Постановление Правительства Нижегородской области от 31.12.2015 № 920
Об утверждении Концепции информационной безопасности Нижегородской области
ПРАВИТЕЛЬСТВО НИЖЕГОРОДСКОЙОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 31 декабря 2015 года №920
Об утверждении Концепции
информационной безопасности
Нижегородской области
В целях обеспечениянеобходимого уровня информационной безопасности в Нижегородской области ПравительствоНижегородской области постановляет:
1. Утвердитьприлагаемую Концепцию информационной безопасности Нижегородской области (далее- Концепция).
2. Органамисполнительной власти Нижегородской области и подведомственным им организациямпри планировании, организации и реализации мероприятий по обеспечениюинформационной безопасности (защиты информации) учитывать положения,предусмотренные Концепцией.
3. Рекомендоватьорганам местного самоуправления муниципальных районов (городских округов)Нижегородской области и подведомственным им организациям при планировании,организации и реализации мероприятий по обеспечению информационной безопасности(защиты информации) руководствоваться положениями, предусмотренными Концепцией.
4. Рекомендоватьорганизациям, в уставном (складочном) капитале которых доля (вклад)Нижегородской области и (или) муниципальных образований Нижегородской областисоставляет 50% (пятьдесят процентов) и более, и расположенным на территорииНижегородской области, при планировании, организации и реализации мероприятийпо обеспечению информационной безопасности (защиты информации)руководствоваться положениями, предусмотренными Концепцией.
5. Рекомендоватьорганам и организациям, указанным в пунктах 2 - 4 настоящего постановления,привести акты, определяющие организациюи функционирование их внутренней системы информационной безопасности (защитыинформации), в соответствие с Концепцией.
Губернатор В.П.Шанцев
УТВЕРЖДЕНА
постановлением Правительства
Нижегородской области
от 31 декабря 2015 года № 920
КОНЦЕПЦИЯ
ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИ
НИЖЕГОРОДСКОЙ ОБЛАСТИ
(далее - Концепция)
I. ОСНОВНЫЕ ПОЛОЖЕНИЯ
1.1. ВВЕДЕНИЕ
1.1.1. Настоящая Концепция представляет собой единую систему взглядов напроблемы информационной безопасности, построение (развитие) системыинформационной безопасности Нижегородской области, направленные насогласованное исполнение органами исполнительной власти и местногосамоуправления муниципальных образований Нижегородской области, организациямиНижегородской области, в том числе подведомственными органам исполнительнойвласти и органам местного самоуправления муниципальных образованийНижегородской области (далее - Субъекты), требований по обеспечению информационнойбезопасности (защиты информации), установленных на федеральном иобластном уровнях.
1.1.2. Положения настоящей Концепции детализируют Доктрину информационнойбезопасности Российской Федерации, утвержденную Президентом РоссийскойФедерации от 9 сентября 2000 года №Пр-1895, применительно к сфере информационной безопасности Нижегородскойобласти, а также Стратегию национальной безопасности Российской Федерации до2020 года, утвержденную Указом Президента Российской Федерации от 12 мая 2009 года№ 537, применительно к информационной сфере Нижегородской области.
1.1.3. НастоящаяКонцепция разработана на основе анализа текущего состояниясистемы информационной безопасности Нижегородской области во избежаниепричинения ущерба Нижегородской области и субъектам правоотношений вследствиереализации информационных рисков и угроз информационной безопасности, иопределяет:
1) проблемные областиобеспечения информационной безопасности Нижегородской области (Субъектов, ихобъектов защиты), требующие решения на современном этапе развития;
2) актуальныенаправления, задачи и принципы развития текущей системы информационнойбезопасности Нижегородской области.
1.1.4. НастоящаяКонцепция служит основой для:
1) созданиягосударственных программ, а также планов Субъектов по информационнойбезопасности (защите информации);
2) уточнениясодержания иных связанных с ней программ, планов, правовых иорганизационно-распорядительных документов, находящихся в стадии выполнения илиразработки;
3) проведения единойсогласованной политики в сфере обеспечения информационной безопасностиНижегородской области;
4) подготовкипредложений по совершенствованию правового, научно-технического иорганизационного обеспечения информационной безопасности Нижегородской области.
1.1.5. Положениянастоящей Концепции разработаны на основе:
1) основныхнаправлений государственной политики в области информационной безопасности,сформулированных в Концепции региональной информатизации, утвержденнойраспоряжением Правительства Российской Федерации от 29 декабря 2014 года №2769-р;
2)решений, методических рекомендаций Совета Безопасности Российской Федерации,Координационного Совета по защите информации при полномочном представителеПрезидента Российской Федерации в ПФО (далее - Координационный Совет),управления Федеральной службы по техническому и экспортному контролю РоссийскойФедерации (далее - ФСТЭК России) по Приволжскому федеральному округу (далее -ПФО), управления Федеральной службы безопасности Российской Федерации (далее -ФСБ России) по Нижегородской области по организации системы информационнойбезопасности (защиты информации) в субъектах Российской Федерации;
3) Основ организациизащиты информации в ПФО, одобренных решением Координационного Совета от 12ноября 2009 года;
4) иных нормативныхправовых актов, методических рекомендаций федеральных органов исполнительнойвласти, регулирующих отношения и вопросы в области информации, информационныхтехнологий и информационной безопасности (защиты информации) в РоссийскойФедерации.
1.1.6. Внастоящей Концепции используютсяпонятия, определения и сокращения, установленные Федеральными законами от 27июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и озащите информации" и от 27 июля 2006 года № 152-ФЗ "О персональныхданных", Законом Российской Федерации от 21 июля 1993 года № 5485-1"О государственной тайне",ГОСТ Р 50922-2006 "Защита информации. Основныетермины и определения", ГОСТ Р 53114-2008"Защита информации. Обеспечение информационной безопасности в организации",ГОСТ Р 51188-98 "Защита информации. Испытанияпрограммных средств на наличие компьютерных вирусов. Типовоеруководство", Специальными требованиями и рекомендациями по техническойзащите конфиденциальной информации, утвержденными приказом ГостехкомиссииРоссии от 30 августа 2002 года №282, Базовой моделью угроз безопасностиперсональных данных при их обработке в информационных системах персональныхданных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008 года, а также следующие понятия, определенияи сокращения:
"ИС" -информационная система;
"ИР" -информационный ресурс;
"ОМСУ" -орган (ы) местного самоуправления муниципальныхобразований Нижегородской области, в том числе муниципальных районов и (или)городских округов Нижегородской области;
"ОИВ" -орган (ы) исполнительной власти Нижегородскойобласти;
"Органы" -ОИВ и ОМСУ;
"Организации"- организации, в уставном (складочном) капитале которых доля (вклад)Нижегородской области и (или) муниципальных образований Нижегородской области составляет 50%(пятьдесят процентов) и более, и расположенные на территории Нижегородскойобласти;
"Подведомственныеорганизации" - организации, подведомственные Органам;
"Субъекты" -Органы, Организации и Подведомственные организации;
"специалистпо ИБ" - специалист по информационной безопасности и (или) защите(технической) информации, не отнесеннойк государственной тайне, и (или) защите (технической) информации, содержащейсведения, составляющие государственную тайну;
"мероприятия пообеспечению ИБ" - мероприятия по обеспечению информационной безопасности,в том числе по защите (технической) информации, проводимые Субъектами;
"НО" -Нижегородская область;
"ИБ" -информационная безопасность каксостояние защищенности Субъектов и (или) их объектов защиты;
"ИБ НО" - ИБ(защита информации) Нижегородской области, Субъектов и их объектов защиты;
"головноеподразделение по защите информации" - ОИВ, обеспечивающие реализациюгосударственной политики, организацию координации и межведомственного взаимодействия,а также контроль в области обеспечения безопасности информации по вопросамтехнической защиты информации, составляющей государственную тайну, информацииограниченного доступа, не отнесенной кгосударственной тайне; противодействие иностранным техническим разведкам; обеспечениебезопасности информации в ключевых системах информационной инфраструктуры и воткрытых информационных системах.
1.2. ОБЪЕКТЫ ЗАЩИТЫ
1.2.1. В рамкахреализации функций Субъектов защите подлежат следующие основные объекты (далее- объекты защиты Субъектов):
1.2.1.1. Информацияограниченного доступа и открытая (общедоступная) информация, содержащаяся в ИСи ИР Субъектов.
1.2.1.2.Информационные технологии, используемые Субъектами.
1.2.1.3.Информационные системы, содержащие защищаемую информацию и автоматизирующиеисполнение государственных и (или) муниципальных функций, функций Субъектов,предоставление государственных и (или) муниципальных услуг населению:
1)справочно-правовые (информационно-правовые), содержащие тексты законов, указов,постановлений иных нормативных правовых актов, решений различных государственных органов и т.п., консультацииспециалистов по праву, бухгалтерскому и налоговому учёту, судебные решения, типовые формы деловых документов и другие (например, "Гарант","Консультант" и т.п.);
2)информационно-справочные, используемые для официального доведения любойинформации до определенного или неопределенного круга лиц, при этом фактдоведения такой информации не порождает правовых последствий, однако может являтьсяобязательным в силу действующего законодательства (например, официальныепорталы (сайты) Субъектов, закрытыепорталы для нескольких групп участников, интернет-портал государственных имуниципальных услуг Нижегородской области и т.п.);
3) сегментные,представляющие собой сегменты федеральных ИС, создаваемые и эксплуатируемые на уровне Нижегородской области наосновании предоставляемых с федерального уровня рекомендаций (правовых,организационных, технических) и используемые для сбора, обработки, свода данныхна уровне Нижегородской области и передачи их на уровень федеральный, и наоборот, при этомцели и задачи создания (модернизации), эксплуатации данных ИС определяются нафедеральном уровне (например, "Региональный сегмент ЕдинойГосударственной Информационной Системы в сфере Здравоохранения Нижегородскойобласти", "Информационная система персональных данных отделасоциально-правовой защиты детей министерства образования Нижегородской области,обеспечивающая автоматизацию процессов получения, обработки, хранения ипередачи информации о детях, оставшихся без попечения родителей, и граждан,желающих принять ребенка на опеку (попечительство) и усыновление","АИСТ" (автоматизированная информационная система трансфузиологии,обеспечивающая информационное взаимодействие с единым информационным центром иведение единой информационной базы данных службы крови России) и т.п.);
4)внутриобластные, создаваемые и эксплуатируемые по решению органовгосударственной власти Нижегородской области (ОМСУ) или Субъекта в интересахнескольких Субъектов, при этом цели и задачи создания (модернизации),эксплуатации данных ИС, а также требования к ним определяются на уровнеНижегородской области (муниципальных образований области) или Субъекта,соответственно (например, "ЕСЭДД", "РСМЭВ", "АИСМФЦ", "НЭТИС" и т.п.);
5) ведомственные,создаваемые (эксплуатируемые) по решению Субъекта в интересах Субъекта и группы подведомственных ему организаций, цели и задачисоздания (модернизации), эксплуатации которых определяются Субъектом (например,"1С: Свод отчетов" и т.п.);
6) служебные,создаваемые (эксплуатируемые) по решению Субъекта и в его интересах, цели изадачи создания (модернизации), эксплуатации которых определяются Субъектом, ииспользуемые для автоматизации определённой области деятельности или типовойдеятельности, неспецифичной относительно полномочий конкретного Субъекта(например, "Управление персоналом (кадрами)", "Продукты Microsoft Office" и т.п.);
7) межрегиональные, используемые группойсубъектов Российской Федерации и создаваемые (эксплуатируемые) в интересахСубъектов, при этом инициатором создания таких ИС и их оператором является одиниз субъектов Российской Федерации.
1.2.1.4. Информационные ресурсы(файлы, базы данных, электронные и бумажные документы (носители) и т.д.,содержащие защищаемую информацию и подразделяемые:
1) по категориямдоступа на:
- внешние (открытые(общедоступные)), доступные всемпользователям услуг Субъектов, и обеспечивающие их взаимодействие с гражданамии юридическими лицами;
- внешние сразграничением доступа, доступ к которымпредоставлен гражданами и юридическими лицами, но ограничен в соответствии справилами разграничения доступа;
- внутренние (сограниченным доступом), доступные определенным группам сотрудников Субъектов ивзаимодействующих органов власти, организаций, Субъектов;
2) как объекты правасобственности на:
- федеральные;
- находящиеся всовместном ведении Российской Федерации и Нижегородской области как субъектаРоссийской Федерации;
- принадлежащиеНижегородской области как субъекту Российской Федерации;
- принадлежащие ОИВ;
- принадлежащие ОМСУ;
- принадлежащиедругим Субъектам;
-принадлежащие другим субъектам Российской Федерации;
- принадлежащиеиностранным юридическим и физическим лицам.
1.2.1.5. Информационно-телекоммуникационныесети, предназначенные для передачи по линиям связи защищаемой информации.
1.2.1.6. ИТ-инфраструктура - информационно-телекоммуникационная инфраструктура, включающая в себя:информационную инфраструктуру, представленную серверным оборудованием,оборудованием для консолидированного хранения данных, автоматизированнымирабочими местами пользователей и т.д., техническим (аппаратным), программным и информационным обеспечением дляих управления, и обеспечивающую основные функции - обработку и хранениезащищаемой информации; телекоммуникационную инфраструктуру, обеспечивающуювзаимосвязь элементов информационной инфраструктуры, а также передачу данных между информационнойинфраструктурой и пользователями.
1.2.1.7. Инженерная инфраструктура,представленная техническими средствами и системами, не используемыми в ходеобработки и передачи информации, но размещенными в помещениях, где онаобрабатывается и хранится, и обеспечивающая оптимальное функционированиеосновных систем ИТ-инфраструктуры, в том числе вцелях нейтрализации утечек защищаемой информации (кондиционирование дляподдержания температуры и уровня влажности в заданных параметрах, бесперебойноеэлектроснабжение для автономной работы ИС в случаях отключения центральныхисточников электроэнергии, средства пожаротушения, система управления питаниеми т.д.).
1.2.1.8. Помещения,где располагается вышеуказанная инфраструктура, в том числе:
1) помещения, вкоторых находятся вычислительные центры обработки данных, сервернымипомещениями;
2) помещения, гдерасполагаются автоматизированные рабочие места, на которых осуществляетсяобработка защищаемой информации, устройства ввода (вывода) и хранилищаносителей защищаемой информации;
3) специальныепомещения, предназначенные для регулярного проведения собраний, совещаний идругих мероприятий закрытого характера (за исключением обсуждения сведений,составляющих государственную тайну).
1.2.1.9. Носителизащищаемой информации.
1.2.1.10. Объекты,содержащие носители защищаемой информации, не отнесенные к вышеуказаннымобъектам защиты Субъектов.
1.2.2. Детализированный переченьобъектов защиты, актуальный дляконкретного Субъекта (далее - объекты защиты, объекты защиты Субъекта),определяется, исходя из объектов защиты Субъектов, и закрепляется каждымСубъектом самостоятельно в своем внутреннем акте, который может содержатьперечень защищаемой информации, названия ИС (подсистем), автоматизированныхрабочих мест, баз данных, информационныхмассивов, пакетов прикладных программ, обладателей информации, помещений,инфраструктур и прочего, подлежащего защите конкретным Субъектом. Принеобходимости указанный перечень согласовывается с вышестоящими организациямипо подведомственности (в случае их наличия).
1.2.3. Перечниобъектов защиты Субъектов подлежат централизованному своду, а указанные в нихобъекты защиты - обязательному учету и защите конкретным Субъектом. Порядоксбора и анализа сводных данных устанавливается актом головного подразделения позащите информации.
1.3. ИНТЕРЕСЫ НИЖЕГОРОДСКОЙОБЛАСТИ
В СФЕРЕ ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИ
1.3.1.Основополагающими интересами Нижегородской области в сфере ИБ являются:
1) своевременноеколичественное и качественное обеспечение ИБ Субъектов, их объектов защиты, какуже созданных (эксплуатируемых), так и создаваемых на территории Нижегородскойобласти;
2) соблюдениеконституционных прав и свобод человека(гражданина) в области получения информации и пользования ею, сохранение иукрепление нравственных ценностей общества, традиций патриотизма и гуманизма,культурного и научного потенциала Нижегородской области при использованииобъектов защиты Субъектов;
3)информационное обеспечение политикиНижегородской области (Субъектов),связанное с доведением до нижегородской и российской общественности достовернойинформации об официальной позиции Нижегородской области (Субъектов) посоциально значимым событиям российской и международной жизни, с обеспечениемдоступа граждан к открытым ИС, ИР Нижегородской области (Субъектов).
1.3.2. ИнтересыНижегородской области в сфере ИБ достигаются путем эффективного использованияСубъектами имеющихся ресурсов.
II. ВИДЫ, ПЕРЕЧЕНЬ, ИСТОЧНИКИИ ВОЗМОЖНЫЕ ПОСЛЕДСТВИЯ
ВОЗДЕЙСТВИЯ УГРОЗИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1. УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ИХ ИСТОЧНИКИ
2.1.1. ДеятельностьСубъектов, а также условия областной и международной информатизацииспособствуют значительному расширению использования ИС и ИР для целейоперативного управления и, одновременно с этим, повышению уровня информационныхрисков, таких как утечка информации, еенесанкционированное уничтожение,искажение, недоступность хранимой, обрабатываемой и передаваемой информации. Всущественной степени возникновению и реализации информационных рисковспособствуют:
1) рост автоматизацииделовых процессов в Субъектах и в целом по Нижегородской области;
2) увеличение объемаобрабатываемой, передаваемой и хранимой Субъектами информации;
3) сосредоточение вбазах данных Субъектов информации различного уровня важности,конфиденциальности и доступа;
4) расширение кругапользователей, имеющих доступ к ИС и ИРНижегородской области, в том числе в связи с расширением сотрудничестваСубъектов с другими субъектами Российской Федерации и иными партнерами;
5) увеличение числаудаленных рабочих мест пользователей, появление мобильных рабочих мест;
6) широкоеиспользование Субъектами информационно-телекоммуникационной сети"Интернет" и различных каналов связи;
7) рост деловой иинвестиционной активности в Нижегородской области, который требуетсоответствующей динамики развития системы управления Нижегородской областью,которая, в свою очередь, требует развития ИТ-инфраструктуры;
8) рост компьютерныхпреступлений и прочих видов угроз ИБ;
9) присутствие натерритории Нижегородской области совместных предприятий (в том числе синостранным участием);
10) возрастаниеопасности угроз, возникающих в непосредственной близости от защищаемых объектовСубъектов;
11) неспособностьотдельных организаций Нижегородской области самостоятельно обеспечитьэффективную внутреннюю систему защиты.
2.1.2. Для каждогообъекта защиты в том или ином исполнении характерны свои угрозы, последствияреализации угроз, источники угроз, методы, способы и средства защиты от угроз,подходы к оценке эффективности реализуемых мероприятий по обеспечению ИБ.
2.1.3. Исходя изинтересов Нижегородской области в сфере ИБ, современного этапа развития иусловий информатизации Нижегородской области, а также тенденций развитияРоссийской Федерации и зарубежных стран, влияющих на развитие Нижегородскойобласти, а также ввиду разнородности объектов защиты Субъектов, архитектуры ихисполнения основными угрозами ИБ по своей общей направленности являются:
1) угрозы безопасностиобъектов защиты Субъектов, как уже созданных (эксплуатируемых), так исоздаваемых Субъектами на территории Нижегородской области;
2) угрозыконституционным правам и свободам человека (гражданина) в области духовнойжизни и информационной деятельности, индивидуальному, групповому иобщественному сознанию при использовании объектов защиты Субъектов;
3) угрозыинформационному обеспечению политики Нижегородской области (Субъектов).
2.1.4. Для каждого изнаправлений угроз, указанных в пункте 2.1.3 настоящего раздела, характерныестественные (объективные) и искусственные (субъективные) классы угроз.
2.1.4.1. Естественные- это угрозы, вызванные воздействиями на объект защиты и его элементыобъективных физических процессов или стихийных природных явлений, независящихот человека.
2.1.4.2. Искусственные- это угрозы, вызванные деятельностью человека. Таким образом, в качествеисточников угроз ИБ Нижегородской области (Субъектов) могут выступать какфизическое лицо - лицо, которое в результате умышленных или неумышленныхдействий может нанести ущерб объектам защиты и всей Нижегородской области, таки объективные проявления, независящие от человека.
Среди искусственныхклассов угроз, исходя из мотивации действий, можно выделить:
1) непреднамеренные(неумышленные, случайные) угрозы, вызванные ошибками в проектировании объектовзащиты и их элементов, ошибками в программном обеспечении, ошибками в действияхчеловека и т.п.;
2) преднамеренные(умышленные) угрозы, связанные с корыстными, идейными или иными устремлениямилюдей.
2.1.5. Источникиестественных и искусственных классов угроз по отношению к объектам защиты могутбыть внешними или внутренними, то есть находиться как внутри объекта защиты -внутренние, так и вне его -внешние.
2.1.5.1. Внешниеугрозы исходят от природных явлений, а также от субъектов, не входящих в кругпользователей и обслуживающего персонала объектов защиты, разработчиковобъектов защиты - ИС, и субъектов, не имеющих непосредственного контакта собъектами защиты. К основным внешним источникам следует отнести:
1) деятельность иностранных политических,экономических, разведывательных и информационных структур на территорииНижегородской области, направленная против интересов Российской Федерации винформационной сфере;
2) деятельность международных террористическихорганизаций;
3) стремление ряда стран к доминированию иущемлению интересов Нижегородской области (равно как и всей страны) в мировоминформационном пространстве, вытеснению ее с информационного рынка;
4) обострение конкуренции за обладаниеинформационными технологиями и ресурсами;
5) увеличение технологического отрыва рядастран и наращивание их возможностей по противодействию созданиюконкурентоспособных российских информационных технологий;
6) деятельностькосмических и наземных технических и иных средств (видов) разведки иностранныхгосударств;
7) разработка рядом государств концепцийинформационных войн, предусматривающих создание средств опасного воздействия наинформационные сферы Нижегородской области (всей страны в целом), нарушениенормального функционирования информационно-телекоммуникационных сетей (средств,систем), сохранности ИР, получение несанкционированного доступа к ним.
2.1.5.2. Внутренниеугрозы исходят от пользователей, администраторов ИС и обслуживающего персоналаобъектов защиты, разработчиков объектов защиты, ИС, других лиц, вовлеченных винформационные процессы, и имеющих непосредственный контакт с объектами защиты,как допущенных, так и не допущенных к секретным (конфиденциальным) сведениям. Косновным внутренним источникам следует отнести:
1) недостаточно конкурентоспособное состояниенижегородских (российских) отраслей промышленности, оказывающих влияние насферу информации, информатизации и ИБ;
2) неблагоприятная криминогенная обстановка, сопровождающаясятенденциями сращивания государственных и криминальных структур в информационнойсфере, получения криминальными структурами доступа к информации ограниченногодоступа, усиления влияния организованной преступности на жизнь общества;
3) недостаточная координация деятельностиСубъектов по формированию и реализации единой политики в области обеспечения ИБНижегородской области;
4) недостаточная разработанность правовой базы,регулирующей отношения в информационной сфере, а также недостаточнаяправоприменительная практика;
5) недостаточное финансирование мероприятий пообеспечению ИБ Нижегородской области;
6) недостаточное количество квалифицированныхкадров в области обеспечения ИБ;
7) недостаточная активность Субъектов винформировании общества о своей деятельности, в разъяснении принимаемыхрешений, в формировании открытых ИР и развитии системы доступа к нимграждан;
8) отставание Нижегородской области от ведущихсубъектов Российской Федерации и стран по уровню информатизации Субъектов и виных сферах;
9) действия сотрудников Субъектов в отношенииобъектов защиты Субъектов, порождающие реализацию угроз безопасностиинформации.
