SetTitle("Концепция защиты информации в ОИВ"); ?>

Приложение
к Постановлению
Губернатора Калужской области
от 17 октября 2012 г. N 520
(скачать, .rtf, 97 Kb)

КОНЦЕПЦИЯ
ЗАЩИТЫ ИНФОРМАЦИИ В ОРГАНАХ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ
КАЛУЖСКОЙ ОБЛАСТИ

1. Введение

Концепция защиты информации в органах исполнительной власти Калужской области представляет собой системный подход к содержанию и решению проблемы защиты информации, включает цели, задачи, принципы, основные направления развития и совершенствования системы защиты информации в органах исполнительной власти Калужской области.

Концепция предназначена для использования руководителями органов исполнительной власти Калужской области и их аппаратами при решении задач по обеспечению, развитию и совершенствованию системы защиты информации.

Правовую основу Концепции составляют: Конституция Российской Федерации, федеральные законы, иные нормативные правовые акты Российской Федерации, а также международные договоры и соглашения, заключенные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере.

Основные понятия и термины, используемые в настоящей Концепции, установлены действующими федеральными законами.

2. Общие положения

В условиях, когда основной объем информации в сфере деятельности органов исполнительной власти Калужской области обрабатывается и передается с использованием средств информатизации и связи, значительно возрастают угрозы специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования, а также утечки информации по техническим каналам в результате несанкционированного доступа к системам информатизации, информационным системам персональных данных и связи разведок и спецслужб иностранных государств и злоумышленников.

Реализация этих угроз может привести к снижению эффективности деятельности органов исполнительной власти Калужской области в сфере экономики и экологии, значительным материальным потерям и другим негативным последствиям. Все это обусловливает необходимость принятия адекватных мер по защите информации.

Защита информации является неотъемлемой составной частью основной деятельности органов исполнительной власти Калужской области и достигается проведением комплекса правовых, организационных, технических и методических мероприятий, направленных на предотвращение или преодоление угроз безопасности информации в зависимости от условий деятельности и решаемых задач.

Проведение указанного комплекса мероприятий должно основываться на определении:

- источников угроз безопасности информации на конкретных объектах;

- перечней объектов защиты и защищаемых сведений;

- средств и методов защиты информации.

К основным объектам защиты информации в органах исполнительной власти Калужской области относятся:

- информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, иной тайне, охраняемой законом, информационные ресурсы, содержащие сведения конфиденциального характера;

- средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации с ограниченным доступом, их информативные физические поля;

- технические средства и системы, обрабатывающие открытую информацию, но размещенные в выделенных помещениях, в которых обсуждается информация с ограниченным доступом;

- помещения, предназначенные для ведения переговоров, в ходе которых оглашаются сведения с ограниченным доступом.

3. Состояние защиты информации в органах исполнительной
власти Калужской области

Органами исполнительной власти Калужской области широко используются современные информационные технологии в управленческой деятельности. В связи с этим принимаются дополнительные меры по обеспечению собственной безопасности в этой сфере.

С 2002 года плодотворно функционирует комиссия по информационной безопасности при Губернаторе Калужской области, что придает мощный импульс работе в этой сфере. Одним из важнейших приоритетов в деятельности комиссии является комплекс мероприятий по обеспечению информационной безопасности в органах исполнительной власти Калужской области и органах местного самоуправления.

В настоящее время решены следующие важные задачи:

- создана комплексная система защиты информации, обрабатываемой в автоматизированной системе управления бюджетным процессом Калужской области при казначейской системе исполнения;

- запущены в эксплуатацию межсетевые экраны;

- проводится аттестация автоматизированных рабочих мест, на которых обрабатываются сведения, содержащие государственную тайну, информационных систем персональных данных;

- проводится аттестация выделенных и защищаемых помещений;

- закупается специальная техника для выявления закладочных устройств;

- организовывается система контроля состояния технической защиты объектов информатизации;

