оценка временных и финансовых ресурсов, необходимых для реализации и эксплуатации ИС;

5) актуальность: оценка длительности жизненного цикла ИС, исходя из динамики изменения структуры деловых процессов Субъектов, в том числе прогнозируемой в связи с внедрением других прикладных ИС.

При использовании данной схемы предпочтения должны отдаваться ИС с максимальными: охватом деловых процессов, универсальностью, актуальностью и минимальными: ресурсоемкостью и уровнем специализации, при этом должны соблюдаться принципы обеспечения ИБ (построения систем защиты), указанные в подразделе 5.5 раздела V настоящей Концепции, в части создания (модернизации) ИС в защищенном исполнении.

5.2.7. Направление 6 - развитие правовой и методической базы.

5.2.7.1. В рамках данного направления необходимо продолжать:

1) формировать актуальную правовую базу, регламентирующую права, обязанности и ответственность всех внутренних субъектов системы ИБ Нижегородской области, а также взаимодействие с внешними субъектами системы ИБ Нижегородской области при решении вопросов ИБ (защиты информации);

2) совершенствовать концептуальные и правовые основы функционирования систем защиты (ИБ) Нижегородской области, Субъектов и объектов защиты.

5.2.7.2. Определены следующие основные задачи в рамках данного направления:

1) формирование государственной программы Нижегородской области и планов ИБ (защиты информации) в соответствии с пунктом 5.2.7.3 подраздела 5.2 раздела V настоящей Концепции;

2) формирование типовых документов по ИБ (защите информации) в соответствии с пунктом 5.2.7.4 подраздела 5.2 раздела V настоящей Концепции;

3) приведение правовых актов Субъектов в соответствие с действующим законодательством и Концепцией:

- издание правовых актов и методических документов по ИБ (защите информации), конкретизирующих и дополняющих акты федерального уровня и Концепцию, и обеспечение ими Субъектов;

- отмена (изменение) документов по ИБ, содержащих не актуальные сведения.

5.2.7.3. Задача 1 - формирование государственной программы Нижегородской области и планов ИБ (защиты информации).

5.2.7.3.1. Необходимо централизовано закреплять мероприятия по обеспечению ИБ в документе, отражающем приоритетные направления в планировании, организации и реализации мероприятий по обеспечению ИБ. Документ позволит продолжить формирование единой политики в развитии цельной системы ИБ Нижегородской области и соблюдать требования действующего законодательства на высоком уровне.

5.2.7.3.2. Определены следующие основные подзадачи в рамках данной задачи:

1) разработка и утверждение государственной программы Нижегородской области в сфере ИБ (защиты информации), объединяющей усилия Субъектов и коммерческих структур в развитии цельной системы ИБ Нижегородской области (допустимо включение в существующие государственные программы информатизации);

2) разработка головными подразделениями по защите информации и представление на рассмотрение Губернатором Нижегородской области, Председателем Правительства сводных планов ИБ (защиты информации);

3) ежегодная актуализация (при необходимости) государственной программы ИБ (защиты информации) в части реализации приоритетных направлений и задач развития в соответствии с Концепцией.

5.2.7.3.3. Полностью или частично решаемые проблемы:

1)    формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;

2)    отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ;

3)    не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;

4) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.2.7.4. Задача 2 -формирование типовых документов по ИБ (защите информации).

5.2.7.4.1. В связи с существованием проблем в системе ИБ Нижегородской области, связанных с человеческим фактором, и в целях оказания координационной, методической помощи специалистам по ИБ Субъектов необходимо осуществлять мероприятия по формированию комплектов (форм) типовых документов по ИБ (защите информации), необходимых в деятельности таких специалистов.

5.2.7.4.2. Определены следующие основные подзадачи в рамках данной задачи:

1) определение головными подразделениями по защите информации совместно с Субъектами потребности в разработке тех или иных видов типовых документов по ИБ (защите информации) для Субъектов;

2) разработка и утверждение в рамках своей компетенции головными подразделениями по защите информации совместно с территориальными органами (управлениями) федеральных органов исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, типовых документов по ИБ (защите информации) для Субъектов в целях повышения качества их самостоятельной работы по обеспечению ИБ (защите информации); 

3) актуализация в рамках своей компетенции головными подразделениями по защите информации совместно с территориальными органами (управлениями) федеральных органов исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, и Субъектами типовых документов по ИБ (защите информации) при изменении существенных положений действующего законодательства в области ИБ (защиты информации).

