Постановление администрации Воронежской области от 06.09.1999 № 886

                 Администрация Воронежской области

                           ПОСТАНОВЛЕНИЕ

    Утратило силу - Постановление правительства Воронежской области

                                                от 26.05.2015 № 438

    от 06.09.1999  N 886

  О внедрении системы защиты информационных ресурсов Воронежской

                              области

    Во    исполнение    Федерального    закона    "Об   информации,   

информатизации  и защите информации" N 24-ФЗ от 20.02.95 г., закона 

Воронежской   области   "Об   информатизации  Воронежской  области"  

N28-II-ОЗ     от     13.01.98     г.     в     целях    обеспечения    

социально-экономического  развития области, эффективного управления 

информационными  ресурсами области, обеспечения правового режима их 

использования  как  объекта  собственности,  предотвращения  утечки  

информации,   несанкционированного   её   уничтожения,   искажения,   

копирования, блокирования и подделки,

                      П О С Т А Н О В Л Я Ю:

    1.  Руководителям  органов  представительной,  исполнительной и 

судебной   властей,   органов   местного   самоуправления  области,  

предприятий  (объединений), учреждений и организаций, независимо от 

их  организационно-правовой  формы  собственности, внедрить систему 

защиты  информационных  ресурсов  Воронежской  области.     

    2. Утвердить Положение о системе защиты информационных ресурсов 

Воронежской области (приложение 1).

    3.   Утвердить   Руководство   по   контролю  состояния  защиты  

информационных ресурсов (приложение 2).

    4.  Отделам  информатизации и ведения автоматизированных банков 

данных  (Шеньшин)  и  безопасности,  защиты государственной тайны и 

информации (Меркулов) до 15.10.99г. разработать план первоочередных 

мероприятий по защите информационных ресурсов Воронежской области и 

представить   его   на   рассмотрение  Совета  по  вопросам  защиты  

информации.

    5.  Контроль  за выполнением настоящего постановления возложить 

на заместителя главы администрации области - руководителя аппарата, 

председателя  Совета  по  вопросам  защиты информации Корнеева В.М. 

Первый заместитель

главы администрации -

председатель правительства                    А. Сысоев

ПРИЛОЖЕНИЕ 1

утверждено постановлением

администрации области

от 06.09.1999  N 886

                             ПОЛОЖЕНИЕ

   о системе защиты информационных ресурсов Воронежской области

                             Введение

    Информационные  ресурсы  Воронежской области являются элементом 

состава  имущества  и  объектом  права  собственности  области. Для 

эффективного  использования этих информационных ресурсов они должны 

быть надежно защищены от угроз несанкционированного распространения 

информации,  несанкционированных  и непреднамеренных воздействий на 

нее,   которые   могут   привести   к  ее  уничтожению,  искажению,  

блокированию  доступа  к  информации  для  законных  пользователей.  

    Наибольшую    опасность    такие    угрозы   представляют   для   

информационных  ресурсов,  содержащихся в персональных компьютерах, 

локальных  и распределенных вычислительных сетях и представленные в 

виде  носителей  на  магнитной  и  оптической основе, информативных 

физических  полей,  информационных массивов и баз данных. Настоящее 

Положение   определяет   структуру  системы  защиты  информационных  

ресурсов,  не  содержащих  сведений,  составляющих  государственную  

тайну,   ее   задачи   и   функции,   основы   организации   защиты   

информационных ресурсов.

                        1. Общие положения

    1.  Настоящее  Положение  является документом, обязательным для 

исполнения  при  проведении  работ по формированию, использованию и 

защите   информационных  ресурсов  Воронежской  области  в  органах  

(аппаратах,   администрациях)  представительной,  исполнительной  и  

судебной  властей  и  в органах местного самоуправления Воронежской 

области  (далее  именуются  органы  власти), на предприятиях и в их 

объединениях,   учреждениях   и   организациях   независимо  от  их  

организационно-правовой   формы   и   формы   собственности  (далее  

именуются - предприятия).

    2. Целями защиты информационных ресурсов являются:

    - обеспечение эффективного управления информационными ресурсами 

и их использования;

    -  предотвращение  утечки  информации  ограниченного доступа по 

техническим каналам;

    -  предотвращение  несанкционированного уничтожения, искажения, 

блокирования, подделки информации;

    -  обеспечение  правового  режима  использования информационных 

ресурсов как объекта собственности.

    3.  Правовую  основу  работ  по  защите информационных ресурсов 

Воронежской  области  в  органах  власти  и на предприятиях области 

составляют  Конституция Российской Федерации, Федеральный закон "Об 

информации, информатизации и защите информационных ресурсов", Закон 

Воронежской   области   "Об  информатизации  Воронежской  области",  

"Положение  о  региональной системе защиты информации в Воронежской 

области",  а  также  другие  нормативные правовые документы в сфере 

формирования,  использования  и  защиты  информационных  ресурсов.  

    4.   Защита   информационных   ресурсов   осуществляется  путем  

выполнения  мероприятий  по  предотвращению утечки конфиденциальной 

информации  по  техническим каналам, несанкционированного доступа к 

ней,   предупреждению   несанкционированных  программно-технических  

воздействий   с  целью  уничтожения,  искажения,  блокирования  или  

подделки  информации  в процессе ее обработки, передачи и хранения. 

    5.  Мероприятия  по  защите  информационных  ресурсов  являются  

составной   частью   управленческой,   научной  и  производственной  

деятельности   и   осуществляются   во   взаимосвязи  с  мерами  по  

обеспечению установленного режима обработки информационных ресурсов 

и конфиденциальности проводимых работ.

