Приложение к Постановлению от 31.12.2015 г № 920 Концепция
жегородской области, и степени его проработанности, так и от организации работы каждого элемента в отдельности.3.2.4.Субъектами правоотношений в процессе обеспечения ИБ (защиты информации) помимо субъектов системы ИБ Нижегородской области являются юридические лица независимо от организационно-правовой формы, места нахождения и любое физическое лицо, в том числе индивидуальный предприниматель, сведения о которых накапливаются в ИС, ИР Нижегородской области (Субъектов).
3.3.ВНУТРЕННИЕ СУБЪЕКТЫ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ
3.3.1.Внутренними субъектами системы ИБ Нижегородской области являются:
3.3.1.1.Должностные лица и органы, осуществляющие управление в данной сфере:
1) Губернатор Нижегородской области, Председатель Правительства;
2) коллегиальные совещательные органы областного и муниципального уровней, обеспечивающие решение актуальных вопросов ИБ (защиты информации):
- межведомственный технический совет по защите информации Нижегородской области (далее - Совет Нижегородской области);
- межведомственный технический совет по защите информации муниципального образования Нижегородской области (далее - Совет муниципального образования) (в случае его наличия);
3) постоянно действующие технические комиссии по защите государственной тайны в ОИВ (далее - ПДТК);
4) головные подразделения по защите информации:
- головное подразделение ОИВ по технической защите информации, не отнесенной к государственной тайне (далее - Головное подразделение по ТЗИ);
- головное подразделение по защите государственной тайны ОИВ (далее - Головное подразделение по защите ГТ).
3.3.1.2.Объекты управления:
1) Субъекты;
2) структурные подразделения (специалисты) по ИБ Субъектов.
3.3.2.Губернатор Нижегородской области, Председатель Правительства.
Губернатор Нижегородской области, Председатель Правительства возглавляет систему ИБ Нижегородской области. Непосредственное руководство системой ИБ Нижегородской области осуществляет заместитель Губернатора, заместитель Председателя Правительства Нижегородской области, к блоку которого относятся головные подразделения по защите информации.
3.3.3.Совет Нижегородской области.
3.3.3.1.Совет Нижегородской области возглавляет Губернатор Нижегородской области, Председатель Правительства.
3.3.3.2.Совет Нижегородской области является коллегиальным органом, обеспечивающим взаимодействие с территориальными органами федеральных органов исполнительной власти, а также с акционерными обществами с долей участия Правительства Нижегородской области и осуществляющим в рамках своей компетенции координацию деятельности ОИВ и ОМСУ по защите информации.
3.3.3.3.Совет Нижегородской области осуществляет деятельность на плановой основе и рассматривает актуальные для Нижегородской области (Субъектов) вопросы ИБ (защиты информации ограниченного доступа).
3.3.3.4.Решения Совета Нижегородской области доводятся до ОИВ в части, их касающейся, и являются обязательными для исполнения.
3.3.3.5.Состав Совета Нижегородской области, порядок его функционирования и полномочия, связанные с защитой информации ограниченного доступа, установлены распоряжением Губернатора Нижегородской области от 6 сентября 2014 года N 1477-р "О создании межведомственного технического совета по защите информации Нижегородской области".
3.3.4.Совет муниципального образования.
3.3.4.1.Совет муниципального образования (в случае его наличия) возглавляет руководитель муниципального образования Нижегородской области.
3.3.4.2.Совет муниципального образования может быть создан по решению руководителя муниципального образования Нижегородской области.
3.3.4.3.Совет муниципального образования представляет собой коллегиальный, постоянно действующий совещательный и консультативный орган, координирующий деятельность ОМСУ конкретного муниципального образования Нижегородской области, подведомственных им организаций по реализации действующего законодательства по вопросам ИБ (защиты информации).
3.3.4.4.Совет муниципального образования осуществляет деятельность на плановой основе и рассматривает актуальные для конкретного муниципального образования Нижегородской области вопросы ИБ (защиты информации ограниченного доступа).
3.3.4.5.Основными задачами деятельности Совета муниципального образования могут являться:
1) организация исполнения решений Координационного Совета;
2) организация исполнения решений Совета Нижегородской области;
3) совершенствование системы ИБ конкретного муниципального образования Нижегородской области.
3.3.4.6.Решения Совета муниципального образования доводятся до соответствующих ОМСУ в части, их касающейся, и являются обязательными для исполнения на своем уровне.
3.3.5.ПДТК.
3.3.5.1.ПДТК возглавляет лицо из числа руководителей соответствующего ОИВ, при этом ПДТК подотчетна Правительству Нижегородской области.
3.3.5.2.ПДТК представляет собой коллегиальный, постоянно действующий совещательный и консультативный орган, координирующий деятельность ОИВ по реализации действующего законодательства в сфере защиты государственной тайны на территории Нижегородской области. Члены ПДТК имеют допуск к государственной тайне по установленной форме.
3.3.5.3.ПДТК осуществляет деятельность на плановой основе и рассматривает актуальные для ОИВ вопросы защиты государственной тайны. Основными направлениями работы ПДТК являются:
1) надежное и эффективное управление системой защиты государственной тайны в ОИВ;
2) своевременное выявление и закрытие возможных каналов неправомерного распространения сведений, составляющих государственную тайну;
3) организация и координация работ по противодействию иностранным техническим разведкам и технической защите информации;
4) совершенствование систем физической и технической защиты информации.
