ПОСТАНОВЛЕНИЕ Губернатора Калужской области № 91 от 17.03.2005
"ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ НА ПЕРИОД ДО 2010 ГОДА"
Официальная публикация в СМИ:
публикаций не найдено
ГУБЕРНАТОР КАЛУЖСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
17 марта 2005 г. № 91
ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ
ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ
НА ПЕРИОД ДО 2010 ГОДА
В целях развития и совершенствования системы защиты информации в исполнительных органах государственной власти Калужской области как неотъемлемой составной части государственной системы защиты информации Российской Федерации
ПОСТАНОВЛЯЮ:
1. Утвердить Концепцию защиты информации в исполнительных органах государственной власти Калужской области на период до 2010 года (прилагается).
2. Контроль за исполнением настоящего Постановления возложить на заместителя Губернатора области - руководителя администрации Губернатора области Куликова Г.В.
Губернатор области
А.Д.Артамонов
Утверждена
Постановлением
Губернатора Калужской области
от 17 марта 2005 г. № 91
КОНЦЕПЦИЯ
ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ
ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ НА ПЕРИОД ДО 2010 ГОДА
ВВЕДЕНИЕ
Концепция защиты информации в исполнительных органах государственной власти Калужской области представляет собой систему взглядов на содержание проблемы защиты информации с ограниченным доступом, а также на цели, задачи, принципы, основные направления развития и совершенствования системы защиты информации в исполнительных органах государственной власти Калужской области.
Концепция предназначена для использования руководителями исполнительных органов государственной власти Калужской области и их аппаратами при решении задач по обеспечению, развитию и совершенствованию системы защиты информации.
Правовую основу Концепции составляют: Конституция Российской Федерации, федеральные законы, правовые и нормативные акты Российской Федерации по защите информации (безопасности информации), а также международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере.
Настоящая Концепция развивает Концепцию национальной безопасности Российской Федерации, Доктрину информационной безопасности Российской Федерации, Концепцию информатизации исполнительных органов государственной власти Калужской области.
Основные понятия и термины:
безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами;
государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;
защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;
защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;
защищаемый объект информатизации (объект информатизации) - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров;
информация с ограниченным доступом - документированная информация, которая по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную;
информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
несанкционированный доступ к информации - получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;
объект защиты - объект, имеющий охраняемые сведения, и (или) объект, на котором осуществляются работы с защищаемой информацией;
система защиты информации - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации;
средство защиты информации - техническое, криптографическое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации;
средство контроля эффективности защиты информации - техническое программное средство, вещество и (или) материал, предназначенные или используемые для контроля эффективности защиты информации;
техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации;
технический канал утечки информации - совокупность объекта защиты, физической среды и средства технической разведки, которым добывается защищаемая информация;
утечка информации по техническим каналам - неконтролируемое распространение защищаемой информации по техническим каналам в результате несанкционированного доступа к информации и получения защищаемой информации разведками.
I. ОБЩИЕ ПОЛОЖЕНИЯ
В условиях, когда основной объем информации во всех сферах деятельности государства обрабатывается и передается с использованием средств информатизации и связи, значительно возрастает угроза утечки информации по техническим каналам в результате несанкционированного доступа к системам информатизации и связи разведок и спецслужб иностранных государств и злоумышленников.
Утечка информации, а также специальные воздействия на информацию в целях ее уничтожения, искажения или блокирования могут привести к снижению эффективности деятельности государства в области обороны, внешней политики, экономики и экологии, к утрате передовых позиций в наиболее развитых отраслях науки и техники, значительным материальным потерям и другим негативным последствиям, существенно влияющим на состояние национальной безопасности России. Все это обусловливает необходимость принятия адекватных мер по защите информации.
Защита информации является неотъемлемой составной частью основной деятельности исполнительных органов государственной власти Калужской области и достигается проведением определенного комплекса правовых, организационных, технических и методических мероприятий, направленных на предотвращение или преодоление угроз безопасности информации в зависимости от условий деятельности и решаемых задач.
Проведение указанного комплекса мероприятий должно основываться на определении:
- источников угроз безопасности информации на конкретных объектах (от кого защищать информацию);
- перечней объектов защиты и защищаемых сведений (что защищать);
- средств и методов защиты информации (как защищать).
Источники угроз безопасности информации делятся на внешние и внутренние.