    6.   Главными  направлениями  работ  по  защите  информационных  

ресурсов  в области являются: регистрация защищаемых информационных 

ресурсов   области,  определение  их  владельцев  и  пользователей,  

ответственных   за   обеспечение  защиты  информационных  ресурсов;  

выявление  и  анализ  угроз  утечки  конфиденциальной информации по 

техническим  каналам,  несанкционированного  доступа,  уничтожения,  

искажения,  блокирования  или  подделки  информации  в  процессе ее 

обработки,  передачи  и  хранения в технических средствах обработки 

информации;  разработка  организационно-технических  мероприятий по 

защите  информационных  ресурсов  и  их  реализация;  организация и 

проведение  контроля  состояния  защиты  информационных  ресурсов.  

    7. Защите подлежат:

    -   информационные   ресурсы   области,   содержащие  сведения,  

отнесенные  к  служебной  информации  ограниченного распространения 

(служебной  тайне),  персональным данным о жителях области и другой 

конфиденциальной информации;

    -  открытые  информационные  ресурсы области, содержащие важную 

информацию  с  точки  зрения  ее коммерческой ценности и влияния на 

управленческую  и  хозяйственную  деятельность  в  области;   

    - средства вычислительной техники, информационно-вычислительные 

комплексы, сети и системы, операционные системы, системы управления 

базами   данных,  другое  общесистемное  и  прикладное  программное  

обеспечение, автоматизированные системы управления, системы связи и 

передачи  данных,  технические средства звукозаписи, звукоусиления, 

звуковоспроизведения,   переговорные  и  телевизионные  устройства,  

средства    изготовления,   тиражирования   документов   и   другие   

технические    средства    обработки   графической,   смысловой   и   

буквенно-цифровой  информации,  входящей  в  состав  информационных  

ресурсов области;

    -  технические средства и системы, не обрабатывающие защищаемую 

информацию,   но   размещенные  в  помещениях,  где  обрабатывается  

(циркулирует) информационные ресурсы ограниченного доступа, а также 

сами    помещения,   предназначенные   для   ведения   переговоров,   

раскрывающих    содержание    этих    ресурсов    (конфиденциальных    

переговоров).

    8.  К  возможным  источникам  угроз безопасности информационных 

ресурсов области относятся:

    -  противоправная  деятельность  политических  и  экономических  

структур,   а   также   отдельных   лиц   в   сфере   формирования,   

распространения  и  использования  информационных ресурсов области; 

    -   нарушения   установленных   регламентов  сбора,  обработки,  

хранения  и  передачи  информационных  ресурсов.      

    9.   Основными   организационно-техническими  мероприятиями  по  

защите  информационных  ресурсов  в  регионе  являются:    

    -   установление   правил   и   требований   по   обращению   с   

информационными  ресурсами,  по  использованию  технических средств 

обработки  и  передачи  информационных ресурсов, подлежащих защите; 

    -  введение территориальных, энергетических, пространственных и 

временных  ограничений  в режимах использования технических средств 

обработки  и  передачи  информационных ресурсов, подлежащих защите; 

    -  разработка средств защиты информационных ресурсов и контроля 

ее  эффективности  и  их  использование;        

    - сертификация средств защиты информационных ресурсов, систем и 

средств   информатизации   и   связи  по  требованиям  безопасности  

информации;

    - разработка и внедрение технических решений и элементов защиты 

информационных    ресурсов    при   проектировании,   строительстве   

(реконструкции)   и   эксплуатации   объектов,   систем  и  средств  

информатизации и связи;

    -  аттестование  объектов  по выполнению требований обеспечения 

защиты информационных ресурсов.

    10.  Конкретные  методы,  приемы  и  меры защиты информационных 

ресурсов   разрабатываются   в   зависимости   от  объекта  защиты,  

действующих  против  него источников угроз безопасности информации, 

установленных    для   данного   объекта   требований   по   защите   

информационных  ресурсов  и  выделенных  для  этого  средств.   

    11.  Проведение  любых  работ  по  формированию и использованию 

защищаемых  информационных ресурсов без принятия необходимых мер по 

их защите не допускается.

   2. Система защиты информационных ресурсов Воронежской области

    12.  Систему защиты информационных ресурсов Воронежской области 

образуют:

    - совокупность  защищаемых  информационных  ресурсов;

    -  носители  защищаемых  информационных  ресурсов независимо от 

формы  представления  информации  и  принципов  действия носителей, 

включая  бумажные  носители,  персональные  компьютеры, локальные и 

распределенные  вычислительные  сети  и  другие  носители;   

    -  органы власти, предприятия и граждане, владеющие защищаемыми 

информационными   ресурсами   и  их  носителями,  использующие  эти  

ресурсы,   специальные   подразделения   по   защите  информации  и  

ответственные  специалисты,  обеспечивающие  защиту  информационных  

ресурсов;

    -     система     правовых,    организационно-распорядительных,    

нормативных, плановых и информационных документов, регламентирующих 

и  обеспечивающих  деятельность  по  защите информационных ресурсов 

области;

    -   средства  защиты  информационных  ресурсов  и  контроля  ее  

эффективности;

    -  совокупность  организационных  и  технических мероприятий по 

защите информационных ресурсов.