3.3.5.4.Состав, порядок функционирования ПДТК и полномочия, связанные с защитой государственной тайны, устанавливаются Правительством Нижегородской области.
3.3.6.Головные подразделения по защите информации.
3.3.6.1.Головные подразделения по защите информации определяются распоряжением Губернатора Нижегородской области.
3.3.6.2.Головные подразделения по защите информации имеют в своем составе структурные подразделения по ИБ, которые занимаются вопросами защиты информации, не отнесенной к государственной тайне, и (или) защиты информации, содержащей сведения, составляющие государственную тайну.
3.3.6.3.Назначение на должности руководителей структурных подразделений по ИБ головных подразделений по защите информации осуществляется по согласованию с управлением ФСТЭК России по ПФО путем направления представлений и материалов на кандидатов.
3.3.6.4.Головные подразделения по защите информации наделены полномочиями по:
1) координации в рамках своей компетенции деятельности ОИВ, ОМСУ и подведомственных им организаций по обеспечению безопасности общедоступной информации, а также информации ограниченного доступа, не отнесенной к государственной тайне, в том числе координации деятельности по обеспечению безопасности персональных данных ОИВ;
2) контролю в рамках своей компетенции за выполнением мероприятий по обеспечению ИБ в ОИВ и подведомственных им организациях;
3) контролю в рамках своей компетенции в области обеспечения безопасности информации по следующим вопросам:
- техническая защита информации, составляющей государственную тайну;
- техническая защита информации ограниченного доступа, не отнесенной к государственной тайне, в том числе обеспечение безопасности персональных данных;
- обеспечение защиты информации в открытых ИС;
- противодействие иностранным техническим разведкам;
- обеспечение безопасности информации в ключевых системах информационной инфраструктуры;
- защита государственной тайны при ведении секретного делопроизводства.
3.3.6.5.Головные подразделения по защите информации при исполнении своих полномочий, функций руководствуются поручениями председателя Совета Нижегородской области.
3.3.6.6.Головные подразделения по защите информации в своей деятельности взаимодействуют с территориальными органами (управлениями) федеральных органов исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, по вопросам реализации действующего законодательства в области ИБ (защиты информации).
3.3.7.Субъекты.
3.3.7.1.В соответствии с действующим законодательством:
1) мероприятия по обеспечению ИБ (защите информации) являются составной частью управленческой, научной и производственной деятельности органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций;
2) Субъекты осуществляют правомочия обладателя информации, в соответствии с которыми обязаны принимать меры по ее защите. Субъекты обязаны обеспечивать защиту эксплуатируемых ими объектов защиты путем создания их систем защиты. Для этого они обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для поддержания необходимого уровня безопасности объектов защиты. При этом при выборе тех или иных мер защиты они должны руководствоваться требованиями действующего законодательства по ИБ (защите информации). Принятие указанного комплекса мер должно основываться на определении:
- источников угроз ИБ, вероятности реализации угроз ИБ на конкретных объектах (от кого защищать);
- перечней объектов защиты (что защищать);
- средств и методов защиты (как защищать).
3.3.7.2.Каждый Субъект формирует свою внутреннюю систему ИБ, в соответствии с которой выступает на стороне спроса в необходимости обеспечения ИБ и сочетает в себе три функции:
1) общественного представителя, наделенного полномочиями выражать потребность в проведении тех или иных мероприятий по обеспечению ИБ;
2) закупщика, организатора по сделкам на рынке ИБ (защиты информации);
3) потребителя и (или) контролера результатов мероприятий по обеспечению ИБ.
3.3.7.3.Систему ИБ Субъекта возглавляет его руководитель. Непосредственное руководство деятельностью системы осуществляет руководитель или один из заместителей руководителя, или руководитель структурного подразделения по ИБ Субъекта, или назначенный специалист по ИБ Субъекта (при отсутствии структурного подразделения по ИБ). Указанные полномочия на него возлагаются соответствующим организационно-распорядительным документом Субъекта.
3.3.7.4.Для организации и реализации мероприятий по обеспечению ИБ Субъекты могут привлекать на договорной основе лицензиатов ФСТЭК России и ФСБ России, посреднические и специализированные организации (децентрализованная форма обеспечения ИБ), а также создавать внутренние совещательные комиссии, советы.
3.3.7.5.Каждый Субъект координирует деятельность подведомственных ему организаций (при их наличии) в области ИБ в отношении в рамках своей компетенции.
3.3.8.Структурные подразделения (специалисты) по ИБ Субъектов.
3.3.8.1.Непосредственная организация работ по обеспечению ИБ в конкретном Субъекте осуществляется его руководителем или одним из заместителей руководителя через структурное подразделение по ИБ данного Субъекта или назначенного специалиста по ИБ Субъекта.