5.2.7.4.3. Полностью или частично решаемые проблемы:

1)    частая ротация назначенных специалистов по ИБ;

2)    недостаточная квалификация назначенных специалистов по ИБ;

3)    формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;

4)    отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ;

5)    несогласованность разработки правовых актов в сфере ИБ (защиты информации);

6)    подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;

7)    корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;

8)    не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.2.8. Направление 7 - координация расходов и привлечение федеральных средств.

5.2.8.1. В рамках данного направления необходимо координировать расходы и привлекать средства федерального бюджета на проведение мероприятий по обеспечению ИБ в Нижегородской области.

5.2.8.2. Определены следующие основные задачи в рамках данного направления:

1) долгосрочное планирование расходов на мероприятия по обеспечению ИБ путем реализации пункта 5.2.9 подраздела 5.2 раздела V настоящей Концепции;

2) максимальная консолидация потребностей Субъектов и осуществление централизованных (совместных) закупок мероприятий по обеспечению ИБ путем реализации пункта 5.2.4 подраздела 5.2 раздела V настоящей Концепции;

3) привлечение средств федерального бюджета на приоритетные мероприятия по обеспечению ИБ в Нижегородской области в дополнении к средствам областного и местного бюджетов.

5.2.9. Направление 8 - создание гибкой системы управления системами защиты.

5.2.9.1. В рамках данного направления необходимо создать эффективную и гибкую систему управления системой ИБ Нижегородской области, системами ИБ (защиты информации) Субъектов и системами защиты объектов защиты, а также мероприятиями по обеспечению ИБ, реализуемыми в Нижегородской области.

5.2.9.2. Определены следующие основные задачи в рамках данного направления:

1) создание единой информационной системы по ИБ, оператором которой будет Головное подразделение по ТЗИ в соответствии с пунктом 5.2.9.3 подраздела 5.2 раздела V настоящей Концепции;

2) централизованный мониторинг и контроль обеспечения ИБ в соответствии с пунктом 5.2.9.4 подраздела 5.2 раздела V настоящее Концепции;

3) расширение сотрудничества в соответствии с пунктом 5.2.9.5 подраздела 5.2 раздела V настоящей Концепции;

4) систематическое проведение работ по выявлению и оценке угроз безопасности информации, прогнозированию их развития, разработке актуального перечня угроз безопасности информации для объектов защиты (осуществляется Субъектами).

5.2.9.3. Задача 1 - создание единой информационной системы по ИБ (ИАС).

5.2.9.3.1. Для продуктивной работы системы ИБ Нижегородской области необходимо создание и поддерживание ИС, функционирующей в защищенном пространстве КСПД и позволяющей осуществлять мониторинг состояния систем защиты разных уровней в интересах информационного обеспечения принятия решений по ИБ в Нижегородской области, в том числе в интересах планирования мероприятий по обеспечению ИБ.

5.2.9.3.2. Основные цели создания ИАС:

1) консолидация интересов Субъектов в сфере ИБ (защиты информации), координация законотворческих) инициатив, своевременная их трансляция федеральным органам исполнительной власти, уполномоченным в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации;

2) создание (расширение) зоны совместного участия внутренних и внешних субъектов системы ИБ Нижегородской области в целях решения вопросов обеспечения ИБ; 

3) повышение оперативности, эффективности и качества управления сферой ИБ (защиты информации) в Нижегородской области;

4) соблюдение ИБ (защиты информации) при обработке информации ограниченного доступа;

5) создание предпосылок для интеграции ИР, ИС на уровне Нижегородской области;

6) повышение эффективности взаимодействия специалистов по ИБ Субъектов;

7) упрощение процедуры проведения выездных контрольных проверок головными подразделениями по защите информации;

8) анализ(согласование) планов информатизации (ИБ, защиты информации) Субъектов и отчетов об их выполнении;

9) проведение головными подразделениями по защите информации экспертной оценки документов, используемых в рамках планирования, создания и использования информационно-коммуникационных технологий, систем защиты в деятельности Субъектов;

10) подготовка и принятие решений о проведении Субъектами мероприятий по информатизации и обеспечению ИБ;

11) планирование бюджетных ассигнований в части проведения мероприятий по информатизации и обеспечению ИБ;

12) повышение грамотности специалистов по ИБ Субъекта в области обеспечения ИБ (защиты информации); 

