214008, г. Смоленск, площадь им. Ленина, 1
- Главная
- Деятельность
- Нормативно-правовые документы
- Нормативно-правовые документы Смоленской области в сфере информатизации и связи
- Постановление Администрации Смоленской области № 366 от 20.12.2004
Постановление Администрации Смоленской области № 366 от 20.12.2004
АДМИНИСТРАЦИЯ СМОЛЕНСКОЙ ОБЛАСТИ
П О С Т А Н О В Л Е Н И Е
от 20.12.2004 № 366
Об утверждении Концепции
защиты информации в
Смоленской области
В целях обеспечения единого подхода к вопросам защиты информационных ресурсов Смоленской области, выработки методической и организационной основы информационной безопасности Смоленской области и активизации деятельности по защите информации
Администрация Смоленской области п о с т а н о в л я е т:
1. Утвердить прилагаемую Концепцию защиты информации в Смоленской области.
2. Предложить Смоленской областной Думе, областным государственным органам, территориальным органам федеральных органов исполнительной власти и другим государственным органам, находящимся на территории Смоленской области, органам местного самоуправления муниципальных образований Смоленской области, организациям, предприятиям и учреждениям независимо от их организационно-правовых форм и форм собственности, использующим при осуществлении своей деятельности информацию с ограниченным доступом, учитывать Концепцию при разработке и проведении мероприятий по защите информации.
Глава Администрации
Смоленской области В.Н.Маслов
УТВЕРЖДЕНА
постановлением
Администрации Смоленской
области от 20.12.2004 № 366
КОНЦЕПЦИЯ
защиты информации в Смоленской области
Введение
Концепция защиты информации в Смоленской области представляет собой систему взглядов на проблему защиты информации с ограниченным доступом, а также на цели, задачи, принципы и основные направления формирования и развития системы защиты информации в Смоленской области, которая является важной частью государственной системы защиты информации.
Концепция защиты информации в Смоленской области предназначена для обеспечения согласованности действий Главы Администрации Смоленской области, Администрации Смоленской области, органов исполнительной и судебной власти Смоленской области, Смоленской областной Думы, территориальных органов федеральных органов исполнительной власти и других государственных органов, находящихся на территории Смоленской области, органов местного самоуправления муниципальных образований Смоленской области (далее – государственные и муниципальные органы), организаций, предприятий и учреждений независимо от их организационно-правовых форм, форм собственности и видов деятельности, выполняющих работы по оборонной тематике и другие работы с использованием информации с ограниченным доступом и находящихся на территории Смоленской области (далее – организации), в работе по развитию и совершенствованию системы защиты информации.
Правовую основу Концепции защиты информации в Смоленской области составляют Конституция Российской Федерации, федеральные законы, нормативные правовые акты Российской Федерации и Смоленской области по защите информации (безопасности информации), а также заключенные или признанные Российской Федерацией международные договоры и соглашения, определяющие права и ответственность граждан, общества и государства в информационной сфере.
Концепция защиты информации в Смоленской области развивает Концепцию национальной безопасности Российской Федерации, Доктрину информационной безопасности Российской Федерации, Концепцию защиты информации в Центральном федеральном округе применительно к организации защиты информации в Смоленской области.
- Термины и понятия, используемые в настоящей Концепции
Для целей настоящей Концепции используются следующие термины и понятия:
информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
информация с ограниченным доступом – документированная информация, которая по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную;
государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;
конфиденциальная информация – документированная информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
информационные ресурсы – отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;
защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;
защищаемый объект информатизации (объект информатизации) – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров;
безопасность информации – состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п.;
система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованных и функционирующих по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации;
объект защиты – объект, имеющий охраняемые сведения, и (или) объект, на котором осуществляются работы с защищаемой информацией;
техника защиты информации – средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации;
средство защиты информации – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации;
средство контроля эффективности защиты информации – техническое программное средство, вещество и (или) материал, предназначенные или используемые для контроля эффективности защиты информации;
технический канал утечки информации (технический канал) – совокупность объекта защиты, физической среды и средства технической разведки, которыми добывается защищаемая информация;
утечка информации по техническим каналам – неконтролируемое распространение защищаемой информации по техническим каналам в результате несанкционированного доступа к информации и получения защищаемой информации разведками;
несанкционированный доступ к информации – получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
2. Общие положения
Защита информации является неотъемлемой составной частью основной деятельности государственных и муниципальных органов и организаций и достигается путем проведения комплекса правовых, организационных, технических и методических мероприятий, направленных на предотвращение или преодоление угроз безопасности информации в зависимости от условий деятельности и решаемых задач.
