Распоряжение Правительства Астраханской области от 01.08.2013 N 348-Пр "О концепции информационной безопасности исполнительных органов государственной власти Астраханской области"

В целях совершенствования контроля информационной безопасности в информационно-телекоммуникационных системах исполнительных органов государственной власти Астраханской области:
1. Утвердить концепцию информационной безопасности исполнительных органов государственной власти Астраханской области (далее -концепция).
2. Исполнительным органам государственной власти Астраханской области при организации работы по обеспечению информационной безопасности руководствоваться положениями концепции.
3. Агентству связи и массовых коммуникаций Астраханской области (Зайцева М.А.) опубликовать настоящее Распоряжение в средствах массовой информации.

Губернатор Астраханской области А.А.ЖИЛКИН

Утверждена Распоряжением Правительства Астраханской области от 1 августа 2013 г. N 348-Пр

КОНЦЕПЦИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСПОЛНИТЕЛЬНЫХ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ АСТРАХАНСКОЙ ОБЛАСТИ


Введение

В концепции информационной безопасности исполнительных органов государственной власти Астраханской области (далее - концепция) на основе выборочного анализа современного состояния определены цели, задачи и ключевые проблемы обеспечения информационной безопасности исполнительных органов государственной власти Астраханской области (далее - информационная безопасность). Рассмотрены объекты, угрозы информационной безопасности, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения информационной безопасности в различных сферах деятельности исполнительных органов государственной власти Астраханской области.
В концепции излагаются основные положения государственной политики обеспечения информационной безопасности и принципы построения информационной безопасности. Концепция служит методологической основой разработки комплекса правовых актов и организационно-методических документов, регламентирующих деятельность исполнительных органов государственной власти Астраханской области в сфере информационной безопасности.
Положения концепции не распространяются на сведения, отнесенные к государственной тайне.

I. Общие положения

Концепция - это комплексный подход к проблемам обеспечения информационной безопасности, методам и средствам защиты жизненно важных интересов личности, общества, государства в информационной сфере. Концепция служит методологической основой обеспечения информационной безопасности.
Концепция служит основой для:
- разработки стратегии обеспечения информационной безопасности, включающей в себя цели, задачи и комплекс основных мер по ее практической реализации, реализации государственной политики в области обеспечения информационной безопасности на территории Астраханской области;
- доведения до всех участников процесса информационного обмена в исполнительных органах государственной власти Астраханской области актуальности проблем обеспечения информационной безопасности;
- определения уровней информационной безопасности объектов информатизации;
- разработки унифицированных подходов к построению программно-технических систем защиты объектов информатизации в исполнительных органах государственной власти Астраханской области;
- обеспечения условий интеграции информационной инфраструктуры исполнительных органов государственной власти Астраханской области с другими сетями и системами.
Комплексная система информационной безопасности должна обеспечивать безопасное использование информационных ресурсов и предоставление государственных услуг в электронном виде.
Концепция служит методологической основой:
- реализации единой политики в исполнительных органах государственной власти Астраханской области в области обеспечения информационной безопасности;
- разработки государственных программ Астраханской области по обеспечению защиты информационных систем и ресурсов телекоммуникаций;
- подготовки предложений по совершенствованию правового, организационного, технического и программного обеспечения информационной безопасности в Астраханской области.
Положения концепции учитываются при создании информационных ресурсов и систем, развитии информационных технологий, создании и развитии единого информационного пространства Астраханской области.
Правовую основу концепции составляют Конституция Российской Федерации, указы Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", от 31.12.2015 N 683 "О Стратегии национальной безопасности Российской Федерации", Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации от 09.09.2000 N Пр-1895, Федеральные законы от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", от 28.12.2010 N 390-ФЗ "О безопасности", от 06.04.2011 N 63-ФЗ "Об электронной подписи" и иные правовые акты.
В настоящей концепции используются следующие основные понятия:
- информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
- информационные ресурсы - отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
- информация - сведения (сообщения, данные) независимо от формы их представления;
- владелец информационной системы - физическое или юридическое лицо, владеющее информацией, содержащейся в базах данных;
- оператор информационной системы - физическое или юридическое лицо, осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;
- поставщик информации - физическое или юридическое лицо, предоставляющее информацию владельцу информационных сетей;
- пользователь информации - физическое или юридическое лицо, которому предоставлено право пользования определенной информацией в информационной системе;
- объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров;
- информационная безопасность объекта информатизации - состояние защищенности объекта информатизации, при котором обеспечивается безопасность информатизации и автоматизированных средств ее обработки;
- техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

