Постановление Администрации муниципального образования город Краснодар город Краснодар от 30.03.2017 № 1233

ПОСТАНОВЛЕНИЕ

АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ

ГОРОД КРАСНОДАР

 

от 30.03.2017                                                          № 1233

 

 

Об утверждении Концепции обеспечения информационной безопасности в

администрации муниципального образования город Краснодар

 

Во исполнение федеральных законов от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 № 152-ФЗ "О персональных данных", Доктрины информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 05.12.2016 № 646, нормативных правовых актов в сфере обеспечения информационной безопасности и защиты персональных данных, в целях реализации системного подхода по обеспечению безопасности информационных систем персональных данных постановляю:

1. Утвердить Концепцию обеспечения информационной безопасности в администрации муниципального образования город Краснодар согласно приложению.

2. Отраслевым, функциональным, территориальным органам администрации муниципального образования город Краснодар руководствоваться Концепцией обеспечения информационной безопасности в администрации муниципального образования город Краснодар при разработке мероприятий в сфере информационной безопасности и защиты персональных данных.

3. Контроль за выполнением настоящего постановления возложить на первого заместителя главы муниципального образования город Краснодар С.Л. Васина.

 

 

Глава муниципального

образования город Краснодар                                                Е.А. Первышов

 

 

 

 

Утверждена

постановлением администрации

МО город Краснодар

от 30.03.2017 № 1233

 

КОНЦЕПЦИЯ

обеспечения информационной безопасности

в администрации муниципального образования город Краснодар

 

Раздел I

 

ОБЩИЕ ПОЛОЖЕНИЯ

 

1. Концепция обеспечения информационной безопасности в администрации муниципального образования город Краснодар (далее - концепция) представляет собой официально принятую администрацией муниципального образования город Краснодар (далее - администрация) систему взглядов на основные направления обеспечения безопасности ресурсов информационных систем в отраслевых, функциональных и территориальных органах администрации.

2. Действие концепции распространяется на все отраслевые, функциональные и территориальные органы администрации (далее - органы администрации).

3. Координацию по вопросам обеспечения безопасности муниципальных информационных ресурсов информационных систем, используемых администрацией и ее органами, осуществляет Экспертный совет по защите информации в администрации муниципального образования город Краснодар.

4. Концепция разработана для достижения следующих целей:

обеспечение безопасного использования информационных ресурсов органов администрации, получение органами администрации и гражданами полной и своевременной информации в условиях возможных внешних и внутренних угроз информационной безопасности;

снижение уровня рисков в отношении действий органов администрации;

защита прав и свобод граждан, в том числе при обработке их персональных данных в информационных системах органов администрации;

выполнение требований нормативных документов Российской Федерации, связанных с обеспечением информационной безопасности.

5. Концепция является методологической основой для:

формирования и проведения единой политики в области обеспечения защиты информации в органах администрации;

принятия управленческих решений, разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации в органах администрации;

координации деятельности органов администрации при проведении работ по созданию, развитию и эксплуатации информационных систем с соблюдением требований информационной безопасности;

разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации в органах администрации.

6. Положения данной концепции подлежат корректировке в случае изменения:

законодательства Российской Федерации в отношении вопросов, связанных обеспечением информационной безопасности;

внутренних или внешних факторов, способных оказать воздействие на информационные ресурсы, создаваемые/используемые органами администрации;

номенклатуры информационных ресурсов, создаваемых/используемых отраслевыми, территориальными, функциональными органами администрации.

 

Раздел II

 

ПРАВОВАЯ ОСНОВА КОНЦЕПЦИИ

 

7. В настоящей концепции учтены требования действующего законодательства Российской Федерации и других нормативных актов в области информации, информатизации, безопасности и защиты информации, защиты персональных данных.

