Расширенный поиск
Постановление Губернатора Калужской области от 17.10.2012 № 520

 



                          КАЛУЖСКАЯ ОБЛАСТЬ

                              ГУБЕРНАТОР

                            ПОСТАНОВЛЕНИЕ


     17 октября 2012 г.
     N 520


               Об одобрении Концепции защиты информации
                   в органах исполнительной власти
                          Калужской области


     В   соответствии   с    Федеральным    законом    "Об информации,
информационных технологиях и о защите  информации",  в  целях  единого
подхода к созданию системы защиты информации в органах  исполнительной
власти Калужской области

     ПОСТАНОВЛЯЮ:

     1. Одобрить Концепцию защиты информации в органах  исполнительной
власти Калужской области (прилагается).
     2. Настоящее постановление вступает в силу с момента подписания.


     Губернатор
     Калужской области А.Д.Артамонов



     Приложение
     к постановлению
     Губернатора
     Калужской области
     от 17.10.2012 N 520


                              КОНЦЕПЦИЯ
          защиты информации в органах исполнительной власти
                          Калужской области

                             1. Введение

     Концепция  защиты  информации  в  органах  исполнительной  власти
Калужской области представляет собой системный подход к  содержанию  и
решению проблемы защиты информации, включает цели,  задачи,  принципы,
основные  направления  развития  и  совершенствования  системы  защиты
информации в органах исполнительной власти Калужской области.
     Концепция предназначена для использования руководителями  органов
исполнительной власти Калужской области и их  аппаратами  при  решении
задач по обеспечению,  развитию  и  совершенствованию  системы  защиты
информации.
     Правовую  основу  Концепции  составляют:  Конституция  Российской
Федерации,  федеральные  законы,  иные   нормативные   правовые   акты
Российской Федерации, а также  международные  договоры  и  соглашения,
заключенные    Российской    Федерацией,    определяющие    права    и
ответственность  граждан,  общества  и  государства  в  информационной
сфере.
     Основные понятия и термины, используемые в  настоящей  Концепции,
установлены действующими федеральными законами.

                          2. Общие положения

     В условиях, когда основной объем информации в сфере  деятельности
органов  исполнительной  власти  Калужской  области  обрабатывается  и
передается  с   использованием   средств   информатизации   и   связи,
значительно возрастают угрозы специальных воздействий на информацию  в
целях ее уничтожения,  искажения  или  блокирования,  а  также  утечки
информации по техническим каналам  в  результате  несанкционированного
доступа   к   системам   информатизации,    информационным    системам
персональных  данных  и  связи  разведок   и   спецслужб   иностранных
государств и злоумышленников.
     Реализации этих угроз могут  привести  к  снижению  эффективности
деятельности органов исполнительной власти Калужской области  в  сфере
экономики и  экологии,  значительным  материальным  потерям  и  другим
негативным последствиям. Все это обусловливает необходимость  принятия
адекватных мер по защите информации.
     Защита информации является неотъемлемой составной частью основной
деятельности  органов  исполнительной  власти  Калужской   области   и
достигается   проведением   комплекса    правовых,    организационных,
технических и методических мероприятий, направленных на предотвращение
или преодоление угроз безопасности информации в зависимости от условий
деятельности и решаемых задач.
     Проведение указанного комплекса мероприятий  должно  основываться
на определении:
     - источников  угроз   безопасности   информации   на   конкретных
объектах;
     - перечней объектов защиты и защищаемых сведений;
     - средств и методов защиты информации.
     К основным объектам защиты информации  в  органах  исполнительной
власти Калужской области относятся:
     - информационные  ресурсы,  содержащие  сведения,  отнесенные   к
государственной тайне, иной тайне, охраняемой законом,  информационные
ресурсы, содержащие сведения конфиденциального характера;
     - средства  и  системы  информатизации  (средства  вычислительной
техники,  информационно-вычислительные  комплексы,  сети  и  системы),
программные средства (операционные системы, системы управления  базами
данных, другое общесистемное и  прикладное  программное  обеспечение),
автоматизированные  системы  управления,  системы  связи  и   передачи
данных,  осуществляющие  прием,   обработку,   хранение   и   передачу
информации с ограниченным доступом, их информативные физические поля;
     - технические  средства  и   системы,   обрабатывающие   открытую
информацию,  но  размещенные  в  выделенных  помещениях,   в   которых
обсуждается информация с ограниченным доступом;
     - помещения, предназначенные  для  ведения  переговоров,  в  ходе
которых оглашаются сведения с ограниченным доступом.