    13.  Организационная  структура  системы  защиты информационных 

ресурсов Воронежской области включает:

    -  Совет  по вопросам защиты информации при главе администрации 

области;

    - рабочую группу Совета по вопросам защиты информации;

    -  отдел информатизации информационно-аналитического управления 

администрации области;

    - отдел безопасности, защиты государственной тайны и информации 

администрации области;

    -  подразделения  органов  власти  и  предприятия  -  владельцы  

защищаемых   информационных   ресурсов,  специально  уполномоченные  

собственником  ресурсов  по  распоряжению  этими  ресурсами;   

    -  подразделения  органов  власти  и  предприятия  -  владельцы  

носителей защищаемых информационных ресурсов;

    -  подразделения  органов  власти  и предприятия - пользователи 

защищаемых  информационных  ресурсов  области,  их подразделения по 

защите   информации,  штатные  (нештатные)  специалисты  по  защите  

информации;

    -    региональные    представительства    федеральных   органов   

государственной  власти (Управление Федеральной службы безопасности 

Российской  Федерации  по  Воронежской  области;      

    - Управление внутренних дел администрации Воронежской области;

    - Центр правительственной связи в Воронежской области;

    -  Управление  гражданской  обороны  и  чрезвычайных  ситуаций,  

Гостехкомиссии   России,  Министерства  обороны  и  другие  органы,  

учреждения   и  предприятия  федеральной  собственности,  владеющие  

информационными ресурсами совместного ведения;

    -  предприятия  и организации, специализирующиеся на проведении 

работ  и  оказании  услуг  в  области  защиты  информации.   

    14.  Систему защиты информационных ресурсов области возглавляет 

заместитель  главы  администрации  Воронежской  области, являющийся 

председателем  Совета  по  вопросам  защиты  информации  при  главе  

администрации   области   (далее   Совета).   Совет   действует   в   

соответствии   утвержденным   Положением   о   Совете   и  является  

совещательным  и консультативным органом, обеспечивающим разработку 

предложений по созданию, функционированию и развитию системы защиты 

информационных ресурсов.

    15. Рабочая группа Совета по вопросам защиты информации:

    -  разрабатывает  концептуальные  подходы  к обеспечению защиты 

информационных ресурсов области;

    -  разрабатывает предложения по организации и координации работ 

по  защите  информационных  ресурсов  в  области;     

    -  контролирует  выполнения  положений  Федерального закона "Об 

информации, информатизации и защите информации", Закона Воронежской 

области   "Об   информатизации   Воронежской  области",  касающихся  

вопросов защиты информационных ресурсов;

    -   рассматривает   и   оценивает   разработанные   владельцами   

информационных   ресурсов   методические   материалы,   способы   и   

конкретные  мероприятия  по  их  защите,  готовит предложения по их 

распространению  и  практической  реализации  в  области;    

    -   участвует   в   разработке   проектов   областных  программ  

информатизации,   готовит   предложения  по  защите  информационных  

ресурсов;

    -  разрабатывает  проекты  документов,  регламентирующих защиту 

информационных ресурсов области;

    -  разрабатывает  предложения  по подготовке кадров для системы 

защиты информационных ресурсов области;

    -  разрабатывает  предложения  по  совершенствованию и развитию 

системы  защиты  информационных  ресурсов  области.      

    16.     Отдел    информатизации    информационно-аналитического    

управления администрации области:

    - проводит единую техническую политику, участвует в организации 

и  координации  работ  по  защите  информационных ресурсов области; 

    -  разрабатывает  проекты  областных  программ информатизации с 

учетом  мероприятий  по  защите  информационных  ресурсов;   

    -  участвует в подготовке проектов ТЗ и договоров по проведению 

научно-исследовательских,  опытно-конструкторских работ и других по 

защите информационных ресурсов области.

    17.   Отдел   безопасности,   защиты  государственной  тайны  и  

информации администрации области:

    -  участвует  в  организации  и  координации  работ  по  защите  

информационных ресурсов;

    -  участвует в разработке проектов документов, регламентирующих 

защиту информационных ресурсов;

    -  организует  и осуществляет контроль эффективности проводимых 

мероприятий  и  принимаемых  мер по защите информационных ресурсов. 

    18.  Подразделения  органов  власти  и  предприятия - владельцы 

защищаемых   информационных   ресурсов,  специально  уполномоченные  

собственником  ресурсов  по  распоряжению  этими  ресурсами:   

    -   устанавливают  требования  к  пользователям  информационных  

ресурсов  в  части их защиты, осуществляют контроль выполнения этих 

требований;

    -    разрабатывают   инструкции   пользователям,   методические   

материалы,    способы    и   конкретные   мероприятия   по   защите   

информационных  ресурсов, готовят предложения по их распространению 

и  практической  реализации  в  области;        

    -  осуществляют  планирование  работ  по  защите информационных 

ресурсов   области,  организуют  их  непосредственное  материально-  

техническое обеспечение и выполнение;

    -  организуют  подготовку и повышение квалификации специалистов 

по защите информационных ресурсов;

    -  проводят  периодический  анализ  состояния  работ  по защите 

информационных ресурсов.

    Для непосредственного выполнения работ по защите информационных 

ресурсов  в  подразделениях  органов  власти  и  на  предприятиях - 

владельцах  информационных  ресурсов  из  обслуживающего  персонала  

информационных  систем  в  зависимости  от объема работ назначается 

штатный  (нештатный)  специалист по защите информационных ресурсов. 