13) реализация возможностей совместной работы в защищенном пространстве;

14) возможность на базе ИАС создать единое защищённое информационное пространство для всех областей ПФО со значительной экономией бюджетных средств на решение задач ИБ;

15) возможность последующего использования ИАС в прикладных областях деятельности Органов со значительной экономией бюджетных средств;

16) мониторинг в режиме реального времени деятельности Субъектов в части обеспечения ИБ в создаваемых (модернизируемых) и эксплуатируемых ими ИС и в других объектах защиты;

17) в режиме реального времени сбор информации и анализ эффективности проводимых мероприятий по обеспечению ИБ в Субъектах;

18) снижение трудоемкости как на этапе первичного заполнения данных, так и на этапе обработки информации и формирования аналитических выводов;

19) увеличение качества информации и детализации статистических сведений за счет получения информации от первоисточника и ее дальнейшая актуализация;

20) сокращение расходов на заполнение бумажных форм отчетности.

5.2.9.3.3. Определены следующие основные подзадачи в рамках данной задачи:

1) ввод в защищенную эксплуатацию ИАС и подключение к ней первостепенно - всех ОИВ и ОМСУ, части Организаций; при апробированности ИАС - подключение территориальных органов (управлений) федеральных органов исполнительной власти, организаций, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, подведомственных Органам, иных Организаций;

2) посредством ИАС осуществление основных мероприятий по обеспечению ИБ, а также мероприятий, направленных на развитие системы ИБ Нижегородской области;

3) осуществление постоянной поддержки эксплуатации ИАС.

5.2.9.3.4. Полностью или частично решаемые проблемы:

1)    частая ротация назначенных специалистов по ИБ;

2)    недостаточная квалификация назначенных специалистов по ИБ;

3)    формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;

4)    отсутствие единого ИТ-центра реализации Стадий обеспечения ИБ;

5)    отсутствие контроля всех Стадий обеспечения ИБ;

6)    отсутствие достаточной отчетности;

7)    отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ;

8)    несогласованность разработки правовых актов в сфере ИБ (защиты информации);

9)    подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;

10)  корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;

11)  не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ;

12)  не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;

13)  отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;

14)  приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;

15)  не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;

16)  отсутствие централизованного обслуживания и управления.

5.2.9.4. Задача 2 - централизованный мониторинг и контроль обеспечения ИБ.

5.2.9.4.1. Необходимо осуществлять постоянный мониторинг и контроль обеспечения ИБ. Под мониторингом обеспечения ИБ понимается поиск, отслеживание, накопление и систематизация сведений, относящихся к сфере ИБ, обеспечивающих взвешенный и объективный анализ обстановки, позволяющий прогнозировать развитие ситуации и принимать наиболее правильные и рациональные решения по укреплению сохранности стратегической экономической и политической информации, конфиденциальных сведений в Субъектах. Система мониторинга самостоятельно создается и поддерживается Субъектами и базируется на действующей правовой базе.

1) Целью мониторинга является обеспечение полной, своевременной, достоверной информацией для принятия обоснованных управленческих решений.

2) Задачами мониторинга определены:

- задание принципов осуществления мониторинга по его направлениям;

- распределение компонентов среды мониторинга между субъектами мониторинга (организациями, предприятиями, учреждениями);

- выбор методов получения и обработки информации;

- синтез и реализация полученной информации.

3) Основными принципами мониторинга определены:

- системный подход в осуществлении мониторинга;

- непрерывный и последовательный контроль угроз безопасности информации;

- самостоятельный подход в формировании структуры организации мониторинга (каждым Субъектом);

- максимальный охват всех параметров по всем направлениям осуществления мониторинга, отслеживание их во времени;

- самостоятельное определение субъектами мониторинга набора критериев (индикаторов) оценки состояния ИБ на своем направлении;

- регулируемость процесса мониторинга через оценку его результатов.

4) Мониторинг охватывает:

- динамику внешне- и внутриполитической ситуации, глобальные и локальные противоречия и конфликты, оказывающие непосредственное или опосредованное влияние на состояние ИБ в Нижегородской области;

- научно-технический прогресс в области средств и методов проникновения в объекты защиты и воздействия на ИТ-инфраструктуру, а также в области защиты информации;

- состояние федерального и областного законодательства в сфере обеспечения ИБ;

- состояние и эффективность систем защиты информации трех уровней;

- изучение собственных возможностей Нижегородской области по обеспечению консультационной, методической, технической, финансовой и практической поддержки мероприятий по ИБ Нижегородской области;

- организацию информационного взаимодействия в сфере защиты информации с другими субъектами Российской Федерации.