3.3.8.2.Ответственность за состояние обеспечения ИБ в конкретном Субъекте возлагается на его руководителя. Ответственность за своевременность и качество проведения мероприятий по обеспечению ИБ возлагается на руководителя структурного подразделения по ИБ данного Субъекта (при его отсутствии - на назначенных специалистов по ИБ Субъекта).
3.3.8.3.Структурное подразделение по ИБ (при наличии) является самостоятельным структурным подразделением Субъекта и напрямую подчиняется руководителю Субъекта.
3.3.8.4.В зависимости от объема работ с использованием защищаемой информации, а также при наличии иных условий и обстоятельств руководителями Субъектов создаются структурные подразделения по ИБ либо только назначаются специалисты по ИБ. Допустима также ситуация, при которой специалист по ИБ конкретного Субъекта выполняет свой функционал применительно к ряду иных Субъектов, которые находятся на материальном обеспечении у такого Субъекта. Перечень таких условий и обстоятельств определяется на основании действующего законодательства, методических рекомендаций федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, методических рекомендаций, одобренных решением Координационного Совета, и головного подразделения по защите информации (в случае их дополнительной разработки).
3.3.8.5.Наличие структурного подразделения по ИБ и количество специалистов по ИБ в конкретном Субъекте устанавливается на основании федеральных законов и (или) методических рекомендаций уполномоченных государственных органов власти, методических рекомендаций, одобренных решением Координационного Совета, и головного подразделения по защите информации (в случае их дополнительной разработки).
3.3.8.6.Среди специалистов по ИБ определяются ответственные за планирование, организацию и реализацию мероприятий по обеспечению ИБ, в том числе ответственные за правовые, организационные и технические мероприятия. Также среди указанных специалистов по ИБ выделяются штатные и нештатные специалисты. Разделение на штатных и нештатных специалистов осуществляется головными подразделениями по защите информации в целях ведения учета таких специалистов и проведения процедур согласования назначения их на должности. Назначение на должности специалистов по ИБ и руководителей структурных подразделений по ИБ Субъектов согласовывается с головными подразделениями по защите информации по соответствующему профилю деятельности путем направления представлений и материалов на кандидатов. Подробный порядок согласования кандидатов устанавливается актами головных подразделений по защите информации.
3.3.8.6.1.Штатным считается специалист:
1) имеющий высшее профильное образование по направлению ИБ (защиты информации) и (или) образование в области информационных технологий и повышение квалификации и (или) переподготовку по указанному направлению деятельности;
2) работающий в Субъекте по указанному направлению деятельности в структурном подразделении по ИБ Субъекта (при наличии) или вне его (при отсутствии структурного подразделения по ИБ) и не совмещающий деятельность по ИБ с иным основным для него функционалом в Субъекте, например, бухгалтерия, юриспруденция и т.п.;
3) занимающий выделенную должность специалиста по ИБ, предусмотренную штатным расписанием (при наличии должности в штатном расписании).
3.3.8.6.2.Нештатным считается специалист:
1) не имеющий профильного образования по направлению ИБ (защиты информации) и (или) образования в области информационных технологий и повышения квалификации, и (или) переподготовки по указанному направлению деятельности;
2) работающий в Субъекте по указанному направлению деятельности в структурном подразделении по ИБ Субъекта (при наличии) или вне его (при отсутствии структурного подразделения по ИБ);
3) совмещающий деятельность по ИБ с иным основным для него функционалом в Субъекте, например, бухгалтерия, юриспруденция и т.п.
3.3.8.6.3.Случаи отнесения специалистов к категориям штатных и нештатных могут дополнительно определяться (разъясняться) головными подразделениями по защите информации и закрепляться в соответствующем документе.
3.3.8.7.Структурные подразделения (специалисты) по ИБ осуществляют свою деятельность во взаимодействии (под методическим и координационным руководством) с головными подразделениями по защите информации: в случае защиты информации, не отнесенной к государственной тайне, - с Головным подразделением по ТЗИ; в случае защиты информации, содержащей сведения, составляющие государственную тайну, - с Головным подразделением по защите ГТ.
3.3.8.8.Функции, права, полномочия и обязанности структурных подразделений по ИБ закрепляются в соответствующих положениях о структурных подразделениях по ИБ конкретного Субъекта. Функции, права, полномочия и обязанности специалистов по ИБ указаны в пункте 3.6.2 подраздела 3.6 раздела III настоящей Концепции и отражаются в их должностных регламентах (инструкциях), и обязательно включают в себя проведение координирующей и контрольной политики (работ) в области ИБ в отношении подведомственных организаций (при их наличии) в рамках их компетенции.
3.4.ВНЕШНИЕ СУБЪЕКТЫ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ
3.4.1.Внешними субъектами системы ИБ Нижегородской области являются:
3.4.1.1.Орган управления: Координационный совет.
Координационный совет представляет собой коллегиальный орган, определяющий направления деятельности субъектов Российской Федерации, входящих в ПФО, по реализации действующего законодательства в сфере ИБ (защиты информации) на территории ПФО. Координационный Совет обеспечивает взаимодействие с федеральными органами исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, с органами государственной власти субъектов Российской Федерации.