II. Цель и задачи обеспечения информационной безопасности

Целью обеспечения информационной безопасности является защита объектов информационной безопасности от угроз, вызванных неэффективностью процедур контроля, технологических сбоев, несанкционированных действий персонала или иных форм незаконного вмешательства в информационные ресурсы и информационные системы.
Задачами обеспечения информационной безопасности являются:
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся и обрабатываемых в информационных системах;
- соблюдение требований законодательства Российской Федерации в области информационной безопасности;
- реализация государственной политики в области обеспечения информационной безопасности на территории Астраханской области;
- организация и координация работ по информационной безопасности в исполнительных органах государственной власти Астраханской области;
- актуализация применяемых защитных мер, требований, норм и правил информационной безопасности с учетом изменения информационной среды и условий;
- контроль выполнения требований правовых актов, регламентирующих деятельность в области информационной безопасности;
- создание системы непрерывного обучения, тренировки и проверки осведомленности персонала по вопросам обеспечения информационной безопасности;
- обеспечение защиты информации от несанкционированного доступа на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
- предотвращение утраты, искажения или уничтожения информации на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
- обеспечение непрерывного функционирования информационных систем и системы обеспечения информационной безопасности;
- своевременное прогнозирование, выявление и нейтрализация угроз информационной безопасности;
- обеспечение эффективной работы механизмов оперативного реагирования на угрозы информационной безопасности;
- мониторинг состояния защищенности информации.
Достижение намеченной цели зависит от решения основных задач в вопросе обеспечения информационной безопасности.

III. Объекты информационной безопасности

К объектам информационной безопасности относятся:
- информационные ресурсы исполнительных органов государственной власти Астраханской области, содержащие конфиденциальную информацию (служебную тайну, коммерческую тайну, персональные данные и прочую информацию ограниченного доступа), а также открытую (общедоступную) информацию;
- информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации.
Информационная безопасность вышеуказанных объектов является условием надежного функционирования исполнительных органов государственной власти Астраханской области.

IV. Основные угрозы информационной безопасности

Угроза информационной безопасности - совокупность факторов и условий, создающих опасность для нормального функционирования информационной инфраструктуры.
Источники угроз информационной безопасности разделяются на угрозы, источник которых расположен вне контролируемой зоны (внешние), и угрозы, источник которых расположен в пределах контролируемой зоны (внутренние).
К внешним угрозам информационной безопасности относятся:
- деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных систем;
- перехват и утечка информации по техническим каналам;
- неконтролируемое самопроизвольное распространение компьютерных вирусов и иных вредоносных программ;
- стихийные бедствия, катастрофы, пожары и аварии.
Внутренними угрозами информационной безопасности являются:
- невыполнение требований действующего законодательства и несвоевременное принятие необходимых правовых актов, регламентирующих деятельность в сфере информационной безопасности;
- нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, создающие предпосылки к утечке либо разглашению сведений, составляющих государственную, служебную и иную тайну;
- внедрение несовершенных или устаревших информационных технологий и средств информатизации;
- умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;
- отказы, сбои, неисправности, несогласованности инженерно-технических, программных и системно-прикладных средств защиты информационных и телекоммуникационных систем;
- использование не сертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты и контроля информации;
- привлечение к работам по созданию, развитию и защите информационных систем организаций, не имеющих лицензии на данный вид деятельности.
Непрерывный процесс прогнозирования, выявления, идентификации, конкретизации, анализа и выработки мер по локализации угроз является неотъемлемой задачей деятельности по построению системы информационной безопасности.