К внешним источникам относятся:
- деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;
- стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
- обострение международной конкуренции за обладание информационными технологиями и ресурсами;
- деятельность международных террористических организаций;
- увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
- разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам относятся:
- процесс глобализации информационно-телекоммуникационных комплексов, внедрение телекоммуникационных информационных технологий, реализуемых преимущественно на аппаратно-программных средствах зарубежного производства, что существенно обостряет проблему защиты информации от возможных несанкционированных и непреднамеренных воздействий;
- увеличение объемов хранимой и передаваемой информации, а также территориальная распределенность телекоммуникационных информационных сетей;
- усложнение применяемых технологий и процессов функционирования телекоммуникационных информационных сетей, что может приводить к появлению ошибок и недекларированных возможностей в аппаратно-программных средствах;
- неблагоприятная криминогенная обстановка, возможность получения криминальными структурами доступа к конфиденциальной информации, усиление влияния организованной преступности на жизнь общества, снижение степени защищенности законных интересов граждан, общества и государства в информационной сфере;
- недостаточная координация деятельности исполнительных органов государственной власти Калужской области по реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;
- недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
- неразвитость институтов гражданского общества и недостаточный государственный контроль развития информационного рынка России;
- недостаточное финансирование мероприятий по защите информации в исполнительных органах государственной власти Калужской области;
- снижение эффективности функционирования системы образования и воспитания, недостаточное количество квалифицированных кадров в области защиты информации;
- недостаточная активность исполнительных органов государственной власти Калужской области в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
- использование несертифицированных по требованиям безопасности информации отечественных и зарубежных информационных технологий, средств информатизации и связи, а также средств защиты информации и средств контроля ее эффективности;
- отсутствие в исполнительных органах государственной власти Калужской области минимально необходимого комплекта контрольно-измерительной аппаратуры и программных средств для проведения постоянного контроля эффективности защиты информации.
Основными способами реализации угроз безопасности информации являются: информационные, программно-аппаратные, физические, радиоэлектронные, а также нарушения организационно-правовых норм и требований.
К информационным способам реализации угроз безопасности информации относятся:
- противоправный сбор, распространение и использование информации;
- манипулирование информацией (сокрытие или искажение информации);
- незаконное копирование данных и программ;
- незаконное уничтожение информации;
- хищение информации из баз и банков данных;
- нарушение адресности и оперативности информационного обмена;
- нарушение технологии обработки данных и информационного обмена.
К программно-аппаратным способам реализации угроз безопасности информации относятся:
- внедрение программных средств скрытого информационного воздействия;
- внедрение (несанкционированное и непреднамеренное) в компоненты программно-аппаратного обеспечения информационно-вычислительных систем средств для сбора, изменения и разрушения хранящейся в них информации;
- ошибки в настройке и использовании программно-аппаратного обеспечения информационно-вычислительных систем.
К физическим способам реализации угроз безопасности информации относятся:
- уничтожение, хищение или разрушение средств обработки, защиты информации и связи, средств контроля эффективности защиты информации, целенаправленное внесение в них неисправностей;
- уничтожение, хищение или разрушение машинных либо других носителей информации;
- хищение ключей (ключевых документов), средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа;
- деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля функционирования информационных и телекоммуникационных систем.
К радиоэлектронным способам реализации угроз безопасности информации относятся:
- перехват информации в технических каналах ее утечки;
- перехват информации в сетях передачи данных и линиях связи;
- внедрение электронных устройств перехвата информации в технические средства и помещения;
- навязывание ложной информации по сетям передачи данных и линиям связи;
- радиоэлектронное подавление линий связи и систем управления.
К нарушениям организационно-правовых норм и требований безопасности информации относятся:
- незаконная деятельность в области защиты информации;
- использование несертифицированных по требованиям безопасности информации средств защиты и средств контроля ее эффективности;
- ошибки в разработке и реализации политики безопасности информации;
- ошибки в реализации организационных методов защиты информации;
- задержки в разработке и принятии необходимых нормативных, правовых и организационно-распорядительных документов в области защиты информации.
Результатами реализации угроз безопасности информации являются:
- нарушение секретности (конфиденциальности) информации (разглашение, утрата, хищение, утечка, перехват и т.д.);
- нарушение целостности информации (искажение, уничтожение и т.д.);
- нарушение правил доступа к информации и работоспособности информационных систем (блокирование данных и информационных систем, разрушение элементов информационных систем, компрометация системы защиты информации и т.д.).