Координационный совет осуществляет деятельность на плановой основе и рассматривает актуальные для ПФО вопросы ИБ (защиты информации ограниченного доступа). Основными задачами деятельности Координационного совета являются:
1) оказание содействия субъектам Российской Федерации, входящим в ПФО, в решении вопросов ИБ;
2) совершенствование системы ИБ в ПФО;
3) рассмотрение вопросов и выработка рекомендаций по управлению системой защиты информации в ПФО, ее функционированию и совершенствованию; организации и координации работ по защите информации ограниченного доступа в ПФО; выявлению и закрытию возможных каналов неправомерного доступа к информации ограниченного доступа.
3.4.1.2.Органы контроля: территориальные органы (управления) федеральных органов исполнительной власти, уполномоченные в вопросах обеспечения безопасности и (или) противодействия иностранным техническим разведками (или) защиты информации:
1) управление ФСБ России по Нижегородской области (далее - УФСБ России по НО);
2) управление ФСТЭК России по ПФО (далее - УФСТЭК России по ПФО);
3) управление специальной связи и информации Федеральной службы охраны Российской Федерации в ПФО (далее - УССИ ФСО России в ПФО);
4) управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по ПФО (далее - Управление Роскомнадзора по ПФО).
3.4.1.2.1.УФСБ России по НО.
УФСБ России по НО является территориальным органом (управлением) ФСБ России - федерального органа исполнительной власти, осуществляющего специальные и контрольные функции в области государственной безопасности по вопросам, установленным Положением о ФСБ России, утвержденным Указом Президента Российской Федерации от 11 августа 2003 года N 960, и осуществляет свои полномочия применительно к Нижегородской области.
3.4.1.2.2.УФСТЭК России по ПФО.
УФСТЭК России по ПФО является территориальным органом (управлением) ФСТЭК России - федерального органа исполнительной власти, осуществляющего специальные и контрольные функции в области государственной безопасности по вопросам, установленным Положением о ФСТЭК России, утвержденным Указом Президента Российской Федерации от 16 августа 2004 года N 1085, и осуществляет свои полномочия применительно к ПФО.
3.4.1.2.3.УССИ ФСО России в ПФО.
УССИ ФСО России в ПФО является территориальным органом (управлением) ФСО России - федерального органа исполнительной власти, осуществляющего специальные и контрольные функции в области государственной охраны, связи для нужд органов государственной власти, функции по информационно-технологическому и информационно-аналитическому обеспечению деятельности Президента Российской Федерации, Правительства Российской Федерации, иных государственных органов по вопросам, установленным Положением о ФСО России, утвержденным Указом Президента Российской Федерации от 7 августа 2004 года N 1013, и осуществляет свои полномочия применительно к ПФО.
3.4.1.2.4.Управление Роскомнадзора по ПФО.
Управление Роскомнадзора по ПФО является территориальным органом (управлением) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций - федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям действующего законодательства в области персональных данных (уполномоченного по защите прав субъектов персональных данных), в соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства Российской Федерации от 16 марта 2009 года N 228, и осуществляет свои полномочия применительно к ПФО.
3.4.1.3.Органы и организации, обеспечивающие ИБ:
1) аттестационные центры ФСБ России;
2) органы по аттестации объектов информатизации по требованиям безопасности информации, находящиеся на территории Нижегородской области (далее - Органы по аттестации);
3) лицензиаты ФСТЭК России и ФСБ России, а также посреднические организации, научно-исследовательские, научно-технические, проектные и конструкторские организации, находящиеся на территории Нижегородской области;
4) организации (учебные заведения), расположенные на территории Нижегородской области и осуществляющие обучение кадров для работы в системе ИБ Нижегородской области;
5) специализированные организации.
3.4.1.3.1.Аттестационные центры ФСБ России.
Аттестационные центры ФСБ России решают задачи проведения специальных экспертиз организаций для получения лицензий на проведение работ, связанных с использованием сведений, составляющих государственную тайну, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны.
3.4.1.3.2.Органы по аттестации.
Аттестация объектов информатизации включает в себя проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых оценивается и подтверждается соответствие применяемой системы защиты требованиям правовых актов Российской Федерации, руководящих документов ФСТЭК России, ФСБ России, регламентирующих вопросы ИБ (защиты информации). Для реализации данного мероприятия создается специальный орган по аттестации, основными задачами которого являются:
1) организация и проведение аттестации объектов информатизации по требованиям безопасности информации;
2) контроль за состоянием и эксплуатацией аттестованных объектов информатизации.
Деятельность органа по аттестации, аккредитованного соответствующим государственным органом по сертификации и аттестации, осуществляется на основе лицензии на определенные виды деятельности и аттестата аккредитации, выданных ему на право проведения аттестации объектов информатизации.
3.4.1.3.3.Лицензиаты ФСТЭК России и ФСБ России, а также посреднические организации, научно-исследовательские, научно-технические, проектные и конструкторские организации, находящиеся на территории Нижегородской области.