Проведение указанного комплекса мероприятий по защите информации должно основываться на определении:
– источников угроз безопасности информации, вероятности реализации угроз на конкретных объектах (от кого защищать информацию);
– перечней объектов защиты (что защищать);
– средств и методов защиты информации (как защищать).
Целями защиты информации в Смоленской области являются:
– предотвращение утечки, хищения, утраты, искажения, подделки информации;
– предотвращение угроз безопасности личности, общества, государства;
– предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
– защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
– сохранение государственной тайны, конфиденциальности документированной информации в соответствии с федеральным законодательством;
– обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения;
– содействие экономическому, научно-техническому прогрессу Смоленской области, обеспечению ее безопасности и устойчивого развития.
Основными задачами защиты информации в Смоленской области являются:
– проведение единой государственной политики по защите информации;
– формирование и организация деятельности органов по защите информации;
– определение и учет информационных ресурсов, систем и средств формирования, передачи, хранения, обработки и распространения информации, подлежащей защите;
– исключение или существенное затруднение добывания информации средствами технической разведки путем предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию с целью ее уничтожения, искажения и блокирования;
– подготовка предложений по совершенствованию правового, нормативного, методического, научно-технического и организационного обеспечения защиты информации на объектах Смоленской области;
– принятие в пределах компетенции нормативных правовых актов, регулирующих отношения в области защиты информации;
– анализ состояния и прогнозирование источников угроз безопасности информации;
– разработка областных целевых программ по защите информационных ресурсов и средств информатизации;
– выявление ключевых проблем и определение приоритетных направлений развития системы защиты информации в Смоленской области;
– проведение практических мероприятий по созданию и развитию системы защиты информации в Смоленской области;
– методическое и информационное обеспечение работ по защите информации;
– контроль и анализ состояния защиты информации в государственных и муниципальных органах и организациях;
– совершенствование и развитие системы подготовки специалистов по защите информации.
Основными объектами защиты информации в Смоленской области являются:
– информационные ресурсы, содержащие сведения, отнесенные к государственной тайне;
– конфиденциальная информация;
– информация в ключевых системах информационной инфраструктуры;
– средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации с ограниченным доступом, их информативные физические поля;
– технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация с ограниченным доступом, а также сами помещения, предназначенные для обработки такой информации;
– помещения, предназначенные для ведения переговоров, в ходе которых оглашаются сведения ограниченного доступа.
Совершенствование способов и средств технической разведки, повышение опасности угроз несанкционированного доступа к информации и специальных воздействий на нее в системах и средствах информатизации и связи, происходящие с течением времени изменения условий и приоритетов защиты объектов обусловливают необходимость развития системы защиты информации в Смоленской области. Планирование развития системы защиты информации в Смоленской области основывается на анализе ее состояния и выявлении ключевых проблем в развитии.
Финансирование мероприятий по защите информации в государственных и муниципальных органах и бюджетных организациях осуществляется за счет средств соответствующих бюджетов, а в остальных организациях - за счет средств, получаемых от их основной деятельности.
3. Состояние защиты информации в Смоленской области
В последнее десятилетие бурное развитие средств вычислительной техники привело к созданию большого числа разного рода автоматизированных информационных и управляющих систем, к возникновению принципиально новых информационных технологий, в том числе и в Смоленской области.
С развитием информационных систем возникла и проблема обеспечения безопасности хранящейся и обрабатываемой в них информации. Неправомерное искажение или фальсификация, уничтожение или разглашение определенной части информации может нанести серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия.
В этот же период происходило становление организационной структуры системы защиты информации в Российской Федерации и ее субъектах, формировались основы нормативной правовой базы и накапливался опыт ее функционирования в новых политических и экономических условиях.
Однако влияние негативных факторов в политической и экономической сферах деятельности Российской Федерации и ее субъектов привело к возникновению целого ряда проблем в области защиты информации, требующих неотложного решения. К основным проблемам, характеризующим современное состояние системы защиты информации в Смоленской области, относятся:
– отсутствие единой государственной системы защиты информации, обеспечивающей проведение государственной политики в области защиты информации в соответствии с нормативными правовыми актами Российской Федерации;
– нехватка и низкий уровень подготовки специалистов в области защиты информации;
– слабая оснащенность подразделений по защите информации государственных и муниципальных органов и организаций средствами и аппаратурой контроля эффективности защиты информации, нормативными правовыми и методическими документами в области защиты информации, а также сертифицированными средствами защиты информации;
– слабое использование современных информационных технологий для обеспечения потребителей необходимыми документами, носящими открытый характер;
– отсутствие на территории Смоленской области учебных центров по подготовке специалистов в области защиты информации.