- в информационных системах и на каждом персональном компьютере органов исполнительной власти Калужской области установлены новые версии антивирусных программ, базы которых постоянно централизованно обновляются;

- контроль состояния антивирусной защиты в информационных системах и на каждом персональном компьютере органов исполнительной власти Калужской области осуществляется комплексным программным корпоративным средством;

- налажено взаимодействие с Управлением Федеральной службы безопасности Российской Федерации по Калужской области по вопросам расследования инцидентов в информационной сфере;

- совершенствуется нормативная правовая база по вопросам защиты и обработки персональных данных;

- назначены и прошли подготовку должностные лица, ответственные за организацию и осуществление практических мероприятий по защите персональных данных;

- закрепляются в должностных регламентах установленные разграничения полномочий в области защиты персональных данных;

- проведены мероприятия по ограничению использования информационных ресурсов и других элементов информационных систем (в том числе и ресурсов сети Интернет) путем установления правил разграничения доступа.

К основным факторам, определяющим необходимость формирования и развития системы защиты информации в органах исполнительной власти Калужской области, относятся следующие:

- зависимость результатов деятельности органов исполнительной власти Калужской области от достоверности используемой ими информации, своевременности ее получения, эффективности принятых мер по ее защите;

- формирование государственных информационных ресурсов, находящихся в ведении органов исполнительной власти Калужской области, необходимость защиты этих ресурсов от противоправных действий;

- использование в органах исполнительной власти Калужской области информационных систем, накапливающих и передающих информацию, уязвимую для несанкционированного доступа, а также возрастание опасности несанкционированных и непреднамеренных воздействий на информацию в этих системах;

- расширение спектра источников угроз информационной безопасности, возникающих в отношении органов исполнительной власти Калужской области;

- рост числа преступлений в сфере информационных технологий;

- использование в органах исполнительной власти Калужской области технических и программных средств, обеспечивающих сбор, хранение, обработку и передачу информации, не сертифицированных по требованиям безопасности информации.

4. Цели, задачи, принципы функционирования и развития
системы защиты информации в органах исполнительной власти
Калужской области

Цель защиты информации в органах исполнительной власти Калужской области состоит в предотвращении или существенном снижении ущерба безопасности региона с использованием методов и средств защиты информации, а также создании условий, способствующих защите интересов общества в политической, экономической, научно-технической и других сферах деятельности, путем:

- предотвращения утечки, хищения, утраты, искажения, подделки информации и блокирования доступа к ней;

- предотвращения угроз безопасности личности и общества;

- предотвращения несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, а также других форм незаконного вмешательства в информационные ресурсы и информационные системы;

- обеспечения правового режима документированной информации как объекта собственности;

- сохранения государственной тайны, персональных данных, в том числе конфиденциальной информации в соответствии с законодательством;

- обеспечения прав субъектов в информационных процессах при разработке, производстве и применении информационных систем;

- сохранения конфиденциальности документированной информации ограниченного доступа.

Основными задачами защиты информации в органах исполнительной власти Калужской области являются:

- предотвращение несанкционированного доступа и специальных воздействий на защищаемую информацию в информационных системах органов исполнительной власти Калужской области;

- обеспечение безопасности информации в системах управления и электронного документооборота в органах исполнительной власти Калужской области;

- предотвращение утечки персональных данных по техническим каналам, несанкционированного доступа к ним, предупреждение преднамеренных программно-технических воздействий с целью их разрушения (уничтожения) или искажения в процессе обработки, передачи и хранения в информационных системах персональных данных органов исполнительной власти Калужской области.

Основными принципами развития системы защиты информации в органах исполнительной власти Калужской области являются:

- соответствие уровня развития системы защиты информации задачам обеспечения национальной безопасности России;

- обеспечение своевременной и адекватной реакции на возникающие в органах исполнительной власти Калужской области прогнозируемые угрозы ведения технической разведки, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее;

- формирование единой технической политики в области защиты информации в органах исполнительной власти Калужской области;

- использование коллегиальных методов руководства системой защиты информации и ее развития;

- программно-целевое планирование развития системы защиты информации.