2.1.6. Основные угрозыИБ могут реализовываться информационными, программно-математическими,физическими, радиоэлектронными, организационно-правовыми способами.
2.2. УГРОЗЫ БЕЗОПАСНОСТИОБЪЕКТОВ ЗАЩИТЫ
2.2.1. В настоящемподразделе представлены угрозы безопасности объектов защиты Субъектов, как ужесозданных (эксплуатируемых), так и создаваемых Субъектами на территорииНижегородской области.
2.2.2. Основнымиспособами реализации воздействия непреднамеренных угроз (действия, совершаемыелюдьми случайно, по незнанию, невнимательности или халатности, из любопытства,но без злого умысла) могут являться:
1) неумышленныедействия, приводящие к частичному или полному отказу ИС, или разрушениюаппаратных, программных ИС (неумышленная порча оборудования, удаление,искажение файлов с важной информацией или программ, в том числе системных ит.п.);
2) неправомерноеотключение оборудования, программного обеспечения, средств защиты или изменениережимов работы устройств и программ;
3) неумышленная порчаносителей информации;
4) запусктехнологических программ, способных при некомпетентном использовании вызыватьпотерю работоспособности ИС (зависания или зацикливания) или осуществляющихнеобратимые изменения в ИС (форматирование или реструктуризацию носителейинформации, удаление данных и т.п.;
5) нелегальноевнедрение и использование неучтённых программ (игровых, обучающих,технологических и др., не являющихся необходимыми для выполнения нарушителемсвоих служебных обязанностей) с последующим необоснованным расходованиемресурсов (загрузка процессора, захват оперативной памяти и памяти на внешнихносителях);
6) заражениеавтоматизированных рабочих мест компьютерными вирусами;
7) неосторожныедействия, приводящие к разглашению конфиденциальной информации, или делающие ееобщедоступной;
8) разглашение,передача или утрата атрибутов разграничения доступа (паролей, ключейшифрования, идентификационных карточек, пропусков и т.п.);
9) проектированиеархитектуры ИС, технологии обработкиданных, разработка прикладных программ, с возможностями, представляющимиопасность для работоспособности ИС и безопасности информации;
10) игнорированиеорганизационных ограничений (установленных правил) при работе в ИС;
11) вход в ИС в обходсредств защиты (загрузка посторонней операционной системы со сменных носителейи т.п.);
12) некомпетентноеиспользование, настройка или неправомерное отключение средств защитыработниками служб безопасности;
13) пересылка данныхпо ошибочному адресу абонента (устройства);
14) ввод ошибочныхданных;
15) неумышленноеповреждение каналов связи;
16) закупкинесовершенных, устаревших или неперспективных информационных технологий исредств информатизации;
17) использование несертифицированных российских и зарубежных информационныхтехнологий, средств защиты, средств информатизации, телекоммуникации и связипри создании и развитии информационно-телекоммуникационных сетей, инженерной и ИТ-инфраструктуры Субъектов;
18) использованиенелицензионного программного обеспечения;
19) невыполнениетребований действующего законодательства и задержки в разработке и принятиинеобходимых правовых и технических документов в сфере информации,информатизации и ИБ;
20) неумышленноенеправомерное ограничение доступа к документам (источникам), содержащим важнуюдля граждан и организаций информацию (нарушение законных ограничений нараспространение информации);
21) иные способы.
2.2.3. Основнымиспособами реализации воздействия угроз умышленной дезорганизации работы, в томчисле всей Нижегородской области (Субъектов), вывода ИС из строя, проникновенияв ИС и несанкционированного доступа к информации могут являться:
1)физическое разрушение ИС (ИТ-инфраструктуры) (путемвзрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важныхкомпонентов компьютерной системы (устройств, носителей важной системнойинформации и т.п.);
2) отключение иливывод из строя подсистем обеспечения функционирования вычислительных систем(электропитания, охлаждения и вентиляции, линий связи и т.п.);
3) несанкционированноеуничтожение, повреждение, разрушение или хищение машинных (магнитных дисков,лент, микросхем памяти, запоминающих устройств) или других оригиналов носителейинформации;
4) действия подезорганизации функционирования системы (изменение режимов работы устройств илипрограмм, забастовка, саботаж людей, постановка мощных активных радиопомех начастотах работы устройств и т.п.);
5) внедрение агентов вчисло доверенных лиц (в том числе, возможно, и в административную группу,отвечающую за безопасность);
6) вербовка (путемподкупа, шантажа и т.п.) людей или отдельных пользователей, имеющихопределенные полномочия в сфере ИБ;
7) воздействие наперсонал и пользователей ИС с целью создания благоприятных условий дляреализации угроз ИБ НО;
8) манипулирование информацией(дезинформация, сокрытие или искажение информации);
9) угрозы виртуальнойинфраструктуры;
10) угрозы,реализуемые в ходе и после загрузки ИС;
11) нарушение адресности и своевременности (оперативности)информационного обмена, противозаконный сбор, распространение и использованиеинформации;
12) применениеподслушивающих устройств, дистанционной фото- и видеосъемки и т.п.;
13) перехват побочныхэлектромагнитных, акустических и других излучений устройств и линий связи, атакже наводок активных излучений на вспомогательные технические средства,непосредственно не участвующие в обработке информации (телефонные линии, сетипитания, отопления и т.п.); перехват информации за счет её утечки потехническим каналам;
14) перехват данных,передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена,правил вхождения в связь и авторизациипользователя и последующих попыток их имитации для проникновения в ИС;перехват, дешифрование и навязывание ложной информации в сетях передачи данныхи линиях связи; вскрытие шифров криптозащиты информации;
15)несанкционированные (незаконные): доступ к ИР, к информации, находящейся вбанках и базах данных; копирование носителей информации; копирование данных ипрограмм; уничтожение информации; уничтожение или модификация данных в ИС;хищение информации из библиотек, архивов, банков и баз данных; хищениепроизводственных отходов (распечаток, записей, списанных носителей информации ит.п.); чтение остаточной информации из оперативной памяти и с внешнихзапоминающих устройств; чтение информации из областей оперативной памяти,используемых операционной системой (в том числе подсистемой защиты) или другимипользователями, в асинхронном режиме используя недостатки многозадачныхоперационных систем и систем программирования; использованиетерминалов пользователей, имеющих уникальные физические характеристики, такиекак номер рабочей станции в сети, физический адрес, адрес в системе связи,аппаратный блок кодирования и т.п.; получение паролей и других реквизитовразграничения доступа (агентурным путем, используя халатность пользователей,путем подбора, путем имитации интерфейса системы и т.д.) с последующеймаскировкой под зарегистрированного пользователя;
16) воздействие на парольно-ключевые системы автоматизированных системобработки и передачи информации;
17) компрометацияключей и средств криптографическойзащиты информации; хищение программных или аппаратных ключей средств защиты исредств криптографической защиты информации;
18)внедрение (установка) на стадии проектирования,внедрения или эксплуатации систем программных и аппаратных закладочныхустройств, компьютерных вирусов, то есть таких участков программ, которые ненужны для осуществления заявленных функций, но позволяющих преодолевать системузащиты, скрытно и незаконно осуществлять доступ к системным ресурсам с цельюрегистрации и передачи критической информации или дезорганизациифункционирования ИС, а также приводящие к компрометации систем защиты(внедрение в аппаратные и программные изделия компонентов, реализующих функции,не предусмотренные документацией на такие изделия);
19) внедрениеэлектронных устройств перехвата информации в технические средства обработки,хранения и передачи информации по каналам связи и в помещения Субъектов (в томчисле серверные);
20) разработка ираспространение программ, нарушающих стабильное функционированиеинформационно-телекоммуникационных сетей (средств, систем), в том числе системзащиты;
21) поставка"зараженных" компонентов ИС;
22) внедрениекомпьютерных вирусов;
23)несанкционированное уничтожение, разрушение или хищение средств обработки изащиты, средств связии целенаправленное внесение в них неисправностей;
24)незаконное подключение к линиям связи с целью: работы "между строк",с использование пауз в действияхзаконного пользователя от его имени с последующим вводом ложных сообщений илимодификацией передаваемых сообщений; прямой подмены законного пользователяпутем его физического отключения после входа в ИС и успешной аутентификации споследующим вводом дезинформации и навязыванием ложных сообщений;
25) радиоэлектронноеподавление линий связи и систем управления;
26) нарушениетехнологии обработки информации, данных и информационного обмена;
27) реализация угроз,не являющихся атаками;
28) диверсионныедействия по отношению к объектам защиты Субъектов;
29) использованиесредств массовой информации Нижегородской области с позиций, противоречащихинтересам граждан, организаций и Нижегородской области (равно как и всейстраны);
30) противодействиедоступу Субъектов к новейшим информационным технологиям (разработкам) в сферезащиты информации, создание условий для усиления технологической зависимостиНижегородской области в области современных информационных технологий;
31) иные способы.
2.2.4. Рядвышеуказанных основных возможных путей умышленной дезорганизации работы, выводаИС из строя, проникновения в ИС и несанкционированного доступа к информации приопределенных обстоятельствах (условиях) может носить непреднамеренный характер,и наоборот.
2.3. УГРОЗЫ КОНСТИТУЦИОННЫМПРАВАМ И СВОБОДАМ ЧЕЛОВЕКА (ГРАЖДАНИНА)
2.3.1. В настоящемподразделе представлены угрозы конституционным правам и свободам человека(гражданина) в области духовной жизни и информационной деятельности,индивидуальному, групповому и общественному сознанию, духовному обновлениюНижегородской области при использовании объектов защиты Субъектов.
2.3.2. Основнымиспособами реализации воздействия угроз могут являться:
1) принятие на уровнеНижегородской области и Субъектов решений, ущемляющих конституционные права исвободы граждан в области духовной жизни и информационной деятельности;
2) создание монополийна формирование, получение и распространение информации в Нижегородскойобласти, в том числе с использованием телекоммуникационных систем;
3) противодействие, втом числе со стороны криминальных структур, реализации гражданами своихконституционных прав на личную и семейную тайну, тайну переписки, телефонныхпереговоров и иных сообщений;
4) неправомерноеограничение доступа к общественно необходимой информации;
5) противоправноеприменение специальных средств воздействия на индивидуальное, групповое иобщественное сознание;
6) неисполнениеСубъектами требований действующего законодательства, регулирующего отношения винформационной сфере и сфере ИБ;
7)неправомерное ограничение доступаграждан к открытым ИР (ИС) Нижегородской области, к открытым архивнымматериалам и социально значимой информации;
8) дезорганизация иразрушение системы накопления и сохранения культурных ценностей, включаяархивы;
9) нарушениеконституционных прав и свобод человека (гражданина) в области массовойинформации;
10) вытеснениенижегородских информационных агентств, средств массовой информации снижегородского (внутреннего) информационного рынка и усиление зависимостидуховной, экономической и политической сфер общественной жизни Нижегородскойобласти от зарубежных информационных структур;
11) девальвациядуховных ценностей, пропаганда образцов массовой культуры, основанных на культенасилия, на духовных и нравственных ценностях, противоречащих ценностям,принятым в российском обществе;
12) снижение духовногои нравственного потенциала населения Нижегородской области, что существенноосложнит подготовку трудовых ресурсов для внедрения и использованияинформационных технологий;
13) манипулированиеинформацией (дезинформация, сокрытие или искажение информации).
2.4. УГРОЗЫ ИНФОРМАЦИОННОМУОБЕСПЕЧЕНИЮ
2.4.1. В настоящемподразделе представлены угрозы информационному обеспечению политикиНижегородской области (Субъектов).
2.4.2. Основнымиспособами реализации воздействия угроз информационному обеспечению политикиНижегородской области (Субъектов) могут являться:
1) монополизацияинформационного рынка Нижегородской области, его отдельных секторов зарубежнымиинформационными структурами;
2) блокированиедеятельности нижегородских средств массовой информации и ИС;
3) недостаточностьинформационного обеспечения политики Нижегородской области (Субъектов)вследствие дефицита квалифицированных кадров, отсутствия системы формирования иреализации информационной политики.
2.5. ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИУГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основнымипоследствиями реализации угроз ИБ являются:
1) причинение материального ущерба Субъектам и(или) физического и (или) морального ущерба личности:
- от любыхнеправомерных действий с объектами защиты;
- от нарушенияконституционных прав и свобод личности;
- от необходимостивосстановления нарушенных прав и объектов защиты;
- от дезорганизации ихдеятельности;
- от уничтожения(утраты) объектов защиты и средств их обработки;
2) причинение ущерба жизненно важным интересамНижегородской области;
3) нарушение доступности информации иработоспособности ИС (блокирование данных и ИС, разрушение элементов ИС,компрометация системы зашиты информации и т.д.);
4) нарушение секретности (конфиденциальности)информации (разглашение, утрата, хищение, утечка, перехват и т.д.);
5) нарушение целостности защищаемой информации(несанкционированное уничтожение, искажение и т.д.);
6) подрывание деловой репутации Субъектов, Нижегородской области нароссийской и международной аренах;
7) создание атмосферы напряженности иполитической нестабильности на территории Нижегородской области;
8) антисоциальное икриминальное поведение групп людей или отдельных лиц, противоречащее принятым вроссийском обществе нормам (правилам) поведения, негативное влияние на процессыформирования личности;
9) провокация социальных, национальных ирелигиозных конфликтов;
10) нарушение функционирования системыгосударственного управления, объектов повышенного стратегического значенияНижегородской области;
11) затруднение принятия важнейших политических,экономических и других решений;
12) создание препятствия на пути равноправногосотрудничества Нижегородской области с развитыми субъектами Российской Федерации,странами (государствами);
13) снижение темпов научно-технического развитияНижегородской области;
14) нарушение баланса интересов личности,общества и Нижегородской области;
15) утрата культурного наследия, проявление бездуховности и безнравственности.
III. СИСТЕМА ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ
3.1. ПОНЯТИЕ СИСТЕМЫИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙОБЛАСТИ
3.1.1. Объекты защитыСубъектов, интересы Нижегородской области в сфере ИБ, наличие угроз ИБ (безопасностиинформации) и уровень последствий реализации угроз являются основаниямиформирования и существования системы ИБ Нижегородской области.
3.1.2.Система ИБНижегородской области - это: совокупность правил, определяющих суть и формыотношений, направленных на обеспечение ИБ Субъектов, их объектов защиты, атакже лиц, участвующих в этих отношениях; совокупность мер правового,организационного и технического характера, направленных на обеспечениебезопасности объектов защиты Субъектовот угроз ИБ (безопасности информации).
3.1.3.Система ИБНижегородской области представляет собой часть общей системы обеспечения ИБРоссийской Федерации, обеспечения национальной безопасности страны,организационно входит в систему защиты информации в ПФО и ориентируется в своейдеятельности на государственную политику обеспечения безопасности РоссийскойФедерации.
3.1.4.Система ИБНижегородской области объединяет два самостоятельных уровня: системы ИБ (защитыинформации) Субъектов (первый уровень) и системы защиты объектов защиты (второйуровень), и определяет единые направления и принципы их организации.
3.1.5. Основнымифункциями системы ИБ Нижегородской области являются:
1) разработка иреализация единой стратегии (политики) обеспечения ИБ Нижегородской области(Субъектов, их объектов защиты);
2) оценка состояния ИБНижегородской области, выявление источников внутренних и внешних угроз ИБ,определение направлений предотвращения и нейтрализации угроз;
3) координация иконтроль деятельности отдельных субъектов системы ИБ Нижегородской области;
4) организацияразработки государственных программ по информационной безопасности (защитеинформации), а также планов Субъектов в сфере ИБ (защиты информации) икоординация работ по их реализации;
5) проведение единойтехнической политики в области обеспечения ИБ Нижегородской области;
6) организацияисследований в области ИБ Нижегородской области;
7) обеспечение контроля за созданием и применением средств защитыинформации, систем защиты в Нижегородской области;
8) реализация прав гражданна получение, распространение и использование информации;
9) реализациямероприятий по обеспечению ИБ в Нижегородской области;
10) представлениеинтересов Нижегородской области в сфере ИБ (защиты информации);
11) осуществлениемероприятий по привлечению граждан, организаций и общественных объединений коказанию содействия в решении проблем обеспечения ИБ (защиты информации)Нижегородской области;
12) внесениепредложений по совершенствованию системы обеспечения ИБ Российской Федерации;
13)взаимодействие с федеральными органами исполнительной власти, уполномоченными ввопросах обеспечения безопасности, противодействия иностранным техническимразведкам и защиты информации, по вопросам исполнения действующегозаконодательства, решений Президента Российской Федерации, ПравительстваРоссийской Федерации и Совета Безопасности Российской Федерации в областиобеспечения ИБ (защиты информации) Российской Федерации, а также по вопросамреализации государственных программ в этой сфере.
3.1.6. Реализацияединой политики в области ИБ в Нижегородской области, а также обеспечениевыполнения требований нормативных, методических документов по ИБ вНижегородской области достигаются с помощью системы ИБ Нижегородской области.
3.2. СТРУКТУРНЫЕ ЭЛЕМЕНТЫСИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИНИЖЕГОРОДСКОЙ ОБЛАСТИ
3.2.1. Действующаясистема ИБ Нижегородской области создает определенную вертикаль в организации иреализации мероприятий по обеспечению ИБ:
Схема 1
3.2.2. Действующаясистема ИБ Нижегородской области представлена внутренними и внешнимисубъектами. В основу ее организационной структуры положен принцип разделенияправ, обязанностей, полномочий и функций с сочетанием самостоятельности иперсональной ответственности при решении вопросов ИБ. Возможные и реализуемыесвязи субъектов системы ИБ Нижегородской области представлены на схеме1настоящего подраздела.
3.2.3. Субъектысистемы ИБ Нижегородской областивзаимодействуют друг с другом напрямую или косвенно, что помогает обеспечиватьреализацию интересов Нижегородской области в сфере ИБ. При этом достижениеуказанных интересов зависит как от механизма взаимодействия структурныхэлементов, составляющих систему ИБ Нижегородской области, и степени егопроработанности, так и от организации работы каждого элемента в отдельности.
3.2.4. Субъектамиправоотношений в процессе обеспечения ИБ (защиты информации) помимо субъектовсистемы ИБ Нижегородской области являются юридические лица независимо оторганизационно-правовой формы, места нахождения и любое физическое лицо, в томчисле индивидуальный предприниматель, сведения окоторых накапливаются в ИС, ИР Нижегородской области (Субъектов).
3.3. ВНУТРЕННИЕ СУБЪЕКТЫСИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИНИЖЕГОРОДСКОЙ ОБЛАСТИ
3.3.1. Внутреннимисубъектами системы ИБ Нижегородской области являются:
3.3.1.1. Должностныелица и органы, осуществляющие управление в данной сфере:
1) ГубернаторНижегородской области, Председатель Правительства;
2) коллегиальныесовещательные органы областного и муниципального уровней, обеспечивающиерешение актуальных вопросов ИБ (защиты информации):
- межведомственныйтехнический совет по защите информации Нижегородской области (далее - СоветНижегородской области);
- межведомственныйтехнический совет по защите информации муниципального образования Нижегородскойобласти (далее - Совет муниципального образования) (в случае его наличия);
3) постояннодействующие технические комиссии по защите государственной тайны в ОИВ (далее -ПДТК);
4) головныеподразделения по защите информации:
- головноеподразделение ОИВ по технической защите информации, не отнесённой кгосударственной тайне (далее - Головное подразделение по ТЗИ);
- головноеподразделение по защите государственной тайны ОИВ (далее - Головноеподразделение по защите ГТ).
3.3.1.2. Объектыуправления:
1) Субъекты;
2) структурныеподразделения (специалисты) по ИБ Субъектов.
3.3.2. ГубернаторНижегородской области, Председатель Правительства.
ГубернаторНижегородской области, Председатель Правительства возглавляет систему ИБНижегородской области. Непосредственное руководство системой ИБ Нижегородскойобласти осуществляет заместитель Губернатора, заместитель ПредседателяПравительства Нижегородской области, к блоку которого относятся головныеподразделения по защите информации.
3.3.3. Совет Нижегородскойобласти.
3.3.3.1. СоветНижегородской области возглавляет Губернатор Нижегородской области,Председатель Правительства.
3.3.3.2. СоветНижегородской области является коллегиальным органом, обеспечивающимвзаимодействие с территориальными органами федеральных органов исполнительнойвласти, а также с акционерными обществами с долей участия ПравительстваНижегородской области, и осуществляющим в рамках своей компетенции координациюдеятельности ОИВ и ОМСУ по защите информации.
3.3.3.3. Совет Нижегородскойобласти осуществляет деятельность на плановой основе и рассматривает актуальныедля Нижегородской области (Субъектов) вопросы ИБ (защиты информацииограниченного доступа).
3.3.3.4. РешенияСовета Нижегородской области доводятся до ОИВ в части их касающейся и являютсяобязательными для исполнения.
3.3.3.5. Состав СоветаНижегородской области, порядок его функционирования и полномочия, связанные сзащитой информации ограниченного доступа, установлены распоряжением ГубернатораНижегородской области от 6 сентября 2014 года № 1477-р "О созданиимежведомственного технического совета по защите информации Нижегородскойобласти".
3.3.4. Советмуниципального образования.
3.3.4.1. Советмуниципального образования (в случае его наличия) возглавляет руководительмуниципального образования Нижегородской области.
3.3.4.2. Советмуниципального образования может быть создан по решению руководителямуниципального образования Нижегородской области.
3.3.4.3. Советмуниципального образования представляет собой коллегиальный, постояннодействующий совещательный и консультативный орган, координирующий деятельностьОМСУ конкретного муниципального образования Нижегородской области,подведомственных им организаций по реализации действующего законодательства повопросам ИБ (защиты информации).
3.3.4.4. Советмуниципального образования осуществляет деятельность на плановой основе ирассматривает актуальные для конкретного муниципального образованияНижегородской области вопросы ИБ (защиты информации ограниченного доступа).
3.3.4.5. Основнымизадачами деятельности Совета муниципального образования могут являться:
1) организацияисполнения решений Координационного Совета;
2) организацияисполнения решений Совета Нижегородской области;
3) совершенствованиесистемы ИБ конкретного муниципального образования Нижегородской области.
3.3.4.6. РешенияСовета муниципального образования доводятся досоответствующих ОМСУ в части ихкасающейся и являются обязательными для исполнения на своем уровне.
3.3.5. ПДТК.
3.3.5.1. ПДТК возглавляетлицо из числа руководителей соответствующего ОИВ, при этом ПДТК подотчетна Правительству Нижегородской области.
3.3.5.2. ПДТКпредставляет собой коллегиальный, постоянно действующий совещательный иконсультативный орган, координирующий деятельность ОИВ по реализациидействующего законодательства в сфере защиты государственной тайны натерритории Нижегородской области. Члены ПДТК имеют допуск к государственнойтайне по установленной форме.