    Штатный   (нештатный)   специалист   по  защите  информационных  

ресурсов:

    -  разрабатывает  мероприятия по комплексной защиты информации, 

участвует в согласовании технических заданий на проведение работ по 

информатизации и защите информации;

    -  принимает  участие  в  подготовке  обслуживающего персонала, 

технических  и  программных  средств защиты информации, помещений к 

проведению   работ,   связанных   с  использованием  с  защищаемого  

информационного ресурса;

    -  разрабатывает совместно с другими сотрудниками инструкции по 

защите  информационных  ресурсов  на  конкретных  рабочих  местах;  

    -   участвует   в  аттестовании  рабочих  мест,  вычислительных  

комплексов  (средств  обработки, накопления и хранения информации), 

разрабатывает  проекты  заключений о возможности проведения работ с 

защищаемыми информационными ресурсами;

    -  осуществляет  подготовку отчетов о состоянии работ по защите 

информационных ресурсов;

    -    проводит    повседневный    контроль    состояния   защиты   

информационных ресурсов.

    19.  Подразделения  органов  власти  и  предприятия - владельцы 

носителей  защищаемых  информационных ресурсов обеспечивают уровень 

защиты  информационных  ресурсов на этих носителях в соответствии с 

установленными владельцами ресурсов требованиями.

    20.  Подразделения  органов власти и предприятия - пользователи 

информационных  ресурсов,  их  подразделения  по защите информации, 

штатные  (нештатные)  специалисты по защите информации осуществляют 

защиту  переданных  им  ресурсов  в  соответствии  с  требованиями,  

установленными владельцами информационных ресурсов.

    21.    Региональные   представительства   федеральных   органов   

государственной  власти  выполняют функции по защите информационных 

ресурсов  Воронежской области и информационных ресурсов совместного 

ведения  в  соответствии  с  положениями  об  этих  органах.   

    22.  Центр  правительственной связи в Воронежской области ведет 

реестр  информационных ресурсов области, в том числе информационных 

баз и банков данных.

    23. Органы, учреждения и предприятия федеральной собственности, 

владеющие  информационными ресурсами совместного ведения Российской 

Федерации  и  Воронежской  области, выполняют указанные в пункте 18 

функции  по  их защите совместно с уполномоченными владельцами этих 

ресурсов от Воронежской области.

    24. Предприятия и организации, специализирующиеся на проведении 

работ  и  оказании  услуг  в  области  защиты  информации:   

    -  разрабатывают  проекты  концепции, региональной программы по 

защите информационных ресурсов;

    -  разрабатывают  проекты нормативно-методических документов по 

защите информационных ресурсов;

    -   проводят   научные   исследования   и  работы  по  созданию  

технических  средств  защиты  информационных ресурсов и контроля ее 

эффективности;

    -   разрабатывают   и   осуществляют   мероприятия   по  защите  

информационных ресурсов;

    -  проводят  специальные  проверки  и  специальные исследования 

технических средств, аттестование информационных систем, содержащих 

информационные  ресурсы  с  ограниченным  доступом,  по  выполнению  

требований защиты информации;

    - осуществляют подготовку и повышение квалификации специалистов 

в этой области.

          3. Организация защиты информационных ресурсов.

    25.  Защита  информационных  ресурсов является составной частью 

работ  по  их  созданию  и  использованию  и осуществляется во всех 

органах  власти  и  на  предприятиях  области,  располагающих этими 

ресурсами.

    26.  Организация  защиты информационных ресурсов возлагается на 

руководителей   органов   власти   и   предприятий,   руководителей   

подразделений,  создающих  и  использующих  информационные ресурсы, 

эксплуатирующих   системы   и   средства  информатизации  и  связи,  

обрабатывающих  и  передающих  защищаемую  информацию.     

    27.  Требования  по защите информационных ресурсов определяются 

их  владельцами  при  подготовке  решений, программ и планов работ, 

технических  заданий  на создание информационных ресурсов и средств 

их  обработки  на  основе  стандартов,  нормативных  и методических 

документов,   утверждаемых   Гостехкомиссией   России   и  органами  

государственной  власти  Воронежской  области  в  соответствии с их 

компетенцией.   Указанные   требования  согласовываются  с  отделом  

информатизации  информационно-аналитического  управления  и отделом 

безопасности,    защиты    государственной   тайны   и   информации   

администрации  области.  При необходимости установленные требования 

уточняются  и  корректируются  в  процессе создания и использования 

информационных ресурсов.

    28.  Непосредственное  выполнение функций по обеспечению защиты 

информационных  ресурсов осуществляется подразделением, назначенным 

владельцем  этих  ресурсов, ответственным за формирование и ведение 

соответствующих ресурсов.

    29. Выполнение установленных требований, реализация необходимых 

мероприятий  по защите информационных ресурсов осуществляется всеми 

органами  власти,  предприятиями,  их подразделениями, должностными 

лицами  и  гражданами,  использующими  эти  ресурсы,  владеющими их 

носителями и эксплуатирующими их.