Спрос в необходимости обеспечения ИБ (защиты информации) со стороны Субъектов должен удовлетворяться предложением. Наличие предложения обеспечивают посреднические организации и лицензиаты - юридические лица независимо от организационно-правовой формы, места нахождения или любое физическое лицо, в том числе индивидуальный предприниматель (если допустимо по требованиям действующего законодательства), которые готовы обеспечить ИБ (защиту информации) Субъектов, объектов защиты, имеют для этого необходимые собственные или приобретенные ресурсы (разработки программные, информационно-технические, организационно-методические) и претендуют на получение права обеспечения ИБ (защиты информации), то есть являются потенциальными поставщиками (исполнителями, подрядчиками), обладающими возможностями (законными правами) удовлетворить спрос Субъектов.
Вышеуказанные группы субъектов осуществляют деятельность по непосредственному выполнению мероприятий для Субъектов в области ИБ (защиты информации) и (или) по созданию средств защиты информации, а также программных продуктов в соответствии с требованиями действующего законодательства.
Посреднические организации не обладают лицензиями на право оказания определенных видов деятельности по ИБ (защите информации) в отличие от лицензиатов, поэтому могут принимать участие только в реализации правовых и организационных мероприятий по обеспечению ИБ или поставлять оборудование для ИТ-инфраструктуры Субъектов при соблюдении требований действующего законодательства.
3.4.1.3.4.Организации (учебные заведения), расположенные на территории Нижегородской области и осуществляющие обучение кадров для работы в системе ИБ Нижегородской области.
Указанные организации (учебные заведения) осуществляют по направлениям "ИБ" и (или) "защита государственной тайны", и (или) "техническая защита информации, не отнесенной к государственной тайне" и т.д.:
1) первичную подготовку специалистов по ИБ (комплексной защите информации);
2) переподготовку и повышение квалификации специалистов по ИБ Субъектов и иных субъектов системы ИБ Нижегородской области;
3) усовершенствование знаний руководителей Субъектов.
Данные организации (учебные заведения) имеют лицензию на образовательную деятельность и реализуют соответствующие образовательные программы в сфере ИБ (защиты информации), согласованные ФСТЭК России и (или) ФСБ России.
Субъекты системы ИБ Нижегородской области с целью подготовки, переподготовки и повышения квалификации своих специалистов по ИБ осуществляют взаимодействие с такими организациями (учебными заведениями).
3.4.1.3.5.Специализированная организация.
Специализированная организация - юридическое лицо, привлекаемое Субъектом на основе контракта (договора) для осуществления им ряда функций ИБ (защиты информации) для этого Субъекта и для создания ИТ-базы для функционирования его ИС в защищенном исполнении. При этом привлекающий Субъект обладает рядом исключительных функций, которые свойственно выполнять только ему и передача которых специализированной организации не допускается, так же как распределение прав и ответственности.
3.5.ПРАВОВАЯ ОСНОВА ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ
Правовую основу функционирования системы ИБ Нижегородской области составляют:
1) Конституция Российской Федерации;
2) международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере;
3) федеральные законы, регламентирующие сферу ИБ (защиты информации), информации и информатизации;
3) акты Президента и Правительства Российской Федерации, относящиеся к сфере ИБ (защиты информации), информации, информатизации, безопасности;
4) решения Совета безопасности Российской Федерации, Координационного Совета, федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, Совета Нижегородской области;
5) законы Нижегородской области, регламентирующие сферу ИБ (защиты информации), информации и информатизации;
6) акты Губернатора Нижегородской области и Правительства Нижегородской области, относящиеся к сфере ИБ (защиты информации), информации, информатизации, безопасности;
7) иные правовые акты, методические документы федерального, окружного и областного (муниципального) уровней, регулирующие отношения и вопросы в области ИБ (защиты информации), информации, информатизации, безопасности, информационных технологий.
3.6.МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.6.1.Мероприятия, проводимые головными подразделениями по защите информации
3.6.1.1.Головными подразделениями по защите информации в рамках текущих подходов к построению и развитию системы ИБ Нижегородской области реализуются следующие группы мероприятий по обеспечению ИБ.
3.6.1.1.1.Головным подразделением по ТЗИ создана и ежегодно поддерживается в работоспособном состоянии защищенная корпоративная информационно-телекоммуникационная сеть ОИВ (далее - КСПД).
КСПД объединяет все ОИВ и ОМСУ. Подключение узлов организовано по волоконно-оптическим линиям, линии арендуются у провайдера услуг связи. КСПД используется для централизации каналов связи.
КСПД позволяет обеспечить безопасность конфиденциальной информации при ее передаче между участниками КСПД по выделенным каналам связи в соответствии с требованиями ФСБ России к средствам криптографической защиты и существенно снизить расходы на использование каналов связи, в том числе за счет организованного унифицированного подключения к информационно-телекоммуникационной сети "Интернет" через единую точку доступа.
Назначение КСПД, подробная структура, состав, участники, функции КСПД определены Положением о КСПД, утвержденным постановлением Правительства Нижегородской области от 29 августа 2008 года N 365 "О корпоративной информационно-телекоммуникационной сети органов исполнительной власти Нижегородской области".
3.6.1.1.2.В рамках функционирования КСПД Головным подразделением по ТЗИ создан и ежегодно поддерживается (обеспечивается бесперебойное функционирование) в работоспособном состоянии центр обработки данных (далее - ЦОД) Головного подразделения по ТЗИ. ЦОД построен с применением технологий отказоустойчивости как на программном, так и на аппаратном уровне, а также аттестован по требованиям безопасности информации, что позволяет на его базе размещать любые ИС Субъектов до 1 (высшего) класса защищенности включительно и не создавать отдельные ЦОД каждым Субъектом, а также не арендовать их у коммерческих организаций.