5.2.9.4.2. Координирующим органом в системе мониторинга ИБ являются головные подразделения по защите информации (каждый в своей части). Организация мониторинга осуществляется Субъектами. Информация по результатам предварительного анализа полученных данных периодически или по необходимости доводится и обсуждается на заседаниях Совета Нижегородской области. Оценка результатов мониторинга, данная на Совете Нижегородской области, является основанием для заинтересованных Субъектов, организующих соответствующее направление мониторинга, к изменению или сохранению критериев отбора и предварительной обработке информации, совершенствованию режимных мер по защите используемых объектов защиты.

5.2.9.4.3. Контроль за состоянием ИБ осуществляется с целью своевременного выявления угроз безопасности и предотвращения их реализации, оценки эффективности текущих систем защиты и заключается в проверке выполнения действующих актов и документов по вопросам обеспечения ИБ.

5.2.9.4.4. Результаты мониторинга и контроля доводятся Субъектами до сведения вышестоящих организаций по подведомственности, а последними - до головных подразделений по защите информации.

5.2.9.4.5. Полностью или частично решаемые проблемы:

1)    формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;

2)    отсутствие контроля всех Стадий обеспечения ИБ;

3)    отсутствие достаточной отчетности;

4)    отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ;

5)    отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;

6)    приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;

7)    не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;

8)    отсутствие централизованного обслуживания и управления.

5.2.9.5. Задача 3 - расширение сотрудничества.

5.2.9.5.1. Необходимо расширять сотрудничество Нижегородской области в части развития и безопасного использования ИР, ИС, противодействия угрозе развязывания противоборства и войн в информационной сфере. Здесь важно соблюдать внутриобластное, межрегиональное и федеральное сотрудничество по вопросам обеспечения ИБ. Такое сотрудничество должно стать неотъемлемой составляющей политического, экономического, культурного и других видов взаимодействия Нижегородской области и других субъектов Российской Федерации и способствовать повышению ИБ Нижегородской области.

5.2.9.5.2. Определены следующие основные задачи в рамках данного направления:

1) в целях обмена опытом в области обеспечения ИБ и решения актуальных вопросов ИБ (защиты информации): участие Нижегородской области в федеральных и межрегиональных организациях (комиссиях, советах), действующих в области ИБ; расширение участия нижегородских специалистов по ИБ в международных, федеральных и межрегиональных конференциях, семинарах, форумах, выставках, сборах и т.п.;

2) в качестве механизма согласования интересов субъектов системы ИБ Нижегородской области и нахождения компромиссных решений формирование и организация на территории Нижегородской области эффективной работы различных советов, групп, комиссий с широким представительством специалистов Субъектов, головных подразделений по защите информации, территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, и иных заинтересованных лиц;

3) в целях определения необходимых мероприятий по решению возникающих проблем (при наличии): ввод в практику проведения при необходимости совещаний головных подразделений по защите информации с Субъектами и Субъектов между собой (в том числе в удаленном режиме);

4) при проведении областных выставок, конференций, совещаний с участием представителей других субъектов Российской Федерации, иностранных государств, при осуществлении международного информационного обмена, в том числе с использованием открытых ИС особенно важно следить за проведением мероприятий по обеспечению ИБ.

5.2.9.5.3. Полностью или частично решаемые проблемы:

1)    частая ротация назначенных специалистов по ИБ;

2)    недостаточная квалификация назначенных специалистов по ИБ;

3)    формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;

4)    отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ;

5)    несогласованность разработки правовых актов в сфере ИБ (защиты информации);

6) подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;

7)    корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;

8)    не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;

9)    приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;

10)  не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

 

5.3. СОБЛЮДЕНИЕ КОНСТИТУЦИОННЫХ ПРАВ И СВОБОД

 

В части соблюдения конституционных прав и свобод человека (гражданина) в области получения информации и пользования ею, сохранения и укрепления нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала Нижегородской области при использовании объектов защиты Субъектов требуется:

1) обеспечивать конституционные права и свободы человека (гражданина) свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию; 

2) обеспечивать конституционные права и свободы человека (гражданина) на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

3) соблюдать запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен действующим законодательством;

4) усовершенствовать систему формирования, сохранения и рационального использования объектов защиты Субъектов, составляющих основу научно-технического и духовного потенциала Нижегородской области, в том числе за счет реализации направлений и задач, указанных в подразделе 5.2 раздела V настоящей Концепции;

5) повысить эффективность использования ИТ-инфраструктуры Нижегородской области (Субъектов) в интересах общественного развития, консолидации нижегородского общества, в том числе за счет реализации направлений и задач, указанных в подразделе 5.2 раздела V настоящей Концепции.