3.3.5.3. ПДТКосуществляет деятельность на плановой основе и рассматривает актуальныедля ОИВ вопросы защиты государственной тайны. Основными направлениями работыПДТК являются:
1) надежное иэффективное управление системой защиты государственной тайны в ОИВ;
2) своевременноевыявление и закрытие возможных каналов неправомерного распространения сведений,составляющих государственную тайну;
3) организация икоординация работ по противодействию иностранным техническим разведкам итехнической защите информации;
4) совершенствованиесистем физической и технической защиты информации.
3.3.5.4. Состав,порядок функционирования ПДТК и полномочия, связанные с защитой государственнойтайны, устанавливаются Правительством Нижегородской области.
3.3.6. Головныеподразделения по защите информации.
3.3.6.1. Головныеподразделения по защите информации определяются распоряжением ГубернатораНижегородской области.
3.3.6.2. Головныеподразделения по защите информации имеют в своем составе структурныеподразделения по ИБ, которые занимаются вопросами защиты информации, неотнесенной к государственной тайне, и (или) защиты информации, содержащейсведения, составляющие государственную тайну.
3.3.6.3. Назначение надолжности руководителей структурных подразделений по ИБ головных подразделенийпо защите информации осуществляется по согласованию с управлением ФСТЭК Россиипо ПФО путем направления представлений и материалов на кандидатов.
3.3.6.4. Головныеподразделения по защите информации наделены полномочиями по:
1) координации врамках своей компетенции деятельности ОИВ, ОМСУ и подведомственных иморганизаций по обеспечению безопасности общедоступной информации, а такжеинформации ограниченного доступа, не отнесенной к государственной тайне, в томчисле координации деятельности по обеспечению безопасности персональных данныхОИВ;
2) контролю в рамкахсвоей компетенции за выполнением мероприятий по обеспечению ИБ в ОИВ иподведомственных им организациях;
3) контролю в рамкахсвоей компетенции в области обеспечения безопасности информации по следующимвопросам:
- техническая защитаинформации, составляющей государственную тайну;
- техническая защитаинформации ограниченного доступа, не отнесенной к государственной тайне, в томчисле обеспечение безопасности персональных данных;
- обеспечение защитыинформации в открытых ИС;
- противодействиеиностранным техническим разведкам;
- обеспечениебезопасности информации в ключевых системах информационной инфраструктуры;
- защитагосударственной тайны при ведении секретного делопроизводства.
3.3.6.5. Головныеподразделения по защите информации при исполнении своих полномочий, функцийруководствуются поручениями председателя Совета Нижегородской области.
3.3.6.6. Головныеподразделения по защите информации в своей деятельности взаимодействуют стерриториальными органами (управлениями) федеральных органов исполнительнойвласти, уполномоченными в вопросах обеспечения безопасности, противодействияиностранным техническим разведкам и защиты информации, по вопросам реализациидействующего законодательства в области ИБ (защиты информации).
3.3.7. Субъекты.
3.3.7.1. Всоответствии с действующим законодательством:
1) мероприятия пообеспечению ИБ (защите информации) являются составной частью управленческой,научной и производственной деятельности органов государственной властисубъектов Российской Федерации, органов местного самоуправления и организаций;
2) Субъектыосуществляют правомочия обладателя информации, в соответствии с которымиобязаны принимать меры по ее защите. Субъекты обязаны обеспечивать защитуэксплуатируемых ими объектов защиты путем создания их систем защиты. Для этогоони обязаны принимать необходимые правовые, организационные и технические мерыили обеспечивать их принятие для поддержания необходимого уровня безопасностиобъектов защиты. При этом при выборе тех или иных мер защиты они должныруководствоваться требованиями действующего законодательства по ИБ (защитеинформации). Принятие указанного комплекса мер должно основываться наопределении:
- источниковугроз ИБ, вероятности реализации угрозИБ на конкретных объектах (от кого защищать);
- перечней объектовзащиты (что защищать);
- средств и методовзащиты (как защищать).
3.3.7.2. КаждыйСубъект формирует свою внутреннюю систему ИБ, в соответствии с которойвыступает на стороне спроса в необходимости обеспечения ИБ и сочетает в себетри функции:
1) общественногопредставителя, наделенного полномочиями выражать потребность в проведении техили иных мероприятий по обеспечению ИБ;
2) закупщика,организатора по сделкам на рынке ИБ (защиты информации);
3) потребителя и (или)контролера результатов мероприятий по обеспечению ИБ.
3.3.7.3. Систему ИБСубъекта возглавляет его руководитель. Непосредственное руководстводеятельностью системы осуществляет руководитель или один из заместителейруководителя, или руководитель структурного подразделения по ИБ Субъекта, илиназначенный специалист по ИБ Субъекта (при отсутствии структурногоподразделения по ИБ). Указанные полномочия на него возлагаются соответствующиморганизационно-распорядительным документом Субъекта.
3.3.7.4. Дляорганизации и реализации мероприятий по обеспечению ИБ Субъекты могутпривлекать на договорной основе лицензиатов ФСТЭК России и ФСБ России,посреднические и специализированные организации (децентрализованная формаобеспечения ИБ), а также создавать внутренние совещательные комиссии,советы.
3.3.7.5. КаждыйСубъект координирует деятельность подведомственных ему организаций (при ихналичии) в области ИБ в отношении в рамках своей компетенции.
3.3.8. Структурныеподразделения (специалисты) по ИБ Субъектов.
3.3.8.1. Непосредственнаяорганизация работ по обеспечению ИБ в конкретном Субъекте осуществляется егоруководителем или одним из заместителей руководителя через структурноеподразделение по ИБ данного Субъекта или назначенного специалиста по ИБСубъекта.
3.3.8.2. Ответственностьза состояние обеспечения ИБ в конкретном Субъекте возлагается на егоруководителя. Ответственность за своевременность и качество проведениямероприятий по обеспечению ИБ возлагается на руководителя структурногоподразделения по ИБ данного Субъекта (при его отсутствии - на назначенныхспециалистов по ИБ Субъекта).
3.3.8.3. Структурноеподразделение по ИБ (при наличии) является самостоятельным структурнымподразделением Субъекта и напрямую подчиняется руководителю Субъекта.
3.3.8.4. В зависимостиот объема работ с использованием защищаемой информации, а также при наличиииных условий и обстоятельств руководителями Субъектов создаются структурныеподразделения по ИБ либо только назначаются специалисты по ИБ. Допустима такжеситуация, при которой специалист по ИБ конкретного Субъекта выполняет свойфункционал применительно к ряду иных Субъектов, которые находятся наматериальном обеспечении у такого Субъекта. Перечень таких условий иобстоятельств определяется на основании действующего законодательства,методических рекомендаций федеральных органов исполнительной власти,уполномоченных в вопросах обеспечения безопасности, противодействия иностраннымтехническим разведкам и защиты информации, методических рекомендаций,одобренных решением Координационного Совета, и головного подразделения позащите информации (в случае их дополнительной разработки).
3.3.8.5. Наличиеструктурного подразделения по ИБ и количество специалистов по ИБ в конкретномСубъекте устанавливается на основании федеральных законов и (или) методическихрекомендаций уполномоченных государственных органов власти, методическихрекомендаций, одобренных решением Координационного Совета, и головногоподразделения по защите информации (в случае их дополнительной разработки).
3.3.8.6. Среди специалистов по ИБ определяются ответственные запланирование, организацию и реализацию мероприятий по обеспечению ИБ, в томчисле ответственные за правовые, организационные и технические мероприятия.Также среди указанных специалистов по ИБ выделяются штатные и нештатныеспециалисты. Разделение на штатных и нештатных специалистов осуществляетсяголовными подразделениями по защите информации в целях ведения учета такихспециалистов и проведения процедур согласования назначения их на должности.Назначение на должности специалистов по ИБ и руководителей структурныхподразделений по ИБ Субъектов согласовывается с головными подразделениями позащите информации по соответствующему профилю деятельности путем направленияпредставлений и материалов на кандидатов. Подробный порядок согласованиякандидатов устанавливается актами головных подразделений по защите информации.
3.3.8.6.1. Штатнымсчитается специалист:
1) имеющийвысшее профильное образование по направлению ИБ (защиты информации) и (или)образование в области информационных технологий и повышение квалификации и(или) переподготовку по указанному направлению деятельности;
2)работающий в Субъекте по указанному направлению деятельности в структурномподразделении по ИБ Субъекта (при наличии) или вне его (при отсутствииструктурного подразделения по ИБ), и не совмещающий деятельность по ИБ с инымосновным для него функционалом в Субъекте, например, бухгалтерия, юриспруденцияи т.п.;
3) занимающийвыделенную должность специалиста по ИБ, предусмотренную штатным расписанием(при наличии должности в штатном расписании).
3.3.8.6.2. Нештатнымсчитается специалист:
1)не имеющий профильного образования по направлению ИБ (защиты информации) и(или) образования в области информационных технологий и повышения квалификации,и (или) переподготовки по указанному направлению деятельности;
2) работающийв Субъекте по указанному направлению деятельности в структурном подразделениипо ИБ Субъекта (при наличии) или вне его (при отсутствии структурногоподразделения по ИБ);
3)совмещающий деятельность по ИБ с иным основным для него функционалом вСубъекте, например, бухгалтерия, юриспруденция и т.п.
3.3.8.6.3. Случаиотнесения специалистов к категориям штатных и нештатных могут дополнительноопределяться (разъясняться) головными подразделениями по защите информации изакрепляться в соответствующем документе.
3.3.8.7. Структурныеподразделения (специалисты) по ИБ осуществляют свою деятельность вовзаимодействии (под методическим и координационным руководством) с головнымиподразделениями по защите информации: в случае защиты информации, не отнесеннойк государственной тайне, - с Головным подразделением по ТЗИ; в случае защитыинформации, содержащей сведения, составляющие государственную тайну, - сГоловным подразделением по защите ГТ.
3.3.8.8. Функции,права, полномочия и обязанности структурных подразделений по ИБ закрепляются всоответствующих положениях о структурных подразделениях по ИБ конкретногоСубъекта. Функции, права, полномочия и обязанностиспециалистов по ИБ указаны в пункте 3.6.2 подраздела 3.6 раздела III настоящей Концепции и отражаются в ихдолжностных регламентах (инструкциях), и обязательно включают в себя проведениекоординирующей и контрольной политики (работ) в области ИБ в отношенииподведомственных организаций (при их наличии) в рамках их компетенции.
3.4. ВНЕШНИЕ СУБЪЕКТЫ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИНИЖЕГОРОДСКОЙ ОБЛАСТИ
3.4.1. Внешнимисубъектами системы ИБ Нижегородской области являются:
3.4.1.1. Органуправления: Координационный совет.
Координационный советпредставляет собой коллегиальный орган, определяющий направления деятельностисубъектов Российской Федерации, входящих в ПФО, по реализации действующегозаконодательства в сфере ИБ (защиты информации) на территории ПФО.Координационный Совет обеспечивает взаимодействие с федеральными органамиисполнительной власти, уполномоченными в вопросах обеспечения безопасности,противодействия иностранным техническим разведкам и защиты информации, сорганами государственной власти субъектов Российской Федерации.
Координационный советосуществляет деятельность на плановой основе и рассматривает актуальныедля ПФО вопросы ИБ (защиты информации ограниченного доступа). Основными задачамидеятельности Координационного совета являются:
1) оказание содействиясубъектам Российской Федерации, входящим в ПФО, в решении вопросов ИБ;
2) совершенствованиесистемы ИБ в ПФО;
3) рассмотрениевопросов и выработка рекомендаций по управлению системой защиты информациив ПФО, ее функционированию исовершенствованию; организации и координации работ по защите информацииограниченного доступа в ПФО; выявлению и закрытию возможных каналовнеправомерного доступа к информации ограниченного доступа.
3.4.1.2. Органыконтроля: территориальные органы (управления) федеральных органовисполнительной власти, уполномоченные в вопросах обеспечения безопасности и(или) противодействия иностранным техническим разведками (или)защитыинформации:
1) управление ФСБРоссии по Нижегородской области (далее - УФСБ России поНО);
2) управление ФСТЭКРоссии по ПФО (далее - УФСТЭК России по ПФО);
3) управлениеспециальной связи и информации Федеральной службы охраны Российской Федерации вПФО (далее - УССИ ФСО России в ПФО);
4) управлениеФедеральной службы по надзору в сфере связи, информационных технологий имассовых коммуникаций по ПФО (далее - Управление Роскомнадзорапо ПФО).
3.4.1.2.1. УФСБ Россиипо НО.
УФСБ России по НО являетсятерриториальным органом (управлением) ФСБ России - федерального органаисполнительной власти, осуществляющего специальные и контрольные функции вобласти государственной безопасности по вопросам, установленным Положением оФСБ России, утвержденным Указом Президента Российской Федерации от 11 августа2003 года № 960, и осуществляет свои полномочия применительно к Нижегородскойобласти.
3.4.1.2.2. УФСТЭКРоссии по ПФО.
УФСТЭК России по ПФОявляется территориальным органом (управлением) ФСТЭК России - федеральногооргана исполнительной власти, осуществляющего специальные и контрольные функциив области государственной безопасности по вопросам, установленным Положением оФСТЭК России, утвержденным УказомПрезидента Российской Федерации от 16 августа 2004 года №1085, и осуществляетсвои полномочия применительно к ПФО.
3.4.1.2.3. УССИ ФСОРоссии в ПФО.
УССИ ФСО России в ПФОявляется территориальным органом(управлением) ФСОРоссии - федерального органа исполнительной власти, осуществляющего специальныеи контрольные функции в области государственной охраны, связи для нужд органовгосударственной власти, функции по информационно-технологическому иинформационно-аналитическому обеспечению деятельности Президента РоссийскойФедерации, Правительства Российской Федерации, иных государственных органов повопросам, установленным Положением о ФСО России, утвержденным Указом ПрезидентаРоссийской Федерации от 7 августа 2004 года № 1013, и осуществляет своиполномочия применительно к ПФО.
3.4.1.2.4. Управление Роскомнадзора по ПФО.
УправлениеРоскомнадзора по ПФО является территориальным органом(управлением) Федеральной службы по надзору в сфере связи, информационныхтехнологий и массовых коммуникаций - федерального органа исполнительной власти,осуществляющего функции по контролю и надзору в сфере средств массовойинформации, в том числе электронных, и массовых коммуникаций, информационныхтехнологий и связи, функции по контролю и надзору за соответствием обработкиперсональных данных требованиям действующего законодательства в областиперсональных данных (уполномоченного по защите прав субъектов персональныхданных), в соответствии с Положением о Федеральной службе по надзору в сфересвязи, информационных технологий и массовых коммуникаций, утвержденнымпостановлением Правительства Российской Федерации от 16 марта 2009 года № 228,и осуществляет свои полномочия применительно к ПФО.
3.4.1.3. Органы иорганизации, обеспечивающие ИБ:
1) аттестационныецентры ФСБ России;
2) органы поаттестации объектов информатизации по требованиям безопасности информации,находящиеся на территории Нижегородской области (далее - Органы по аттестации);
3) лицензиаты ФСТЭКРоссии и ФСБ России, а также посреднические организации,научно-исследовательские, научно-технические, проектные и конструкторскиеорганизации, находящиеся на территории Нижегородской области;
4) организации(учебные заведения), расположенные на территории Нижегородской области иосуществляющие обучение кадров для работы в системе ИБ Нижегородской области;
5) специализированныеорганизации.
3.4.1.3.1.Аттестационныецентры ФСБ России.
Аттестационные центрыФСБ России решают задачи проведения специальных экспертиз организаций дляполучения лицензий на проведение работ, связанных с использованием сведений,составляющих государственную тайну, а также с осуществлением мероприятий и(или) оказанием услуг по защите государственной тайны.
3.4.1.3.2.Органы поаттестации.
Аттестация объектовинформатизации включает в себя проведение комплекса организационных итехнических мероприятий (аттестационных испытаний), в результате которыхоценивается и подтверждается соответствие применяемой системы защиты требованиямправовых актов Российской Федерации, руководящих документов ФСТЭК России, ФСБРоссии, регламентирующих вопросы ИБ (защиты информации). Для реализации данногомероприятия создается специальный орган по аттестации, основными задачамикоторого являются:
1) организация ипроведение аттестации объектов информатизации по требованиям безопасностиинформации;
2) контрольза состоянием и эксплуатацией аттестованных объектов информатизации.
Деятельность органа поаттестации, аккредитованного соответствующим государственным органом посертификации и аттестации, осуществляется на основе лицензии на определенныевиды деятельности и аттестата аккредитации, выданных ему на право проведенияаттестации объектов информатизации.
3.4.1.3.3. ЛицензиатыФСТЭК России и ФСБ России, а также посреднические организации,научно-исследовательские, научно-технические, проектные и конструкторскиеорганизации, находящиеся на территории Нижегородской области.
Спрос в необходимостиобеспечения ИБ (защиты информации) со стороны Субъектов должен удовлетворятьсяпредложением. Наличие предложения обеспечивают посредническиеорганизации и лицензиаты-юридические лица независимоот организационно-правовой формы, места нахождения или любое физическое лицо, втом числе индивидуальный предприниматель (если допустимо по требованиямдействующего законодательства), которые готовы обеспечить ИБ (защитуинформации) Субъектов, объектов защиты, имеют для этого необходимые собственныеили приобретенные ресурсы (разработки программные, информационно-технические,организационно-методические) и претендуют на получение права обеспечения ИБ(защиты информации), то есть являются потенциальными поставщиками(исполнителями, подрядчиками), обладающими возможностями (законными правами)удовлетворить спрос Субъектов.
Вышеуказанные группысубъектов осуществляют деятельность по непосредственному выполнению мероприятийдля Субъектов в области ИБ (защиты информации) и (или) по созданию средствзащиты информации, а также программных продуктов в соответствии с требованиямидействующего законодательства.
Посредническиеорганизации не обладают лицензиями на право оказания определенных видовдеятельности по ИБ (защите информации) в отличие от лицензиатов, поэтому могутпринимать участие только в реализации правовых и организационных мероприятий пообеспечению ИБ, или поставлять оборудование для ИТ-инфраструктурыСубъектов при соблюдении требований действующего законодательства.
3.4.1.3.4. Организации(учебные заведения), расположенные на территории Нижегородской области иосуществляющие обучение кадров для работы в системе ИБ Нижегородской области.
Указанные организации(учебные заведения) осуществляют по направлениям "ИБ" и (или)"защита государственной тайны"и(или)"техническая защита информации, не отнесенная к государственнойтайне" и т.д.:
1) первичнуюподготовку специалистов по ИБ (комплексной защите информации);
2) переподготовку иповышение квалификации специалистов по ИБ Субъектов, и иных субъектов системыИБ Нижегородской области;
3) усовершенствованиезнаний руководителей Субъектов.
Данные организации(учебные заведения) имеют лицензию на образовательную деятельность и реализуютсоответствующие образовательные программы в сфере ИБ (защиты информации),согласованные ФСТЭК России и (или) ФСБ России.
Субъекты системы ИБНижегородской области с целью подготовки, переподготовки и повышенияквалификации своих специалистов по ИБ осуществляют взаимодействие с такимиорганизациями (учебными заведениями).
3.4.1.3.5.Специализированная организация.
Специализированнаяорганизация - юридическое лицо, привлекаемое Субъектом на основе контракта(договора) для осуществления им ряда функций ИБ (защиты информации) для этогоСубъекта и для создания ИТ-базы для функционированияего ИС в защищенном исполнении. При этом привлекающий Субъект обладает рядомисключительных функций, которые свойственно выполнять только ему, и передачакоторых специализированной организации не допускается, так же как распределениеправ и ответственности.
3.5. ПРАВОВАЯ ОСНОВАФУНКЦИОНИРОВАНИЯ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИНИЖЕГОРОДСКОЙ ОБЛАСТИ
Правовую основуфункционирования системы ИБ Нижегородской области составляют:
1) КонституцияРоссийской Федерации;
2) международныедоговоры и соглашения, заключенные или признанные Российской Федерацией, определяющиеправа и ответственность граждан, общества и государства в информационной сфере;
3) федеральные законы,регламентирующие сферу ИБ (защиты информации), информации и информатизации;
3) акты Президента иПравительства Российской Федерации, относящиеся к сфере ИБ (защиты информации),информации, информатизации, безопасности;
4) решения СоветаБезопасности Российской Федерации, Координационного Совета, федеральных органовисполнительной власти, уполномоченных в вопросах обеспечения безопасности,противодействия иностранным техническим разведкам и защиты информации, СоветаНижегородской области;
5) законыНижегородской области, регламентирующие сферу ИБ (защиты информации),информации и информатизации;
6) акты ГубернатораНижегородской области и Правительства Нижегородской области, относящиеся ксфере ИБ (защиты информации), информации, информатизации, безопасности;
7)иные правовые акты, методические документы федерального, окружного и областного(муниципального) уровней, регулирующие отношения и вопросы в области ИБ (защиты информации), информации,информатизации, безопасности, информационных технологий.
3.6. МЕРОПРИЯТИЯ ПООБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.6.1. Мероприятия,проводимые головными подразделениями по защите информации
3.6.1.1. Головнымиподразделениями по защите информации в рамках текущих подходов к построению иразвитию системы ИБ Нижегородской области реализуются следующие группымероприятий по обеспечению ИБ.
3.6.1.1.1. Головнымподразделением по ТЗИ создана и ежегодно поддерживается в работоспособномсостоянии защищённая корпоративная информационно-телекоммуникационная сеть ОИВ(далее - КСПД).
КСПД объединяет всеОИВ и ОМСУ. Подключение узлов организовано по волоконно-оптическим линиям,линии арендуются у провайдера услуг связи. КСПД используется для централизацииканалов связи.
КСПД позволяетобеспечить безопасность конфиденциальной информации при ее передаче междуучастниками КСПД по выделенным каналам связи в соответствии с требованиями ФСБРоссии к средствам криптографической защиты, и существенно снизить расходы наиспользование каналов связи, в том числе за счет организованногоунифицированного подключения к информационно-телекоммуникационной сети"Интернет" через единую точку доступа.
Назначение КСПД,подробная структура, состав, участники, функции КСПД определены Положением оКСПД, утвержденным постановлением Правительства Нижегородской области от 29августа 2008 года № 365 "О корпоративнойинформационно-телекоммуникационной сети органов исполнительной власти Нижегородскойобласти".
3.6.1.1.2. В рамкахфункционирования КСПД Головным подразделением по ТЗИ создан и ежегодноподдерживается (обеспечивается бесперебойное функционирование) вработоспособном состоянии центр обработки данных (далее - ЦОД) Головногоподразделения по ТЗИ. ЦОД построен с применением технологий отказоустойчивостикак на программном, так и на аппаратном уровне, а также аттестован потребованиям безопасности информации, что позволяет на его базе размещать любыеИС Субъектов до 1 (высшего) класса защищенности включительно и не создаватьотдельные ЦОД каждым Субъектом, а также не арендовать их у коммерческихорганизаций.
ЦОД объединяет важныепо своей социальной направленности государственные информационные системыНижегородской области. Большинство данных ИС функционируют с применениемоблачных технологий.
Всочетании с КСПД ЦОД позволяеторганизовать гарантированное защищенное информационное взаимодействиеучастников КСПД между собой и с федеральными ИР, ИС.