    30. Защита информационных ресурсов осуществляется путем:

    -  организации  контроля  за  использованием и распространением 

информационных ресурсов;

    -  проведения организационных и режимных мероприятий по допуску 

пользователей  к  информационным  ресурсам,  ограниченного доступа; 

    -  обучения  пользователей информационных ресурсов практической 

работе по их защите;

    -  предотвращения перехвата информации, передаваемой по каналам 

связи,  за  счет  применения  криптографических  и  иных  методов и 

средств защиты;

    - предотвращения утечки обрабатываемой информации в технических 

средствах  ее обработки за счет побочных электромагнитных излучений 

и наводок, а также электроакустических преобразований, достигаемого 

применением  защищенных  технических  средств,  аппаратных  средств  

защиты,   средств   активной   защиты,   экранированием   отдельных   

помещений, установлением контролируемой зоны вокруг объектов защиты 

и другими мерами;

    -   исключения   несанкционированного   доступа  к  системам  и  

средствам  информатизации  и  связи,  а  также к обрабатываемой или 

хранящейся    в    них    информации,    достигаемого   применением   

программно-технических      средств      защиты,     использованием     

криптографических способов защиты;

    - предотвращения специальных программно-технических воздействий 

на  средства  информатизации,  вызывающих  уничтожение,  искажение,  

блокирование  информации  или сбои в работе средств информатизации, 

достигаемого  применением  программных  и аппаратных средств защиты 

(антивирусных   процессоров   и  программ),  организацией  контроля  

безопасности программного обеспечения;

    -  выявления  возможно  внедренных  на  объекты и в технические 

средства  электронных  устройств  перехвата  информации  (закладных  

устройств),   достигаемого   проведением  специальных  проверок  по  

выявлению этих устройств;

    -  предотвращения  перехвата техническими средствами защищаемой 

речевой   информации   из   помещений   и   объектов,  достигаемого  

применением   специальных  средств  защиты,  проектными  решениями,  

обеспечивающими  звукоизоляцию  помещений,  выявлением  специальных  

устройств  подслушивания  и  другими  организационными  и режимными 

мероприятиями.

    31.   Инженерно-строительные   меры  по  защите  информационных  

ресурсов  и  порядок  их  выполнения  в  ходе строительно-монтажных 

работ,  реконструкции  объектов  и их эксплуатации определяются при 

проектировании  объектов. Обязательным условием приема объектов, на 

которых    должны    обрабатываться   информационные   ресурсы,   в   

эксплуатацию  является  выполнение  полного  объема  мер  по защите 

информационных  ресурсов  и  проведение  аттестации объекта с целью 

определения  эффективности  принятых  мер  защиты  и возможности их 

стабильного  выполнения  в  ходе  эксплуатации  объекта.    

    32.  Содержание  и  порядок осуществления мероприятий по защите 

информационных  ресурсов в ходе эксплуатации объекта определяются в 

Руководстве   по   защите  информации,  разрабатываемом  на  каждом  

объекте.

    33.  Содержание  и  порядок осуществления мероприятий по защите 

конкретных   информационных  ресурсов  в  процессе  их  создания  и  

использования  определяются  в  Инструкции по защите информационных 

ресурсов,  разрабатываемой подразделением, ответственным за ведение 

соответствующих ресурсов.

    34.  Информация,  содержащая  сведения,  отнесенные к служебной 

тайне    или   персональным   данным,   должна   обрабатываться   с   

использованием  защищенных  систем и средств информатизации и связи 

или  с  использованием  технических  и  программных  средств защиты 

информации.  Соответствие  технического средства и его программного 

обеспечения  требованиям  защищенности  подтверждается сертификатом 

или   предписанием  на  эксплуатацию,  оформляемым  по  результатам  

специальных исследований и специальных проверок технических средств 

и программного обеспечения.

    35.  Для  оценки  готовности  систем и средств информатизации и 

связи  к  обработке  (передаче) информационных ресурсов, содержащих 

информацию ограниченного доступа, проводится аттестование указанных 

средств  и  систем в реальных условиях эксплуатации на соответствие 

принимаемых  методов, мер и средств защиты требуемому уровню защиты 

информационных ресурсов.

       4. Контроль состояния защиты информационных ресурсов.

    36.  Контроль  состояния  защиты информационных ресурсов (далее 

именуется   -  контроль)  осуществляется  с  целью  обеспечения  их  

эффективной   защиты,  своевременного  выявления  и  предотвращения  

утечки    защищаемой    информации    по    техническим    каналам,    

несанкционированного    доступа   к   ней   и   несанкционированных   

программно-технических воздействий на информацию.

    Контроль    заключается    в    проверке    выполнения    актов    

законодательства    Российской   Федерации   по   вопросам   защиты   

информационных    ресурсов,    решений    Гостехкомиссии    России,    

постановлений  и  распоряжений  органов  власти  по вопросам защиты 

информационных   ресурсов,   а  также  в  оценке  обоснованности  и  

эффективности  принятых  мер  защиты  для  выполнения  утвержденных  

требований  и  норм  по  защите  информационных  ресурсов.   

    37. Контроль состояния защиты информационных ресурсов в области 

осуществляется  следующими  органами  (в  пределах их компетенции): 

    - органами государственной власти области;

    -   Гостехкомиссией  России  (силами  центрального  аппарата  и  

специального  центра,  в  зоне  ответственности  которого находится 

Воронежская  область),  органами  Федеральной  службы  безопасности  

Российской  Федерации  и  Федерального  агентства правительственной 

связи  и  информации при Президенте Российской Федерации в пределах 

их компетенции;

    -  рабочей  группой по защите информационных ресурсов Совета по 

защите  информации  при  главе  администрации  области;    

    -     отделом    информатизации    информационно-аналитического    

управления администрации области;

    -   отделом   безопасности,   защиты  государственной  тайны  и  

информации администрации области;

    -    уполномоченными    должностными    лицами    подразделений    

администрации  области  и  предприятий  - владельцев информационных 

ресурсов;

    -  уполномоченными  должностными  лицами  подразделений органов 

власти  и  предприятий  -  пользователей  информационных  ресурсов;  

    -  уполномоченными  должностными  лицами  подразделений органов 

власти  и предприятий-владельцев носителей информационных ресурсов. 