V. Основные направления деятельности по обеспечению информационной безопасности

Деятельность по обеспечению информационной безопасности призвана способствовать снижению рисков от угроз в информационной сфере, повышению эффективности и устойчивости в управлении информационными ресурсами и системами.
Основные направления обеспечения информационной безопасности:
- правовое обеспечение информационной безопасности (деятельность, направленная на создание и поддержание в актуальном состоянии системы локальных нормативных актов, регламентирующих деятельность по обеспечению информационной безопасности);
- организация работы по обеспечению информационной безопасности (деятельность, направленная на создание документированных процессов обеспечения информационной безопасности, скоординированных между исполнительными органами государственной власти Астраханской области);
- обеспечение информационной безопасности при управлении информационными ресурсами (деятельность, направленная на идентификацию, классификацию информационных ресурсов и их владельцев, формирование и поддержание необходимого уровня информационной безопасности информационных ресурсов);
- обеспечение информационной безопасности, связанное с персоналом (деятельность, направленная на минимизацию рисков, вызванных действиями работников в отношении информационных ресурсов, путем создания системы непрерывного обучения, тренировки и проверки осведомленности всех работников по вопросам обеспечения информационной безопасности);
- физическая безопасность информационных ресурсов (деятельность, направленная на минимизацию и предотвращение ущерба, вызванного физическим воздействием на информационные ресурсы);
- обеспечение информационной безопасности на этапах жизненного цикла информации в информационной инфраструктуре (деятельность, направленная на минимизацию рисков, возникающих в процессе создания, обработки, обмена и уничтожения информации в информационной инфраструктуре);
- управление доступом к информационным ресурсам (деятельность, направленная на создание порядка доступа к информационным ресурсам, контроль и мониторинг доступа);
- управление инцидентами информационной безопасности (деятельность, направленная на создание процесса или процессов по своевременному выявлению и реагированию на инциденты информационной безопасности).

VI. Принципы формирования системы информационной безопасности

Реализация основных направлений информационной безопасности осуществляется на основе следующих принципов:
- законности - осуществления защитных мероприятий и разработки системы информационной безопасности в соответствии с действующим законодательством в области информационных технологий и защиты информации;
- персональной ответственности - ответственности в пределах должностных обязанностей за несоблюдение регламентирующих документов в области информационной безопасности;
- минимизации полномочий - предоставления прав доступа сотрудникам исполнительных органов государственной власти Астраханской области к информационным ресурсам в объеме, достаточном для качественного выполнения своих должностных обязанностей;
- своевременности - своевременности выявления проблем, связанных с обеспечением информационной безопасности, и обнаружения угроз, потенциально способных нанести ущерб;
- системности - подхода к построению системы информационной безопасности с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, имеющих существенное значение для понимания и решения проблем обеспечения информационной безопасности, включающего фазы планирования, реализации, контроля и ее совершенствования;
- комплексного подхода - всестороннего обеспечения информационной безопасности, то есть использования программно-технических, организационных, правовых, нормативно-методических и других мер обеспечения информационной безопасности на единой концептуальной основе;
- непрерывности - постоянного целенаправленного процесса по выявлению угроз информационной безопасности и принятию адекватных мер защиты;
- унифицированности - унификации принципов, правил, процедур, требований и технических решений по обеспечению информационной безопасности;
- простоты - понятности пользователю порядка действий и процесса использования средств обеспечения информационной безопасности и защиты информации.