 

Раздел III

 

ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ, СОКРАЩЕНИЯ

 

8. В настоящей концепции используются следующие термины и определения:

 

Термин	Описание	Источник
1	2	3
Адекватность	Свойство соответствия преднамеренному поведению и результатам (характеристика безопасности)	ISO/IEC 13335-1:2004
Аттестация объекта информатизации	Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации	ГОСТ РО 0043-003-2012
Аутентификация (субъекта доступа)	Действия по проверке подлинности субъекта доступа в автоматизированной информационной системе	Р 50.1.053-2005
Аутентичность	Свойство обеспечения идентичности субъекта или ресурса заявленной идентичности (характеристика безопасности), применяется к таким субъектам как пользователи, процессы, системы и информация; идентичность объекта тому, что заявлено	ISO/IEC 13335-1:2004
Безопасность информации	Состояние защищенности информации, при котором обеспечиваются ее конфиденциальность, доступность и целостность	ГОСТ Р 50922-2006
Блокирование доступа (к информации)	Прекращение или затруднение доступа к информации лиц, имеющих на это право (законных пользователей)	ГОСТ Р 53114-2008
Доступ к информации	Возможность получения информации и ее использования	Закон № 149-ФЗ
Доступность	Состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно	ГОСТ Р 50.1.053-2005
Защита информации	Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию	ГОСТ Р 51624-2000
Идентификация	Действия по присвоению субъектам и объектам доступа идентификаторов и (или) по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов	Р 50.1.053-2005
Информационная система	Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств	Закон № 149-ФЗ
Информационные технологии	Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов	ГОСТ Р 52653-2006
Информация конфиденциального характера	Информация, не содержащая сведения, составляющие государственную тайну, доступ к которой ограничен законодательством Российской Федерации	ГОСТ Р 0043-003-2012
Информация, составляющая коммерческую тайну	Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны	Закон № 98-ФЗ
Коммерческая тайна	Режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду	Закон № 98-ФЗ
Контролируемая зона	Пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и/или транспортных средств	ГОСТ Р 51624-2000
Конфиденциальность	Состояние информации (ресурсов автоматизированной информационной системы), при котором доступ к ней (к ним) осуществляют только субъекты, имеющие на него право	Р 50.1.053-2005
Меры обеспечения информационной безопасности	Совокупность действий, направленных на разработку и/или практическое применение способов и средств обеспечения информационной безопасности	ГОСТ Р 53114-2008
Модель угроз	Физическое, математическое, описательное представление свойств и характеристик угроз безопасности информации	ГОСТ Р 50922-2006
Нарушитель информационной безопасности организации	Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации	ГОСТ Р 53114-2008
Недекларированные возможности	Функциональные возможности программного обеспечения, не описанные в документации	Р 50.1.053-2005
Несанкционированный доступ к информации (ресурсам автоматизированной информационной системы)	Доступ к информации (ресурсам автоматизированной информационной системы), осуществляемый с нарушением установленных прав и (или) правил доступа к информации (ресурсам автоматизированной информационной системы)	Р 50.1.053-2005
Неотказуемость	способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты (характеристика безопасности)	Решение секции № 1 НТС Минкомсвязи РФ от 21.04.2010 № 2
Обработка информации	Совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации	ГОСТ Р 51624-2000
Обработка персональных данных	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных	Закон № 152-ФЗ
Объект доступа	Единица ресурса информационной системы, доступ к которой регламентируется правилами разграничения доступа	Р 50.1.053-2005
Объект информатизации	Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов, в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров	ГОСТ Р 51275-2006
Персональные данные	Информация, относящаяся к прямо или косвенно определенному/определяемому физическому лицу (субъекту персональных данных)	Закон № 152-ФЗ
Правила разграничения доступа	Правила, регламентирующие условия доступа субъектов доступа к объектам доступа	Р 50.1.053-2005
Программное воздействие	Несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ	ГОСТ Р 51275-2006
Разглашение информации	Несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации.	ГОСТ Р 53114-2008
Распределенная информационная система	Комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа	ГОСТ РО 0043-003-2012
Санкционированный доступ к информации	Доступ к информации, не нарушающий правила разграничения доступа	РД от 30.03.1992
Служебная тайна	Защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости	ГОСТ Р 51624-2000
Средство защиты информации от утечки по техническим каналам	Техническое средство, вещество или материал, предназначенные и (или) используемые для защиты информации от утечки по техническим каналам	Р 50.1.056-2005
Средство защиты от несанкционированного доступа	Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа	ГОСТ Р 53114-2008
Средство криптографической защиты информации	Средство защиты информации, реализующее алгоритмы криптографического преобразования информации	ГОСТ Р 50922-2006
Средство обнаружения вторжений	Программное или программно-техническое средство, которое автоматизирует процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализирует эти события в поисках признаков инцидента информационной безопасности	ГОСТ Р 53114-2008
Субъект доступа	Лицо или единица ресурса автоматизированной информационной системы, действия которой по доступу к ресурсам автоматизированной информационной системы регламентируются правилами разграничения доступа	Р 50.1.053-2005
Техническое средство обеспечения информационной безопасности	Оборудование, используемое для обеспечения информационной безопасности организации некриптографическими методами	ГОСТ Р 53114-2008
Угроза безопасности информации	Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее	ГОСТ Р 51624-2000
Учетность	Свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта; обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту (характеристика безопасности)	ИСО 7498-2:99
Уязвимость	Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.	Р 50.1.056-2005
Целостность	Состояние информации (ресурсов автоматизированной информационной системы), при котором ее (их) изменение осуществляется только преднамеренно субъектами, имеющими на него право	Р 50.1.053-2005