ЦОД объединяет важные по своей социальной направленности государственные информационные системы Нижегородской области. Большинство данных ИС функционируют с применением облачных технологий.
В сочетании с КСПД ЦОД позволяет организовать гарантированное защищенное информационное взаимодействие участников КСПД между собой и с федеральными ИР, ИС.
3.6.1.1.3.Головными подразделениями по защите информации в соответствии с Положением о головных подразделениях по защите информации ОИВ, утвержденным распоряжением Губернатора Нижегородской области от 29 июля 2011 года N 1148-р, выполняются функции головных подразделений по защите информации по отношению к Субъектам, в ходе которых осуществляются выездные контрольные проверки подотчетных организаций, оказываются консультации по применению норм действующего законодательства в области ИБ (информации, информационных технологий и защиты информации, в том числе персональных данных) и т.д.
3.6.1.1.4.Головным подразделением по ТЗИ ежегодно организуется для назначенных специалистов по ИБ проведение обучающих курсов по ИБ (защите информации), не отнесенной к государственной тайне, по программам, согласованным ФСТЭК России, а также семинары на областных мероприятиях с участием представителей территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации.
3.6.1.1.5.Головным подразделением по ТЗИ периодически (при необходимости) проводятся совещания с УФСТЭК России по ПФО по вопросам применения действующего законодательства в области защиты информации, а также реализации решений Координационного Совета.
Заместитель Губернатора, заместитель Председателя Правительства Нижегородской области, к блоку которого относятся головные подразделения по защите информации, при участии Головного подразделения по ТЗИ ежегодно принимает участие:
- в заседаниях Координационного Совета;
- в окружных сборах со специалистами структурных подразделений органов государственной власти субъектов Российской Федерации, являющихся головными по защите информации в субъектах Российской Федерации, в рамках которого субъекты Российской Федерации обмениваются опытом применения решений по обеспечению ИБ (защите информации).
В рамках крупных всероссийских форумов в области информационных и коммуникационных технологий представители Нижегородской области обмениваются опытом соблюдения требований к защите информации при эксплуатации важных ИС.
3.6.1.1.6.В целях максимального соблюдения требований действующего законодательства в сфере ИБ (защиты информации) Головным подразделением по ТЗИ осуществляется согласование технических заданий и проектов на создание (модернизацию) ИС ОИВ в части выполнения ими мероприятий по обеспечению ИБ в соответствии с распоряжением Губернатора Нижегородской области от 30 декабря 2011 года N 2036-р "Об утверждении регламента согласования технических заданий и проектов на создание информационных систем".
При этом такая процедура не исключает в установленных случаях необходимости проведения согласовательных процедур с федеральными органами исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации (в том числе территориальными). В случае предварительного отнесения ИС к категории ключевых техническое задание на ее разработку (модернизацию) направляется в УФСТЭК России по ПФО на согласование в части соблюдения требований по безопасности информации, предъявляемых к ключевым системам информационной инфраструктуры.
3.6.1.1.7.Головным подразделением по ТЗИ с участием представителей ряда территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, и ОМСУ муниципальных образований Нижегородской области обеспечивается работа Совета Нижегородской области в соответствии с Положением о межведомственном техническом совете по защите информации Нижегородской области, утвержденным распоряжением Губернатора Нижегородской области от 6 февраля 2012 года N 140-р.
3.6.1.1.8.Головным подразделением по защите ГТ с участием ОИВ ведется работа ПДТК в соответствии с Положением о постоянно действующей технической комиссии (ПДТК) по защите государственной тайны в ОИВ, утвержденным распоряжением Правительства Нижегородской области от 17 августа 2006 года N 613-р "Об утверждении Положения о постоянно действующей технической комиссии по защите государственной тайны в органах исполнительной власти Нижегородской области".
3.6.1.1.9.Разработка правовой базы, определяющей порядок и правила функционирования системы ИБ Нижегородской области.
Разработана правовая база Нижегородской области, регулирующая следующие вопросы ИБ (защиты информации):
1) назначения сотрудников Органов на должности специалистов по технической защите информации;
2) особенности подключения государственных ИС Нижегородской области к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, устанавливающие "Требования по обеспечению целостности, устойчивости функционирования и безопасности ИС общего пользования" и "Требования о защите информации, содержащейся в ИС общего пользования";
3) правила использования электронной почты в ОИВ, утвержденные приказом министерства информационных технологий, связи и средств массовой информации от 26 февраля 2015 года N 13-од, рекомендуемые для использования в ОМСУ, подведомственных Органам организациях и устанавливающие правила защищенной передачи информации;
4) иные вопросы.
3.6.1.2.Выполняемые головными подразделениями по защите информации группы мероприятий представляют собой правовые, организационные и технические меры, направленные на создание, поддержание и развитие системы ИБ Нижегородской области. Указанные мероприятия проводятся в соответствии с требованиями действующего законодательства в сфере ИБ (информации, информационных технологий и защиты информации), решениями Совета безопасности Российской Федерации и Координационного Совета.