       3. Состояние защиты информации в органах исполнительной
                       власти Калужской области

     Органами   исполнительной   власти   Калужской   области   широко
используются современные информационные  технологии  в  управленческой
деятельности. В  связи  с  этим  принимаются  дополнительные  меры  по
обеспечению собственной безопасности в этой сфере.
     С 2002 года плодотворно функционирует комиссия по  информационной
безопасности при Губернаторе Калужской  области,  что  придает  мощный
импульс  работе  в  этой  сфере.  Одним  из  важнейших  приоритетов  в
деятельности комиссии является  комплекс  мероприятий  по  обеспечению
информационной безопасности в органах исполнительной власти  Калужской
области и органах местного самоуправления.
     В настоящее время решены следующие важные задачи:
     - создана комплексная система защиты информации, обрабатываемой в
автоматизированной системе управления  бюджетным  процессом  Калужской
области при казначейской системе исполнения;
     - запущены в эксплуатацию межсетевые экраны;
     - проводится  аттестация  автоматизированных  рабочих  мест,   на
которых обрабатываются  сведения,  содержащие  государственную  тайну,
информационных систем персональных данных;
     - проводится аттестация выделенных и защищаемых помещений;
     - закупается  специальная  техника  для   выявления   закладочных
устройств;
     - организовывается система контроля состояния технической  защиты
объектов информатизации;
     - в информационных системах и на каждом  персональном  компьютере
органов исполнительной  власти  Калужской  области  установлены  новые
версии антивирусных программ, базы которых  постоянно  централизованно
обновляются;
     - контроль  состояния  антивирусной   защиты   в   информационных
системах и на каждом персональном  компьютере  органов  исполнительной
власти  Калужской  области  осуществляется   комплексным   программным
корпоративным средством;
     - налажено  взаимодействие  с  Управлением   Федеральной   службы
безопасности Российской Федерации по  Калужской  области  по  вопросам
расследования инцидентов в информационной сфере;
     - совершенствуется нормативная правовая база по вопросам защиты и
обработки персональных данных;
     - назначены и прошли подготовку должностные  лица,  ответственные
за организацию и  осуществление  практических  мероприятий  по  защите
персональных данных;
     - закрепляются   в    должностных    регламентах    установленные
разграничения полномочий в области защиты персональных данных;
     - проведены    мероприятия    по    ограничению     использования
информационных ресурсов и других элементов  информационных  систем  (в
том  числе  и  ресурсов  сети  Интернет)  путем  установления   правил
разграничения доступа.

     К основным факторам, определяющим  необходимость  формирования  и
развития системы защиты информации  в  органах  исполнительной  власти
Калужской области, относятся следующие:
     - зависимость  результатов  деятельности  органов  исполнительной
власти Калужской области от достоверности используемой ими информации,
своевременности ее получения, эффективности принятых мер по ее защите;
     - формирование    государственных    информационных     ресурсов,
находящихся в ведении органов исполнительной власти Калужской области,
необходимость защиты этих ресурсов от противоправных действий;
     - использование в органах исполнительной власти Калужской области
информационных систем, накапливающих и передающих информацию, уязвимую
для  несанкционированного  доступа,  а  также  возрастание   опасности
несанкционированных и непреднамеренных  воздействий  на  информацию  в
этих системах;
     - расширение    спектра    источников    угроз     информационной
безопасности, возникающих в отношении  органов  исполнительной  власти
Калужской области;
     - рост числа преступлений в сфере информационных технологий;
     - использование в органах исполнительной власти Калужской области
технических и  программных  средств,  обеспечивающих  сбор,  хранение,
обработку и передачу информации, не сертифицированных  по  требованиям
безопасности информации.