 

9. В настоящей концепции использованы следующие сокращения:

 

АС	-	автоматизированная система;
АТС	-	автоматическая телефонная станция;
ИБ	-	информационная безопасность;
ИР	-	информационный ресурс;
ИС	-	информационная система;
НСД	-	несанкционированный доступ;
ОС	-	операционная система;
ППО	-	прикладное программное обеспечение;
СОБИ	-	система обеспечения безопасности информации;
СУБД	-	система управления базой данных;
УЦ	-	удостоверяющий центр;
ФСБ России	-	Федеральная служба безопасности Российской Федерации;
ФСТЭК России	-	Федеральная служба по техническому и экспортному контролю Российской Федерации.

 

Раздел IV

 

ОБЪЕКТЫ ЗАЩИТЫ

 

10. В ИС органов администрации обрабатывается информация, которая в соответствии законодательством Российской Федерации подразделяется на открытую (общедоступную) и ограниченного доступа (имеющую специальные правила доступа к ней, ее хранения, обработки, передачи и защиты).

11. Открытая информация, содержащаяся в ИС органов администрации, является официальной. Органы администрации обязаны обеспечить достоверность и актуальность информации, содержащейся в данных ИС, доступ к ИС в случаях и в порядке, предусмотренных законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий. Таким образом, открытая информация, обрабатываемая в данных ИС, подлежит защите, а именно обеспечению выполнения характеристик целостности, доступности, достоверности информации.

12. К информации ограниченного доступа (конфиденциальной информации) отнесены персональные данные и служебная информация.

Конфиденциальная информация, обрабатываемая в ИС органов администрации, подразделяется на следующие виды:

служебная информация;

коммерческая тайна;

персональные данные.

13. Состав сведений конфиденциального характера отдельного органа администрации, являющегося юридическим лицом, отражается в перечне, который утверждается его руководителем.

14. В общем случае, к объектам защиты информации в органах администрации относятся:

14.1. Защищаемая информация:

персональные данные;

служебная информация;

общедоступные сведения;

коммерческая тайна, полученная органами администрации от третьих лиц в ходе выполнения контрольных, регулирующих и иных мероприятий.

14.2. Технические устройства, предназначенные для создания, обработки, хранения и передачи защищаемой информации, такие как:

автоматизированные рабочие места;

файловые серверы;

серверы баз данных;

web-серверы;

системы хранения данных;

системы резервного копирования;

сетевое и коммуникационное оборудование;

телефонные аппараты и офисные АТС;

линии и каналы связи;

другое оборудование, входящее в состав информационной инфраструктуры органов администрации (объектов информатизации).

14.3. Операционные системы, ППО обработки защищаемой информации, СУБД и ИР органов администрации.

14.4. Магнитные, ленточные, оптические и иные носители конфиденциальной информации независимо от формы и вида ее представления.

14.5. Рабочие кабинеты, серверные помещения, места размещения активного сетевого и коммуникационного оборудования.

14.6. Средства защиты информации, в том числе средства криптографической защиты информации; носители ключевой, парольной и аутентифицирующей информации, системы и программно-аппаратные комплексы, предназначенные для защиты ИР администрации.