3.6.1.1.3. Головными подразделениями по защите информации в соответствии сПоложением о головных подразделениях по защите информации ОИВ, утвержденнымраспоряжением Губернатора Нижегородской области от 29 июля 2011 года № 1148-р,выполняются функции головных подразделений по защите информации по отношению кСубъектам, в ходе которых осуществляются выездные контрольные проверкиподотчетных организаций, оказываются консультации по применению нормдействующего законодательства в области ИБ (информации, информационныхтехнологий и защиты информации, в том числе персональных данных) и т.д.
3.6.1.1.4. Головным подразделением по ТЗИ ежегодно организуется дляназначенных специалистов по ИБ проведение обучающих курсов по ИБ (защитеинформации), не отнесенной к государственной тайне, по программам, согласованнымФСТЭК России, а также семинары на областных мероприятиях с участиемпредставителей территориальных органов (управлений) федеральных органовисполнительной власти, уполномоченных в вопросах обеспечения безопасности,противодействия иностранным техническим разведкам и защиты информации.
3.6.1.1.5. Головнымподразделением по ТЗИ периодически (при необходимости) проводятся совещания сУФСТЭК России по ПФО по вопросам применения действующего законодательства вобласти защиты информации, а также реализации решений Координационного Совета.
ЗаместительГубернатора, заместитель Председателя Правительства Нижегородской области, кблоку которого относятся головные подразделения по защитеинформации при участии Головного подразделения по ТЗИ ежегодно принимаетучастие:
- в заседанияхКоординационного Совета;
- в окружных сборах соспециалистами структурных подразделений органов государственной властисубъектов Российской Федерации, являющихся головными по защите информации всубъектах Российской Федерации, в рамках которого субъекты Российской Федерацииобмениваются опытом применения решений по обеспечению ИБ (защите информации).
В рамках крупныхвсероссийских форумов в области информационных и коммуникационных технологийпредставители Нижегородской области обмениваются опытом соблюдения требований кзащите информации при эксплуатации важных ИС.
3.6.1.1.6. В целях максимального соблюдения требований действующегозаконодательства в сфере ИБ (защиты информации) Головным подразделением по ТЗИ осуществляется согласование техническихзаданий и проектов на создание (модернизацию) ИС ОИВ в части выполнения имимероприятий по обеспечению ИБ в соответствии с распоряжением ГубернатораНижегородской области от 30 декабря 2011 года № 2036-р "Об утверждениирегламента согласования технических заданий и проектов на созданиеинформационных систем".
При этом такаяпроцедура не исключает в установленных случаях необходимости проведениясогласовательных процедур с федеральными органами исполнительной власти,уполномоченными в вопросах обеспечения безопасности, противодействияиностранным техническим разведкам и защиты информации (в том числетерриториальными). В случае предварительного отнесения ИС к категории ключевых,техническое задание на ее разработку (модернизацию) направляется в УФСТЭКРоссии по ПФО на согласование в части соблюдения требований по безопасностиинформации, предъявляемых к ключевым системам информационной инфраструктуры.
3.6.1.1.7. Головным подразделением по ТЗИ с участием представителей рядатерриториальных органов (управлений) федеральных органов исполнительной власти,уполномоченных в вопросах обеспечения безопасности, противодействия иностраннымтехническим разведкам и защиты информации, и ОМСУ муниципальных образований Нижегородской области обеспечиваетсяработа Совета Нижегородской области в соответствии с Положением омежведомственном техническом совете по защите информации Нижегородской области,утвержденным распоряжением Губернатора Нижегородской области от 6 февраля 2012года № 140-р.
3.6.1.1.8. Головным подразделением по защите ГТ с участием ОИВ ведется работаПДТК в соответствии с Положением о постоянно действующей технической комиссии(ПДТК) по защите государственной тайны в ОИВ, утвержденным распоряжениемПравительства Нижегородской области от 17 августа 2006 года № 613-р "Обутверждении Положения о постоянно действующей технической комиссии по защите государственной тайны ворганах исполнительной власти Нижегородской области".
3.6.1.1.9. Разработкаправовой базы, определяющей порядок и правила функционирования системы ИБНижегородской области.
Разработана правоваябаза Нижегородской области, регулирующая следующие вопросы ИБ (защитыинформации):
1)назначения сотрудников Органов на должности специалистов по технической защитеинформации;
2) особенностиподключения государственных ИС Нижегородской области кинформационно-телекоммуникационным сетям, доступ к которым не ограниченопределенным кругом лиц, устанавливающие "Требования по обеспечениюцелостности, устойчивости функционирования и безопасности ИС общегопользования" и "Требования о защите информации, содержащейся в ИСобщего пользования";
3) правилаиспользования электронной почты в ОИВ, утвержденные приказом министерстваинформационных технологий, связи и средств массовой информации от 26 февраля2015 года №13-од, рекомендуемые для использования в ОМСУ, подведомственныхОрганам организациях, и устанавливающие правила защищенной передачи информации;
4) иные вопросы.
3.6.1.2. Выполняемыеголовными подразделениями по защите информации группы мероприятий представляетсобой правовые, организационные и технические меры, направленные на создание,поддержание и развитие системы ИБ Нижегородской области. Указанные мероприятияпроводятся в соответствии с требованиями действующего законодательства в сфереИБ (информации, информационных технологий и защиты информации), решениямиСовета Безопасности Российской Федерации и Координационного Совета.
3.6.2. Мероприятия,проводимые назначенными специалистами по ИБ
3.6.2.1. В целяхобеспечения ИБ объектов защиты Субъектов назначенными специалистами по ИБреализуется комплекс базовых мероприятий, определенных:
1)единым квалификационным справочником должностей руководителей, специалистов ислужащих (раздел "Квалификационные характеристики должностей руководителейи специалистов по обеспечению безопасности информации в ключевых системахинформационной инфраструктуры, противодействию техническим разведкам итехнической защите информации"), утвержденным приказом МинздравсоцразвитияРоссии от 22 апреля 2009 года №205 (для специалистов по защите информации, втом числе технической);
2) профессиональнымстандартом "Специалист информационной безопасности" (для специалистовпо ИБ и защите информации);
3) Положением огосударственной системе защиты информации в Российской Федерации от иностранныхтехнических разведок и от ее утечки по техническим каналам, утвержденнымпостановлением Совета Министров - Правительства Российской Федерации от 15сентября 1993 года №912-51 (для специалистов по технической защите информации);
4) иным действующимзаконодательством в сфере ИБ (информации, информационных технологий и защитыинформации).
3.6.2.2. Дополнительноназначенными специалистами в зависимости от специфики работы Субъекта,использования объектов защиты и их объема выполняется комплекс иныхмероприятий, необходимых для организации системы защиты в конкретном Субъекте.
3.6.2.3. Выполняемыйназначенными специалистами комплекс мероприятий представляет собой правовые,организационные и технические меры, направленные на создание, поддержание иразвитие системы ИБ каждого Субъекта. Указанные мероприятия проводятся всоответствии с требованиями действующего законодательства в сфере ИБ(информации, информационных технологий и защиты информации, в том числеперсональных данных) однократно, периодически, по мере необходимости и (или)постоянно.
IV. АНАЛИЗ СОСТОЯНИЯ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИНИЖЕГОРОДСКОЙ ОБЛАСТИ
4.1. СТАДИИ ОБЕСПЕЧЕНИЯИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Анализ состояниясистемы ИБ Нижегородской области показывает степень успешности проводимыхмероприятий по обеспечению ИБ притекущей системе ИБ Нижегородской области и выявляет проблемные области,требующие решения на современном этапе развития. Проблемные области представленыв настоящей Концепции в виде их проявления на следующих типичных для Субъектовстадиях обеспечения ИБ (далее - Стадии обеспечения ИБ, Стадии):
| Стадия 1: | Планирование (подготовка) мероприятия по обеспечению ИБ; |
| Стадия 2: | Организация (проведение) процедур, направленных на: - самостоятельную реализацию Субъектами мероприятий по обеспечению ИБ или - реализацию мероприятий по обеспечению ИБ посредством привлечения к их исполнению сторонних лиц: лицензиатов ФСТЭК России и (или) ФСБ России, посреднических и специализированных организаций для реализации мероприятий по обеспечению ИБ; |
| Стадия 3: | Реализация мероприятий по обеспечению ИБ |
4.2. ПРОБЛЕМЫ, ХАРАКТЕРНЫЕДЛЯ ВСЕХ СТАДИЙ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИ
4.2.1. Отсутствиедолжностей штатных специалистов по ИБ.
4.2.1.1. В большинствеСубъектов отсутствуют выделенные должности штатных специалистов по ИБ,организационно-штатная структура Субъектов не предусматривает наличие в штатномрасписании отдельной должности специалиста по ИБ.
4.2.1.2. Основныепричины существования проблемы:
1) отсутствиедостаточного количества кандидатов, готовых работать в сфере ИБ (защитыинформации) за предлагаемое вознаграждение в Субъекте;
2) наличие высокихтребований к уровню образования специалистов по ИБ, а также к качеству ихработы и уровнем ответственности за ее неисполнение (не качественноеисполнение).
4.2.1.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.2. Назначение надолжности нештатных специалистов по ИБ сотрудников иных профилей деятельности.
4.2.2.1. В структуребольшинства Субъектов наблюдается назначение на должности специалистов по ИБсотрудников иных профилей деятельности, не имеющих необходимо уровняобразования для реализации Стадий обеспечения ИБ.
4.2.2.2. Основныепричины существования проблемы:
1) отсутствиедостаточного количества кандидатов, готовых работать в сфере ИБ (защитыинформации) за предлагаемое вознаграждение в Субъектах;
2) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.2.3. Следствияпроблемы:
1) необходимостьпроведения обучения назначенных специалистов вопросам ИБ (защиты информации);
2) сложность всовмещении профильных и непрофильных обязанностей;
3) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.3. Частая ротацияназначенных специалистов по ИБ.
4.2.3.1. В структуребольшинства Субъектов наблюдается частая ротация назначенных специалистов поИБ.
4.2.3.2. Основныепричины существования проблемы:
1) сложность длясотрудника иного профиля деятельности совмещать профильные обязанности ифункции специалиста по ИБ в соответствии с требованиями к качеству его работы иуровнем ответственности за ее неисполнение (не качественное исполнение) (вслучае возложения соответствующих непрофильных обязанностей);
2) неудовлетворенностьсвоей работой, стресс: дополнительные обязанности не сопровождаютсядополнительными выплатами (в случае возложения соответствующих непрофильныхобязанностей);
3) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.3.3. Следствияпроблемы:
1) затрачиваниересурсов на поиск (привлечение) нового сотрудника;
2) необходимостьпересмотра внутренней системы ИБ Субъекта;
3) увеличение рисковпри внедрении сложных ресурсоемких систем, нарушение преемственноститехнических и системных решений, а также принципов обеспечения ИБ;
4) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
5) проявление иных проблем,указанных на схеме 2 раздела IV настоящей Концепции.
4.2.4. Недостаточнаяквалификация назначенных специалистов по ИБ.
4.2.4.1. В большинствеСубъектов назначенные специалисты по ИБ не обладают достаточным уровнемквалификации (знания, навыки, опыт) в соответствии с требованиями действующегозаконодательства для исполнения возложенных на них обязанностей, что осложняетработу всей системы ИБ Нижегородской области.
4.2.4.2. Основныепричины существования проблемы:
1) сложность вобеспечении назначенных специалистов необходимыми навыками и знаниями дляреализации всех Стадий обеспечения ИБ ввиду недостаточного количествафинансовых ресурсов, которые необходимо затратить на обучение указанныхсотрудников, в том числе по причине высокой стоимости курсов обученияпо необходимому направлению деятельности;
2) сложность восвоении программы обучения по направлению ИБ (защитыинформации) сотрудниками иных профилей деятельности, на которых возложеныузкоспециализированные функции, в случае направления их на обучение;
3) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.4.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.5. Недостаточнаяобразовательная база в Нижегородской области.
4.2.5.1. На территорииНижегородской области недостаточно развита образовательная база по направлению"ИБ (защита информации)", что проявляется в следующем:
1) присутствуютединичные образовательные центры, способные осуществлять качественнуюподготовку и повышение квалификации специалистов данного профиля на территорииНижегородской области (г. Нижнего Новгорода) по указанному направлению по программамобучения, согласованным ФСТЭК России и (или) ФСБ России;
2) отсутствуетвозможность проведения переподготовки по указанному направлению по программамобучения, согласованным ФСТЭК России и (или) ФСБ России, на территорииНижегородской области.
4.2.5.2. Основныепричины существования проблемы:
1) недостаточноевнимание развитию направления информационной безопасности;
2) высокая стоимость обучения по указанному направлению деятельности.
4.2.5.3. Следствиепроблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящейКонцепции.
4.2.6. Формальноеотношение к планированию, организации и реализации мероприятий по обеспечениюИБ.
4.2.6.1. Вдеятельности ряда Субъектов наблюдается недостаточно активное участиеназначенных специалистов по ИБ при реализации Стадий обеспечения ИБ.Наблюдается формальное отношение указанных специалистов и руководства Субъектовк вопросам ИБ.
4.2.6.2. Основнаяпричина существования проблемы: реализация иных проблем, указанных на схеме 2раздела IV настоящей Концепции.
4.2.6.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.7. Отсутствиеединого ИТ-центра реализации Стадий обеспечения ИБ.
4.2.7.1. Текущейсистемой ИБ Нижегородской области не предусмотрено функционирование единого ИТ-центра. ИТ-центр для целей применения положений настоящей Концепции- это центр, позволяющий увязать в защищенной информационной сети (системе) всеСтадии обеспечения ИБ и обеспечить единое организационно-методическое,оперативное консультационное, информационное, аналитическое, техническоеобеспечение и цельный мониторинг состояния системы ИБ Нижегородской области.
4.2.7.2. Основнаяпричина существования проблемы: отсутствие необходимых бюджетных ресурсов дляорганизации и поддержания единого защищенного пространства, используемого вуказанных целях.
4.2.7.3. Следствиепроблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящейКонцепции.
4.2.8. Отсутствиеконтроля всех Стадий обеспечения ИБ.
4.2.8.1. Отсутствуетдейственный контроль реализации Стадий обеспечения ИБ как со стороны головныхподразделений по защите информации, так и со стороны Субъектов: практическипосредством проверок осуществляется контроль только одной 3 Стадии, а для рядаСубъектов- только 2 Стадии.
4.2.8.2. Основныепричины существования проблемы:
1)недостаточное количество трудовых ресурсов головных подразделений по защитеинформации, способных осуществлять действенный контроль за всеми Стадиямиобеспечения ИБ;
2) отсутствиедостаточных областных и федеральных правовых инструментов, позволяющихреализовать качественный контроль всех Стадий обеспечения ИБ (в частности,единой методики оценки эффективности проведения мероприятий по ИБ, затрагивающейкачественные (социальные) аспекты, а не только показатель экономии финансовыхресурсов, и наоборот);
3) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.8.3. Следствиепроблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящейКонцепции.
4.2.9. Отсутствиеотчетности по всем Стадиям обеспечения ИБ.
4.2.9.1. Вдеятельности большинства Субъектов наблюдается сложность в оперативном исвоевременном предоставлении отчетности головным подразделениям по защитеинформации, контрольно-надзорным органам, в том числе в ее предоставлении вэлектронном виде с применением электронной подписи в соответствии стребованиями Федерального закона от 6 апреля 2011 года № 63-ФЗ "Обэлектронной подписи". Отсутствует сбор отчетности по 1 и 2 Стадиямобеспечения ИБ, поскольку на практике собирается отчетность только одной 3Стадии.
4.2.9.2. Основныепричины существования проблемы:
1) недостаточноеведение внутриведомственной отчетности;
2) отсутствие понятныхправил и норм сбора конкретной отчетности;
3) отсутствие понятнойформы (системы) сбора отчетности;
4) закрепление двойной(электронная и бумажная) работы по сбору отчетности;
5) появление новыхформ сбора отчетности, под которые сложно адаптировать автоматизированныесистемы сбора отчетности;
6) отсутствиедостаточных полномочий для сбора необходимой отчетности;
7) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.9.3. Следствияпроблемы:
1)сложность в отслеживании фактического состояния системы ИБ Нижегородскойобласти и каждой организации в отдельности, в том числе сложность в анализе иоценке результативности использования бюджетных средств на мероприятия пообеспечению ИБ, соблюдения правовой базы, достижения промежуточных и итоговыхрезультатов, качества реализации мероприятий, а также в выработке предложенийпо принятию мер управляющего воздействия;
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.10. Отсутствиечеткой и (или) наличие слабой структуры организации процесса обеспечения ИБ.
4.2.10.1. Вдеятельности ряда Субъектов наблюдается отсутствие четкой и (или) присутствиеслабой структуры организации процесса обеспечения ИБ (защиты информации)(отсутствует понимание, какой сотрудник за какиефункции, направления, задачи и мероприятия отвечает, какие средства защитыприменяются и где, и т.д.), а принимаемые решения выстраиваются с несоблюдениемполитики ИБ. Отсутствует и (или) присутствует недостаточное внутриведомственноевзаимодействие между назначенными специалистами по ИБ и локальнымиадминистраторами, специалистами, ответственными за направление информатизации вСубъекте (при наличии), а также сотрудниками, ответственными за иные узкопрофильные направления деятельности Субъекта и использующимиобъекты защиты Субъекта.
4.2.10.2. Основнаяпричина существования проблемы: реализация иных проблем, указанных на схеме 2раздела IV настоящей Концепции.
4.2.10.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3. ПРОБЛЕМЫ, ХАРАКТЕРНЫЕДЛЯ РАЗНЫХ СТАДИЙ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИ
СТАДИЯ 1:
4.3.1. Динамика курсамировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации).
4.3.1.1. Субъекты восновном эксплуатируют зарубежные средства защиты информации, компоненты ИС,программное обеспечение, технологии, программные продукты ввиду отсутствияаналогов на российском рынке. Поэтому они сталкиваются с проблемойценообразования на проведение мероприятий по обеспечению ИБ, котораязаключается в сложности планирования таких мероприятий с их стороны принестабильной ситуации на ценовом рынке ИБ (защиты информации), в том числе всвязи с динамикой курса мировых валют.
4.3.1.2. Основнаяпричина существования проблемы: экономические, финансовые предпосылки, а такжеиные внешние искусственные факторы.
4.3.1.3. Следствияпроблемы:
1) увеличениестоимости владения ИТ-инфраструктурой и ИС;
2) вероятностьнарушения требований действующего законодательства по ИБ (защите информации)ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защитеинформации);
3) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба ввиду не исполнения(несвоевременного исполнения) требований по ИБ (защите информации);
4) неэффективноеиспользование бюджетных ресурсов ввиду завышения Субъектами стоимостимероприятий по обеспечению ИБ при планировании в целях гарантированногоудовлетворения своих потребностей;
5) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.2. Отсутствиеактуальной системы текущего и перспективного планирования, прогнозированиямероприятий по обеспечению ИБ.
4.3.2.1. Вдеятельности ряда Субъектов наблюдается отсутствие актуальной системы текущегои перспективного планирования, прогнозирования мероприятий по обеспечению ИБ, входе которых определяются потребность в финансовых ресурсах и результаты ихиспользования. Отсутствует стратегическое планирование мероприятий пообеспечению ИБ с учетом приоритетных направлений информатизации, задачмодернизации и инновационного развития Нижегородской области и каждойорганизации в отдельности.
4.3.2.2. Основныепричины существования проблемы:
1) поиск новых решенийобеспечения ИБ в связи с появлением новых угроз ИБ;
2)общее отсутствие в деятельности Субъектов выработанного единого эффективного идейственного (налаженного) механизма регулирования текущей Стадии обеспечения ИБ (указанная Стадия регламентируетсяисключительно внутренними локальными актами (в том числе планами-графикамизакупок), не имеющими зачастую единой стратегической цели для общейбезопасности Нижегородской области), планирование и прогнозирование мероприятийпо обеспечению ИБ осуществляется без участия головных подразделений по защитеинформации;
3) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.2.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
2) отсутствиевозможности грамотно спланировать (подготовить) мероприятия по обеспечению ИБ икачественно реализовать все Стадии обеспечения ИБ;
3)ошибки в определении реальных потребностей в тех или иных мерах, средствах,системах защиты и, как следствие, неэффективное использование бюджетныхсредств: закупается зачастую не та продукция, которая действительно нужна, не втом объеме, который действительно необходим, осуществляются не те работы,которые действительно нужны в целях обеспечения ИБ Нижегородской области(Субъектов, их объектов защиты);
4) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.3. Сложностьприменения регулирующих норм назначенными специалистами по ИБ.
4.3.3.1. Назначенныеспециалисты по ИБ в большинстве Субъектов не имеют возможности четкоориентироваться в действующем законодательстве, регламентирующем сферу ИБ, чтоснижает уровень защищенности Субъектов и их объектов защиты, и значит, неспособствует получению оптимальных результатов проводимых мероприятий пообеспечению ИБ и ведет к неэффективности (неработоспособности) всей системы ИБНижегородской области.
4.3.3.2. Основныепричины существования проблемы:
1) периодическаядоработка и изменение правовой базы сферы ИБ, в том числе в целях приведениязаконодательства Нижегородской области в соответствие с федеральнымзаконодательством;
2) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.3.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба ввиду не исполнения(несвоевременного исполнения) требований по ИБ (защите информации);
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.4.Несогласованность разработки актов в сфере ИБ (защиты информации).
4.3.4.1. Вдеятельности большинства Субъектов наблюдается несогласованность разработкиактов в сфере ИБ (защиты информации) на областном уровне и на уровне Субъектов.
4.3.4.2. Основныепричины существования проблемы:
1) отстаивание федеральныхинтересов, интересов Нижегородской области и интересов отдельных Субъектов;
2) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.4.3. Следствияпроблемы:
1) несоблюдение сроковсогласований, затягивание принятия необходимых актов, регламентирующих сферу ИБ(защиты информации) в Нижегородской области;
2) сложность длявыработки единой стратегии развития ИБ Нижегородской области, в том числе поряду ключевых вопросов;
3) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
СТАДИЯ 2:
4.3.5. Подготовканекорректных документов для реализации мероприятий по обеспечению ИБ.
4.3.5.1. В большинствеслучаев Субъекты формируют некорректные документы на мероприятия по обеспечениюИБ, содержащие:
1) ошибочныетехнические спецификации;
2) двусмысленныеформулировки;
3) избыточные илинедостаточные требования;
4) требования,установленные с нарушениями действующего законодательства;
5) требования,установленные без соблюдения действующих стандартов и т.д.
4.3.5.2. Основныепричины существования проблемы:
1) недостаточнаяпроработанность единого эффективного и действенного (налаженного) механизмарегулирования текущей Стадии обеспечения ИБ (в частности подготовка техническихзаданий на мероприятия по созданию систем защиты осуществляется зачастую безучастия головных подразделений по защите информации, а экспертиза техническихзаданий на указанные мероприятия проводится ими только для ОИВ);
2)игнорирование замечаний и рекомендаций Головного подразделения по ТЗИ при подготовке ОИВ мероприятий пообеспечению ИБ;
3) недостаточноеинформирование субъектов Российской Федерации федеральными органамиисполнительной власти, внедряющими сегменты ИС в субъектах РоссийскойФедерации, об архитектуре внедряемых ИС и требованиях к их защите, непредоставление необходимых документов на ИС для качественной реализации Стадийобеспечения ИБ и т.д.;
4) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.5.3. Следствияпроблемы:
1) затруднениереализации особенно сложных и длительных проектов создания и внедрения средств,систем защиты, ИС, требующих концентрации и рационального использованияресурсов;
2) неэффективноеиспользование выделенных бюджетных ресурсов, их несвоевременное освоение;
3) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
4) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.6. Отсутствиецентрализованного подхода при проведении однотипных мероприятий по обеспечениюИБ.
