ГУБЕРНАТОР МУРМАНСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 14 мая 2012 г. № 84-ПГ
О КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В МУРМАНСКОЙ ОБЛАСТИ
В целях реализации на территории Мурманской области единой государственной политики в сфере региональной системы защиты информации и во исполнение Стратегии
национальной безопасности Российской Федерации до 2020 года, утвержденной Указом Президента Российской Федерации от 12.05.2009 № 537, постановляю:
1. Утвердить прилагаемую Концепцию
защиты информации в Мурманской области.
2. Определить Аппарат Правительства Мурманской области уполномоченным органом, ответственным за проведение единой государственной политики в сфере защиты информации в Мурманской области.
Губернатор
Мурманской области
М.В.КОВТУН
Утверждена
постановлением
Губернатора Мурманской области
от 14 мая 2012 г. № 84-ПГ
КОНЦЕПЦИЯ
ЗАЩИТЫ ИНФОРМАЦИИ В МУРМАНСКОЙ ОБЛАСТИ
Введение
Концепция защиты информации в Мурманской области (далее - Концепция) представляет собой систему взглядов на содержание проблемы защиты информации в Мурманской области, а также на цели, задачи, принципы и основные направления формирования и развития системы защиты информации в Мурманской области (далее - СЗИМО).
Концепция предназначена для использования в исполнительных органах государственной власти Мурманской области, органах местного самоуправления Мурманской области (далее - органы власти), на подведомственных им предприятиях.
В настоящей Концепции используются следующие основные понятия.
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления.
Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
Информационные ресурсы - отдельные документы и массивы документов, отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информация с ограниченным доступом - документированная информация, которая по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Защищаемая информация - хранящаяся, передаваемая, обрабатываемая на объектах информатизации или циркулирующая в речевом виде информация, содержащая сведения, составляющие государственную или служебную тайну.
Защищаемый объект информатизации (объект информатизации) - совокупность предназначенных для обработки и передачи защищаемой информации средств и систем различного уровня и назначения, систем связи, отображения и размножения документов вместе с помещением, в котором они установлены, а также специально выделенное помещение, предназначенное для ведения закрытых переговоров.
Несанкционированный доступ к информации - доступ к защищаемой информации с нарушением установленных прав или правил доступа, приводящий к получению субъектом возможности ознакомления с информацией и/или воздействия на нее.
Охраняемые от технических разведок сведения (охраняемые сведения) - составляющие государственную или служебную тайну сведения об объектах защиты, в отношении которых принято решение об их защите и осуществляется защита от технических разведок.
Объект защиты - объект, имеющий охраняемые сведения, и/или объект, на котором осуществляются работы с защищаемой информацией.
Специальное воздействие на информацию - преднамеренное воздействие на информацию с нарушением установленных прав и/или правил, приводящее к ее уничтожению, искажению и/или блокированию доступа к ней для законных пользователей.
Техническая разведка - деятельность, направленная на добывание разведывательной информации с помощью технических средств.
Технический канал утечки информации - совокупность объекта защиты, физической среды и средства технической разведки, которым добывается защищаемая информация.
Техническая защита информации (ТЗИ) - деятельность, направленная на ограничение или исключение возможностей иностранных государств или иных заинтересованных сторон для получения, уничтожения, искажения или блокирования защищаемой информации в результате ее утечки по техническим каналам, несанкционированного доступа к этой информации и специальных воздействий на нее.
Утечка информации по техническим каналам - неконтролируемое распространение защищаемой информации по техническим каналам.
- резервное копирование программ и данных;
- использование выделенных каналов связи;
- диверсификацию доступа к коммуникационным средам;
- резервирование выделенных линий связи;
- применение аппаратных платформ с повышенной надежностью;
- использование источников гарантированного электропитания;
- использование средств гарантированного уничтожения информации;
- аттестацию объектов информатизации по требованиям безопасности информации.
Наибольшая эффективность этих мер достигается при условии предварительного выполнения всех организационных мер, а также при соблюдении следующих принципов:
- возможности технических средств защиты информации, основанные на тех или иных информационных технологиях, должны максимально использоваться для целей защиты информации в информационных и информационно-телекоммуникационных системах органов власти и организаций;
- средства защиты информации субъектов информационного обмена в региональной системе защиты информации не дублируют, но взаимно дополняют возможности по противодействию угрозам безопасности информации в информационных и информационно-телекоммуникационных системах;
- в корпоративных (интегрированных) информационных и информационно-телекоммуникационных системах безопасность каждого компонента (сегмента) подтверждается их операторами выполнением требований федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий, а также выданными этими федеральными органами сертификатами на используемые средства защиты информации или путем декларирования этой безопасности;
- аттестация информационных систем по требованиям безопасности информации при наличии в них информации ограниченного доступа является необходимым условием функционирования их в составе информационных и информационно-телекоммуникационных систем Мурманской области.
4. Перечень основных мероприятий по совершенствованию
системы защиты информации и пути реализации Концепции
Уточняется состав Региональной комиссии по защите информации Мурманской области.