 

Раздел V

 

ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СОБИ

 

15. В соответствии с законодательством при передаче информации ограниченного доступа между субъектами информационных отношений субъект, получивший сведения ограниченного доступа от другого субъекта, обязан организовать их защиту с учетом соответствующих требований. Таким образом, при передаче органами администрации информации ограниченного доступа коммерческим структурам, последние обязаны обеспечить ее защиту в соответствии с государственными нормативными документами.

16. В органах администрации должны обеспечиваться следующие характеристики безопасности:

конфиденциальность;

целостность;

доступность;

неотказуемость;

учетность;

аутентичность;

адекватность.

Надежно защищенными методами передачи информации, являются методы, при которых производится преобразование информации с использованием криптографических методов и обеспечиваются:

законность;

системность;

комплексность;

непрерывность;

своевременность;

преемственность и непрерывность совершенствования;

разумная достаточность;

персональная ответственность;

минимизация полномочий;

открытость алгоритмов и механизмов защиты;

специализация и профессионализм;

обязательность контроля.

17. Принцип законности предполагает осуществление защитных мероприятий и разработку СОБИ органов администрации в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации Российской Федерации.

Пользователи и обслуживающий персонал ИС/ИР органов администрации должны иметь представление об ответственности за правонарушения в области систем автоматизированной и неавтоматизированной обработки информации.

18. Принцип системности подхода к построению СОБИ предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации в органах администрации.

При создании СОБИ должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. СОБИ должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Все решения по обеспечению ИБ в органах администрации должны согласовываться с комиссией по классификации информационных систем администрации муниципального образования город Краснодар по требованиям безопасности.

19. Принцип комплексности использования методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.

20. Принцип непрерывности состоит в том, что защита информации - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС органов администрации, начиная с самых ранних стадий (проектирование), а не только на этапе ее эксплуатации.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты.

21. Принцип своевременности защиты предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите информации в органах администрации и реализацию мер обеспечения безопасности информации.

22. Принцип преемственности и совершенствования предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИС и их систем защиты с учетом достигнутого отечественного и зарубежного опыта в этой области.

23. Используемые меры и средства обеспечения безопасности информации не должны заметно ухудшать эргономические показатели работы с ИС, в которой эта информация циркулирует (принцип разумной достаточности).

24. Принцип персональной ответственности предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был точно известен или сведен к минимуму.

25. Пользователям должны предоставляться минимальные права доступа к информации в соответствии с производственной необходимостью, только в том случае и объеме, который необходим сотруднику для выполнения должностных обязанностей (принцип минимизации полномочий).

26. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления даже авторам (принципа открытости алгоритмов и механизмов защиты). Защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования подсистем, что, однако, не означает общедоступности информации о СОБИ.

27. Принцип специализации и профессионализма предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности ИР, имеющих опыт практической работы и государственные лицензии на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами, опыт которых подтвержден соответствующими сертификатами.

28. Принцип обязательности контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью любого пользователя, средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и охватывать как несанкционированные, так и санкционированные действия пользователей.

 

Раздел VI

 

ОСНОВНЫЕ ЦЕЛИ И ЗАДАЧИ СОБИ

 

29. Основными целями обеспечения ИБ в органах администрации являются:

обеспечение администрации достоверной, полной и актуальной информацией, необходимой для принятия обоснованных решений;

обеспечение быстроты, точности и прозрачности выполнения установленных государством функций администрации, в том числе в интересах организаций и граждан;

обеспечение беспрепятственного функционирования электронных ИР/ИС органов администрации;

снижение уровня риска использования ИР/ИС органов администрации;

защита ИР/ИС органов администрации от разглашения, утечки и несанкционированного доступа к информации ограниченного доступа, обеспечение ее целостности и доступности;

защита информационных и телекоммуникационных систем от преступлений и актов терроризма, совершаемых с использованием уязвимостей информационных технологий;

создание системы контроля и снижения уровня угроз ИБ.