 

5.4. ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ ПОЛИТИКИ

НИЖЕГОРОДСКОЙ ОБЛАСТИ (СУБЪЕКТОВ)

 

В части информационного обеспечения политики Нижегородской области (Субъектов), связанного с доведением до нижегородской и российской общественности достоверной информации об официальной позиции Нижегородской области (Субъектов) по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым ИС, ИР Нижегородской области (Субъектов) требуется:

1) укреплять открытые ИС, ИР нижегородских средств массовой информации, расширять их возможности по своевременному доведению достоверной информации до нижегородских (российских) и иностранных граждан;

2) формировать (развивать) открытые ИС, ИР Нижегородской области (Субъектов), повышать эффективность их использования;

3) законными средствами обеспечивать защиту нижегородской (российской) общественности от ложной, искаженной и недостоверной информации, поступающей через открытые ИС, ИР Нижегородской области (Субъектов), средств массовой информации.

 

5.5. ОСНОВНЫЕ ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ

 БЕЗОПАСНОСТИ (ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ)

 

5.5.1. Принцип приоритетности и соответствия.

На территории Нижегородской области реализуется приоритетность реализации мероприятий по обеспечению ИБ, направленных на предотвращение ущерба безопасности и обороноспособности Российской Федерации. Мероприятия по обеспечению ИБ, планируемые и реализуемые на территории Нижегородской области, должны соответствовать политическим, оборонным, экономическим и социальным интересам Российской Федерации.

5.5.2. Принцип законности.

Построение (развитие) системы ИБ каждого Субъекта и объекта защиты, проведение мероприятий по обеспечению ИБ должно осуществляться в соответствии с действующим законодательством в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией. Реализация мероприятий по обеспечению ИБ и их результаты должны исключать причинение ущерба жизни и здоровью граждан, окружающей среде и интересам Нижегородской области в сфере ИБ. Создание, проведение испытаний и ввод в эксплуатацию объектов защиты должны осуществляться строго в соответствии с требованиями действующего законодательства.

5.5.3. Принцип разумных ограничений.

Ограничение доступа к информации (объектам защиты) есть исключение из общего принципа открытости информации (объектов защиты) и осуществляется только на основе действующего законодательства. Доступ к какой-либо информации (объектам защиты), а также вводимые ограничения доступа осуществляются с учетом определяемых действующим законодательством прав собственности на эту информацию (объект защиты).

5.5.4. Принцип максимальной прозрачности.

Меры по противодействию угрозам безопасности всегда налагают на пользователей ограничения организационного и технического характера. Поэтому принимаемые меры должны быть максимально совместимы с используемыми, например, операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей.

5.5.5. Принцип превентивности.

Меры по защите информации и внедряемые средства и системы защиты должны быть нацелены, прежде всего, на недопущение (пресечение) реализации угроз безопасности информации, а не на устранение последствий их проявления. Данный принцип подразумевает в том числе профилактику нарушений безопасности. В большинстве случаев экономически оправданным является принятие предупредительных мер по недопущению нарушений безопасности в отличие от мер по реагированию на инциденты, связанных с принятием рисков осуществления угроз ИБ. Однако, это не исключает необходимости принятия мер по реагированию на инциденты и восстановлению поврежденных ИР. Поэтому должен проводиться анализ рисков, опирающийся на модель угроз и нарушителя безопасности информации. Многие риски можно уменьшить путем принятия превентивных мер защиты. Должны быть предусмотрены средства раннего выявления нарушений ИБ, нештатной работы аппаратуры, программ и пользователей, что повысит управляемость, возможность сбора регистрационной информации обо всех компонентах и процессах, важных с точки зрения ИБ.

5.5.6. Принцип оптимальности и разумной разнородности.

Для сокращения расходов на создание систем защиты должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые, например, в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты.

5.5.7. Принцип экономической целесообразности (обоснованности).