VII. Основные элементы организационной структуры системы информационной безопасности

Основываясь на принципах построения системы информационной безопасности, определяется исполнительный орган государственной власти Астраханской области, отвечающий за организацию обеспечения информационной безопасности в исполнительных органах государственной власти Астраханской области. К его полномочиям относятся:
- разработка правовых актов по информационной безопасности для использования в исполнительных органах государственной власти Астраханской области;
- проведение проверочных мероприятий по информационной безопасности в исполнительных органах государственной власти Астраханской области;
- участие в выборе средств обеспечения информационной безопасности информационных и телекоммуникационных систем в исполнительных органах государственной власти Астраханской области;
- контроль создания и развития системы защиты информации в межведомственной телекоммуникационной сети Астраханской области;
- контроль администрирования системы информационной безопасности системы защиты информации в межведомственной телекоммуникационной сети Астраханской области;
- участие в разработке (модернизации) подсистем защиты информации в информационных системах исполнительных органов государственной власти Астраханской области.
В каждом исполнительном органе государственной власти Астраханской области создается подразделение (либо определяется сотрудник), отвечающее за информационную безопасность. Руководитель исполнительного органа государственной власти Астраханской области несет ответственность за организацию работ по обеспечению информационной безопасности в данном исполнительном органе государственной власти Астраханской области.
Исполнительные органы государственной власти Астраханской области согласовывают требования к внедряемым в исполнительных органах государственной власти Астраханской области техническим, программным и программно-техническим средствам защиты со службой безопасности и противодействия коррупции Астраханской области в порядке, установленном правовым актом Правительства Астраханской области.

VIII. Меры, методы и средства обеспечения информационной безопасности

Анализ технических, структурных, эксплуатационных и иных особенностей информационных систем имеет значение для организации и внедрения надежной системы обеспечения информационной безопасности.
При выборе и использовании комплекса методов, способов и средств защиты информации, необходимых для обеспечения безопасности информации в конкретных информационных системах, учитываются:
- наличие конфиденциальной информации (персональные данные, служебная тайна и т.д.);
- условия размещения и эксплуатации технических средств;
- способы обработки данных в информационной системе;
- особенности обработки и пересылки информации в электронном виде;
- количество пользователей и способы организации их работы с информационной системой;
- способы хранения информации.
Проблема обеспечения информационной безопасности может быть решена в результате комплексного применения всех мер защиты, включающих в себя:
- правовые меры обеспечения информационной безопасности;
- организационные меры обеспечения информационной безопасности;
- технические меры обеспечения информационной безопасности.

Правовые меры обеспечения информационной безопасности

К правовым мерам обеспечения информационной безопасности относятся действующие в Российской Федерации правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения принятых в них правил.
Правовые меры обеспечения информационной безопасности определяют правовую область, в пределах которой допускается использовать информационные ресурсы различных субъектов информационных отношений.

Организационные меры обеспечения информационной безопасности

Организационные меры обеспечения информационной безопасности - меры организационного характера, регламентирующие процессы функционирования информационных систем, использование их ресурсов, деятельность обслуживающего персонала, а также порядок обращения пользователей информации с информационными системами таким образом, чтобы в наибольшей степени затруднить либо исключить возможность реализации угроз информационной безопасности, снизить размер потерь в случае реализации угроз.

Технические меры обеспечения информационной безопасности

Технические меры обеспечения информационной безопасности основываются на использовании программных и технических средств, входящих в состав информационных систем и выполняющих самостоятельно или в комплексе с другими средствами функции защиты.
При учете всех требований и принципов обеспечения информационной безопасности в информационной системе в состав системы включают следующие технические и программные средства:
- идентификации пользователей;
- аутентификации пользователей информации и информационных объектов;
- разграничения доступа к данным;
- управления информационными потоками;
- информационной безопасности в линиях передачи данных, хранилищах информации;
- обеспечения и контроля целостности программных и информационных ресурсов;
- регистрации и контроля обращений к информации, подлежащей защите;
- реагирования на попытки реализации несанкционированного доступа;
- активные и пассивные средства защиты информации, обрабатываемой техническими средствами информационных систем и циркулирующей в помещениях объекта от утечки по техническим каналам.