Вносятся дополнения в положения о подразделениях (специалистах) по защите информации, определенные требованиями нормативных документов по обеспечению безопасности информации в ключевых системах и безопасности персональных данных при их обработке в информационных системах.
Проводятся учет и регистрация информационных и телекоммуникационных систем региона.
Формируется Реестр информационных и информационно-телекоммуникационных систем Мурманской области. Оператор Реестра - исполнительный орган государственной власти Мурманской области, осуществляющий работы в сфере информационных технологий Мурманской области.
Проводится анализ обрабатываемой в информационных и информационно-телекоммуникационных системах, а также в помещениях органов власти и подведомственных им организаций информации на предмет ее отнесения к информации с ограниченным доступом. Результаты анализа оформляются актами операторов информационных систем. Акты утверждаются руководителями органов власти, организаций.
Разрабатываются и утверждаются типовые перечни сведений конфиденциального характера для органов власти и подведомственных им организаций с учетом требований нормативных актов в области защиты информации.
Проводится классификация (уточнение класса защищенности) информационных систем с учетом категорий информации, определенной ранее, полученные результаты отражаются в актах классификации. Акты утверждаются руководителями органов власти, организаций.
Проводится ознакомление исполнителей с упомянутыми выше перечнями в части, их касающейся. Устанавливается разрешительная система доступа исполнителей к документам и сведениям ограниченного доступа (матрицы доступа, другие документы, отражающие полномочия пользователей), допуска в помещения, где обрабатывается информация ограниченного доступа.
Проводится оценка достаточности и соответствия принятых ранее организационных и технических мер в каждой информационной и информационно-телекоммуникационной системе требованиям нормативных правовых актов и методических документов. Разрабатываются планы работ по формированию систем защиты для каждого объекта защиты. Планы утверждаются руководителем соответствующего органа власти, организации. В наиболее важных информационных и информационно-телекоммуникационных системах планируется проведение аудита организациями, имеющими соответствующие лицензии.
Проводятся работы по анализу состояния защищенности информационных и информационно-телекоммуникационных систем органов власти Мурманской области, оцениваются общий масштаб и стоимость основных работ. Проводятся расчеты по обоснованию затрат на формирование и поддержание системы защиты информации на год. Данные расходы закладываются в бюджеты соответствующих органов власти и организаций.
Осуществляется планомерная работа по отбору и назначению специалистов (штатных, нештатных), подготовке, переподготовке и повышению квалификации данных специалистов в области защиты информации, ведется учет специалистов и проводится оценка уровня их профессиональной подготовки. Создаются подразделения по защите информации (назначаются специалисты) в органах власти и подведомственных им организациях. Подразделения по защите информации собирают и передают в Управление ФСТЭК России по СЗФО данные в реестр ключевых систем информационной инфраструктуры федерального округа, формируют и ведут перечень ключевых систем в Мурманской области.
Определяется перечень общих и типовых документов, подлежащих централизованной разработке. Разрабатываются первоочередные нормативные правовые акты, организационно-распорядительные и методические документы для систем защиты информации.
Информационные и информационно-телекоммуникационные системы оцениваются на предмет их оснащения лицензионными программными средствами, а также сертифицированными средствами защиты информации.
Определяются: общая организация, форма и регламент контроля за выполнением требований нормативных правовых актов и методических документов в области защиты информации (собственный контроль в органах власти и организациях, контроль со стороны подразделения по защите информации), организуется контроль состояния защиты информации в региональной системе защиты информации.
Формируется база данных органов власти Мурманской области о состоянии региональной системы защиты информации.
Мероприятия, определенные данным документом, проводятся под контролем Управления ФСТЭК России по Северо-Западному федеральному округу, при поддержке Межведомственного совета по защите информации при полномочном представителе Президента Российской Федерации в Северо-Западном федеральном округе, отражаются в годовых планах работ с отчетами о проделанной работе в конце года
5. Ожидаемые результаты реализации Концепции
Реализация Концепции позволит:
- улучшить организационную структуру СЗИМО, ее кадровое обеспечение;
- улучшить обеспеченность органов СЗИМО документами в области технической защиты информации;
- комплексно, при минимальных затратах и в короткие сроки привести информационные и информационно-телекоммуникационные системы Мурманской области в соответствие с требованиями нормативных правовых актов в области защиты информации;
- завершить оснащение информационных и информационно-телекоммуникационных систем Мурманской области высокоэффективными средствами и технологиями защиты информации;
- исключить необоснованное дублирование мер защиты информации;
- повысить оперативность и качество управления региональной системой защиты информации.
Ожидаемый эффект от реализации Концепции состоит:
- в минимизации ущерба от возможной утечки информации и специальных воздействий на информационные и информационно-телекоммуникационные системы органов власти Мурманской области;
- в рациональном использовании средств бюджета, выделяемых на защиту информации;
- в обеспечении благоприятных условий для эффективного и законного использования информационных ресурсов органов власти Мурманской области.