Обеспечение соответствия ценности объектов защиты и величины возможного ущерба (от их разглашения, утраты, утечки, несанкционированного уничтожения и искажения) уровню затрат на обеспечение ИБ. Используемые меры и средства обеспечения безопасности объектов защиты не должны заметно ухудшать экономические показатели работы, например, ИС, в которых эта информация циркулирует. 

5.5.8. Принцип адекватности и непрерывности.

Решения, реализуемые системами защиты, должны быть дифференцированы в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности. Должны применяться способы и меры ИБ, перекрывающие возможности угроз и нарушителей безопасности информации, и при этом не быть избыточными. Безопасность информации в ИС должна обеспечиваться непрерывно в течение всего жизненного цикла ИС. В соответствии с этим принципом должны приниматься меры по недопущению перехода ИС (объектов защиты) в незащищенное состояние. Поскольку перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты, после восстановления ее функционирования большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.).

5.5.9. Принцип своевременности.

Предполагает упреждающий характер мер обеспечения безопасности, то есть постановку задач по комплексной защите и реализацию мер обеспечения безопасности на ранних стадиях, например, разработки ИС в целом и ее системы защиты, в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой ИС (объекта защиты). Это позволит учесть требования безопасности при проектировании архитектуры и создать максимально эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

5.5.10. Принцип научной обоснованности и технической реализуемости.

Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности. Системы защиты должна быть ориентирована на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.

5.5.11. Принцип адаптивности и гибкости.

Системы защиты должны строиться с учетом возможного изменения, например, конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации. Поскольку применяемые меры и средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты, для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это является в тех случаях, когда установку средств защиты необходимо осуществлять на эксплуатируемую ИС, не нарушая процесса ее стабильного функционирования.

5.5.12. Принцип доказательности и обязательности контроля.

Должна обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности ИС (объектов защиты) и средств защиты. Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей. Должны реализовываться организационные меры внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Каждый Субъект в рамках своей компетенции осуществляет контроль за использованием им (подотчетными ему организациями) сертифицированных средств защиты информации и в целом средств защиты, обязательных к применению по требованиям действующего законодательства.

5.5.13. Принцип самозащиты и конфиденциальности самой системы защиты.

Защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Однако, это не означает, что информация о конкретной системе защиты должна быть общедоступна. Реализуется применением соответствующих средств защиты информации и неразглашением неуполномоченным третьим лицам информации о применяемых системах защиты. 

5.5.14. Принцип системности.

Системный подход к построению системы защиты предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности, включающих стадии (этапы) планирования, проведения, реализации, контроля и её совершенствования. При создании системы защиты должны учитываться наиболее уязвимые места объекта защиты, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и несанкционированный доступ (НСД) к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности. Здесь важно соблюсти комплексный подход - всестороннее обеспечение ИБ, то есть сочетание программно-технических, организационных, правовых, методических и других специальных мер обеспечения ИБ.

5.5.15. Принцип многоуровневости и равнопрочности.

ИС должна реализовывать защиту информации на всех уровнях своей жизнедеятельности (обработки информации) - технологическом, пользовательском, локальном, сетевом. Должно предусматриваться комплексное использование методов и средств защиты: согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна иметь несколько последовательных рубежей таким образом, чтобы наиболее важная зона безопасности находилась внутри других зон. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Все рубежи защиты должны быть равнопрочными к возможности реализации угрозы. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному нарушителю требовались профессиональные навыки в нескольких невзаимосвязанных областях. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей должны быть средства криптографической защиты, используемые для создания виртуальных частных сетей. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

Равнопрочность должна применяться по всем направлениям: должна осуществляться регламентация и документирование всех способов доступа к объектам защиты.

5.5.16. Принцип простоты применения и апробированности защиты.

Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями должно быть максимально простым, чтобы уменьшить риски, связанные с нарушением правил их использования. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). По той же причине целесообразно использовать средства защиты информации, допускающие возможность централизованного администрирования. Должна достигаться автоматизация максимального числа действий пользователей и администраторов. Должна применяться ориентация на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку. Например, при построении ИС необходимо учитывать, что она должна содержать лишь те компоненты и связи, которые необходимы для ее функционирования (с учетом требований надежности и перспективного развития), а также использовать минимальное число протоколов сетевого взаимодействия, быть простой в архитектуре, минимизировать и упрощать связи между компонентами.