IX. Порядок организации работ при разработке и эксплуатации информационных систем и системы обеспечения информационной безопасности

Разработка любой информационной системы требует обязательной доработки системы обеспечения информационной безопасности, в связи с чем данные рабочие процессы должны протекать параллельно, без отрыва друг от друга.
Процессу разработки, модернизации информационной системы должен предшествовать процесс определения перечня информации, которую в будущем будут обрабатывать в данной системе, и присвоения категорий защищаемой информации.
Этапу ввода в эксплуатацию информационной системы должен предшествовать этап ввода в эксплуатацию разработанной (доработанной) системы информационной безопасности. Разработанная (доработанная) система информационной безопасности должна предусматривать:
- назначение должностных лиц, ответственных за присвоение категории обрабатываемой информации (служебная тайна, персональные данные, открытая информация общего пользования и т.д.) и установление их полномочий;
- назначение должностных лиц, имеющих право распоряжаться информацией (применительно к каждой категории защищаемой информации) и установление их полномочий;
- условия и порядок допуска пользователей информации к работе с информацией - применительно к каждой категории защищаемой информации;
- определение объема информации, необходимой и достаточной для эффективного выполнения работниками организации своих прямых должностных обязанностей;
- определение границ применения информации пользователями информации;
- разработку необходимого пакета документов, регламентирующих работу в информационной системе.
Стадия ввода в действие информационной системы завершается отчетом о состоянии существующей информационной системы, в котором указываются выявленные уязвимости (недостатки) информационной системы, а также с указанием способов их устранения.

X. Порядок управления системой обеспечения информационной безопасности

Управление системой обеспечения информационной безопасности представляет собой целенаправленное воздействие на ее компоненты, обеспечивающее защищенность информации, обрабатываемой в информационных системах.
Цель процесса управления системой обеспечения информационной безопасности - надежная защита информации в процессе ее сбора, обработки, хранения и предоставления (передачи) конечному пользователю.
Управление системой информационной безопасности должно осуществляться на всех этапах существования информационной системы, с момента проведения научно-технических изысканий, предшествующих проектным работам по созданию новой информационной системы, до момента вывода этой системы из технической эксплуатации.
Управление системой обеспечения информационной безопасности осуществляют специальные подразделения в структуре исполнительных органов государственной власти Астраханской области, отвечающие за информационную безопасность, объединяющие в своем составе квалифицированных специалистов в области информационных технологий и защиты информации.

XI. Контроль состояния информационной безопасности

Контроль состояния информационной безопасности осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации. Основная задача контроля - получение объективных оценок текущего состояния защиты информации ограниченного распространения, оценка эффективности применяемых мер и технических решений для обеспечения информационной безопасности, оказание методической помощи по обеспечению режима защиты информации, организация работы по обеспечению информационной безопасности.
Контролю подлежат:
- выполнение правовых, организационно-распорядительных актов исполнительных органов государственной власти Астраханской области;
- действующие меры обеспечения информационной безопасности;
- обоснованность и эффективность применения мер обеспечения информационной безопасности информационных систем исполнительных органов государственной власти Астраханской области.
Каждый исполнительный орган государственной власти Астраханской области осуществляет внутренний контроль состояния информационной безопасности его информационных систем. В указанных целях для получения дополнительного заключения об их состоянии привлекаются к выполнению контроля и аудита администраторы безопасности информации других исполнительных органов государственной власти Астраханской области, а также специалисты организаций, обладающих соответствующими правами на осуществление деятельности в области защиты информации.
Служба безопасности и противодействия коррупции Астраханской области осуществляет общий контроль обеспечения информационной безопасности.
Оценка эффективности мер информационной безопасности проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.