    38.   Органы   государственной   власти  области  организуют  и  

осуществляют  контроль  состояния защиты информационных ресурсов на 

подчиненных   им   предприятиях  через  рабочую  группу  по  защите  

информационных   ресурсов,   отдел   информатизации  информационно-  

аналитического     управления    администрации    области;    отдел    

безопасности,    защиты    государственной   тайны   и   информации   

администрации   области;   предприятиями,   имеющими   лицензии  на  

проведении   работ  по  контролю  состояния  защиты  информации,  а  

руководители   предприятий  -  через  свои  подразделения  и  своих  

специалистов  по  защите  информационных  ресурсов.      

    39.  Защита информационных ресурсов считается эффективной, если 

принимаемые  меры соответствуют установленным требованиям и нормам. 

Несоответствие  мер  установленным  требованиям  и нормам по защите 

информационных ресурсов является нарушением.

    Нарушения по степени опасности делятся на две категории:

    -   первая   -  невыполнение  требований  или  норм  по  защите  

информационных  ресурсов,  в  результате  чего  имелась или имеется 

реальная   возможность  утечки  информации  ограниченного  доступа,  

произошло  разрушение,  уничтожение, искажение, блокирование важной 

информации, сбои в работе средств ее обработки или имеется реальная 

возможность возникновения этих последствий;

    -   вторая   -  невыполнение  требований  или  норм  по  защите  

информационных  ресурсов, в результате чего создаются предпосылки к 

утечке информации, разрушению, уничтожению, искажению, блокированию 

важной  информации  или  к  сбоям  в  работе  средств ее обработки. 

    40.  При  обнаружении  нарушений  первой категории руководители 

органов  власти  и  предприятий  обязаны:        

    -  немедленно прекратить работы на участке (рабочем месте), где 

обнаружены  нарушения,  и  принять  меры  по  их  устранению;  

    -  организовать  в установленном порядке расследование причин и 

условий  появления  нарушений с целью недопущения их в дальнейшем и 

привлечения  к  ответственности  виновных  лиц.       

    Возобновление  работ  разрешается  после устранения нарушений и 

проверки  достаточности  и  эффективности, принятых мер, проводимой 

отделом  информатизации  информационно-аналитического  управления и 

отделом  безопасности,  защиты  государственной  тайны и информации 

администрации области.

    При  обнаружении  нарушений  второй  категории  руководители  и  

предприятий  обязаны  принять  необходимые  меры по их устранению в 

сроки,  согласованные  с  органом,  проводившим  проверку. Контроль 

устранения   этих   нарушений   осуществляется   подразделениями  и  

специалистами  по  защите  информационных ресурсов органов власти и 

предприятий.

    41.  Доступ  представителей  рабочей  группы  Совета  по защите 

информации,   отдела   информатизации  информационно-аналитического  

управления  и  отдела  безопасности, защиты государственной тайны и 

информации на контролируемые объекты осуществляется в установленном 

порядке  по  предъявлению  специального удостоверения представителя 

администрации  области  и  предписания  на  право  проверки данного 

объекта,  выданного  руководителями  органов  власти  области.   

  5. Финансирование мероприятий по защите информационных ресурсов

    42.   Финансирование   мероприятий   по  защите  информационных  

ресурсов  области  и  содержания  подразделений  (специалистов)  по  

защите  информационных  ресурсов  в  органах  власти  области  и на 

бюджетных  предприятиях  предусматривается  в сметах расходов на их 

содержание.

    Финансирование  деятельности  по защите информационных ресурсов 

остальных предприятий осуществляется за счет средств, получаемых от 

их   основной   деятельности,  в  основном  при  выполнении  работ,  

связанных   с  использованием  сведений  защищаемых  информационных  

ресурсов.

    43.   Создание   технических   средств   защиты  информационных  

ресурсов,  не  требующее  капитальных  вложений,  осуществляется  в  

пределах средств, выделяемых заказчикам на научно-исследовательские 

и    опытно-конструкторские    работы,    связанные   с   созданием   

информационных  ресурсов. Расходы по разработке технических средств 

защиты  включаются  в  стоимость  создания информационных ресурсов. 

    Создание  технических  средств  защиты информационных ресурсов, 

требующее  капитальных вложений, осуществляется в пределах средств, 

выделяемых  заказчикам  на строительство (реконструкцию) сооружений 

или объектов.

Приложение 2

утверждено постановлением

администрации области

от 06.09.1999  N 886

                            РУКОВОДСТВО

 по контролю состояния защиты информационных ресурсов Воронежской

                              области

                             Введение

    Настоящее  Руководство  является  документом,  обязательным для 

выполнения  при  проведении  работ  по  контролю  состояния  защиты  

информационных  ресурсов  Воронежской области в органах (аппаратах, 

администрациях) представительной, исполнительной и судебной властей 

области  и  в  органах  местного  самоуправления  (далее  -  органы  

власти),  на  предприятиях  и  в  их  объединениях,  учреждениях  и  

организациях независимо от их организационно-правовой формы и формы 

собственности (далее - предприятия).

    Руководство  определяет  структуру  системы  контроля состояния 

защиты  информационных  ресурсов Воронежской области, не содержащих 

сведений,  составляющих государственную тайну, ее задачи и функции, 

основы организации контроля.