К основным объектам защиты информации в исполнительных органах государственной власти Калужской области относятся:
- информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и информационные ресурсы конфиденциального характера;
- средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации с ограниченным доступом, их информативные физические поля;
- технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обсуждается информация с ограниченным доступом;
- помещения, предназначенные для ведения переговоров, в ходе которых оглашаются сведения с ограниченным доступом.
II. СОСТОЯНИЕ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ
ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ
В последние годы в исполнительных органах государственной власти Калужской области развернута большая работа по внедрению современных информационных технологий в управленческую деятельность. В связи с этим принимаются дополнительные меры по обеспечению собственной безопасности в этой сфере.
Калужская область - один из первых субъектов Российской Федерации, внедривших в 2001 году автоматизированную систему управления бюджетным процессом (АСУБП) при казначейской системе исполнения областного и консолидированного бюджетов. Ее внедрение значительно повысило прозрачность, подконтрольность и управляемость бюджетного процесса для руководства области, контролирующих органов, участников бюджетного процесса, а также населения.
Важность и ответственность задач, решаемых с помощью АСУБП, требует обеспечения безопасности информации на всех этапах ее обработки, хранения и передачи по каналам связи. Это связано с тем, что нарушение целостности, доступности, а в ряде случаев и конфиденциальности информации, обрабатываемой в АСУБП, может привести к тяжелым финансовым и экономическим последствиям.
Поэтому одним из основных объектов защиты информации в органах исполнительных государственной власти области является территориально распределенный комплекс аппаратных и программных средств АСУБП, ее информационная база и коммуникационная среда.
В 2002 году была создана комиссия по информационной безопасности при Губернаторе Калужской области, что придало новый мощный импульс работам в этой сфере. Одним из важнейших приоритетов в деятельности комиссии является комплекс мероприятий по технической защите информации в исполнительных органах государственной власти области и местного самоуправления.
За последнее время были решены следующие важные задачи:
- создана комплексная система защиты информации, обрабатываемой в автоматизированной системе управления бюджетным процессом Калужской области при казначейской системе исполнения;
- запущены в эксплуатацию межсетевые экраны;
- проводится аттестация выделенных и режимных помещений;
- в информационных системах и на каждом персональном компьютере исполнительных органов государственной власти Калужской области установлены новые версии антивирусных программ, базы которых постоянно централизованно обновляются;
- контроль за состоянием антивирусной защиты в информационных системах и на каждом персональном компьютере исполнительных органов государственной власти Калужской области осуществляется комплексным программным корпоративным средством;
- налажено взаимодействие с управлением Федеральной службы безопасности по Калужской области по вопросам расследования инцидентов в информационной сфере;
- корпоративная сеть в исполнительных органах государственной власти Калужской области построена на базе выделенных каналов, предоставляемых Центром специальной связи и информации в Калужской области, что значительно повышает ее устойчивость к попыткам несанкционированного доступа;
- средства вычислительной техники, используемые для обработки и хранения секретной информации, подвергаются специализированным проверкам по выявлению электронных устройств перехвата информации и исследованию на побочные электромагнитные излучения и наводки;
- проведены мероприятия по ограничению использования информационных ресурсов и других элементов информационных систем (в том числе и ресурсов сети Интернет) путем установления правил разграничения доступа.
Организованы мониторинг и ежемесячный сбор информации от исполнительных органов государственной власти и местного самоуправления:
- об инцидентах, возникающих в отношении имеющихся информационных ресурсов;
- о текущем состоянии дел с технической защитой имеющихся информационных ресурсов;
- о наличии и составе подразделений, занимающихся вопросами информатизации, а также об укомплектованности их специалистами по защите информации.
Анализ собранных материалов позволяет сделать ряд важных выводов. Имеет место непонимание отдельными руководителями важности информационных ресурсов, которыми располагают их организации, и необходимости обеспечения их защищенности. Пока еще не везде имеются специализированные подразделения, на которые возложено обеспечение информационной безопасности, а специалистов в области защиты информации крайне мало.
И мировой, и отечественный опыт показывают, что большинство случаев несанкционированного доступа к ресурсам остаются просто незамеченными из-за отсутствия необходимых специальных знаний у сотрудников информационно-технических служб, поэтому вопросам повышения квалификации специалистов по информационной безопасности в исполнительных органах государственной власти Калужской области уделяется самое пристальное внимание.