3.6.2.Мероприятия, проводимые назначенными специалистами по ИБ
3.6.2.1.В целях обеспечения ИБ объектов защиты Субъектов назначенными специалистами по ИБ реализуется комплекс базовых мероприятий, определенных:
1) единым квалификационным справочником должностей руководителей, специалистов и служащих (раздел "Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации"), утвержденным приказом Минздравсоцразвития России от 22 апреля 2009 года N 205 (для специалистов по защите информации, в том числе технической);
2) профессиональным стандартом "Специалист информационной безопасности" (для специалистов по ИБ и защите информации);
3) Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 года N 912-51 (для специалистов по технической защите информации);
4) иным действующим законодательством в сфере ИБ (информации, информационных технологий и защиты информации).
3.6.2.2.Дополнительно назначенными специалистами в зависимости от специфики работы Субъекта, использования объектов защиты и их объема выполняется комплекс иных мероприятий, необходимых для организации системы защиты в конкретном Субъекте.
3.6.2.3.Выполняемый назначенными специалистами комплекс мероприятий представляет собой правовые, организационные и технические меры, направленные на создание, поддержание и развитие системы ИБ каждого Субъекта. Указанные мероприятия проводятся в соответствии с требованиями действующего законодательства в сфере ИБ (информации, информационных технологий и защиты информации, в том числе персональных данных) однократно, периодически, по мере необходимости и (или) постоянно.
IV.Анализ состояния системы информационной безопасности Нижегородской области
4.1.СТАДИИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Анализ состояния системы ИБ Нижегородской области показывает степень успешности проводимых мероприятий по обеспечению ИБ при текущей системе ИБ Нижегородской области и выявляет проблемные области, требующие решения на современном этапе развития. Проблемные области представлены в настоящей Концепции в виде их проявления на следующих типичных для Субъектов стадиях обеспечения ИБ (далее - Стадии обеспечения ИБ, Стадии):
| Стадия 1 : | Планирование (подготовка) мероприятия по обеспечению ИБ; |
| Стадия 2 : | Организация (проведение) процедур, направленных на: - самостоятельную реализацию Субъектами мероприятий по обеспечению ИБ или - реализацию мероприятий по обеспечению ИБ посредством привлечения к их исполнению сторонних лиц: лицензиатов ФСТЭК России и (или) ФСБ России, посреднических и специализированных организаций для реализации мероприятий по обеспечению ИБ; |
| Стадия 3 : | Реализация мероприятий по обеспечению ИБ. |
4.2.ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ ВСЕХ СТАДИЙ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.2.1.Отсутствие должностей штатных специалистов по ИБ.
4.2.1.1.В большинстве Субъектов отсутствуют выделенные должности штатных специалистов по ИБ, организационно-штатная структура Субъектов не предусматривает наличие в штатном расписании отдельной должности специалиста по ИБ.
4.2.1.2.Основные причины существования проблемы:
1) отсутствие достаточного количества кандидатов, готовых работать в сфере ИБ (защиты информации) за предлагаемое вознаграждение в Субъекте;
2) наличие высоких требований к уровню образования специалистов по ИБ, а также к качеству их работы и уровню ответственности за ее неисполнение (некачественное исполнение).
4.2.1.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.2.Назначение на должности нештатных специалистов по ИБ сотрудников иных профилей деятельности.
4.2.2.1.В структуре большинства Субъектов наблюдается назначение на должности специалистов по ИБ сотрудников иных профилей деятельности, не имеющих необходимого уровня образования для реализации Стадий обеспечения ИБ.
4.2.2.2.Основные причины существования проблемы:
1) отсутствие достаточного количества кандидатов, готовых работать в сфере ИБ (защиты информации) за предлагаемое вознаграждение в Субъектах;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.2.3.Следствия проблемы:
1) необходимость проведения обучения назначенных специалистов вопросам ИБ (защиты информации);
2) сложность в совмещении профильных и непрофильных обязанностей;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.3.Частая ротация назначенных специалистов по ИБ.
4.2.3.1.В структуре большинства Субъектов наблюдается частая ротация назначенных специалистов по ИБ.
4.2.3.2.Основные причины существования проблемы:
1) сложность для сотрудника иного профиля деятельности совмещать профильные обязанности и функции специалиста по ИБ в соответствии с требованиями к качеству его работы и уровнем ответственности за ее неисполнение (некачественное исполнение) (в случае возложения соответствующих непрофильных обязанностей);
2) неудовлетворенность своей работой, стресс: дополнительные обязанности не сопровождаются дополнительными выплатами (в случае возложения соответствующих непрофильных обязанностей);
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.3.3.Следствия проблемы:
1) затрачивание ресурсов на поиск (привлечение) нового сотрудника;
2) необходимость пересмотра внутренней системы ИБ Субъекта;
3) увеличение рисков при внедрении сложных ресурсоемких систем, нарушение преемственности технических и системных решений, а также принципов обеспечения ИБ;
4) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
5) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.4.Недостаточная квалификация назначенных специалистов по ИБ.