        4. Цели, задачи, принципы функционирования и развития
                 системы защиты информации в органах
               исполнительной власти Калужской области

     Цель защиты информации в органах исполнительной власти  Калужской
области состоит в  предотвращении  или  существенном  снижении  ущерба
безопасности  региона  с  использованием  методов  и  средств   защиты
информации, а также создании условий, способствующих защите  интересов
общества в политической, экономической,  научно-технической  и  других
сферах деятельности, путем:
     - предотвращения утечки,  хищения,  утраты,  искажения,  подделки
информации и блокирования доступа к ней;
     - предотвращения угроз безопасности личности и общества;
     - предотвращения  несанкционированных  действий  по  уничтожению,
модификации, искажению, копированию, блокированию информации, а  также
других форм  незаконного  вмешательства  в  информационные  ресурсы  и
информационные системы;
     - обеспечения правового режима документированной  информации  как
объекта собственности;
     - сохранения государственной тайны,  персональных  данных  в  том
числе, конфиденциальной информации в соответствии с законодательством;
     - обеспечения  прав  субъектов  в  информационных  процессах  при
разработке, производстве и применении информационных систем;
     - сохранения  конфиденциальности   документированной   информации
ограниченного доступа.

     Основными задачами защиты  информации  в  органах  исполнительной
власти Калужской области являются:
     - предотвращение  несанкционированного  доступа   и   специальных
воздействий на защищаемую информацию в информационных системах органов
исполнительной власти Калужской области;
     - обеспечение безопасности информации  в  системах  управления  и
электронного  документооборота   в   органах   исполнительной   власти
Калужской области;
     - предотвращение  утечки  персональных  данных   по   техническим
каналам,   несанкционированного   доступа   к   ним,    предупреждение
преднамеренных   программно-технических   воздействий   с   целью   их
разрушения (уничтожения) или искажения в процессе обработки,  передачи
и хранения  в  информационных  системах  персональных  данных  органов
исполнительной власти Калужской области.
     Основными принципами развития системы защиты информации в органах
исполнительной власти Калужской области являются:
     - соответствие уровня развития системы защиты информации  задачам
обеспечения национальной безопасности России;
     - обеспечение своевременной и адекватной реакции на возникающие в
органах исполнительной власти Калужской области прогнозируемые  угрозы
ведения  технической  разведки,  утечки  информации   по   техническим
каналам,  несанкционированного  доступа  к  информации  и  специальных
воздействий на нее;
     - формирование  единой  технической  политики  в  области  защиты
информации в органах исполнительной власти Калужской области;
     - использование коллегиальных методов руководства системой защиты
информации и ее развития;
     - программно-целевое   планирование   развития   системы   защиты
информации.
     Содержание и порядок действий, направленных на обеспечение защиты
информации, определяют организацию защиты информации.

              5. Организация защиты информации в органах
               исполнительной власти Калужской области

     Организация защиты информации  в  органах  исполнительной  власти
Калужской области включает:
     - формирование нормативного правового и методического обеспечения
деятельности в области защиты информации;
     - формирование организационной структуры и кадрового  обеспечения
деятельности системы защиты информации;
     - проведение анализа деятельности органов  исполнительной  власти
Калужской области, а также применяемых ими систем управления и  связи,
определение наиболее важных объектов защиты;
     - категорирование  объектов   защиты,   а   также   классификацию
автоматизированных   систем    по    требованиям    защищенности    от
несанкционированного доступа к информации;
     - оказание  методической  помощи  органам  исполнительной  власти
Калужской   области    в    разработке    экономически    обоснованных
организационно-технических мероприятий по защите информации;
     - координацию   деятельности   органов   исполнительной    власти
Калужской области по защите  информации  и  согласованному  применению
техники защиты информации;
     - периодический контроль состояния защиты информации;
     - непрерывный мониторинг состояния системы защиты информации;
     - определение направлений развития  и  совершенствования  системы
защиты информации.
     Организация защиты информации  осуществляется  в  зависимости  от
категории объектов защиты, особенностей их функционирования и т.д.