К основным факторам, определяющим необходимость формирования и развития системы защиты информации в исполнительных органах государственной власти Калужской области, относятся следующие:
- возрастание зависимости результатов деятельности исполнительных органов государственной власти Калужской области от достоверности используемой ими информации, своевременности ее получения, эффективности принятых мер по ее защите;
- формирование государственных информационных ресурсов, находящихся в ведении исполнительных органов государственной власти Калужской области, необходимость защиты этих ресурсов от противоправных действий;
- использование в исполнительных органах государственной власти Калужской области информационных систем, накапливающих и передающих информацию, уязвимую для несанкционированного доступа к информации, а также возрастание опасности несанкционированных и непреднамеренных воздействий на информацию в этих системах и, как следствие, непредсказуемые экономические и социальные последствия возникновения критических ситуаций, связанных с нарушениями режимов безопасности информации в кредитно-финансовых учреждениях, системах управления экологически опасными производствами, транспортом, энергетикой;
- расширение спектра источников угроз информационной безопасности, возникающих в отношении исполнительных органов государственной власти Калужской области;
- рост числа преступлений в сфере информационных технологий;
- использование в исполнительных органах государственной власти Калужской области технических и программных средств, обеспечивающих сбор, хранение, обработку и передачу информации, несертифицированных по требованиям безопасности информации.
III. ЦЕЛИ, ЗАДАЧИ, ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ
И РАЗВИТИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ
ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ
Цель защиты информации в исполнительных органах государственной власти Калужской области состоит в предотвращении или существенном снижении ущерба безопасности региона с использованием методов и средств защиты информации, а также создании условий, способствующих защите интересов общества в политической, экономической, научно-технической и других сферах деятельности, путем:
- предотвращения утечки, хищения, утраты, искажения, подделки информации;
- предотвращения угроз безопасности личности и общества;
- предотвращения несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, а также других форм незаконного вмешательства в информационные ресурсы и информационные системы;
- обеспечения правового режима документированной информации как объекта собственности;
- сохранения государственной тайны, конфиденциальной информации в соответствии с законодательством;
- обеспечения прав субъектов в информационных процессах при разработке, производстве и применении информационных систем, технологий и средств обеспечения;
- сохранения конфиденциальности документированной информации ограниченного доступа.
Основными задачами защиты информации в исполнительных органах государственной власти Калужской области являются:
- предотвращение несанкционированного доступа и специальных воздействий на защищаемую информацию в информационных системах исполнительных органов государственной власти Калужской области;
- обеспечение безопасности информации в системах управления и электронного документооборота в исполнительных органах государственной власти Калужской области.
Основные принципы функционирования системы защиты информации в исполнительных органах государственной власти Калужской области.
Принцип законности.
Развитие и совершенствование системы защиты информации в исполнительных органах государственной власти Калужской области осуществляются в строгом соответствии с нормативными правовыми актами Российской Федерации в области защиты информации, в том числе с учетом международных договоров (соглашений), требованиями организационно-распорядительных и нормативно-методических документов Федеральной службы по техническому и экспортному контролю Российской Федерации и других органов власти в пределах их компетенции.
Принцип разграничения полномочий.
Исполнительные органы государственной власти Калужской области создают все условия для защиты информации на подведомственных им объектах защиты в интересах реализации на них требуемого уровня защиты.
Принцип своевременности реакции.
Заблаговременная разработка мер по защите информации и их непосредственная реализация, обеспечивающая адекватную реакцию на возникающие и прогнозируемые угрозы от деятельности технических разведок, преступных групп, злоумышленников, утечки информации по техническим каналам, специальных воздействий на нее, а также упреждающую нейтрализацию, быструю ликвидацию последствий угроз.
Принцип подконтрольности и подотчетности.
Исполнительные органы государственной власти Калужской области в установленном порядке отчитываются и несут ответственность перед вышестоящими органами за состояние защиты информации.
Принцип соответствия.
Уровень развития системы защиты информации должен соответствовать задачам обеспечения информационной безопасности исполнительных органов государственной власти Калужской области. Средства и способы защиты информации применяются в соответствии с реальными угрозами безопасности информации и экономическими возможностями исполнительных органов государственной власти Калужской области. Координационные и директивные методы управления системой защиты информации должны рационально сочетаться.
Принцип непрерывности защиты.