1. Цель и задачи контроля состояния защиты информационных ресурсов

                              области

    Контроль   состояния   защиты   информационных   ресурсов   это   

деятельность органов власти области, уполномоченных ими органов или 

лиц  по  проверке  соблюдения  законодательных  и  иных нормативных 

правовых  актов,  норм,  стандартов и правил, оценке обоснованности 

принятия  управленческих  решений,  связанных с обеспечением защиты 

информационных ресурсов области от утечки информации по техническим 

каналам,   несанкционированного   доступа,   несанкционированных  и  

непреднамеренных  воздействий  на защищаемую информацию, а также по 

устранению   и  предупреждению  различных  нарушений  по  указанным  

вопросам.

    Основная  цель  контроля  -  обеспечение  единой  дисциплины  в  

организации   работ  по  защите  информационных  ресурсов  области,  

своевременное   выявление   предпосылок   и  предотвращение  утечки  

информации  по  техническим каналам, несанкционированного доступа к 

ней,   несанкционированных   и   непреднамеренных   воздействий  на  

защищаемую  информацию  и  средства  ее  обработки.     

    Основными  функциями  контроля  является  оценка  организации и 

эффективности защиты информационных ресурсов.

    Основными   задачами  в  обеспечении  реализации  этой  функции  

являются:

    -  оценка полноты и качества выполнения органами, организациями 

и  должностными  лицами,  осуществляющими  деятельность  в  области  

защиты  информационных  ресурсов, возложенных на них обязанностей и 

функций;

    -  оценка  целесообразности  и  обоснованности,  с точки зрения 

обеспечения защиты информации, принимаемых управленческих решений с 

целью   предупреждения  возможных  неблагоприятных  последствий  их  

выполнения;

    -  выявление  нарушений  установленных  требований  или норм по 

защите  информации, установление их причин и определение виновных в 

появлении  нарушений,  в необходимых случаях привлечение виновных к 

ответственности;

    - профилактика различных видов нарушений.

    Система   контроля  состояния  защиты  информационных  ресурсов  

базируется  на  следующих  основных  принципах:       

    -  законодательно-правовое  определение  статуса,  полномочий и 

ответственности   контрольных   органов   и   должностных  лиц  для  

обеспечения действенности контроля;

    -  соблюдение  законности  в действиях контрольных органов и их 

должностных лиц;

    -  независимость  контрольных  органов,  при  осуществлении ими 

своих  полномочий,  от  проверяемых  органов  власти, предприятий и 

должностных лиц;

    - регулярность проведения контроля;

    -    обязательное   расследование   инцидентов,   связанных   с   

нарушениями  требований  и норм по защите информации, с последующим 

их  анализом, разработкой соответствующих мер и корректировкой, при 

необходимости,  нормативных  и  технических  документов;    

    -  единая методология проведения контроля, общая информационная 

база  всех органов контроля, обеспечивающая доступ к информации при 

сохранении  в  тайне  информации  ограниченного  доступа;    

    -    эффективность   контроля,   как   с   точки   зрения   его   

результативности     (действенности),     так    и    экономичности    

(обоснованности   затрат   на   содержание   контрольных   органов,   

соответствия  затрат  результатам  их  деятельности).     

    В   своей   деятельности   органы   контроля  состояния  защиты  

информационных   ресурсов   области   руководствуются  Конституцией  

Российской Федерации, законами Российской Федерации "Об информации, 

информатизации  и  защите  информации", "Об участии в международном 

информационном    обмене",    законом   Воронежской   области   "Об   

информатизации  Воронежской  области",  "Положением  о региональной 

системе  защиты  информации  в  Воронежской области", "Положением о 

системе   защиты   информационных  ресурсов  Воронежской  области",  

государственными   стандартами   в   области   защиты   информации,   

решениями,  руководящими  и нормативными документами Гостехкомиссии 

России   и   иных   государственных   органов   в   области  защиты  

информационных  ресурсов,  а  также  настоящим  Руководством.   

                         2. Виды контроля

   2.1. Предварительный и текущий контроль, контроль устранения

                            недостатков

    Предварительный  контроль представляет собой оценочную проверку 

обоснованности мер защиты информации до начала обработки защищаемой 

информации   в  информационных  системах.  Осуществляется  с  целью  

своевременного  выявления  и  предотвращения  предпосылок возможных 

нарушений   требований   или  норм  защиты  информации  в  процессе  

функционирования контролируемого объекта.

    Текущий контроль - это проверка в процессе обработки защищаемой 

информации.   Осуществляется   с   целью  своевременного  выявления  

возникающих  трудностей  и  недостатков  в  реализации принятых мер 

защиты информации и выработки мероприятий по их устранению. Текущий 

контроль  может  быть  периодическим, повседневным или непрерывным. 

    Контроль  устранения  недостатков  -  это  проверка, проводимая 

после  устранения  ранее  допущенных  нарушений  норм  и требований 

защиты  информации  на  контролируемом  объекте, вследствие которых 

были приостановлены или ограничены работы с защищаемой информацией. 

Осуществляется  с  целью  выдачи  разрешения на продолжение работ с 

защищаемой информации.

   2.2. Внутренний контроль, контроль владельцем и собственником

                      информационных ресурсов

    Внутренний  контроль проводится в подразделениях органов власти 

и  предприятий - пользователях информационных ресурсов (на объектах 

контроля)  силами,  уполномоченных  должностных  лиц этих объектов. 

    Контроль   владельцем  информационных  ресурсов  осуществляется  

непосредственно  силами  предприятия (подразделения органа власти), 

ведущего   соответствующие  базы  и  банки  данных,  информационные  

системы  и  другие  информационные  объекты.       