Кроме перечисленных выше проблем, существует ряд факторов, определяющих необходимость создания и развития системы защиты информации в Смоленской области. К этим факторам, в частности, относятся:
– приграничное расположение, близость государств - членов и потенциальных членов НАТО, а также наличие на территории Смоленской области совместных предприятий (в том числе с участием стран дальнего зарубежья);
– реструктуризация систем управления хозяйственной деятельностью организаций, повышение их самостоятельности;
– возрастание зависимости результатов деятельности государственных и муниципальных органов и организаций от достоверности используемой ими информации, своевременности ее получения, эффективности принятых мер по ее защите;
– придание информации статуса объекта собственности, формирование государственных информационных ресурсов Смоленской области, информационных ресурсов организаций и граждан, необходимость защиты этих ресурсов от противоправных действий;
– использование в государственных и муниципальных органах и организациях региональных, межрегиональных и глобальных информационных систем, накапливающих и передающих большие объемы информации, потенциально уязвимых для несанкционированного доступа к информации, возрастание опасности несанкционированных и непреднамеренных воздействий на информацию в этих системах и, как следствие, непредсказуемые экономические и социальные последствия от возникновения критических ситуаций, связанных с нарушениями режимов безопасности информации в кредитно-финансовых учреждениях, системах управления экологически опасными производствами, транспортом, энергетикой и др.;
– расширение спектра источников информационных угроз, возникающих в отношении государственных и муниципальных органов и организаций;
– рост числа преступлений в сфере информационных технологий;
– использование в государственных и муниципальных органах и организациях технических и программных средств, обеспечивающих сбор, хранение, обработку и передачу информации, не сертифицированных по требованиям безопасности информации;
– возрастание опасности информационных угроз, возникающих в непосредственной близости от защищаемых объектов Смоленской области или на них самих;
– неспособность отдельных организаций самостоятельно обеспечить эффективную защиту информации.
Перечисленные факторы выдвигают в число приоритетных задачу развития системы защиты информации, а устранение указанных проблем в области защиты информации является общей задачей реализации государственной политики в сфере построения региональной системы защиты информации.
4. Цели, задачи, принципы формирования и развития системы защиты информации в Смоленской области
Главной целью развития системы защиты информации в Смоленской области является формирование эффективно функционирующих компонентов этой системы, соответствующих задачам обеспечения национальной безопасности Российской Федерации, безопасности и устойчивого развития Смоленской области.
Цели формирования и развития системы защиты информации состоят в создании условий, обеспечивающих исключение или существенное затруднение добывания информации об объектах защиты средствами технической разведки в результате предотвращения утечки информации с ограниченным доступом по техническим каналам, несанкционированного доступа к ней и специальных воздействий на нее в различных сферах деятельности хозяйствующих субъектов на территории Смоленской области.
Основными задачами по развитию системы защиты информации в Смоленской области являются:
– формирование и совершенствование системы защиты информации, развитие ее научно-технического и кадрового потенциала;
– создание необходимых и достаточных правовых, организационных, экономических и научно-технических условий для обеспечения деятельности системы защиты информации;
– обеспечение эффективной технической защиты информации на объектах государственных и муниципальных органов и организаций;
– создание эффективной и гибкой системы управления системой защиты информации, приспособленной к изменяющимся условиям обстановки.
Основными принципами развития системы защиты информации в Смоленской области являются:
– соответствие уровня развития системы защиты информации задачам обеспечения национальной безопасности Российской Федерации, безопасности и устойчивого развития Смоленской области с учетом ее экономических возможностей;
– обеспечение на территории Смоленской области своевременной и адекватной реакции на возникающие и прогнозируемые угрозы ведения технической разведки, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее;
– использование коллегиальных методов руководства системой защиты информации и ее развития;
– программно-целевое планирование развития системы защиты информации.
Система защиты информации в Смоленской области организационно входит в систему защиты информации в Центральном федеральном округе (далее – ЦФО) и образует два уровня:
– систему защиты информации на региональном уровне;
– системы защиты информации в организациях.