Содержание и порядок действий, направленных на обеспечение защиты информации, определяют организацию защиты информации.

5. Организация защиты информации в органах исполнительной
власти Калужской области

Организация защиты информации в органах исполнительной власти Калужской области включает:

- формирование нормативного правового и методического обеспечения деятельности в области защиты информации;

- формирование организационной структуры и кадрового обеспечения деятельности системы защиты информации;

- проведение анализа деятельности органов исполнительной власти Калужской области, а также применяемых ими систем управления и связи, определение наиболее важных объектов защиты;

- категорирование объектов защиты, а также классификацию автоматизированных систем по требованиям защищенности от несанкционированного доступа к информации;

- оказание методической помощи органам исполнительной власти Калужской области в разработке экономически обоснованных организационно-технических мероприятий по защите информации;

- координацию деятельности органов исполнительной власти Калужской области по защите информации и согласованному применению техники защиты информации;

- периодический контроль состояния защиты информации;

- непрерывный мониторинг состояния системы защиты информации;

- определение направлений развития и совершенствования системы защиты информации.

Организация защиты информации осуществляется в зависимости от категории объектов защиты, особенностей их функционирования и т.д.

Защита информации на объектах информатизации.

Цель защиты информации достигается путем:

- предотвращения утечки информации, передаваемой по каналам связи;

- предотвращения утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами обработки информации;

- исключения несанкционированного доступа к информации, обрабатываемой или хранящейся в технических системах и средствах;

- выявления и предотвращения специальных воздействий, вызывающих уничтожение, искажение и блокирование информации или сбои в работе технических систем и средств;

- предотвращения утечки речевой информации из выделенных и защищаемых помещений;

- выявления внедренных на объекты и в технические средства иностранного производства электронных устройств перехвата информации (закладных устройств).

Объективная оценка защиты информации основывается на постоянном и действенном контроле ее состояния.

Контроль состояния защиты информации в органах исполнительной власти Калужской области осуществляется уполномоченными органами, входящими в систему защиты информации, в соответствии с их компетенцией.

Контроль состояния защиты информации в органах исполнительной власти Калужской области заключается в проверке соответствия организации, наличия и содержания документов требованиям нормативных правовых актов, организационно-распорядительных документов в сфере защиты информации, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения установленных требований и норм. При этом оценка эффективности принятых мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

Целями контроля состояния защиты информации являются:

- установление степени соответствия принятых мер требованиям нормативных правовых актов, стандартов, норм, правил и инструкций по защите информации;

- выявление потенциальных технических каналов утечки информации, несанкционированного доступа к информации и специальных воздействий на информацию с ограниченным доступом и выработка рекомендаций по закрытию этих каналов.

Основными задачами контроля состояния защиты информации являются:

- оценка эффективности проводимых мер по защите информации;

- выявление нарушений установленных норм и требований по защите информации;

- выявление потенциальных каналов утечки информации об объектах защиты, несанкционированного доступа к информации и специальных воздействий на информацию, анализ и оценка возможностей технических разведок по получению защищаемой информации;

- анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;

- предупреждение невыполнения установленных норм и требований по защите информации;

- оценка деятельности органов государственной власти, организаций по методическому руководству и координации работ в сфере защиты информации (в пределах их компетенции).

Реализация Концепции позволит:

- повысить эффективность управления системой защиты информации за счет создания в органах исполнительной власти Калужской области информационно-аналитической системы обеспечения деятельности в сфере защиты информации и ее сопряжения с информационно-аналитической системой государственной системы защиты информации;

- усовершенствовать организационную структуру системы защиты информации, ее кадровое обеспечение;

- улучшить обеспеченность органов системы защиты информации документами в области защиты информации;

- повысить оснащенность органов системы защиты информации высокоэффективной техникой защиты для информации.