5.5.17. Принцип преемственности и непрерывности совершенствования.

Система защиты должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования объекта защиты. Должно осуществляться постоянное совершенствование мер и средств защиты информации (ИТ-инфраструктуры) на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования объекта защиты и ее системы защиты с учетом изменений в методах и средствах перехвата информации, требований по ее защите, достигнутого отечественного и зарубежного опыта в этой сфере. При выборе программно-технических решений по обеспечению ИБ, предпочтение должно отдаваться решениям, удовлетворяющим следующим критериям:

- поддержка: международных, национальных, промышленных и Интернет стандартов; наибольшей степени интеграции с программно-аппаратными платформами  Субъектов и используемыми средствами и системами защиты информации;

- унификация средств и интерфейсов управления подсистемами ИБ.

5.5.18. Принцип персональной ответственности и минимизации привилегий.

Принимаемые меры защиты должны определять права и ответственность каждого уполномоченного лица (в частности, в пределах должностных обязанности) за несоблюдение регламентирующих документов в области ИБ. В соответствии с этим принципом распределение прав и ответственности должно строиться таким образом, чтобы в случае любого нарушения круг виновных лиц был четко определен или сведен к минимуму. Ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется. Лица, обрабатывающие информацию ограниченного доступа, несут ответственность перед законом за ее сохранность и использование. Обеспечение ИБ должно быть предметом ответственности каждого Субъекта с учетом закрепленного разграничения предметов ведения и полномочий между ними. Например, пользователям ИС должны предоставляться минимальные права доступа к той или иной ИС в соответствии с производственной необходимостью и (или) в объеме, достаточном для качественного выполнения должностных обязанностей. 

5.5.19. Принцип специализации и профессионализма.

Предполагает привлечение к разработке средств и реализации мер защиты информации организаций, наиболее подготовленных к конкретному  виду деятельности по обеспечению ИБ, имеющих опыт практической работы и  лицензии на право оказания определенных видов услуг в этой сфере, а также квалифицированных в сфере ИБ специалистов Субъектов.

5.5.20. Принцип дружественного взаимодействия и сотрудничества.

Предполагает создание благоприятной атмосферы в структурных подразделениях по ИБ для снижения вероятности возникновения негативных действий, связанных с человеческим фактором. Субъекты, входящие в систему ИБ Нижегородской области, должны оказывать содействие друг другу в решении задач ИБ.    

 

5.6. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

5.6.1. Методы, способы и средства (в том числе средства защиты информации) обеспечения ИБ Субъектов и их объектов защиты, подходы к оценке эффективности реализуемых и планируемых мероприятий по обеспечению ИБ Субъекты выбирают самостоятельно исходя из необходимости соблюдения требований действующего законодательства в сфере ИБ применительно к конкретному объекту защиты, в том числе с учетом моделей угроз и моделей нарушителя безопасности информации, на основе классификаций (категорирования), частных технических заданий и технических проектов на системы защиты.   

5.6.2. Губернатор Нижегородской области, Председатель Правительства, Правительство Нижегородской области, головные подразделения по защите информации в рамках своей компетенции вправе в соответствующих актах устанавливать (уточнять) необходимость применения тех или иных методов, способов и средств защиты (средств обеспечения ИБ), за исключением информационно-телекоммуникационных систем, сетей связи специального назначения и иных сетей связи, обеспечивающих передачу шифрованной информации. 

5.6.3. Режим защиты и доступа к конфиденциальной информации определяет ее собственник, руководствуясь требованиями действующего законодательства. Режим защиты сведений, составляющих государственную тайну, порядок доступа и обращения с ними установлены их собственником - Российской Федерацией.

 

5.7. ОСНОВНЫЕ ПРИНЦИПЫ РАЗВИТИЯ СИСТЕМЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

 

Основными принципами развития системы ИБ Нижегородской области определены:

1) соответствие уровня развития системы ИБ Нижегородской области задачам обеспечения национальной безопасности Российской Федерации, безопасности и устойчивого развития Нижегородской области с учетом ее ресурсных возможностей;

2) соответствие системы ИБ Нижегородской области требованиям действующего законодательства;

3) обеспечение на территории Нижегородской области своевременной и адекватной реакции на возникающие и прогнозируемые угрозы безопасности информации;

4) использование коллегиальных методов руководства системой ИБ Нижегородской области и ее развития;

5) программно-целевое планирование развития системы ИБ Нижегородской области;

6) исключение проблем (минимизация последствий реализации проблем), указанных в подразделах 4.2 - 4.4 раздела IV настоящей Концепции;

7) соблюдение основных принципов обеспечения ИБ (построения систем защиты), указанных в подразделе 5.5 раздела V настоящей Концепции.  