Исполнительные органы государственной власти Калужской области принимают все соответствующие меры по защите информации на всех этапах жизненного цикла объекта защиты.
Принцип разумной достаточности.
Исполнительные органы государственной власти Калужской области применяют некоторый приемлемый уровень безопасности, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
Принцип гибкости управления и применения.
Исполнительные органы государственной власти Калужской области имеют возможность варьирования уровнем защищенности, что устраняет необходимость принятия кардинальных мер по полной замене средств защиты на новые.
Принцип системности.
Защита информации в исполнительных органах государственной власти Калужской области является составной частью обеспечения информационной безопасности Российской Федерации и организуется с учетом всех опасных для защищаемых объектов видов технических разведок, их возможностей и способов ведения, а также сочетания правовых, организационных, технических и специальных методов и средств защиты информации, преемственности, непрерывности, разумной достаточности и гибкости мероприятий по защите информации.
Основными направлениями защиты информации в исполнительных органах государственной власти Калужской области являются:
- защита информации от утечки (разглашения, несанкционированного доступа, разведки);
- защита информации от несанкционированного воздействия;
- защита информации от непреднамеренного воздействия.
Содержание и порядок действий, направленных на обеспечение защиты информации, определяют организацию защиты информации.
IV. ОСНОВЫ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ
В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ
КАЛУЖСКОЙ ОБЛАСТИ
Организационной основой реализации настоящей Концепции является ежегодный План мероприятий по информатизации исполнительных органов государственной власти Калужской области (далее - План), утверждаемый Правительством Калужской области. Проект Плана составляется при формировании областного бюджета на следующий финансовый год и утверждается после принятия Закона Калужской области об областном бюджете.
В Плане определяется перечень приоритетных мероприятий по реализации настоящей Концепции, для выполнения которых созданы все необходимые правовые и технологические предпосылки.
Проект Плана разрабатывается информационно-аналитическим управлением администрации Губернатора области с учетом рекомендаций комиссии по информационной безопасности при Губернаторе области.
Финансирование мероприятий Плана обеспечивается за счет средств областного бюджета.
Организация защиты информации в исполнительных органах государственной власти Калужской области включает:
- формирование нормативного, правового и методического обеспечения деятельности в области защиты информации;
- формирование организационной структуры и кадрового обеспечения деятельности системы защиты информации;
- проведение анализа деятельности исполнительных органов государственной власти Калужской области, а также применяемых ими систем управления и связи, определение наиболее важных объектов защиты;
- категорирование объектов защиты, а также классификацию автоматизированных систем по требованиям защищенности от несанкционированного доступа к информации;
- оказание методической помощи исполнительным органам государственной власти Калужской области в разработке экономически обоснованных организационно-технических мероприятий по защите информации;
- координацию деятельности исполнительных органов государственной власти Калужской области по защите информации и согласованному применению техники защиты информации;
- периодический контроль состояния защиты информации;
- непрерывный мониторинг состояния системы защиты информации;
- определение направлений развития и совершенствования системы защиты информации.
Организация защиты информации осуществляется в зависимости от:
- возможностей средств технической разведки по добыванию охраняемых сведений;
- угроз утечки, уничтожения, искажения защищаемой информации или блокирования доступа к ней;
- категории объектов защиты, особенностей их функционирования и т.д.
Защита информации на объектах информатизации.
Цель защиты информации достигается путем:
- предотвращения утечки информации, передаваемой по каналам связи;
- предотвращения утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами обработки информации;
- исключения несанкционированного доступа к обрабатываемой или хранящейся в технических системах и средствах;
- выявления и предотвращения специальных воздействий, вызывающих уничтожение, искажение и блокирование информации или сбои в работе технических систем и средств;
- предотвращения утечки речевой информации из выделенных и защищаемых помещений;
- выявления возможно внедренных на объекты и в технические средства иностранного производства электронных устройств перехвата информации (закладных устройств).
Объективная оценка защиты информации основывается на постоянном и действенном контроле ее состояния.
Контроль состояния защиты информации в исполнительных органах государственной власти Калужской области осуществляется уполномоченными органами, входящими в систему защиты информации, в соответствии с их компетенцией.