4.3.6.1. Для текущейсистемы ИБ Нижегородской области характерно, что каждый Субъект самостоятельнопланирует и организует (реализует) однотипные мероприятия по обеспечению ИБ, вчастности:
1) закупка однотипныхсредств защиты информации;
2) закупка однотипныхаппаратных решений, программного обеспечения;
3) проведениеоднотипных правовых и организационных мероприятий.
Это требует отвлечениязначительных временных, а зачастую и финансовых ресурсов, а качество реализациимероприятий по обеспечению ИБ в ряде Субъектов не соответствует минимальноустановленным действующим законодательством требованиям.
4.3.6.2. Основнаяпричина существования проблемы: недостаточная проработанность единого эффективногои действенного (налаженного) механизма регулирования текущей Стадии обеспеченияИБ (в частности, не осуществляются централизованные закупки однотипных средствзащиты информации, аппаратных решений, программного обеспечения и пр.).
4.3.6.3. Следствияпроблемы:
1) излишнеенеоправданное отвлечение временных ресурсов на разработку требований коднотипным мероприятиям по обеспечению ИБ;
2) неэффективноеиспользование бюджетных ресурсов ввиду отсутствия централизованного подхода кпроведению мероприятий по обеспечению ИБ;
3) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.7. КорректировкаГоловным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ.
4.3.7.1. В Головноеподразделение по ТЗИ поступают от ОИВ на рассмотрение документы на мероприятияпо обеспечению ИБ. В ходе экспертизы технических заданий и (или) проектов насоздание (модернизацию) ИС в части соблюдения требований по ИБ (защитеинформации) для каждого рассматриваемого документа Головным подразделением поТЗИ выдаются замечания и рекомендации, подразумевающие его существеннуюкорректировку в целях соблюдения действующего законодательства в сфере ИБ. Вуказанных целях экспертиза и корректировка проводится также в отношениидокументов, регламентирующих правовые мероприятия по обеспечению ИБ.
4.3.7.2. Основнаяпричина существования проблемы: реализация иных проблем, указанных на схеме 2раздела IV настоящей Концепции.
4.3.7.3. Следствияпроблемы:
1) выявление Головнымподразделением по ТЗИ фактов вероятногонарушения требований действующего законодательства, в ряде случаев -неэффективного расходования бюджетных ресурсов и заведомо не реализуемой,реализуемой не качественно последующей Стадии обеспечения ИБ;
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.8. Не соблюдениепроцедур, направленных на выбор поставщика (исполнителя, подрядчика) дляреализации мероприятий по обеспечению ИБ.
4.3.8.1. Отдельными ОИВ не соблюдается процедура согласования и экспертизы техническихзаданий и проектов на создание (модернизацию) ИС в части соблюдения ими требований по ИБ (защите информации),проводимая Головным подразделением по ТЗИ.
4.3.8.2. Основнаяпричина существования проблемы: реализация иных проблем, указанных на схеме 2раздела IV настоящей Концепции.
4.3.8.3. Следствиепроблемы: проявление иных проблем, указанных на Схеме 2 раздела IV настоящейКонцепции.
4.3.9. Не соблюдениепроцедур обеспечения ИБ, регламентированных действующим законодательством.
4.3.9.1. БольшинствомСубъектов в ходе создания (модернизации) объектов защиты Субъектов непредусматривается проведение мероприятий по обеспечению ИБ, обязательныхк исполнению в соответствии с действующим законодательством.
4.3.9.2. Основнаяпричина существования проблемы: реализация иных проблем, указанных на схеме 2раздела IV настоящей Концепции.
4.3.9.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящее Концепции.
СТАДИЯ 3:
4.3.10. Отсутствие,недостаточная оснащенность и (или)несвоевременное приобретение необходимых средств защиты, документов по ИБ.
4.3.10.1. Вдеятельности ряда Субъектов наблюдается:
1) отсутствие(несвоевременное приобретение) средств защиты, необходимость установки(эксплуатации) которых в конкретных случаях определена действующимзаконодательством;
2) отсутствиенеобходимых документов по ИБ (защите информации) на объекты защиты Субъектов ивнутренние системы ИБ Субъектов;
3) недостаточнаяоснащенность средствами и аппаратурой контроля эффективности защиты информации,правовыми и методическими документами в области защиты информации, а такжесертифицированными средствами защиты информации;
4) реализация иныхпроблем, указанных на схеме 2 раздела IVнастоящейКонцепции.
4.3.10.2. Основныепричины существования проблемы:
1)недостаточная развитость рынка разработок (в том числе российских) в сфереинформационных технологий, отсутствие достаточного количества надежныхроссийских разработок средств защиты информации при курсе ПравительстваРоссийской Федерации на их использование, которые смогли бы ликвидировать(минимизировать) угрозы ИБ при тех или иных условиях эксплуатации объектовзащиты Субъектов;
2) реализация иныхпроблем, указанных на схеме 2 раздела IVнастоящейКонцепции.
4.3.10.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иныхпроблем, указанных на схеме 2 раздела IVнастоящейКонцепции.
4.3.11. Приобретениененужных средств защиты информации (работ, услуг) и (или) их избыточногоколичества.
4.3.11.1. Вдеятельности отдельных Субъектов наблюдается:
1) установкадублирующих по своему функционалу средств защиты информации и (или) ошибочныхсредств защиты информации;
2) преждевременноепроведение работ, оказание (получение) услуг по ИБ (защите информации).
4.3.11.2. Основныепричины существования проблемы:
1) недостаточноеинформирование субъектов Российской Федерации федеральными органамиисполнительной власти, внедряющими сегменты ИС в субъектах РоссийскойФедерации, об архитектуре внедряемых ИС и требованиях к их защите, непредоставление необходимых документов на ИС для качественной реализации Стадийобеспечения ИБ и т.д.;
2) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.11.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба, в том числе из-за"закрытия" только одной и (или) нескольких из ряда возможных угроз;
2) неэффективноеиспользование бюджетных ресурсов;
3) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.12. Закупкаоднотипных средств защиты информации и ИТ-услуг поразличным ценам.
4.3.12.1. Приреализации мероприятий по обеспечению ИБ Субъектов приобретаются однотипныесредства защиты информации и ИТ-услуги по различнымценам.
4.3.12.2. Основнаяпричина существования проблемы: реализация иных проблем, указанных на схеме 2раздела IV настоящей Концепции.
4.3.12.3. Следствияпроблемы:
1) приобретениезачастую некачественной продукции;
2) зачастуюнеэффективное использование бюджетных и временных ресурсов;
3) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.13. Недостаточнаяквалификация специализированных организаций, лицензиатов, посредническихорганизаций, реализующих мероприятия по обеспечению ИБ.
4.3.13.1. Приреализации мероприятий по обеспечению ИБ в Субъектах к исполнению приступаютнедостаточно квалифицированные специализированные организации, лицензиаты,разработчики, посреднические организации.
4.3.13.2.Основныепричины существования проблемы:
1) недостаточноенаполнение российского трудового рынка квалифицированными специалистами вобласти ИБ (защиты информации), работающими на стороне предложения;
2) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.13.3.Следствияпроблемы:
1) зачастуюнеэффективное использование бюджетных ресурсов;
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.14. Невыполнениемероприятий по обеспечению ИБ или их несвоевременное и некачественноеисполнение.
4.3.14.1. НекоторымиСубъектами не выполняются мероприятия пообеспечению ИБ или несвоевременно и некачественно исполняются.
4.3.14.2. Основныепричины существования проблемы:
1) затягиваниепредыдущих Стадий обеспечения ИБ;
2) непрогнозируемыепричины внешнего характера, которые невозможно предвидеть заранее;
3) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.14.3. Следствияпроблемы:
1) неэффективноеиспользование бюджетных ресурсов;
2) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
3) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.15. Отсутствиедолжного внутреннего контроля.
4.3.15.1.Со стороныбольшинства Субъектов наблюдается отсутствие контроля за выполнением мероприятий пообеспечению ИБ, реализуемых специализированными организациями, лицензиатами,разработчиками, посредническими организациями.
4.3.15.2.Основныепричины существования проблемы:
1) недостаточноеколичество специалистов по ИБ, способных одновременно контролировать выполнениемероприятий по обеспечению ИБ и выполнять иные функции;
2) реализация иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.15.3.Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иныхпроблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.16. Низкаяэффективность внутренней системы ИБ Субъектов.
4.3.16.1. В рядеСубъектов наблюдается недостаточная мощь текущей внутренней системы ИБ, в томчисле отсутствие четкой структуры организации процесса обеспечения ИБ (защитыинформации).
4.3.16.2. Основнаяпричина существования проблемы: реализация иных проблем, указанных на схеме 2раздела IV настоящей Концепции.
4.3.16.3. Следствиепроблемы: высокая вероятность реализации угроз ИБ и, как следствие, причинениеущерба.
4.4. ПРОБЛЕМЫИТ-ИНФРАСТРУКТУРЫ
4.4.1. Устаревшее ИТ-оборудование, программное обеспечение.
4.4.1.1. В рядеСубъектов эксплуатируемое ИТ-оборудование ипрограммное обеспечение является физически и морально устаревшим, и требуетзамены, что подрывает ИБ Нижегородской области (Субъектов) и оказываетнегативное влияние на качественную реализацию Стадий обеспечения ИБ.
4.4.1.2. Основныепричины существования проблемы:
1) отсутствиенеобходимых бюджетных ресурсов на приобретение современного ИТ-оборудованияи программного обеспечения;
2) последствияпланирования информатизации Нижегородской области (Субъектов);
3) отсутствиеназначенных в ряде Субъектов специалистов, занимающихся вопросамиинформатизации, в том числе разработки и внедрения ИС.
4.4.1.3. Следствияпроблемы:
1) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
3) низкаяработоспособность, высокая стоимость обслуживания, невозможность эксплуатациина базе текущего ИТ-оборудования и программногообеспечения ИС различного уровня сложности и классов защищенности;
3) снижение эффективностиработы ИТ-подразделений (структурных подразделений поИБ) Субъектов и всей системы ИБ Нижегородской области.
4.4.2. Разнороднаяаппаратно-программная среда.
4.4.2.1. Вдеятельности большинства Субъектов наблюдается разнороднаяаппаратно-программная среда, которая характеризуется разнородностьюиспользуемых, в том числе для функционирования ИС, технических средств, базовыхпрограммных средств, средств разработки и средств защиты информации, наличиемразных версий программного обеспечения (программных продуктов), отсутствиемкомпонентов интеграции и т.д.
4.4.2.2. Основныепричины существования проблемы:
1) применяютсярешения, необходимые для реализации функций конкретного Органа, что являетсянеприменимым или избыточным для другого Органа;
2) разный масштабфинансирования для разных организаций на мероприятия информатизации иобеспечения ИБ;
3) общее отсутствие вдеятельности Нижегородской области (Субъектов) выработанного единогоэффективного и действенного (налаженного) механизма регулирования вопроса построенияединообразной аппаратно-программной среды;
4) действующеезаконодательство, которое не запрещает применять различныеаппаратно-программные решения;
5) непрогнозируемыепричины внешнего характера, которые невозможно предвидеть заранее;
6) последствиянекачественного планирования, организации и реализации информатизации Субъектови Стадий обеспечения ИБ.
4.4.2.3. Следствияпроблемы:
1) неоправданностьинвестиций в ряде случаев;
2) повышенныетребования к кадровому обеспечению в части обеспечения беспроблемногофункционирования аппаратно-программной среды;
3) увеличениестоимости владения ИТ-инфраструктурой в каждойотдельной организации;
4) сложностипроведения единой стратегии (политики) ИБ и централизации функций по ИБ (защитеинформации);
5) сложность вразвитии комплексного подхода к автоматизации в защищенном исполнении деловыхпроцессов;
6) снижениеэффективности работы ИТ-подразделений (структурныхподразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.
4.4.3. Программныепродукты с закрытым кодом.
4.4.3.1. БольшинствомСубъектов внедряются программные продукты (например, ИС и их составляющие) сзакрытым кодом.
4.4.3.2. Основныепричины существования проблемы:
1) недостаточноевнутриведомственное взаимодействие между назначенным специалистом по ИБ,локальным администратором и сотрудником, занимающимся вопросами информатизациив конкретном Субъекте;
2) требованияразработчиков программных продуктов;
3) последствиянекачественного планирования, организации и реализации информатизации Субъектови Стадий обеспечения ИБ.
4.4.3.3. Следствияпроблемы:
1) увеличениестоимости владения ИТ-инфраструктурой в каждойотдельной организации;
2) снижение уровня ИБи высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
3) снижениеэффективности работы ИТ-подразделений (структурныхподразделений по ИБ) Субъектов и всей системы ИБ.
4.4.4. Отсутствиесредств централизованного управления серверным оборудованием и централизованныхвысоконадежных хранилищ данных (СХД).
4.4.4.1. Вдеятельности большинства Субъектов наблюдается отсутствие средствцентрализованного управления серверным оборудованием и централизованныхвысоконадежных хранилищ данных (СХД).
4.4.4.2. Основныепричины существования проблемы:
1) отсутствие необходимыхбюджетных ресурсов;
2) последствиянекачественного планирования, организации и реализации информатизации Субъектови Стадий обеспечения ИБ.
4.4.4.3. Следствияпроблемы:
1) самостоятельнаятехническая поддержка и обслуживание вычислительного комплекса каждогоотдельного Субъекта;
2) увеличение рискапотери информации, нарушения ее целостности и доступности;
3) снижение общихпоказателей надежности и безопасности ИС;
4) высокая вероятностьреализации угроз ИБ и, как следствие, причинение ущерба;
5) снижениеэффективности работы ИТ-подразделений (структурныхподразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.
4.4.5. Ограниченныевозможности развития ИТ-инфраструктуры.
4.4.5.1. Текущеесостояние ИТ-инфраструктуры ряда Субъектов не позволяетв необходимой степени развить вычислительные комплексы (в том числе разместитьИС с новой архитектурой и функциональными возможностями) и "гибко"применять механизмы ИБ (защиты информации).
4.4.5.2. Основныепричины существования проблемы:
1) отсутствиенеобходимых бюджетных ресурсов;
2) недостаточностькадровых ресурсов с необходимым уровнем квалификации для создания необходимой ИТ-инфраструктуры в Нижегородской области (Субъектах);
3) степень развитиярынка ИТ-продукции и ИТ-услугна момент создания ИТ-инфраструктуры;
4) не применениеперспективного планирования и прогнозирования;
5) текущие проблемы ИТ-инфраструктуры Нижегородской области;
6) последствиянекачественного планирования, организации и реализации информатизации Субъектови Стадий обеспечения ИБ.
4.4.5.3. Следствияпроблемы:
1) сложностьприменения комплексных решений ИБ (защиты информации) в Субъектах;
2) вероятностьнарушения требований действующего законодательства по ИБ (защите информации)ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защитеинформации) из-за необходимости модернизации ИТ-инфраструктуры;
3) дополнительныеинвестиции в перестройку действующих ИС и их систем ИБ (защиты информации) и,как следствие, проведение повторного цикла Стадий обеспечения ИБ снеобходимостью выделения дополнительных финансовых ресурсов;
4) снижениеэффективности работы ИТ-подразделений (структурныхподразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.
4.4.6. Отсутствиецентрализованного обслуживания и управления.
4.4.6.1. Вдеятельности Субъектов на областном и муниципальном уровнях не применяютсямеханизмы обслуживания и управления из единого центра, которые бы позволилиосуществлять контроль и мониторинг за безопасным функционированием ИССубъектов, применением мер ИБ (защиты информации).
4.4.6.2. Основныепричины существования проблемы:
1) недостаточноефинансирование расходов на поддержание мощного ресурса централизованногообслуживания и управления на областном и муниципальном уровнях;
2) недостаточностькадровых ресурсов с необходимым уровнем квалификации для осуществленияобслуживания и управления из единого центра;
3) текущие проблемы ИТ-инфраструктуры Нижегородской области;
4) рассогласованностьмежведомственных интересов;
5) последствиянекачественного планирования, организации и реализации информатизации Субъектови Стадий обеспечения ИБ.
4.4.6.3. Следствияпроблемы:
1) снижениеэффективности работы ИТ-подразделений (структурныхподразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области;
2) увеличениесовокупной стоимости владения ИТ-инфраструктурой.
4.5. ОЦЕНКА ПРОБЛЕМОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.5.1. В Таблице 1подраздела 4.5 раздела IV настоящей Концепции приведена общая оценкавышеуказанных проблем по их степени значимости (критичности) для системы ИБНижегородской области. Применена следующая система оценки по возрастаниюстепени значимости (критичности) проблем для системы ИБ Нижегородской области:
| 1 балл: | Существование данной проблемы в наименьшей степени оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области |
| 2 балла: | Существование данной проблемы оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области, но может в быстрой степени перекрываться проведением дополнительных мероприятий |
| 3 балла: | Существование данной проблемы в средней степени оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области и может быть исключено проведением дополнительных мероприятий |
| 4 балла: | Существование данной проблемы приближает уровень ИБ Нижегородской области к критическому значению и сопровождается негативным и последствиями в степени выше среднего |
| 5 баллов: | Существование данной проблемы указывает на максимальный уровень критичности (значимости), сильно сказывается на уровне ИБ Нижегородской области и на успешном развитии системы ИБ Нижегородской области, а также может привести к значительному ущербу при реализации угроз ИБ |
Таблица 1
| Наименование проблем | Оценка в баллах | ||||
|
| 1 | 2 | 3 | 4 | 5 |
| ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ ВСЕХ СТАДИЙ | |||||
| Отсутствие должностей штатных специалистов по ИБ |
|
|
|
| V |
| Назначение на должности нештатных специалистов по ИБ сотрудников иных профилей деятельности |
| V |
|
|
|
| Частая ротация назначенных специалистов по ИБ |
| V |
|
|
|
| Недостаточная квалификация назначенных специалистов по ИБ |
|
|
| V |
|
| Недостаточная образовательная база в Нижегородской области | V |
|
|
|
|
| Формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ |
|
|
|
| V |
| Отсутствие единого ИТ-центра реализации Стадий обеспечения ИБ |
|
|
| V |
|
| Отсутствие контроля всех Стадий обеспечения ИБ |
|
|
|
| V |
| Отсутствие достаточной отчетности |
|
|
| V |
|
| Отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ |
|
| V |
|
|
| ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ РАЗНЫХ СТАДИЙ | |||||
| 1 Стадия: | |||||
| Динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации) |
|
|
| V |
|
| Отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ |
|
|
| V |
|
| Сложность применения регулирующих норм назначенными специалистами по ИБ |
|
|
|
| V |
| Несогласованность разработки правовых актов в сфере ИБ (защиты информации) |
|
|
|
| V |
| 2 Стадия: | |||||
| Подготовка некорректных документов для реализации мероприятий по обеспечению ИБ |
|
|
|
| V |
| Отсутствие централизованного подхода при проведении однотипных мероприятий по обеспечению ИБ |
| V |
|
|
|
| Корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ |
|
| V |
|
|
| Не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ |
|
| V |
|
|
| Не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством |
|
|
|
| V |
| 3 Стадия: | |||||
| Отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ |
|
|
|
| V |
| Приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества |
|
|
|
| V |
| Закупка однотипных средств защиты информации и ИТ-услуг по различным ценам |
|
| V |
|
|
| Недостаточная квалификация специализированных организаций, лицензиатов, посреднических организаций, реализующих мероприятия по обеспечению ИБ |
|
|
|
| V |
| Не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение |
|
|
|
| V |
| Отсутствие должного внутреннего контроля |
|
|
|
| V |
| Низкая эффективность внутренней системы ИБ Субъектов |
|
|
|
| V |
| ПРОБЛЕМЫ ИТ-ИНФРАСТРУКТУРЫ | |||||
| Устаревшее ИТ-оборудование, программное обеспечение |
|
|
|
| V |
| Разнородная аппаратно-программная среда |
|
|
|
| V |
| Программные продукты с закрытым кодом |
|
|
| V |
|
| Отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД) |
|
|
|
| V |
| Ограниченные возможности развития ИТ-инфраструктуры |
|
|
|
| V |
| Отсутствие централизованного обслуживания и управления |
|
|
| V |
|
4.5.2. Проблемы Стадий обеспечения ИБ создают барьеры, в том числеискусственные, не только для функционирования самих Субъектов и выполнения имимероприятий по обеспечению ИБ, но и для развития отношений с субъектами сферыИБ Нижегородской области, а их существование свидетельствует о необходимостисовершенствования действующей в Нижегородской области правовой и техническойбаз и развития системы ИБ Нижегородской области.
Схема 2
V. СОДЕРЖАНИЕ РАЗВИТИЯСИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИНИЖЕГОРОДСКОЙ ОБЛАСТИ
5.1.ОБЩИЕ ПОЛОЖЕНИЯ
5.1.1. Анализ текущихпроблем (недостатков), описание структурных элементов системы ИБ Нижегородскойобласти показывают, что текущая система на сегодняшний день использует свойпотенциал не в полную силу и требует развития.
5.1.2. Основной идеейразвития является создание условий более высокого уровня для функционированиясистемы ИБ Нижегородской области, а именно: совокупности норм, процедур иправил, обеспечивающих единый цикл организации мероприятий по обеспечению ИБ ирегулирующих отношения на разных Стадиях обеспечения ИБ. Целью являетсяисполнение Субъектами на необходимом в соответствии с действующимзаконодательством уровне требований по ИБ (защите информации), нейтрализацияугроз ИБ (защиты информации) и общее повышение качества обеспечения ИБ за счетреализации системного подхода к мероприятиям по обеспечению ИБ.
5.1.3. Общая идея системного подхода заключается в необходимостиреализации субъектами системы ИБ Нижегородской области каждой Стадииобеспечения ИБ сообщав целях обеспечения ими минимизации риска приобретениянекачественной и (или) незащищенной продукции (средств защиты информации, ИС ипр.) и обслуживания, и его отрицательного воздействия, получения максимальнойвыгоды (качества, результата) от реализации мероприятий по обеспечению ИБ приудовлетворении потребностей структур обеспечения системы ИБ Нижегородскойобласти в части получения ими выгоды от реализации продукции (средств защитыинформации, ИС и пр.), расширения рынка сбыта (оказания услуг, выполненияработ), повышения престижа и доверия. Субъектам необходимо исключить формальныйподход к вопросам ИБ.
5.1.4. Содержаниеразвития системы ИБ Нижегородской области определяется направлениями изадачами, направленными на достижение целей защиты и нейтрализации угроз ИБ(безопасности информации). Стратегические направления и текущие задачиформируются с учетом интересов Нижегородской области в сфере ИБ.
5.1.5. Приоритетныенаправления развития и задачи могут находить детальное отражение в актахГубернатора Нижегородской области и Правительства Нижегородской области,головных подразделений по защите информации и Субъектов, могут корректироватьсяи дополняться при необходимости и с учетом выявления изменений в угрозахИБ.