Организационную структуру системы защиты информации на региональном уровне образуют:
– Комиссия по информационной безопасности при Администрации Смоленской области;
– государственные и муниципальные органы, их коллегиальные органы и структурные подразделения по защите информации (штатные специалисты);
– учебные заведения, осуществляющие подготовку, профессиональную переподготовку и повышение квалификации специалистов в области защиты информации.
Организационную структуру системы защиты информации на уровне организаций образуют:
– организации, выполняющие работы по оборонной тематике и другие работы с использованием информации с ограниченным доступом;
– организации, проводящие работы с использованием информации с ограниченным доступом;
– организации-лицензиаты Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК);
– организации-лицензиаты Федеральной службы безопасности Российской Федерации.
Функциональное регулирование деятельности системы защиты информации в Смоленской области осуществляется на основании решений Комиссии по информационной безопасности при полномочном представителе Президента Российской Федерации в ЦФО. Координацию и методическое руководство деятельностью в области защиты информации осуществляет Управление ФСТЭК России по ЦФО.
Государственную политику в области защиты информации в Смоленской области реализуют:
– Глава Администрации Смоленской области – возглавляет систему защиты информации в Смоленской области;
– Комиссия по информационной безопасности при Администрации Смоленской области – координирует деятельность по защите информации государственных и муниципальных органов и организаций;
– Администрация Смоленской области посредством взаимодействия с полномочным представителем Президента Российской Федерации в ЦФО, Управление ФСТЭК России по ЦФО, Управлением Федеральной службы безопасности Российской Федерации по Смоленской области – организует деятельность по защите информации в органах исполнительной власти Смоленской области и органах местного самоуправления муниципальных образований Смоленской области через структурное подразделение по защите информации Аппарата Администрации Смоленской области;
– государственные и муниципальные органы – обеспечивают исполнение нормативных правовых и распорядительных актов в области защиты информации;
– организации – осуществляют мероприятия по защите информации на подведомственных объектах защиты.
Функции, права и полномочия структурных подразделений (штатных специалистов) и коллегиальных органов, отвечающих за организацию и осуществление мероприятий по защите информации в государственных и муниципальных органах и организациях, определяются положениями об этих подразделениях и органах.
В государственных и муниципальных органах и организациях ответственность за организацию и состояние защиты информации возлагается на соответствующих руководителей.
5. Основные направления формирования и развития системы защиты информации в Смоленской области
Основными направлениями формирования и развития системы защиты информации в Смоленской области являются:
1. При решении задачи формирования и совершенствования организационной структуры системы защиты информации, развития ее научно-технического и кадрового потенциала:
– формирование в государственных и муниципальных органах и организациях структурных подразделений по защите информации (назначение штатных специалистов);
– создание и развитие системы подготовки и переподготовки специалистов в области защиты информации.
2. При решении задачи создания необходимых и достаточных правовых, организационных, экономических и научно-технических условий для обеспечения деятельности системы защиты информации:
– совершенствование концептуальных и правовых основ деятельности системы защиты информации;
– организация и обеспечение работ по выявлению и оценке угроз безопасности информации, прогнозированию их развития, разработке типового перечня угроз безопасности информации для объектов защиты;
– разработка нормативных правовых актов и методических документов по защите информации, конкретизирующих и дополняющих документы федерального уровня, обеспечение ими государственных и муниципальных органов и организаций;
– оснащение объектов информатизации государственных и муниципальных органов и организаций современными сертифицированными средствами защиты информации (в том числе контроля эффективности защиты информации).
3. При решении задачи обеспечения эффективной технической защиты информации на объектах государственных и муниципальных органов и организаций:
– разработка и внедрение типовых систем защиты информации для объектов государственных и муниципальных органов и организаций;
– проведение мероприятий по защите информации при проведении региональных выставок, конференций, совещаний с участием представителей иностранных государств, при осуществлении международного информационного обмена, в том числе с использованием открытых информационных систем;
– использование сертифицированного общего и специального программного обеспечения, сертифицированных средств защиты информации.
4. При решении задачи создания эффективной и гибкой системы управления системой защиты информации, приспособленной к изменяющимся условиям обстановки:
– совершенствование взаимодействия территориальных органов федеральных органов исполнительной власти с органами исполнительной власти Смоленской области и органами местного самоуправления муниципальных образований Смоленской области при организации и ведении защиты информации на территории области;
– создание системы мониторинга состояния системы защиты информации в интересах информационного обеспечения принятия решений по защите информации;
– создание и развертывание информационно-аналитической системы защиты информации в Смоленской области в рамках информационно-аналитической системы государственной системы защиты информации.