     Защита информации на объектах информатизации.

     Цель защиты информации достигается путем:
     - предотвращения  утечки  информации,  передаваемой  по   каналам
связи;
     - предотвращения  утечки  обрабатываемой   информации   за   счет
побочных   электромагнитных   излучений   и    наводок,    создаваемых
функционирующими техническими средствами обработки информации;
     - исключения   несанкционированного   доступа    к    информации,
обрабатываемой или хранящейся в технических системах и средствах;
     - выявления и предотвращения специальных воздействий,  вызывающих
уничтожение, искажение и блокирование информации  или  сбои  в  работе
технических систем и средств;
     - предотвращения  утечки  речевой  информации  из  выделенных   и
защищаемых помещений;
     - выявления  внедренных  на  объекты  и  в  технические  средства
иностранного производства электронных устройств  перехвата  информации
(закладных устройств).
     Объективная оценка защиты информации основывается на постоянном и
действенном контроле ее состояния.
     Контроль состояния защиты  информации  в  органах  исполнительной
власти  Калужской  области  осуществляется  уполномоченными  органами,
входящими  в  систему  защиты  информации,   в   соответствии   с   их
компетенцией.
     Контроль состояния защиты  информации  в  органах  исполнительной
власти  Калужской  области   заключается   в   проверке   соответствия
организации, наличия и содержания документов  требованиям  нормативных
правовых актов,  организационно-распорядительных  документов  в  сфере
защиты информации, а также в  оценке  обоснованности  и  эффективности
принятых  мер  защиты   для   обеспечения   выполнения   установленных
требований и норм. При этом оценка эффективности принятых  мер  защиты
информации  проводится  с  использованием  технических  и  программных
средств контроля на предмет соответствия установленным требованиям.

     Целями контроля состояния защиты информации являются:
     - установление  степени  соответствия  принятых  мер  требованиям
нормативных правовых актов, стандартов, норм, правил и  инструкций  по
защите информации;
     - выявление потенциальных технических каналов утечки  информации,
несанкционированного доступа к информации и специальных воздействий на
информацию  с  ограниченным  доступом  и  выработка  рекомендаций   по
закрытию этих каналов.

     Основными задачами контроля состояния защиты информации являются:
     - оценка эффективности проводимых мер по защите информации;
     - выявление нарушений установленных норм и требований  по  защите
информации;
     - выявление потенциальных каналов утечки информации  об  объектах
защиты,  несанкционированного  доступа  к  информации  и   специальных
воздействий на информацию, анализ и  оценка  возможностей  технических
разведок по получению защищаемой информации;
     - анализ  причин  нарушений  и  недостатков   в   организации   и
обеспечении  защиты   информации,   выработка   рекомендаций   по   их
устранению;
     - предупреждение невыполнения установленных норм и требований  по
защите информации;
     - оценка деятельности органов государственной власти, организаций
по методическому  руководству  и  координации  работ  в  сфере  защиты
информации (в пределах их компетенции).

     Реализация Концепции позволит:
     - повысить эффективность управления системой защиты информации за
счет  создания  в  органах  исполнительной  власти  Калужской  области
информационно-аналитической системы обеспечения деятельности  в  сфере
защиты  информации  и  ее  сопряжения  с   информационно-аналитической
системой государственной системы защиты информации;
     - усовершенствовать  организационную  структуру  системы   защиты
информации, ее кадровое обеспечение;
     - улучшить  обеспеченность  органов  системы  защиты   информации
документами в области защиты информации;
     - повысить  оснащенность  органов   системы   защиты   информации
высокоэффективной техникой защиты для информации.