5.2. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИОБЪЕКТОВ ЗАЩИТЫ
5.2.1. В частиобеспечения безопасности объектов защиты Субъектов, как уже созданных(эксплуатируемых), так и создаваемых на территории Нижегородской области,определены следующие приоритетные направления и задачи развития.
5.2.2. Направление 1 -повышение уровня профессиональной подготовки.
5.2.2.1. Учитывая, чтоосновной причиной недостатков в системе ИБ Нижегородской области являетсянедостаточный уровень укомплектованности и подготовленности назначенныхспециалистов по ИБ, следует, что профессиональная компетентность такихспециалистов позволяет повысить эффективность проведения мероприятий пообеспечению ИБ и уровень защищенности (ИБ) Нижегородской области, обеспечитьчеткое выполнение и соблюдение норм в сфере ИБ. Важно совершенствовать уровеньподготовки специалистов по ИБ. Необходимо двигаться в направлении по исключениюошибок, источником которых является человеческий фактор.
5.2.2.2. Определеныследующие основные задачи в рамках данного направления:
1) вкачестве постоянной меры: осуществление централизованной подготовки назначенныхспециалистов по ИБ путем проведения для них специалистами головныхподразделений по защите информации семинаров-консультаций по темампланирования, организации и реализации мероприятий по обеспечению ИБ (далее -семинары-консультации), в том числе через единую информационную систему по ИБ,создаваемую в соответствии с пунктом 5.2.9.3 подраздела 5.2 раздела V настоящейКонцепции (далее - ИАС), в целях исключения ошибок данных группСубъектов на всех Стадиях обеспечения ИБ;
2) в качествепериодической меры:
2.1) осуществлениеподготовки специалистов по ИБ по профильной учебной программе, согласованнойФСТЭК России и (или) ФСБ России, в рамках курсов повышения квалификации и (или)профессиональной переподготовки, а также с применением дистанционного форматаобучения для специалистов ОМСУ, удаленных от Нижнего Новгорода;
2.2) привлечениетерриториальных органов (управлений) федеральных органов исполнительной власти,уполномоченных в вопросах обеспечения безопасности, противодействия иностраннымтехническим разведкам и защиты информации, к участию в семинарах-консультациях;
2.3) привлечениеспециалистов других субъектов Российской Федерации к участию всеминарах-консультациях в целях обмена опытом по реализации мероприятийобеспечению ИБ;
2.4) разработкаголовными подразделениями по защите информации авторских обучающих курсов дляспециалистов по ИБ;
3) становление группыпрофессионалов в сфере ИБ: создание объединений специалистов в сфере ИБ(объединение в единую группу квалифицированных специалистов и специалистов,которым не хватает квалификации, реализация централизованного профессиональногоразрешения возникающих проблем с принятием единых решений и значительноеповышение уровня правовой культуры назначенных специалистов), в том числе черезИАС;
4) развитиеобразовательной базы на территории Нижегородской области, реализующей разноуровневое обучение по направлению "ИБ (защитаинформации)" через проведение курсов повышения квалификации,переподготовки и получения высшего профессионально образования, в том числечерез реализацию направления целевой контрактной подготовки.
5.2.2.3. Полностью иличастично решаемые проблемы:
1) частая ротация назначенных специалистов поИБ;
2) недостаточная квалификация назначенныхспециалистов по ИБ;
3) формальное отношение к планированию,организации и реализации мероприятий по обеспечению ИБ;
4) отсутствие четкой и (или) наличие слабойструктуры организации процесса обеспечения ИБ;
5) недостаточная образовательная база вНижегородской области;
6) несогласованность разработки актов в сфереИБ (защиты информации);
7) подготовка некорректных документов дляреализации мероприятий по обеспечению ИБ;
8) корректировка Головным подразделением поТЗИ документов на мероприятия по обеспечению ИБ;
9) не соблюдение процедур, направленных навыбор поставщика (исполнителя, подрядчика) для реализации мероприятий пообеспечению ИБ;
10) не соблюдение процедур обеспечения ИБ,регламентированных действующим законодательством;
11) отсутствие, недостаточная оснащенность и(или) несвоевременное приобретение необходимых средств защиты, документов поИБ;
12) приобретение ненужных средств защитыинформации (работ, услуг) и (или) их избыточного количества;
13) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение;
14) отсутствие должного внутреннего контроля.
5.2.3. Направление 2 -развитие КСПД.
5.2.3.1. Ввидууспешного и выгодного использования ОИВ и рядом ОМСУ КСПД необходимо приобщатьк ее ресурсам неподключенные ОМСУ, подведомственные Органам организации (приналичии необходимости).
5.2.3.2. Определеныследующие основные задачи в рамках данного направления:
1) подключение к КСПД:
- неподключенных ОМСУНижегородской области;
- подведомственныхОрганам организаций (при наличии необходимости);
- организаций,содержащих экономически и стратегически важную информацию;
2) определение перечняподключаемых ОМСУ и Организаций. Подключение осуществляется через узлы доступак КСПД Органов в случае подключения подведомственной им организации.
5.2.3.3. Реализуемыепреимущества:
1) повышениебезопасности ИС (сетей связи) ОМСУ и подведомственных Органам организаций,содержащих экономически и стратегически важную информацию;
2) безопасность ИСОМСУ и подведомственных Органам организаций при осуществлении международногоинформационного обмена посредством ИС, сетей и сетей связи, включаяинформационно-телекоммуникационную сеть "Интернет";
3) создание цельногозащищенного пространства при передаче информации ограниченного доступа средибюджетных учреждений Нижегородской области, реализующих государственные функции;
4) обеспечениенеобходимого уровня защиты каналов связи при передаче информации междуСубъектами.
5.2.4. Направление 3 -централизация мероприятий по обеспечению ИБ.
5.2.4.1. Соединение водном Субъекте функций, исполняемых им в части ИБ, приводит к егофункциональной перегрузке и снижает эффективность исполнения его профильныхгосударственных (муниципальных) функций. А ввиду отсутствия достаточного числавысококвалифицированных и опытных специалистов по ИБ на сегодняшний день вНижегородской области, и слабой возможности сосредоточить в каждом Субъектепрофессионалов в сфере ИБ (защиты информации), необходимо проводить мероприятияпо выстраиванию механизма централизации реализации Стадий обеспечения ИБ набазе существующих головных подразделений по защите информации.
5.2.4.2. Определеныследующие основные задачи в рамках данного направления:
1) выстраиваниеполноценной централизованной организационно-функциональной структуры всоответствии с пунктом 5.2.4.3 подраздела 5.2 раздела V настоящей Концепции;
2) централизация ИТ-инфраструктуры в соответствии с пунктом 5.2.4.4подраздела 5.2 раздела V настоящей Концепции;
3) лицензированиеорганизации в соответствии с пунктом 5.2.4.5 подраздела 5.2 раздела V настоящейКонцепции.
5.2.4.3. Задача 1 -выстраивание полноценной централизованной организационно-функциональнойструктуры.
5.2.4.3.1.Масштабность, сложность и разнообразие функций системы ИБ Нижегородской областитребуют упрочнения иерархической организационной структуры, обеспечивающейдолжное функционирование ряда составляющих системы ИБ Нижегородской области.Вопрос организации внутренней организационно-функциональной структуры Субъектови повышение качества работы их отдельных структурных подразделений(специалистов, задействованных в процессах использования объектов защиты иобеспечения их безопасности) является актуальным.
5.2.4.3.2. В рамкахданного направления определена необходимость усиления системы ИБ Нижегородскойобласти за счет развития текущей системы ИБ Нижегородской области путемреализации следующих основных подзадач в рамках данной задачи:
1) придание головнымподразделениям по защите информации и ряду Органов роли уполномоченного органа(далее - Уполномоченный орган). Уполномоченный орган - этоОИВ или ОМСУ, уполномоченный на осуществление части функций по обеспечению ИБ и(или) построению ИТ-инфраструктуры для других Субъектов своего уровня власти иподчиненности, передаваемых по соответствующему соглашению и (или) правовомуакту, не противоречащих действующему законодательству (централизованная формаобеспечения ИБ), и включающих в себя правовые, организационные и (или)технические мероприятия в рамках планирования, организации и (или) реализациимероприятий по обеспечению ИБ (далее - Уполномоченный орган областногоуровня (для ОИВ), Уполномоченный орган муниципального уровня (для ОМСУ));
2) усиление позицииГоловного подразделения по ТЗИ как Уполномоченного органа (специализированнойструктуры) в части наделения его следующими дополнительными полномочиями поотношению к Субъектам (областного и муниципального уровней (по согласованию)),а именно:
2.1) в частипланирования и прогнозирования:
- комплексное(стратегическое и оперативное) управление системой (мероприятиями) ИБНижегородской области;
- формирование ипериодическая актуализация сводных перечней объектов защиты каждого Субъекта вцелях определения наиболее важных и уязвимых объектов защиты Субъектов;
- комплексноепрогнозирование мероприятий по обеспечению ИБ и расходов на их реализацию;
- согласование плановмероприятий по обеспечению ИБ с установленными приоритетами и стратегическимипланами развития нижегородской (российской) технологической базы, с программамиразвития Нижегородской области;
- определениеприоритетов обеспечения ИБ Нижегородской области, включающих переченьмероприятий, которые должны быть проведены в первую очередь и для реализациикаких функций в определенных прикладных сферах деятельности;
2.2) в частиорганизации:
- обеспечениевзаимодействия разных субъектов системы ИБ Нижегородской области между собой, втом числе, в целях стабилизации и инновационного развития Нижегородскойобласти;
- обобщение информацииоб однотипном спросе, формируемом разными Субъектами как заказчикамимероприятий по обеспечению ИБ в части закупки продукции (средств защиты информации),работ и услуг по обеспечению ИБ (защите информации);
- оказание помощиОрганам в разработке технических заданий (проектов) на системы защитысоздаваемых (модернизируемых) ИС, системы защиты иных объектов защиты Субъектовдо направления их на экспертизу и согласование в установленном порядке;
2.3) в частиреализации:
- управление рискамипри осуществлении мероприятий по обеспечению ИБ;
- централизованныймониторинг и контроль обеспечения ИБ в соответствии с пунктом 5.2.9.4подраздела 5.2 раздела V настоящей Концепции;
- контроль в рамкахсвоей компетенции за централизацией мероприятий по обеспечению ИБ, выполнениемСтадий обеспечения ИБ;
- участие в качествечленов комиссий в контрольных проверках подведомственных Органам организацийсовместно с Органами;
- участие в качествечленов комиссий, создаваемых Субъектами, для реализации мероприятий пообеспечению ИБ;
- осуществлениенеобходимых мер по защите Субъектов от проникновения к ним некачественныхинформационных продуктов и средств защиты информации в рамках своейкомпетенции;
4)организационное выделение деятельности по ИБ (защите информации) всамостоятельную службу (отдел, подразделение) Субъекта или выделениесоответствующих штатных должностей (штатных единиц) по ИБ (защите информации) вСубъекте вместо вынужденного наделения соответствующими полномочиями (содновременным закреплением ответственности за их реализацию) сотрудника илигруппы сотрудников, которые отвечали бы за действия по ИБ (защите информации) вдополнение к своим прямым обязанностям иного профиля;
5)назначение в Субъектах специалистов, ответственных за направлениеинформатизации, в дополнение к должности локальных (системных) администраторови специалистов по ИБ в целях комплексного проведения работ по обеспечению ИБ(защите информации) и согласованности действий каждой из указанных группспециалистов, а также согласование специалистами по ИБ технических заданий ипроектов на создание (модернизацию) ИС и иных объектов защиты Субъекта в случаеих разработки специалистом по информатизации и (или) локальным(системным) администратором;
6) разделение функцийпо защите информации, не отнесенной к государственной тайне, и по защитеинформации, содержащей сведения, составляющие государственную тайну, междуразными специалистами по ИБ Субъекта;
7) систематическоепривлечение специалистами по ИБ Субъектов к участию в мероприятиях пообеспечению ИБ своих сотрудников, задействованных в процессах по использованию(созданию) объектов защиты, в целях комплексного проведения работ по обеспечениюИБ (защите информации) и согласованности действий каждой из указанных группспециалистов;
8) проведениемероприятий (создание мотивационных рычагов влияния), направленных напривлечение и удержание специалистов по ИБ в Субъектах;
9) усиление координирующей,методической, контрольной роли структурных подразделений (специалистов) по ИБОрганов по вопросам обеспечения ИБ (защиты информации) в отношенииподведомственных им организаций.
5.2.4.3.3. Полностью или частичнорешаемые проблемы:
1) отсутствие должностей штатных специалистовпо ИБ;
2) назначение на должности специалистов по ИБсотрудников иных профилей деятельности;
3) частая ротация назначенных специалистов поИБ;
4) отсутствие контроля всех Стадий обеспеченияИБ;
5) отсутствие достаточной отчетности;
6) отсутствие четкой и (или) наличие слабойструктуры организации процесса обеспечения ИБ;
7) отсутствие актуальной системы текущего иперспективного планирования, прогнозирования мероприятий по обеспечению ИБ;
8) подготовка некорректных документов дляреализации мероприятий по обеспечению ИБ;
9) корректировка Головным подразделением поТЗИ документов на мероприятия по обеспечению ИБ;
10) не соблюдение процедур, направленных на выборпоставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечениюИБ;
11) не соблюдение процедур обеспечения ИБ,регламентированных действующим законодательством;
12) отсутствие, недостаточная оснащенность и(или) несвоевременное приобретение необходимых средств защиты, документов поИБ;
13) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение;
14) отсутствие должного внутреннего контроля;
15) закупка однотипных средств защиты информациии ИТ-услуг поразличным ценам;
16) устаревшее ИТ-оборудование,программное обеспечение;
17) разнородная аппаратно-программная среда;
18) программные продукты с закрытым кодом;
19) ограниченные возможности развития ИТ-инфраструктуры.
5.2.4.4. Задача 2 -централизация ИТ-инфраструктуры.
5.2.4.4.1. Ввидураспределенного размещения ИС Нижегородской области в ряде случаев на разном посвоим техническим и функциональным параметрам оборудовании без необходимыхзащитных мер при эксплуатации необходимо двигаться в направлении посвоевременному решению вопроса повышения централизованной управляемости ИС иприменения единого механизма обеспечения защиты информации.
5.2.4.4.2. Определеныследующие основные подзадачи в рамках данной задачи:
1) совершенствованиеинфраструктуры единого защищенного информационного пространства Нижегородскойобласти путем построения (развития) защищенного центра обработки данныхПравительства Нижегородской области на базе ЦОД Головного подразделения по ТЗИи (или) ЦОД иных ОИВ в целях обеспечения накопления, сохранности и эффективногоиспользования объектов защиты;
2) включение локальныхи совместно используемых средств вычислительной техники - центров обработкиданных (серверных помещений), в единую ИТ-инфраструктуру хранения и обработки данных. Формирование централизованной ИТ-инфраструктуры, исходя изкритерия совокупного сокращения бюджетных расходов Субъектов на закупки иаренду аппаратного оборудования. Учет особенностей территориальногорасположения Субъектов и уровень проникновения каналов связи, пригодных дляиспользования удаленного центра обработки данных. Развитие интегрированнойвычислительной и сетевой среды, совместно используемой Субъектами;
3) выстраиваниемеханизма безопасного функционирования ИС Субъектов на базе центра обработкиданных Правительства Нижегородской области;
4) обеспечениеГоловного подразделения по ТЗИ необходимыми трудовыми и финансовыми ресурсамидля поддержания бесперебойного функционирования центраобработки данных Правительства Нижегородской области;
5) предоставление ресурсов центра обработкиданных Правительства Нижегородской области для размещения ИС Субъектов,не подразумевающее под собой абсолютный перенос всех ИС и ИР Субъектов в ЦОДГоловного подразделения по ТЗИ. Стоит проводить разумную грань при принятии техили иных решений, оценивая риски и угрозы ИБ для каждого конкретного случая.
5.2.4.4.3. Реализуемыепреимущества:
1) достаточно гибкая имощная ИТ-инфраструктура центра обработки данныхПравительства Нижегородской области в сравнении с ИТ-инфраструктуройкаждого отдельного Субъекта, что дает дополнительные преимущества:
- обеспечиваетсяконсолидация и эффективное использование вычислительных ресурсов и данных,входящих в состав информационного обеспечения ИС;
- обеспечиваетсярешение конкретных текущих и перспективных задач, порождаемых изменяющимися и возникающимиадминистративными процессами;
- упрощается решениезадач по обеспечению безопасности, достоверности и целостности данных;
2) консолидацияресурсов для создания полноценной защищенной ИТ-инфраструктурыв целях проведения мероприятий по обеспечению ИБ, в том числе размещения ИССубъектов;
3) унификацияинформационного (программного, технического) обеспечения;
4) оперативноеуправление ИР, ИС Субъектов;
5) проведение единойполитики в сфере ИБ Нижегородской области при разработке, внедрении, эксплуатациии совершенствовании ИС Субъектов;
6) обеспечение всоответствии с требованиями действующего законодательства необходимого уровняИБ;
7) построениеобъединенных хранилищ данных (централизация данных в пределах единой ИТ-инфраструктуры центра обработки данных ПравительстваНижегородской области).
5.2.4.4.4. Полностьюили частично решаемые проблемы:
1) частая ротация назначенных специалистов поИБ;
2) отсутствие, недостаточная оснащенность и(или) несвоевременное приобретение необходимых средств защиты, документов поИБ;
3) приобретение ненужных средств защитыинформации (работ, услуг) и (или) их избыточного количества;
4) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение;
5) разнородная аппаратно-программная среда;
6) отсутствие средств централизованногоуправления серверным оборудованием и централизованных высоконадежных хранилищданных (СХД);
7) ограниченные возможности развития ИТ-инфраструктуры;
8) отсутствие централизованного обслуживания иуправления.
5.2.4.5. Задача 3 -лицензирование организации, осуществляющей комплекс работ по обеспечению ИБ(защиты информации, не отнесенной к государственной тайне) для Субъектов.
5.2.4.5.1. Необходимо создание (поддержание) государственной бюджетной организацииили организации, в уставном (складочном) капитале которой доля (вклад)Нижегородской области составляет 50% (пятьдесят процентов) и более, ирасположенной на территории Нижегородской области, которая на основаниилицензий ФСТЭК России (ФСБ России) будет осуществлять комплекс работ пообеспечению ИБ (защиты информации, не отнесенной к государственной тайне) дляСубъектов, на осуществление которых требуется специальное право (лицензия).
5.2.4.5.2.Преимущества:
1) контроль указаннойорганизации и ее ресурсов со стороны ПравительстваНижегородской области, головных подразделений по защите информации;
2) быстрое(упрощенное, своевременное) взаимодействие указанной организации с ОИВ игосударственными бюджетными учреждениями Нижегородской области в процессеобеспечения ИБ;
3) сосредоточениеединых ресурсов для обеспечения ИБ в Субъектах в одной указанной организации;
4) возврат вложенных вуказанную организацию бюджетных средств за счет поступления налогов отдеятельности указанной организации в областной бюджет.
5.2.4.5.3. Полностьюили частично решаемые проблемы:
1) динамика курса мировых валют и стоимоститоваров, работ, услуг в сфере ИБ (защиты информации);
2) недостаточная квалификацияспециализированных организаций, лицензиатов, посреднических организаций,реализующих мероприятия по обеспечению ИБ;
3) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение.
5.2.5. Направление 4 -использование в деятельности Субъектов продуктов и услугроссийских ИТ-компаний и облачных технологий.
5.2.5.1. В рамкахданного направления необходимо осуществлять переход на использование вдеятельности Субъектов продуктов и услуг только российских компаний, на базекоторых обеспечивать внедрение разнопрофильныхпрограмм и ИС Нижегородской области, а также на приоритетное использованиероссийских облачных технологий при эксплуатации ИС, ИР. Необходимо стремится котказу в использовании Субъектами зарубежных средств защиты информации иинформатизации по мере создания конкурентоспособных нижегородских (российских)средств защиты информации, средств информатизации.
5.2.5.2. Определеныследующие основные задачи в рамках данного направления:
1) развитиенижегородского производства аппаратных и программных средств защиты информациив соответствии с пунктом 5.2.5.4 подраздела
5.2 раздела Vнастоящей Концепции;
2) защитанижегородских разработчиков и исполнителей в соответствии с пунктом 5.2.5.5подраздела 5.2 раздела VнастоящейКонцепции;
3) при соблюдении нормдействующего законодательства в сфере закупок и защиты конкуренции, а также сучетом материалов и информации, предоставленных федеральным уровнем,рассмотрение вопроса о возможности разработки и издания на областном уровнеправовых актов (программ, планов), направленных на переход на использование вдеятельности Субъектов продуктов и услуг только российских ИТ-компаний;
4) вслучае использования облачных технологий необходимо обращать внимание наоказание услуг облачных вычислений российскими юридическими лицами, облачнаяинфраструктура которых находится на территории Российской Федерации, ипреимущественно Нижегородской области, на наличие законных прав у таких лиц дляоказания данных услуг, а также на обязательность соблюдения и обеспечения приоказании данных услуг законодательно установленных требований по ИБ.
5.2.5.3. Полностью иличастично решаемые проблемы: вероятные угрозы при использовании иностранныхразработок, содержащих элементы, подрывающие ИБ Нижегородской области(Субъектов, их объектов защиты).
5.2.5.4. Задача 1 -развитие нижегородского производства аппаратных и программных средств защитыинформации.
5.2.5.4.1. Необходиморазвивать нижегородское производство аппаратных и программных средств защитыинформации в целях решения угроз безопасности информации, которые могут возникнутьпри переходе на полноценное использование центра обработки данных ПравительстваНижегородской области, и не перекроются существующими российскими илииностранными разработками.
5.2.5.4.2. Определеныследующие основные подзадачи в рамках данной задачи:
1) взаимодействиеголовных подразделений по защите информации по вопросам разработки ипроизводства аппаратных и программных средств защиты информации с УФСБ России по НО и УФСТЭК России по ПФО, научно-исследовательскимиинститутами (разработчиками) и иными органами и организациями федеральногоуровня при необходимости;
2) обеспечениегосударственной поддержки нижегородских разработок в сфере защиты информации;
3) приоритетнаяопытная эксплуатация Нижегородской областью новейших разработок, созданных позаказу Нижегородской области, в рамках пилотныхпроектов.
5.2.5.4.3. Полностьюили частично решаемые проблемы:
1) динамика курса мировых валют и стоимоститоваров, работ, услуг в сфере ИБ (защиты информации);
2) отсутствие, недостаточная оснащенность и(или) несвоевременное приобретение необходимых средств защиты, документов поИБ;
3) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение.
5.2.5.5. Задача 2 -защита нижегородских разработчиков и исполнителей.
5.2.5.5.1. Необходиморазвивать систему ИБ Нижегородской области как инструмент проведения политикипо защите нижегородских разработчиков и исполнителей как участников рынка.
При соблюдении нормдействующего законодательства в сфере закупок и защиты конкуренции необходиморассмотреть возможность разработки и издания на областном уровне правовыхактов, определяющих меры, направленные на развитие данного направления (решениевышеуказанных подзадач).