Главными приоритетами в развитии системы защиты информации в Смоленской области являются:
– совершенствование концептуальных и правовых основ деятельности системы защиты информации;
– формирование структурных подразделений по защите информации (назначение штатных специалистов) в государственных и муниципальных органах и организациях, оснащение их средствами защиты информации, а также средствами контроля эффективности защиты информации;
– организация и обеспечение работ по выявлению и оценке угроз безопасности информации, прогнозированию их развития.
6. Этапы формирования и развития системы защиты информации в Смоленской области
Формирование и развитие системы защиты информации в соответствии с настоящей Концепцией предполагается осуществлять в три этапа.
Первый этап (2004 – 2005 гг.) – этап завершения организационных мероприятий по формированию системы защиты информации в Смоленской области, созданию нормативной базы для функционирования этой системы и ее кадрового обеспечения. На этом этапе:
– определяются принципы взаимодействия государственных и муниципальных органов и организаций, входящих в систему защиты информации, при решении задач защиты информации, создается организационно-правовая база;
– осуществляется корректировка действующих и разработка первоочередных нормативных правовых актов и методических документов для системы защиты информации;
– создаются структурные подразделения по защите информации (назначаются штатные специалисты) в государственных и муниципальных органах и организациях;
– определяются перечни информационных ресурсов, подлежащих защите, определяются структура и порядок деятельности соответствующих систем формирования, учета, хранения и распространения информационных ресурсов;
– осуществляются подготовка и переподготовка специалистов в области защиты информации;
– производится оснащение государственных и муниципальных органов и организаций существующими средствами защиты информации и контроля эффективности защиты информации;
– организуется контроль за состоянием защиты информации и начинается создание элементов информационно-аналитической системы оценки состояния защиты информации.
Второй этап (2005 – 2007 гг.) – этап развития системы защиты информации в Смоленской области, который предполагает формирование и развитие систем защиты информации в государственных и муниципальных органах и организациях, а также расширение видов защищаемой информации и спектра противодействия угрозам безопасности информации. На этом этапе:
– совершенствуется нормативно-методическое и техническое обеспечение при организации и ведении работ по защите информации на объектах защиты всех уровней;
– совершенствуются организационные мероприятия, технические методы и техника защиты информации на объектах защиты;
– создается информационно-аналитическая система выявления, прогнозирования угроз безопасности информации и планирования мероприятий по защите информации.
Третий этап (2008 – 2010 гг.) – этап совершенствования системы защиты информации в Смоленской области, на котором осуществляется ее интеграция в систему защиты информации в ЦФО и государственную систему защиты информации. На этом этапе:
– осуществляется дальнейшее совершенствование нормативно-методического и технического обеспечения системы защиты информации;
– производится оснащение важнейших объектов системы защиты информации перспективными высокоэффективными средствами защиты информации, а также контроля состояния защиты информации;
– разрабатывается и создается система технического контроля защиты информации в Смоленской области;
– осуществляется интеграция информационно-аналитической системы защиты информации Смоленской области в информационно-аналитическую систему государственной системы защиты информации.
7. Ожидаемые результаты реализации настоящей Концепции
Основные положения настоящей Концепции реализуются в результате целенаправленной повседневной деятельности государственных и муниципальных органов и организаций путем выполнения общегосударственных и региональных научно-технических программ в области защиты информации, а также программ информатизации.
Реализация настоящей Концепции позволит:
– улучшить организационную структуру системы защиты информации на региональном уровне, ее кадровое обеспечение;
– повысить оснащенность государственных и муниципальных органов и организаций высокоэффективными средствами защиты информации, а также средствами контроля ее эффективности;
– улучшить обеспеченность государственных и муниципальных органов и организаций документами в области защиты информации;
– повысить обоснованность, оперативность и качество управления системой защиты информации за счет создания в Смоленской области информационно-аналитической системы защиты информации Смоленской области и ее сопряжения с информационно-аналитической системой государственной системы защиты информации.
В результате будет создана система, соответствующая задачам обеспечения национальной безопасности Российской Федерации, безопасности и устойчивого развития Смоленской области с учетом ее экономических возможностей и адекватно реагирующая на угрозы безопасности информации в социально-экономической, административно-управленческой, правоохранительной и других сферах деятельности.
СОГЛАСОВАНО
Письмо Управления Гостехкомиссии России
при Президенте Российской Федерации
по Центральному федеральному округу
от 04.11.2004 №918