 

5.8. ПРИОРИТЕТЫ В ДЕЯТЕЛЬНОСТИ ПО ОБЕСПЕЧЕНИЮ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Приоритетами Нижегородской области в деятельности по обеспечению ИБ остаются:

1) соблюдение интересов Нижегородской области в сфере ИБ;

2) реализация приоритетных направлений развития и задач, определенных подразделами 5.2 - 5.4 раздела V настоящей Концепции;

3) соблюдение основных принципов развития системы ИБ Нижегородской области, указанных в подразделе 5.7 раздела V настоящей Концепции;

4) определение наиболее важных и уязвимых объектов защиты Субъектов;

5) обеспечение эффективного регулирования деятельности по обеспечению ИБ на уровне Нижегородской области и муниципалитетов;

6) постоянный мониторинг эффективности функционирования системы ИБ Нижегородской области, системы ИБ (защиты информации) Субъектов и системы защиты объектов защиты;

7) организационно-режимное обеспечение защиты сведений, отнесенных к государственной тайне, и иной информации ограниченного доступа;

8) обеспечение ИБ на объектах, обеспечивающих жизнедеятельность и информированность граждан Нижегородской области;

9) обеспечение безопасности информации в критически важных (ключевых) системах информационной инфраструктуры, государственных и муниципальных ИС, информационных системах персональных данных.

 

5.9. РЕЗУЛЬТАТЫ РЕАЛИЗАЦИИ НАСТОЯЩЕЙ КОНЦЕПЦИИ

 

5.9.1. Основные положения настоящей Концепции реализуются в результате целенаправленной повседневной деятельности Субъектов путем выполнения программ ИБ (защиты информации) и программ информатизации.

5.9.2. В результате реализации основных положений настоящей Концепции в Нижегородской области должна быть создана система ИБ Нижегородской области, соответствующая задачам обеспечения национальной безопасности Российской Федерации и развития с учетом экономических, трудовых и финансовых возможностей Нижегородской области и адекватно реагирующая на угрозы ИБ.

5.9.3. При следовании положениям настоящей Концепции ожидается:

1) создание и поддержание эффективно действующей системы ИБ Нижегородской области за счет развития ресурсно-информационного центра, оснащенного современными технологиями и средствами вычислительной техники, координирующего все Стадии обеспечения ИБ и обеспечивающего концептуальное единство технических и управленческих решений;

2) сокращение затрат, ресурсов на реализацию мероприятий по обеспечению ИБ за счет централизации ряда функции по ИБ;

3) общая экономия для Субъектов времени на реализацию мероприятий по обеспечению ИБ;

4) высокое качество исполнения каждой Стадии обеспечения ИБ;

5) стабилизация кадрового обеспечения системы ИБ Нижегородской области;

6) высокие уровень грамотности среди внутренних субъектов системы ИБ Нижегородской области;

7) стабильное взаимодействие субъектов системы ИБ Нижегородской области между собой в целях реализации положений настоящей Концепции;

8) сравнительно низкая стоимость владения программно-аппаратными комплексами за счет использования программных продуктов с открытым кодом;

9) создание программных продуктов, ИС с системами защиты, соответствующими положениям настоящей Концепции и действующему законодательству в сфере ИБ;

10) достижение необходимого уровня защищенности Нижегородской области (Субъектов, их объектов защиты);

11) своевременное реагирование Субъектов на вновь возникающие угрозы ИБ и требования федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации;

12) высокое качество исполнения государственных и (или) муниципальных функций, функций Субъектов, предоставление государственных и (или) муниципальных услуг населению в защищенном пространстве, использование защищенных ИС в работе Субъектов;

13) повышение уровня доверия общества к действиям Субъектов;

14) качественная реализация программ информатизации как областного, муниципального, так и федерального уровней власти;

15) повышение эффективности бюджетных расходов за счет сокращения малоэффективных контрактов (договоров), оперативного контроля исполнения, анализа и предупреждения контрактных (договорных) рисков, провоцирующих угрозы безопасности и, соответственно, ущерб интересам Нижегородской области.

 

________________________