Контроль состояния защиты информации в исполнительных органах государственной власти Калужской области заключается в проверке соответствия организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов в области защиты информации, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения установленных требований и норм. При этом оценка эффективности принятых мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
Целями контроля состояния защиты информации являются: установление степени соответствия принятых мер требованиям законодательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций по защите информации; выявление потенциальных технических каналов утечки информации, несанкционированного доступа к информации и специальных воздействий на информацию с ограниченным доступом и выработка рекомендаций по закрытию этих каналов.
Основными задачами контроля состояния защиты информации являются:
- оценка эффективности проводимых мер по защите информации;
- выявление нарушений установленных норм и требований по защите информации;
- выявление потенциальных каналов утечки информации об объектах защиты, несанкционированного доступа к информации и специальных воздействий на информацию, анализ и оценка возможностей технических разведок по получению защищаемой информации;
- анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;
- предупреждение невыполнения установленных норм и требований по защите информации;
- оценка деятельности органов власти и управления, организаций по методическому руководству и координации работ в области защиты информации (в пределах их компетенции).
V. ЭТАПЫ РЕАЛИЗАЦИИ КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ
В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ
КАЛУЖСКОЙ ОБЛАСТИ
Концепцию защиты информации в исполнительных органах государственной власти Калужской области предлагается реализовать в три этапа.
Первый этап (2005 г.) - формирование системы защиты информации в исполнительных органах государственной власти Калужской области. В ходе этапа:
- уточняются принципы взаимодействия исполнительных органов государственной власти Калужской области при решении задач защиты информации;
- формируются коллегиальные органы для координации деятельности по защите информации в исполнительных органах государственной власти Калужской области;
- создаются структурные подразделения по защите информации в исполнительных органах государственной власти Калужской области;
- определяются и уточняются перечни информационных ресурсов, подлежащих защите, определяются структура и порядок деятельности соответствующих систем формирования, учета, хранения и распространения информационных ресурсов;
- осуществляются подготовка, переподготовка и повышение квалификации специалистов в области защиты информации;
- дорабатываются первоочередные правовые, организационно-распорядительные нормативные и плановые документы в области защиты информации;
- исполнительные органы государственной власти Калужской области обеспечиваются правовыми, организационно-распорядительными, нормативными, информационными и методическими документами в области защиты информации;
- органы системы защиты информации оснащаются существующими средствами защиты информации и средствами контроля эффективности защиты информации;
- организуется контроль состояния защиты информации и создается информационно-аналитическая система обеспечения деятельности в области защиты информации в исполнительных органах государственной власти Калужской области;
- выявляются проблемные вопросы в области защиты информации, вырабатываются предложения и планы по их реализации.
Второй этап (2006-2008 гг.) - развитие системы защиты информации в исполнительных органах государственной власти Калужской области.
На втором этапе:
- совершенствуется нормативное правовое обеспечение защиты информации в исполнительных органах государственной власти Калужской области, разрабатываются и совершенствуются основные организационно-распорядительные документы в области защиты информации;
- совершенствуются организационные мероприятия, технические методы и техника защиты информации на объектах защиты;
- внедряется информационно-аналитическая система обеспечения деятельности в области защиты информации в исполнительных органах государственной власти Калужской области;
- создается информационно-аналитическая система выявления, прогнозирования угроз безопасности информации и планирования мероприятий по защите информации.
Третий этап (2009-2010 гг.) - совершенствование системы защиты информации в исполнительных органах государственной власти Калужской области, осуществляемое в направлении интеграции в государственную систему защиты информации.
На третьем этапе:
- осуществляется дальнейшее совершенствование нормативно-методического и технического обеспечения системы защиты информации в исполнительных органах государственной власти Калужской области;
- осуществляется оснащение важнейших объектов защиты перспективной техникой защиты информации;
- разрабатывается и создается областная система технического контроля;
- осуществляется интеграция информационно-аналитической системы обеспечения деятельности в области защиты информации в исполнительных органах государственной власти Калужской области в информационно-аналитическую систему государственной системы защиты информации.
Реализация Концепции позволит:
- повысить эффективность управления системой защиты информации за счет создания в исполнительных органах государственной власти Калужской области информационно-аналитической системы обеспечения деятельности в области защиты информации и ее сопряжения с информационно-аналитической системой государственной системы защиты информации;
- усовершенствовать организационную структуру системы защиты информации, ее кадровое обеспечение;
- улучшить обеспеченность органов системы защиты информации документами в области защиты информации;
- повысить оснащенность органов системы защиты информации высокоэффективной техникой защиты информации.