5.2.5.5.3.Преимущества:
1) стимулированиеразвития территории Нижегородской области в разных направлениях и созданиеновых рабочих мест;
2)оправданные финансовые показатели за счет перераспределения отчислений вбюджет: прибыль, получаемая нижегородскими (российскими) разработчиками иисполнителями в рамках реализации мероприятий по обеспечению ИБ, возвращается ввиде налоговых поступлений, а финансирование зарубежных разработок представляетсобой инвестиции в экономику других стран, поскольку свободный доступиностранных разработок на нижегородский (российский) рынок ведет к снижениюнационального дохода и налогооблагаемой базы нижегородских (российских)компаний;
3) своевременноереагирование исполнителей на проблемы Субъектов как заказчиков мероприятий пообеспечению ИБ.
5.2.5.5.4. Полностьюили частично решаемые проблемы:
1) динамика курса мировых валют и стоимоститоваров, работ, услуг в сфере ИБ (защиты информации);
2) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение.
5.2.6. Направление 5 -развитие технологической и материально-технической баз.
5.2.6.1. В целяхпредотвращения и нейтрализации угроз ИБ, а также проблем обеспечения ИБ врамках данного направления необходимо решать следующие основные задачи:
1) модернизациясистемной инфраструктуры в соответствии с пунктом 5.2.6.3 подраздела 5.2раздела V настоящей Концепции;
2) модернизациябазовой программно-технологической инфраструктуры в соответствии с пунктом5.2.6.4 подраздела 5.2 раздела V настоящей Концепции;
3) модернизацияприкладной программно-технологической инфраструктуры в соответствии с пунктом5.2.6.5 подраздела 5.2 раздела V настоящей Концепции;
4) обязательноеоснащение объектов защиты Субъектов в законодательно предусмотренных случаяхсовременными (обновленными) сертифицированными средствами защиты информации (втом числе средствами контроля эффективности защиты информации);
5) приоритетноеиспользование сертифицированного общего и специального программного обеспеченияпри обработке защищаемой информации.
5.2.6.2. Полностью иличастично решаемые проблемы:
1) устаревшее ИТ-оборудование,программное обеспечение;
2) разнородная аппаратно-программная среда;
3) программныепродукты с закрытым кодом;
4) отсутствие средств централизованногоуправления серверным оборудованием и централизованных высоконадежных хранилищданных (СХД);
5) ограниченные возможности развития ИТ-инфраструктуры;
6) отсутствие централизованного обслуживания иуправления.
5.2.6.3. Задача 1 -модернизация системной инфраструктуры.
Определены следующиеосновные подзадачи в рамках данной задачи:
1) постепенная заменатехнически и морально устаревшей вычислительной техники Субъектов, используемойна рабочих местах пользователей ИС, при возможности соблюдения единообразныхтребований к ней;
2) исполнениеподзадачи построения (развития) центра обработки данных ПравительстваНижегородской области в рамках задачи пункта 5.2.4.4 подраздела 5.2 раздела Vнастоящей Концепции с рациональной стоимостью и потенциалом к масштабированиювычислительных ресурсов и хранилищ данных, а также последовательное расширениеего конфигурации по мере модернизации прикладной и базовойпрограммно-технологической инфраструктуры.
5.2.6.4. Задача 2 -модернизация базовой программно-технологической инфраструктуры.
Определены следующиеосновные подзадачи в рамках данной задачи:
1) замена компонентоврабочего окружения пользователей по мере переоборудования их рабочих мест, помере модернизации прикладной программно-технологической инфраструктуры;
2) определение правилмежсистемного защищенного взаимодействия для интеграции прикладных ИС.
5.2.6.5. Задача 3 -модернизация прикладной программно-технологической инфраструктуры.
Определенанеобходимость постепенного и поэтапного перевода существующих прикладных ИС нановые технологии функционирования при одновременном расширении области охватаделовых процессов, а также интеграции этих ИС. Для определения приоритетныхнаправлений разработки следует использовать следующую схему качественныхкритериев:
1) область охвата:область охвата деловых процессов Субъектов с учетом их значимости и текущегоуровня автоматизации;
2) универсальность:оценка возможности использования ИС другими Субъектами при ее минимальнойадаптации;
3) уровеньспециализации: оценка возможности использования ИС или ее компонент дляавтоматизации других областей деятельности Субъектов(потенциалк расширению области действия ИС);
4) ресурсоемкость:оценка временных и финансовых ресурсов, необходимых для реализации иэксплуатации ИС;
5) актуальность:оценка длительности жизненного цикла ИС, исходя из динамики изменения структурыделовых процессов Субъектов, в том числе прогнозируемой в связи с внедрениемдругих прикладных ИС.
При использованииданной схемы предпочтения должны отдаваться ИС с максимальными:охватом деловых процессов, универсальностью, актуальностью и минимальными:ресурсоемкостью и уровнем специализации, при этом должны соблюдаться принципыобеспечения ИБ (построения систем защиты), указанные в подразделе 5.5 раздела Vнастоящей Концепции, в части создания (модернизации) ИС в защищенномисполнении.
5.2.7. Направление 6 -развитие правовой и методической базы.
5.2.7.1. В рамкахданного направления необходимо продолжать:
1) формироватьактуальную правовую базу, регламентирующую права, обязанности и ответственностьвсех внутренних субъектов системы ИБ Нижегородской области, а такжевзаимодействие с внешними субъектами системы ИБ Нижегородской области прирешении вопросов ИБ (защиты информации);
2) совершенствоватьконцептуальные и правовые основы функционирования систем защиты (ИБ)Нижегородской области, Субъектов и объектов защиты.
5.2.7.2. Определеныследующие основные задачи в рамках данного направления:
1) формированиегосударственной программы Нижегородской области и планов ИБ (защиты информации)в соответствии с пунктом 5.2.7.3 подраздела 5.2 раздела V настоящей Концепции;
2) формированиетиповых документов по ИБ (защите информации) в соответствии с пунктом 5.2.7.4подраздела 5.2 раздела V настоящей Концепции;
3) приведение правовыхактов Субъектов в соответствие с действующим законодательством и Концепцией:
- издание правовыхактов и методических документов по ИБ (защите информации), конкретизирующих идополняющих акты федерального уровня и Концепцию, и обеспечение ими Субъектов;
- отмена (изменение)документов по ИБ, содержащих не актуальные сведения.
5.2.7.3. Задача 1 -формирование государственной программы Нижегородской области и планов ИБ(защиты информации).
5.2.7.3.1. Необходимоцентрализовано закреплять мероприятия по обеспечению ИБ в документе, отражающемприоритетные направления в планировании, организации и реализации мероприятийпо обеспечению ИБ. Документ позволит продолжить формирование единой политики вразвитии цельной системы ИБ Нижегородской области и соблюдать требованиядействующего законодательства на высоком уровне.
5.2.7.3.2. Определеныследующие основные подзадачи в рамках данной задачи:
1) разработка иутверждение государственной программы Нижегородской области в сфере ИБ (защитыинформации), объединяющей усилия Субъектов и коммерческих структур в развитиицельной системы ИБ Нижегородской области (допустимо включение в существующиегосударственные программы информатизации);
2) разработкаголовными подразделениями по защите информации и представление на рассмотрениеГубернатором Нижегородской области, Председателем Правительства сводных плановИБ (защиты информации);
3) ежегоднаяактуализация (при необходимости) государственной программы ИБ (защитыинформации) в части реализации приоритетных направлений и задач развития всоответствии с Концепцией.
5.2.7.3.3. Полностьюили частично решаемые проблемы:
1) формальное отношение к планированию,организации и реализации мероприятий по обеспечению ИБ;
2) отсутствие актуальной системы текущего иперспективного планирования, прогнозирования мероприятий по обеспечению ИБ;
3) не соблюдение процедур обеспечения ИБ,регламентированных действующим законодательством;
4) не выполнениемероприятий по обеспечению ИБ или их несвоевременное и некачественноеисполнение.
5.2.7.4. Задача 2-формирование типовых документов по ИБ (защите информации).
5.2.7.4.1. В связи ссуществованием проблем в системе ИБ Нижегородской области, связанных счеловеческим фактором, и в целях оказания координационной, методической помощиспециалистам по ИБ Субъектов необходимо осуществлять мероприятия поформированию комплектов (форм) типовых документов по ИБ (защите информации),необходимых в деятельности таких специалистов.
5.2.7.4.2. Определеныследующие основные подзадачи в рамках данной задачи:
1) определениеголовными подразделениями по защите информации совместно с Субъектами потребностив разработке тех или иных видов типовых документов по ИБ (защите информации)для Субъектов;
2)разработка и утверждение в рамках своей компетенции головными подразделениямипо защите информации совместно с территориальными органами (управлениями)федеральных органов исполнительной власти, уполномоченными в вопросахобеспечения безопасности, противодействия иностранным техническим разведкам изащиты информации, типовых документов по ИБ (защите информации) для Субъектов вцелях повышения качества их самостоятельной работы по обеспечению ИБ (защитеинформации);
3)актуализация в рамках своей компетенции головными подразделениями по защитеинформации совместно с территориальными органами (управлениями) федеральныхорганов исполнительной власти, уполномоченными в вопросах обеспечениябезопасности, противодействия иностранным техническим разведкам и защитыинформации, и Субъектами типовых документов по ИБ (защите информации) приизменении существенных положений действующего законодательства в области ИБ(защиты информации).
5.2.7.4.3. Полностьюили частично решаемые проблемы:
1) частая ротация назначенных специалистов поИБ;
2) недостаточная квалификация назначенныхспециалистов по ИБ;
3) формальное отношение к планированию,организации и реализации мероприятий по обеспечению ИБ;
4) отсутствие четкой и (или) наличие слабойструктуры организации процесса обеспечения ИБ;
5) несогласованность разработки правовых актовв сфере ИБ (защиты информации);
6) подготовка некорректных документов дляреализации мероприятий по обеспечению ИБ;
7) корректировка Головным подразделением поТЗИ документов на мероприятия по обеспечению ИБ;
8) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение.
5.2.8. Направление 7 - координациярасходов и привлечение федеральных средств.
5.2.8.1. В рамкахданного направления необходимо координировать расходы и привлекать средствафедерального бюджета на проведение мероприятий по обеспечению ИБ вНижегородской области.
5.2.8.2. Определеныследующие основные задачи в рамках данного направления:
1) долгосрочноепланирование расходов на мероприятия по обеспечению ИБ путем реализации пункта5.2.9 подраздела 5.2 раздела V настоящей Концепции;
2) максимальнаяконсолидация потребностей Субъектов и осуществление централизованных(совместных) закупок мероприятий по обеспечению ИБ путем реализации пункта5.2.4 подраздела 5.2 раздела V настоящей Концепции;
3) привлечение средствфедерального бюджета на приоритетные мероприятия по обеспечению ИБ в Нижегородскойобласти в дополнении к средствам областного и местного бюджетов.
5.2.9. Направление 8 - создание гибкойсистемы управления системами защиты.
5.2.9.1. В рамкахданного направления необходимо создать эффективную и гибкую систему управлениясистемой ИБ Нижегородской области, системами ИБ (защиты информации) Субъектов исистемами защиты объектов защиты, а также мероприятиями по обеспечению ИБ,реализуемыми в Нижегородской области.
5.2.9.2. Определеныследующие основные задачи в рамках данного направления:
1) создание единойинформационной системы по ИБ, оператором которой будет Головное подразделениепо ТЗИ в соответствии с пунктом 5.2.9.3 подраздела 5.2 раздела V настоящейКонцепции;
2) централизованныймониторинг и контроль обеспечения ИБ в соответствии с пунктом 5.2.9.4подраздела 5.2 раздела V настоящее Концепции;
3) расширениесотрудничества в соответствии с пунктом 5.2.9.5 подраздела 5.2 раздела Vнастоящей Концепции;
4) систематическоепроведение работ по выявлению и оценке угроз безопасности информации,прогнозированию их развития, разработке актуального перечня угроз безопасностиинформации для объектов защиты (осуществляется Субъектами).
5.2.9.3. Задача 1 -создание единой информационной системы по ИБ (ИАС).
5.2.9.3.1. Дляпродуктивной работы системы ИБ Нижегородской области необходимо создание иподдерживание ИС, функционирующей в защищенном пространстве КСПД и позволяющейосуществлять мониторинг состояния систем защиты разных уровней в интересахинформационного обеспечения принятия решений по ИБ в Нижегородской области, втом числе в интересах планирования мероприятий по обеспечению ИБ.
5.2.9.3.2. Основныецели создания ИАС:
1)консолидация интересов Субъектов в сфере ИБ (защиты информации), координациязаконотворческих) инициатив, своевременная их трансляция федеральным органамисполнительной власти, уполномоченным в вопросах обеспечения безопасности,противодействия иностранным техническим разведкам и защиты информации;
2) создание(расширение) зоны совместного участия внутренних и внешних субъектов системы ИБНижегородской области в целях решения вопросов обеспечения ИБ;
3) повышениеоперативности, эффективности и качества управления сферой ИБ (защитыинформации) в Нижегородской области;
4) соблюдение ИБ(защиты информации) при обработке информации ограниченного доступа;
5) созданиепредпосылок для интеграции ИР, ИС на уровне Нижегородской области;
6) повышениеэффективности взаимодействия специалистов по ИБ Субъектов;
7) упрощение процедурыпроведения выездных контрольных проверок головными подразделениями по защитеинформации;
8) анализ(согласование) планов информатизации (ИБ, защитыинформации) Субъектов и отчетов об их выполнении;
9) проведениеголовными подразделениями по защите информации экспертной оценки документов,используемых в рамках планирования, создания и использованияинформационно-коммуникационных технологий, систем защиты в деятельностиСубъектов;
10) подготовка ипринятие решений о проведении Субъектами мероприятий по информатизации иобеспечению ИБ;
11) планированиебюджетных ассигнований в части проведения мероприятий по информатизации иобеспечению ИБ;
12) повышениеграмотности специалистов по ИБ Субъекта в области обеспечения ИБ (защитыинформации);
13) реализациявозможностей совместной работы в защищенном пространстве;
14) возможность набазе ИАС создать единое защищённое информационное пространство для всехобластей ПФО со значительной экономией бюджетных средств на решение задач ИБ;
15) возможностьпоследующего использования ИАС в прикладных областях деятельности Органов созначительной экономией бюджетных средств;
16) мониторинг врежиме реального времени деятельности Субъектов в части обеспечения ИБ всоздаваемых (модернизируемых) и эксплуатируемых ими ИС и в других объектахзащиты;
17) в режиме реальноговремени сбор информации и анализ эффективности проводимых мероприятий пообеспечению ИБ в Субъектах;
18) снижение трудоемкости как на этапе первичного заполнения данных, таки на этапе обработки информации и формирования аналитических выводов;
19) увеличение качестваинформации и детализации статистических сведений за счет получения информацииот первоисточника и ее дальнейшая актуализация;
20) сокращениерасходов на заполнение бумажных форм отчетности.
5.2.9.3.3. Определеныследующие основные подзадачи в рамках данной задачи:
1) ввод в защищеннуюэксплуатацию ИАС и подключение к ней первостепенно - всех ОИВ и ОМСУ, частиОрганизаций; при апробированности ИАС - подключениетерриториальных органов (управлений) федеральных органов исполнительной власти,организаций, уполномоченных в вопросах обеспечения безопасности,противодействия иностранным техническим разведкам и защиты информации,подведомственных Органам, иных Организаций;
2) посредством ИАСосуществление основных мероприятий по обеспечению ИБ, а также мероприятий,направленных на развитие системы ИБ Нижегородской области;
3) осуществлениепостоянной поддержки эксплуатации ИАС.
5.2.9.3.4. Полностьюили частично решаемые проблемы:
1) частая ротация назначенных специалистов поИБ;
2) недостаточная квалификация назначенныхспециалистов по ИБ;
3) формальное отношение к планированию,организации и реализации мероприятий по обеспечению ИБ;
4) отсутствие единого ИТ-центрареализации Стадий обеспечения ИБ;
5) отсутствие контроля всех Стадий обеспеченияИБ;
6) отсутствие достаточной отчетности;
7) отсутствие актуальной системы текущего иперспективного планирования, прогнозирования мероприятий по обеспечению ИБ;
8) несогласованность разработки правовых актовв сфере ИБ (защиты информации);
9) подготовка некорректных документов дляреализации мероприятий по обеспечению ИБ;
10) корректировка Головным подразделением по ТЗИдокументов на мероприятия по обеспечению ИБ;
11) не соблюдение процедур, направленных на выборпоставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечениюИБ;
12) не соблюдение процедур обеспечения ИБ,регламентированных действующим законодательством;
13) отсутствие, недостаточная оснащенность и(или) несвоевременное приобретение необходимых средств защиты, документов поИБ;
14) приобретение ненужных средств защитыинформации (работ, услуг) и (или) их избыточного количества;
15) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение;
16) отсутствие централизованного обслуживания иуправления.
5.2.9.4. Задача 2 -централизованный мониторинг и контроль обеспечения ИБ.
5.2.9.4.1. Необходимоосуществлять постоянный мониторинг и контроль обеспечения ИБ. Под мониторингомобеспечения ИБ понимается поиск, отслеживание, накопление и систематизациясведений, относящихся к сфере ИБ, обеспечивающих взвешенный и объективныйанализ обстановки, позволяющий прогнозировать развитие ситуации и приниматьнаиболее правильные и рациональные решения по укреплению сохранностистратегической экономической и политической информации, конфиденциальныхсведений в Субъектах. Система мониторинга самостоятельно создается иподдерживается Субъектами и базируется на действующей правовой базе.
1) Целью мониторингаявляется обеспечение полной, своевременной, достоверной информацией дляпринятия обоснованных управленческих решений.
2) Задачамимониторинга определены:
- задание принциповосуществления мониторинга по его направлениям;
- распределениекомпонентов среды мониторинга между субъектами мониторинга (организациями, предприятиями,учреждениями);
- выбор методовполучения и обработки информации;
- синтез и реализацияполученной информации.
3) Основнымипринципами мониторинга определены:
- системный подход восуществлении мониторинга;
- непрерывный ипоследовательный контроль угроз безопасности информации;
- самостоятельныйподход в формировании структуры организации мониторинга (каждым Субъектом);
- максимальный охватвсех параметров по всем направлениям осуществления мониторинга, отслеживание ихво времени;
- самостоятельноеопределение субъектами мониторинга набора критериев (индикаторов) оценкисостояния ИБ на своем направлении;
- регулируемостьпроцесса мониторинга через оценку его результатов.
4) Мониторингохватывает:
- динамику внешне- ивнутриполитической ситуации, глобальные и локальные противоречия и конфликты,оказывающие непосредственное или опосредованное влияние на состояние ИБ вНижегородской области;
- научно-техническийпрогресс в области средств и методов проникновения в объекты защиты ивоздействия на ИТ-инфраструктуру, а также в областизащиты информации;
- состояниефедерального и областного законодательства в сфере обеспечения ИБ;
- состояние иэффективность систем защиты информации трех уровней;
- изучение собственныхвозможностей Нижегородской области по обеспечению консультационной,методической, технической, финансовой и практической поддержки мероприятий поИБ Нижегородской области;
- организациюинформационного взаимодействия в сфере защиты информации с другими субъектамиРоссийской Федерации.
5.2.9.4.2.Координирующим органом в системе мониторинга ИБ являются головные подразделенияпо защите информации (каждый в своей части). Организация мониторингаосуществляется Субъектами. Информация по результатам предварительного анализаполученных данных периодически или по необходимости доводится и обсуждается назаседаниях Совета Нижегородской области. Оценка результатов мониторинга, даннаяна Совете Нижегородской области, является основанием для заинтересованныхСубъектов, организующих соответствующее направление мониторинга, к изменениюили сохранению критериев отбора и предварительной обработке информации,совершенствованию режимных мер по защите используемых объектов защиты.
5.2.9.4.3. Контроль за состоянием ИБ осуществляется с цельюсвоевременного выявления угроз безопасности и предотвращения их реализации,оценки эффективности текущих систем защиты и заключается в проверке выполнениядействующих актов и документов по вопросам обеспечения ИБ.
5.2.9.4.4. Результатымониторинга и контроля доводятся Субъектами до сведения вышестоящих организацийпо подведомственности, а последними - до головных подразделений по защитеинформации.
5.2.9.4.5. Полностьюили частично решаемые проблемы:
1) формальное отношение к планированию,организации и реализации мероприятий по обеспечению ИБ;
2) отсутствие контроля всех Стадий обеспеченияИБ;
3) отсутствие достаточной отчетности;
4) отсутствие актуальной системы текущего иперспективного планирования, прогнозирования мероприятий по обеспечению ИБ;
5) отсутствие, недостаточная оснащенность и(или) несвоевременное приобретение необходимых средств защиты, документов поИБ;
6) приобретение ненужных средств защитыинформации (работ, услуг) и (или) их избыточного количества;
7) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение;
8) отсутствие централизованного обслуживания иуправления.
5.2.9.5. Задача 3 -расширение сотрудничества.
5.2.9.5.1. Необходиморасширять сотрудничество Нижегородской области в части развития и безопасногоиспользования ИР, ИС, противодействия угрозе развязывания противоборства и войнв информационной сфере. Здесь важно соблюдать внутриобластное, межрегиональноеи федеральное сотрудничество по вопросам обеспечения ИБ. Такое сотрудничестводолжно стать неотъемлемой составляющей политического, экономического,культурного и других видов взаимодействия Нижегородской области и другихсубъектов Российской Федерации и способствовать повышению ИБ Нижегородскойобласти.
5.2.9.5.2. Определеныследующие основные задачи в рамках данного направления:
1) в целях обменаопытом в области обеспечения ИБ и решения актуальных вопросов ИБ (защитыинформации): участие Нижегородской области в федеральных и межрегиональныхорганизациях (комиссиях, советах), действующих в области ИБ; расширение участиянижегородских специалистов по ИБ в международных, федеральных и межрегиональныхконференциях, семинарах, форумах, выставках, сборах и т.п.;
2) вкачестве механизма согласования интересов субъектов системы ИБ Нижегородскойобласти и нахождения компромиссных решений формирование и организация натерритории Нижегородской области эффективной работы различных советов, групп,комиссий с широким представительством специалистов Субъектов, головныхподразделений по защите информации, территориальных органов (управлений)федеральных органов исполнительной власти, уполномоченных в вопросахобеспечения безопасности, противодействия иностранным техническим разведкам изащиты информации, и иных заинтересованных лиц;
3) в целях определениянеобходимых мероприятий по решению возникающих проблем (при наличии): ввод впрактику проведения при необходимости совещаний головных подразделений позащите информации с Субъектами и Субъектов между собой (в том числе в удаленномрежиме);
4) при проведенииобластных выставок, конференций, совещаний с участием представителей другихсубъектов Российской Федерации, иностранных государств, при осуществлениимеждународного информационного обмена, в том числе с использованием открытых ИСособенно важно следить за проведением мероприятий по обеспечению ИБ.
5.2.9.5.3. Полностьюили частично решаемые проблемы:
1) частая ротация назначенных специалистов поИБ;
2) недостаточная квалификация назначенныхспециалистов по ИБ;
3) формальное отношение к планированию,организации и реализации мероприятий по обеспечению ИБ;
4) отсутствие четкой и (или) наличие слабойструктуры организации процесса обеспечения ИБ;
5) несогласованность разработки правовых актовв сфере ИБ (защиты информации);
6) подготовканекорректных документов для реализации мероприятий по обеспечению ИБ;
7) корректировка Головным подразделением по ТЗИдокументов на мероприятия по обеспечению ИБ;
8) не соблюдение процедур обеспечения ИБ,регламентированных действующим законодательством;
9) приобретение ненужных средств защитыинформации (работ, услуг) и (или) их избыточного количества;
10) не выполнение мероприятий по обеспечению ИБили их несвоевременное и некачественное исполнение.