30. Для достижения указанных целей обеспечения ИБ, должно обеспечиваться решение следующих задач:

разработка, реализация и актуализация сбалансированной политики ИБ органов администрации;

создание технологической и материально-технической базы ИБ;

создание и укрепление профессионально-кадрового аппарата для обеспечения ИБ;

координация деятельности органов администрации по вопросам обеспечения ИБ;

создание типовых технологий (систем) защиты ИР, ИС и объектов информатизации органов администрации, обеспечивающих установленные требования безопасности;

создание комплексной системы ИБ и контроля эффективности применяемых мер и средств защиты;

обеспечение надежного функционирования ИС и предоставляемых ими сервисов;

эффективное пресечение посягательств на ИР/ИС органов администрации.

31. С целью достижения поставленных целей и задач должна быть создана система обеспечения ИБ органов администрации, посредством которой должны быть реализованы:

защита от вмешательства в процесс функционирования ИС/ИР посторонних лиц (возможность использования АС и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи);

разграничение доступа зарегистрированных пользователей к аппаратным, программным и ИР (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа:

к информации, циркулирующей в ИС;

к средствам вычислительной техники ИС;

к аппаратным, программным и криптографическим средствам защиты, используемым в ИС;

регистрация действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов;

контроль целостности (обеспечение неизменности) среды исполнения;

защита от несанкционированной модификации и контроль целостности используемых в ИС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;

защита информации ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного доступа;

обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);

своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;

создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.

 

Раздел VII

 

МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ЗАЩИЩЕННОСТИ ИР И ИС

 

32. Обеспечение требуемого уровня защищенности ИР/ИС органов администрации должно достигаться с использованием мер, методов и средств ИБ.

Меры обеспечения ИБ подразделяются на:

законодательные (правовые);

организационные (административные);

физические;

технические (аппаратные и программные).

В общем случае, меры обеспечения ИБ должны обеспечивать нейтрализацию (минимизацию возможности реализации) следующих категорий угроз:

угрозы утечки информации по техническим каналам;

угрозы техногенного характера;

угрозы нарушения процессов функционирования ИС в процессе эксплуатации;

угрозы получения сведений об объектах защиты;

угрозы, связанные с использованием беспроводных сетей передачи данных;

угрозы несанкционированного физического доступа к компонентам ИС;

угрозы, связанные с действиями легитимных пользователей (пользователи ИС, сотрудники подрядных организаций);

угрозы нарушения функционирования виртуальной инфраструктуры ИС;

угрозы, связанные с эксплуатацией механизмов и средств защиты информации.

Конкретные угрозы, нейтрализация которых необходима в органах администрации, зависит от классов ИС, используемых информационных технологий и категорий потенциальных нарушителей безопасности информации. Актуальные угрозы безопасности информации определяются в результате моделирования угроз безопасности информации и отражаются в частных моделях угроз и нарушителя безопасности информации органов администрации. Частные модели угроз и нарушителя безопасности органов администрации должны согласовываться с комиссией по классификации информационных систем администрации муниципального образования город Краснодар по требованиям безопасности.

33. К законодательным (правовым) мерам защиты относятся федеральные законы и иные нормативные правовые акты, регламентирующие правила обращения с информацией ограниченного доступа, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

34. Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования ИС, использования ИР, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с ИС/ИР органов администрации таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Комплекс организационных мер защиты образует систему управления ИБ. Система управления ИБ должна:

34.1. Предусматривать регламент информационных отношений, исключающих возможность несанкционированных действий в отношении объектов защиты.

34.2. Определять коалиционные и иерархические принципы и методы разграничения доступа к информации ограниченного доступа.

34.3. Определять порядок работы с программно-математическими и техническими (аппаратными) средствами защиты и криптозащиты и других защитных механизмов.

34.4. Обеспечить организацию меры противодействия НСД пользователями на этапах аутентификации, авторизации, идентификации, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

34.5. Регламентировать:

порядок планирования обеспечения безопасности;

порядок обеспечения действий в непредвиденных (нештатных) ситуациях;

порядок реагирование на инциденты безопасности ИБ;

порядок защиты носителей информации;

порядок обеспечения целостности системы;

порядок информирования персонала по вопросам обеспечения ИБ.

34.6. К организационным мерам относятся вопросы кадрового обеспечения СОБИ, которое предполагает:

укомплектование органов администрации специалистами по обеспечению ИБ (по защите информации);

организацию системы подготовки (повышения квалификации) специалистов для эксплуатации систем и средств защиты в органах администрации.

35. Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.

36. Технические (аппаратно-программные) средства (меры) защиты информации основаны на использовании различных электронных устройств и специальных программ, входящих в состав ИС органов администрации и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

С учетом требований и принципов обеспечения безопасности информации в органах администрации по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей;

средства разграничения доступа зарегистрированных пользователей системы к ресурсам ИС органов администрации;

средства обеспечения и контроля целостности программных и информационных ресурсов;

средства оперативного контроля и регистрации событий безопасности;

средства безопасного межсетевого взаимодействия;

средства антивирусной защиты;

средства анализа защищенности;

средства обнаружение вторжений и уязвимостей;

средства обеспечение безопасности среды виртуализации;

средства централизованного мониторинга и управления СОБИ;

средства контроля действий пользователей;

средства криптографической защиты информации;

средства защиты информации от утечки.

Оценка необходимости тех или иных мер защиты информации должна основываться на результатах моделирования угроз безопасности информации и расчетах их актуальности для конкретных ИР и ИС.

Средства криптографической защиты информации в случаях, когда угрозы безопасности информации могут быть нейтрализованы только с их применением. К таким случаям относятся:

передача защищаемой информации по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);

хранение защищаемой информации на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

 

Раздел VIII

 

МЕХАНИЗМ РЕАЛИЗАЦИИ КОНЦЕПЦИИ

 

37. Реализация концепции должна осуществляться на основе перспективных программ и планов, которые составляются на основании и во исполнение:

федеральных законов в области обеспечения ИБ и защиты информации;

постановлений Правительства Российской Федерации;

указов Президента;

руководящих, организационно-распорядительных и методических документов ФСТЭК России, ФСБ;

ведомственных документов.

Для выполнения задач, описанных в концепции, необходимы:

выделение целевого финансирования на создание/функционирование СОБИ в рамках бюджетных ассигнований, предусмотренных местным бюджетом (бюджетом муниципального образования город Краснодар) на соответствующий финансовый год и плановый период, на реализацию муниципальных программ муниципального образования город Краснодар и функций органов администрации, являющихся юридическими лицами;

издание муниципальных правовых актов, нормативных документов органов администрации, включающих в себя обязательные требования по разработке и утверждению в установленном порядке политики ИБ;

проведение аудита администрации и органов администрации, являющихся юридическими лицами, на предмет защищенности обрабатываемой информации;

разработка модели угроз нарушителя безопасности информации;

разработка модели нарушителя безопасности информации;

разработка частных моделей угроз безопасности информации администрации и органов администрации, являющихся юридическими лицами;

разработка технического проекта СОБИ администрации и каждого органа администрации, являющегося юридическим лицом;

разработка технического задания на создание СОБИ администрации и каждого органа администрации, являющегося юридическим лицом;

разработка организационно-распорядительных документов в администрации и в каждом ее органе, являющимся юридическим лицом;

поставка, пуско-наладка средств защиты информации в соответствии с техническим проектом СОБИ администрации и каждого органа администрации, являющегося юридическим лицом;

аттестация ИС администрации и каждого органа администрации, являющегося юридическим лицом; по требованиям безопасности информации (типовых сегментов ИС).

 

Раздел IX

 

ОЖИДАЕМЫЙ ЭФФЕКТ ОТ РЕАЛИЗАЦИИ КОНЦЕПЦИИ

 

38. Применение настоящей концепции для обеспечения ИБ в администрации позволит:

оценить состояние безопасности информации, циркулирующей в ИС органов администрации, выявить источники внутренних и внешних угроз ИБ, определить приоритетные направления предотвращения, отражения и нейтрализации этих угроз;

разработать распорядительные и нормативно-методические документы применительно к обеспечению ИБ в администрации и в органах администрации;

провести организационно-режимные и технические мероприятия по обеспечению безопасности информации ограниченного доступа в органах администрации;

обеспечить необходимый уровень безопасности объектов защиты для создания и дальнейшего совершенствования единой, целостной и скоординированной СОБИ администрации.

 

 

Начальник управления

информационно-коммуникационных

технологий и связи

администрации муниципального

образования город Краснодар                                                            Е.Л. Прохоров