    Контроль  собственником  информационных ресурсов осуществляется 

силами     отдела    информатизации    информационно-аналитического    

управления   администрации  области,  отдела  безопасности,  защиты  

государственной  тайны  и информации администрации области, а также 

рабочей   группой  по  защите  информационных  ресурсов  Совета  по  

вопросам  защиты  информации. Контроль собственником информационных 

ресурсов  может осуществляться владельцев этих ресурсов, владельцев 

их  носителей  и  пользователей  информационных  ресурсов.   

2.3. Организационный контроль, контроль эффективности, технический

                             контроль

    Организационный  контроль состояния защиты информации состоит в 

проверке  соответствия  полноты  и  обоснованности  мероприятий  по  

защите    информационных   ресурсов   требованиям   руководящих   и   

нормативных документов в области.

    Контроль эффективности защиты информации заключается в проверке 

соответствия    количественных    или    качественных   показателей   

эффективности   мероприятий   по  защите  информации  установленным  

требованиям  или  нормам  эффективности  защиты  информации.   

    Технический    контроль    эффективности    защиты   информации   

заключается   в   проверке   эффективности   защиты   информации  с  

использованием  технических  и/или программных средств контроля. Он 

обеспечивает   получение   наиболее   объективной   и   достоверной   

информации  о  состоянии  объектов  контроля.       

                         3. Формы контроля

    К  основным  формам  контроля  защиты  информационных  ресурсов  

относятся:   инспектирование,   надзор,   экспертиза,   аттестация,   

сертификация,  специальные  исследования  и  специальные  проверки.  

    Инспектирование  -  это  контроль  за соблюдением установленных 

правил   и   требований   по   защите   информации.   Это  наиболее  

распространенная  форма  контроля.  Используется всеми контрольными 

органами.

    Надзор  -  это  контроль  в  форме правового регулирования. Эта 

форма  применяется,  прежде  всего,  для  осуществления контроля за 

соблюдением  законов, установленных норм, требований, стандартов. В 

отличие    от   инспектирования   субъекты   надзора   вправе   при   

соответствующих  обстоятельствах  применять к объектам надзора меры 

административного   принуждения.   Необходимым   условием   надзора   

является   отсутствие   между   субъектами   и   объектами  надзора  

организационной соподчиненности.

    Экспертиза  -  это  предварительный  контроль  в  форме  оценки  

возможности  организации  исполнять заявленные ею функции по защите 

информационных ресурсов. Результатом экспертизы является экспертное 

заключение.

    Сертификация  продукции  по требованиям безопасности информации 

(далее   сертификация)  -  это  предварительный  контроль  в  форме  

испытания  конкретной  продукции  с целью подтверждения посредством 

специального   документа  сертификата  и  знака  соответствия,  что  

продукция соответствует требованиям стандартов или иных нормативных 

и  методических документов по безопасности информации, утвержденных 

государственным органом по сертификации в пределах его компетенции. 

При сертификации могут подтверждаться как отдельные характеристики, 

так   и   весь   комплекс   характеристик  продукции,  связанных  с  

обеспечением безопасности информации.

    Специальные     исследования,    специальные    проверки    это    

предварительный  контроль в форме исследования (проверки) отдельных 

характеристик  конкретного объекта с целью установления посредством 

специального  документа  предписания  на  эксплуатацию,  предельных  

значений    указанных   характеристик,   при   соблюдении   которых   

выполняются  требования  нормативных  и  методических документов по 

безопасности  информации,  утвержденных  государственным  органом в 

пределах его компетенции.

    Аттестация  -  это предварительный контроль в форме комплексной 

проверки   (испытания)   защищаемого  (контролируемого)  объекта  в  

реальных  условиях  его  эксплуатации  с  целью  официальной оценки 

соответствия   использованного   комплекса  мер  и  средств  защиты  

требуемому    уровню   безопасности   информации.   Аттестация   по   

требованиям  безопасности  информации предшествует началу обработки 

подлежащей  защите  информации.  По  результатам  проверки выдается 

специальный  документ  -  аттестат  соответствия.      

   4. Структура системы контроля состояния защиты информационных

                         ресурсов области

    Система   контроля  состояния  защиты  информационных  ресурсов  

является  составной  частью региональной системы защиты информации. 

    Система   контроля  состояния  защиты  информационных  ресурсов  

включает следующие субъекты контроля:

    -   органы   государственного   надзора  за  состоянием  защиты  

информации - центральный аппарат и специальный центр Гостехкомиссии 

России,  в  зоне  ответственности  которого  находится  Воронежская  

область,  органы  Федерального  агентства правительственной связи и 

информации;

    -  органы контроля собственника информационных ресурсов - отдел 

информатизации        информационно-аналитического       управления       

администрации  области,  отдел безопасности, защиты государственной 

тайны  и информации администрации области, рабочая группа Совета по 

вопросам защиты информации;

    -   органы   контроля   владельца   информационных  ресурсов  -  

уполномоченные  должностные  лица предприятия (подразделения органа 

власти),    ведущего   соответствующие   базы   и   банки   данных,   

информационные  системы  и  другие  информационные  объекты;   

    -  организации,  оказывающие  услуги по контролю (аттестованию) 

объектов   по   требованиям   эффективности  защиты  информации  на  

договорной  основе  (аудит  состояния  защиты  информации);   

    - Гостехкомиссия России:

    -   осуществляет   в  пределах  своих  полномочий  контроль  за