5.3. СОБЛЮДЕНИЕКОНСТИТУЦИОННЫХ ПРАВ И СВОБОД
В части соблюденияконституционных прав и свобод человека (гражданина) в области полученияинформации и пользования ею, сохранения и укрепления нравственных ценностейобщества, традиций патриотизма и гуманизма, культурного и научного потенциалаНижегородской области при использовании объектов защиты Субъектов требуется:
1) обеспечиватьконституционные права и свободы человека (гражданина) свободно искать,получать, передавать, производить и распространять информацию любым законнымспособом, получать достоверную информацию;
2) обеспечивать конституционныеправа и свободы человека (гражданина) на личную и семейную тайну, тайнупереписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, назащиту своей чести и своего доброго имени;
3) соблюдать запрет насбор, хранение, использование и распространение информации о частной жизни лицабез его согласия и другой информации, доступ к которой ограничен действующимзаконодательством;
4) усовершенствоватьсистему формирования, сохранения и рационального использования объектов защитыСубъектов, составляющих основу научно-технического и духовного потенциалаНижегородской области, в том числе за счет реализации направлений и задач,указанных в подразделе 5.2 раздела V настоящей Концепции;
5) повыситьэффективность использования ИТ-инфраструктурыНижегородской области (Субъектов) в интересах общественного развития,консолидации нижегородского общества, в том числе за счет реализациинаправлений и задач, указанных в подразделе 5.2 раздела V настоящей Концепции.
5.4. ИНФОРМАЦИОННОЕОБЕСПЕЧЕНИЕ ПОЛИТИКИ
НИЖЕГОРОДСКОЙ ОБЛАСТИ(СУБЪЕКТОВ)
Вчасти информационного обеспечения политики Нижегородской области (Субъектов),связанного с доведением до нижегородской и российской общественностидостоверной информации об официальной позиции Нижегородской области (Субъектов)по социально значимым событиям российской и международной жизни, с обеспечениемдоступа граждан к открытым ИС, ИР Нижегородской области (Субъектов) требуется:
1) укреплять открытыеИС, ИР нижегородских средств массовой информации, расширять их возможности посвоевременному доведению достоверной информации до нижегородских (российских) ииностранных граждан;
2) формировать(развивать) открытые ИС, ИР Нижегородской области (Субъектов), повышатьэффективность их использования;
3)законными средствами обеспечивать защиту нижегородской (российской)общественности от ложной, искаженной и недостоверной информации, поступающейчерез открытые ИС, ИР Нижегородской области (Субъектов), средств массовойинформации.
5.5. ОСНОВНЫЕ ПРИНЦИПЫОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ (ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ)
5.5.1. Принципприоритетности и соответствия.
На территорииНижегородской области реализуется приоритетность реализации мероприятий пообеспечению ИБ, направленных на предотвращение ущерба безопасности иобороноспособности Российской Федерации. Мероприятия по обеспечению ИБ,планируемые и реализуемые на территории Нижегородской области, должнысоответствовать политическим, оборонным, экономическим и социальным интересамРоссийской Федерации.
5.5.2. Принципзаконности.
Построение (развитие)системы ИБ каждого Субъекта и объекта защиты, проведение мероприятий пообеспечению ИБ должно осуществляться в соответствии с действующимзаконодательством в области информации, информатизации и защиты информации с применениемвсех дозволенных методов обнаружения и пресечения нарушений при работе синформацией. Реализация мероприятий по обеспечению ИБ и их результаты должныисключать причинение ущерба жизни и здоровью граждан, окружающей среде иинтересам Нижегородской области в сфере ИБ. Создание, проведение испытаний иввод в эксплуатацию объектов защиты должны осуществляться строго в соответствиис требованиями действующего законодательства.
5.5.3. Принципразумных ограничений.
Ограничение доступа кинформации (объектам защиты) есть исключение из общего принципа открытостиинформации (объектов защиты) и осуществляется только на основе действующегозаконодательства. Доступ к какой-либо информации (объектам защиты), а такжевводимые ограничения доступа осуществляются с учетом определяемых действующимзаконодательством прав собственности на эту информацию (объект защиты).
5.5.4. Принципмаксимальной прозрачности.
Меры попротиводействию угрозам безопасности всегда налагают на пользователейограничения организационного и технического характера. Поэтомупринимаемые меры должны быть максимально совместимы с используемыми, например,операционной и программно-аппаратной структурой ИС, а также должны быть понятныи оправданы для пользователей.
5.5.5. Принциппревентивности.
Меры по защитеинформации и внедряемые средства и системы защиты должны быть нацелены, преждевсего, на недопущение (пресечение) реализации угроз безопасности информации, ане на устранение последствий их проявления. Данный принцип подразумеваетв том числе профилактику нарушений безопасности. В большинстве случаевэкономически оправданным является принятие предупредительных мер по недопущению нарушений безопасности в отличие от мер пореагированию на инциденты, связанных с принятием рисков осуществления угрозИБ. Однако, это не исключает необходимости принятиямер по реагированию на инциденты и восстановлению поврежденных ИР. Поэтомудолжен проводиться анализ рисков, опирающийся на модель угроз и нарушителябезопасности информации. Многие риски можно уменьшить путем принятияпревентивных мер защиты. Должны быть предусмотрены средства раннего выявлениянарушений ИБ, нештатной работы аппаратуры, программ и пользователей, чтоповысит управляемость, возможность сбора регистрационной информации обо всехкомпонентах и процессах, важных с точки зрения ИБ.
5.5.6. Принципоптимальности и разумной разнородности.
Для сокращениярасходов на создание систем защиты должен осуществляться оптимальный выборсоотношения между различными методами и способами противодействия угрозамбезопасности. Дополнительно внедряемые средства защиты должны дублироватьосновные функции защиты, уже используемые, например, в программно-аппаратнойсреде ИС, и по возможности иметь другое происхождение, чем сама эта среда, чтопозволяет существенно затруднить процесс преодоления защиты за счет иной логикипостроения защиты.
5.5.7. Принципэкономической целесообразности (обоснованности).
Обеспечениесоответствия ценности объектов защиты и величины возможного ущерба (от ихразглашения, утраты, утечки, несанкционированного уничтожения и искажения)уровню затрат на обеспечение ИБ. Используемые меры и средства обеспечениябезопасности объектов защиты не должны заметно ухудшать экономическиепоказатели работы, например, ИС, в которых эта информация циркулирует.
5.5.8. Принципадекватности и непрерывности.
Решения, реализуемыесистемами защиты, должны быть дифференцированы в зависимости от важностизащищаемой информации и вероятности возникновения угроз ее безопасности. Должныприменяться способы и меры ИБ, перекрывающие возможности угроз и нарушителейбезопасности информации, и при этом не быть избыточными. Безопасностьинформации в ИС должна обеспечиваться непрерывно в течение всего жизненногоцикла ИС. В соответствии с этим принципом должны приниматься меры понедопущению перехода ИС (объектов защиты) в незащищенное состояние. Поскольку перерывы в работе средств защиты могут быть использованызлоумышленниками для анализа применяемых методов и средств защиты, длявнедрения специальных программных и аппаратных "закладок" и другихсредств преодоления системы защиты, после восстановления ее функционированиябольшинству физических и технических средств защиты для эффективного выполнениясвоих функций необходима постоянная техническая и организационная (административная)поддержка (своевременная смена и обеспечение правильного хранения и примененияимен, паролей, ключей шифрования, переопределение полномочий и т.п.).
5.5.9. Принципсвоевременности.
Предполагаетупреждающий характер мер обеспечения безопасности, то есть постановку задач покомплексной защите и реализацию мер обеспечения безопасности на ранних стадиях,например, разработки ИС в целом и ее системы защиты, в частности. Разработкасистемы защиты должна вестись параллельно с разработкой и развитием самойзащищаемой ИС (объекта защиты). Это позволит учесть требования безопасности припроектировании архитектуры и создать максимально эффективные (как по затратамресурсов, так и по стойкости) защищенные системы.
5.5.10. Принципнаучной обоснованности и технической реализуемости.
Информационныетехнологии, технические и программные средства, средства и меры защитыинформации должны быть реализованы на современном уровне развития науки итехники, научно обоснованы с точки зрения достижениязаданного уровня безопасности информации и должны соответствоватьустановленным нормам и требованиям по безопасности. Системы защиты должна бытьориентирована на решения, возможные риски для которых и меры противодействияэтим рискам прошли всестороннюю теоретическую и практическую проверку.
5.5.11. Принципадаптивности и гибкости.
Системы защиты должныстроиться с учетом возможного изменения, например, конфигурации ИС, роста числапользователей, изменения степени конфиденциальности и ценности информации.Поскольку применяемые меры и средства защиты, особенно в начальный период ихэксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровеньзащиты, для обеспечения возможности варьирования уровнем защищенности, средствазащиты должны обладать определенной гибкостью. Особенноважным это является в тех случаях, когда установку средств защиты необходимоосуществлять на эксплуатируемую ИС, не нарушая процесса ее стабильногофункционирования.
5.5.12. Принципдоказательности и обязательности контроля.
Должна обеспечиватьсяобязательность, своевременность и документированность выявления, сигнализации ипресечения попыток нарушения установленных правил защиты на основе используемыхсистем и средств защиты информации при совершенствовании критериев и методовоценки эффективности ИС (объектов защиты) и средств защиты. Контрольза деятельностью любого пользователя, каждого средства защиты и вотношении любого объекта защиты должен осуществляться на основе применениясредств оперативного контроля и регистрации и должен охватывать какнесанкционированные, так и санкционированные действия пользователей. Должныреализовываться организационные меры внутри сети и применение специальныхаппаратно-программных средств идентификации, аутентификации и подтвержденияподлинности информации. Каждый Субъект в рамках своей компетенции осуществляет контроль за использованием им (подотчетными емуорганизациями) сертифицированных средств защиты информации и в целом средствзащиты, обязательных к применению по требованиям действующего законодательства.
5.5.13. Принципсамозащиты и конфиденциальности самой системы защиты.
Защита не должнаобеспечиваться только за счет секретности структурной организации и алгоритмовфункционирования ее подсистем. Знание алгоритмов работы системы защиты не должнодавать возможности ее преодоления (даже авторам). Однако,это не означает, что информация о конкретной системе защиты должна бытьобщедоступна. Реализуется применением соответствующих средств защиты информациии неразглашением неуполномоченным третьим лицам информации о применяемыхсистемах защиты.
5.5.14. Принципсистемности.
Системный подход кпостроению системы защиты предполагает учет всех взаимосвязанных,взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемыобеспечения безопасности, включающих стадии (этапы) планирования, проведения,реализации, контроля и её совершенствования. При создании системы защиты должныучитываться наиболее уязвимые места объекта защиты, а также характер, возможныеобъекты и направления атак на систему со стороны нарушителей (особенновысококвалифицированных злоумышленников), пути проникновения в распределенныесистемы и несанкционированный доступ (НСД) к информации. Система защиты должнастроиться с учетом не только всех известных каналов проникновения и НСД кинформации, но и с учетом возможности появления принципиально новых путейреализации угроз безопасности. Здесь важно соблюсти комплексный подход -всестороннее обеспечение ИБ, то есть сочетание программно-технических,организационных, правовых, методических и других специальных мер обеспеченияИБ.
5.5.15. Принцип многоуровневости и равнопрочности.
ИС должнареализовывать защиту информации на всех уровнях своей жизнедеятельности(обработки информации) - технологическом, пользовательском, локальном, сетевом.Должно предусматриваться комплексное использование методов и средств защиты:согласованное применение разнородных средств припостроении целостной системы защиты, перекрывающей все существенные (значимые)каналы реализации угроз и не содержащей слабых мест на стыках отдельных еекомпонентов. Защита должна иметь несколько последовательных рубежей такимобразом, чтобы наиболее важная зона безопасности находилась внутри других зон.Для каждого канала утечки информации и для каждой угрозы безопасности должносуществовать несколько защитных рубежей. Все рубежи защиты должны бытьравнопрочными к возможности реализации угрозы. Создание защитных рубежейосуществляется с учетом того, чтобы для их преодоления потенциальномунарушителю требовались профессиональные навыки в нескольких невзаимосвязанныхобластях. Внешняя защита должна обеспечиваться физическими средствами,организационными и правовыми мерами. Одним из наиболее укрепленных рубежейдолжны быть средства криптографической защиты, используемые для созданиявиртуальных частных сетей. Прикладной уровень защиты, учитывающий особенностипредметной области, представляет внутренний рубеж защиты.
Равнопрочностьдолжна применяться по всем направлениям: должна осуществляться регламентация идокументирование всех способов доступа к объектам защиты.
5.5.16. Принциппростоты применения и апробированности защиты.
Должны применятьсясредства защиты, для которых формально или неформально возможно доказать корректностьвыполнения защитных функций, проверить согласованность конфигурации различныхкомпонентов, а их применение пользователями должно быть максимально простым,чтобы уменьшить риски, связанные с нарушением правил их использования.Механизмы защиты должны быть интуитивно понятны и просты в использовании.Применение средств защиты не должно быть связано со знанием специальных языковили с выполнением действий, требующих значительных дополнительных трудозатратпри обычной работе зарегистрированных установленным порядком пользователей, атакже не должно требовать от пользователя выполнения рутинных малопонятных емуопераций (ввод нескольких паролей и имен и т.д.). По той же причинецелесообразно использовать средства защиты информации, допускающие возможностьцентрализованного администрирования. Должна достигаться автоматизациямаксимального числа действий пользователей и администраторов. Должнаприменяться ориентация на решения, возможные риски для которых и мерыпротиводействия этим рискам прошли всестороннюю теоретическую и практическуюпроверку. Например, при построении ИС необходимо учитывать, что она должнасодержать лишь те компоненты и связи, которые необходимы для еефункционирования (с учетом требований надежности и перспективного развития), атакже использовать минимальное число протоколов сетевого взаимодействия, бытьпростой в архитектуре, минимизировать и упрощать связи между компонентами.
5.5.17. Принциппреемственности и непрерывности совершенствования.
Система защиты должнапостоянно совершенствоваться на основе преемственности принятых ранее решений ианализа функционирования объекта защиты. Должно осуществляться постоянноесовершенствование мер и средств защиты информации (ИТ-инфраструктуры)на основе преемственности организационных и технических решений, кадровогосостава, анализа функционирования объекта защиты и ее системы защиты с учетомизменений в методах и средствах перехвата информации, требований по ее защите,достигнутого отечественного и зарубежного опыта в этой сфере. При выборе программно-техническихрешений по обеспечению ИБ, предпочтение должно отдаваться решениям,удовлетворяющим следующим критериям:
- поддержка:международных, национальных, промышленных и Интернет стандартов; наибольшейстепени интеграции с программно-аппаратными платформами Субъектов и используемыми средствами исистемами защиты информации;
- унификация средств иинтерфейсов управления подсистемами ИБ.
5.5.18. Принципперсональной ответственности и минимизации привилегий.
Принимаемые мерызащиты должны определять права и ответственность каждого уполномоченного лица(в частности, в пределах должностных обязанности) за несоблюдениерегламентирующих документов в области ИБ. В соответствии с этим принципомраспределение прав и ответственности должно строиться таким образом, чтобы вслучае любого нарушения круг виновных лиц был четко определен или сведен кминимуму. Ответственность за сохранность информации, ее засекречивание ирассекречивание персонифицируется. Лица, обрабатывающие информациюограниченного доступа, несут ответственность перед законом за ее сохранность ииспользование. Обеспечение ИБ должно быть предметом ответственности каждогоСубъекта с учетом закрепленного разграничения предметов ведения и полномочиймежду ними. Например, пользователям ИС должны предоставляться минимальные правадоступа к той или иной ИС в соответствии с производственной необходимостью и(или) в объеме, достаточном для качественного выполнения должностныхобязанностей.
5.5.19. Принципспециализации и профессионализма.
Предполагаетпривлечение к разработке средств и реализации мер защиты информацииорганизаций, наиболее подготовленных к конкретному виду деятельности по обеспечению ИБ, имеющихопыт практической работы и лицензии направо оказания определенных видов услуг в этой сфере, а также квалифицированныхв сфере ИБ специалистов Субъектов.
5.5.20. Принципдружественного взаимодействия и сотрудничества.
Предполагает созданиеблагоприятной атмосферы в структурных подразделениях по ИБ для снижениявероятности возникновения негативных действий, связанных с человеческимфактором. Субъекты, входящие в систему ИБ Нижегородской области, должныоказывать содействие друг другу в решении задач ИБ.
5.6. МЕТОДЫ И СРЕДСТВАОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
5.6.1. Методы, способы и средства (в том числе средства защиты информации)обеспечения ИБ Субъектов и их объектов защиты, подходы к оценке эффективностиреализуемых и планируемых мероприятий по обеспечению ИБ Субъекты выбираютсамостоятельно исходя из необходимости соблюдения требований действующегозаконодательства в сфере ИБ применительно к конкретному объекту защиты, в томчисле с учетом моделей угроз и моделей нарушителя безопасности информации, наоснове классификаций (категорирования), частных технических заданий итехнических проектов на системы защиты.
5.6.2. Губернатор Нижегородской области, Председатель Правительства,Правительство Нижегородской области, головные подразделения по защитеинформации в рамках своей компетенции вправе в соответствующих актах устанавливать(уточнять) необходимость применения тех или иных методов, способов и средствзащиты (средств обеспечения ИБ), за исключениеминформационно-телекоммуникационных систем, сетей связи специального назначенияи иных сетей связи, обеспечивающих передачу шифрованной информации.
5.6.3. Режим защиты идоступа к конфиденциальной информации определяет ее собственник, руководствуясьтребованиями действующего законодательства. Режим защиты сведений, составляющихгосударственную тайну, порядок доступа и обращения с ними установлены ихсобственником - Российской Федерацией.
5.7. ОСНОВНЫЕ ПРИНЦИПЫРАЗВИТИЯ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИНИЖЕГОРОДСКОЙ ОБЛАСТИ
Основными принципамиразвития системы ИБ Нижегородской области определены:
1) соответствие уровняразвития системы ИБ Нижегородской области задачам обеспечения национальнойбезопасности Российской Федерации, безопасности и устойчивого развитияНижегородской области с учетом ее ресурсных возможностей;
2) соответствиесистемы ИБ Нижегородской области требованиям действующего законодательства;
3) обеспечение натерритории Нижегородской области своевременной и адекватной реакции навозникающие и прогнозируемые угрозы безопасности информации;
4) использованиеколлегиальных методов руководства системой ИБ Нижегородской области и ееразвития;
5) программно-целевоепланирование развития системы ИБ Нижегородской области;
6) исключение проблем(минимизация последствий реализации проблем), указанных в подразделах 4.2 - 4.4раздела IV настоящей Концепции;
7) соблюдение основныхпринципов обеспечения ИБ (построения систем защиты), указанных в подразделе 5.5раздела V настоящей Концепции.
5.8. ПРИОРИТЕТЫ ВДЕЯТЕЛЬНОСТИ ПО ОБЕСПЕЧЕНИЮ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПриоритетамиНижегородской области в деятельности по обеспечению ИБ остаются:
1) соблюдениеинтересов Нижегородской области в сфере ИБ;
2) реализацияприоритетных направлений развития и задач, определенных подразделами 5.2 - 5.4раздела V настоящей Концепции;
3) соблюдение основныхпринципов развития системы ИБ Нижегородской области, указанных в подразделе 5.7раздела V настоящей Концепции;
4) определениенаиболее важных и уязвимых объектов защиты Субъектов;
5) обеспечениеэффективного регулирования деятельности по обеспечению ИБ на уровнеНижегородской области и муниципалитетов;
6) постоянныймониторинг эффективности функционирования системы ИБ Нижегородской области,системы ИБ (защиты информации) Субъектов и системы защиты объектов защиты;
7)организационно-режимное обеспечение защиты сведений, отнесенных кгосударственной тайне, и иной информации ограниченного доступа;
8) обеспечение ИБ наобъектах, обеспечивающих жизнедеятельность и информированность гражданНижегородской области;
9) обеспечениебезопасности информации в критически важных (ключевых) системах информационнойинфраструктуры, государственных и муниципальных ИС, информационных системахперсональных данных.
5.9. РЕЗУЛЬТАТЫ РЕАЛИЗАЦИИНАСТОЯЩЕЙ КОНЦЕПЦИИ
5.9.1. Основныеположения настоящей Концепции реализуются в результате целенаправленной повседневнойдеятельности Субъектов путем выполнения программ ИБ (защиты информации) ипрограмм информатизации.
5.9.2. В результатереализации основных положений настоящей Концепции в Нижегородской областидолжна быть создана система ИБ Нижегородской области, соответствующая задачамобеспечения национальной безопасности Российской Федерации и развития с учетомэкономических, трудовых и финансовых возможностей Нижегородской области иадекватно реагирующая на угрозы ИБ.
5.9.3. При следованииположениям настоящей Концепции ожидается:
1)создание и поддержание эффективно действующей системы ИБ Нижегородской областиза счет развития ресурсно-информационного центра, оснащенного современнымитехнологиями и средствами вычислительной техники, координирующего все Стадииобеспечения ИБ и обеспечивающего концептуальное единство технических иуправленческих решений;
2) сокращение затрат,ресурсов на реализацию мероприятий по обеспечению ИБ за счет централизации рядафункции по ИБ;
3) общая экономия дляСубъектов времени на реализацию мероприятий по обеспечению ИБ;
4) высокое качествоисполнения каждой Стадии обеспечения ИБ;
5) стабилизациякадрового обеспечения системы ИБ Нижегородской области;
6) высокие уровеньграмотности среди внутренних субъектов системы ИБ Нижегородской области;
7) стабильноевзаимодействие субъектов системы ИБ Нижегородской области между собой в целяхреализации положений настоящей Концепции;
8) сравнительно низкаястоимость владения программно-аппаратными комплексами за счет использованияпрограммных продуктов с открытым кодом;
9) созданиепрограммных продуктов, ИС с системами защиты, соответствующими положениямнастоящей Концепции и действующему законодательству в сфере ИБ;
10) достижениенеобходимого уровня защищенности Нижегородской области (Субъектов, их объектовзащиты);
11) своевременноереагирование Субъектов на вновь возникающие угрозы ИБ и требования федеральныхорганов исполнительной власти, уполномоченных в вопросах обеспечениябезопасности, противодействия иностранным техническим разведкам и защитыинформации;
12) высокое качествоисполнения государственных и (или) муниципальных функций, функций Субъектов,предоставление государственных и (или) муниципальных услуг населению взащищенном пространстве, использование защищенных ИС в работе Субъектов;
13) повышение уровнядоверия общества к действиям Субъектов;
14) качественнаяреализация программ информатизации как областного, муниципального, так ифедерального уровней власти;
15) повышениеэффективности бюджетных расходов за счет сокращения малоэффективных контрактов(договоров), оперативного контроля исполнения, анализа и предупрежденияконтрактных (договорных) рисков, провоцирующих угрозы безопасности и,соответственно, ущерб интересам Нижегородской области.
________________________