4.2.4.1.В большинстве Субъектов назначенные специалисты по ИБ не обладают достаточным уровнем квалификации (знания, навыки, опыт) в соответствии с требованиями действующего законодательства для исполнения возложенных на них обязанностей, что осложняет работу всей системы ИБ Нижегородской области.
4.2.4.2.Основные причины существования проблемы:
1) сложность в обеспечении назначенных специалистов необходимыми навыками и знаниями для реализации всех Стадий обеспечения ИБ ввиду недостаточного количества финансовых ресурсов, которые необходимо затратить на обучение указанных сотрудников, в том числе по причине высокой стоимости курсов обучения по необходимому направлению деятельности;
2) сложность в освоении программы обучения по направлению ИБ (защиты информации) сотрудниками иных профилей деятельности, на которых возложены узкоспециализированные функции, в случае направления их на обучение;
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.4.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.5.Недостаточная образовательная база в Нижегородской области.
4.2.5.1.На территории Нижегородской области недостаточно развита образовательная база по направлению "ИБ (защита информации)", что проявляется в следующем:
1) присутствуют единичные образовательные центры, способные осуществлять качественную подготовку и повышение квалификации специалистов данного профиля на территории Нижегородской области (г. Нижнего Новгорода) по указанному направлению по программам обучения, согласованным ФСТЭК России и (или) ФСБ России;
2) отсутствует возможность проведения переподготовки по указанному направлению по программам обучения, согласованным ФСТЭК России и (или) ФСБ России, на территории Нижегородской области.
4.2.5.2.Основные причины существования проблемы:
1) недостаточное внимание развитию направления информационной безопасности;
2) высокая стоимость обучения по указанному направлению деятельности.
4.2.5.3.Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.6.Формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ.
4.2.6.1.В деятельности ряда Субъектов наблюдается недостаточно активное участие назначенных специалистов по ИБ при реализации Стадий обеспечения ИБ. Наблюдается формальное отношение указанных специалистов и руководства Субъектов к вопросам ИБ.
4.2.6.2.Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.6.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.7.Отсутствие единого ИТ-центра реализации Стадий обеспечения ИБ.
4.2.7.1.Текущей системой ИБ Нижегородской области не предусмотрено функционирование единого ИТ-центра. ИТ-центр для целей применения положений настоящей Концепции - это центр, позволяющий увязать в защищенной информационной сети (системе) все Стадии обеспечения ИБ и обеспечить единое организационно-методическое, оперативное консультационное, информационное, аналитическое, техническое обеспечение и цельный мониторинг состояния системы ИБ Нижегородской области.
4.2.7.2.Основная причина существования проблемы: отсутствие необходимых бюджетных ресурсов для организации и поддержания единого защищенного пространства, используемого в указанных целях.
4.2.7.3.Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.8.Отсутствие контроля всех Стадий обеспечения ИБ.
4.2.8.1.Отсутствует действенный контроль реализации Стадий обеспечения ИБ как со стороны головных подразделений по защите информации, так и со стороны Субъектов: практически посредством проверок осуществляется контроль только одной 3 Стадии, а для ряда Субъектов - только 2 Стадии.
4.2.8.2.Основные причины существования проблемы:
1) недостаточное количество трудовых ресурсов головных подразделений по защите информации, способных осуществлять действенный контроль за всеми Стадиями обеспечения ИБ;
2) отсутствие достаточных областных и федеральных правовых инструментов, позволяющих реализовать качественный контроль всех Стадий обеспечения ИБ (в частности, единой методики оценки эффективности проведения мероприятий по ИБ, затрагивающей качественные (социальные) аспекты, а не только показатель экономии финансовых ресурсов, и наоборот);
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.8.3.Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.9.Отсутствие отчетности по всем Стадиям обеспечения ИБ.
4.2.9.1.В деятельности большинства Субъектов наблюдается сложность в оперативном и своевременном предоставлении отчетности головным подразделениям по защите информации, контрольно-надзорным органам, в том числе в ее предоставлении в электронном виде с применением электронной подписи в соответствии с требованиями Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи". Отсутствует сбор отчетности по 1 и 2 Стадиям обеспечения ИБ, поскольку на практике собирается отчетность только одной 3 Стадии.
4.2.9.2.Основные причины существования проблемы:
1) недостаточное ведение внутриведомственной отчетности;
2) отсутствие понятных правил и норм сбора конкретной отчетности;
3) отсутствие понятной формы (системы) сбора отчетности;
4) закрепление двойной (электронная и бумажная) работы по сбору отчетности;
5) появление новых форм сбора отчетности, под которые сложно адаптировать автоматизированные системы сбора отчетности;
6) отсутствие достаточных полномочий для сбора необходимой отчетности;
7) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.9.3.Следствия проблемы:
1) сложность в отслеживании фактического состояния системы ИБ Нижегородской области и каждой организации в отдельности, в том числе сложность в анализе и оценке результативности использования бюджетных средств на мероприятия по обеспечению ИБ, соблюдения правовой базы, достижения промежуточных и итоговых результатов, качества реализации мероприятий, а также в выработке предложений по принятию мер управляющего воздействия;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.10.Отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ.
4.2.10.1.В деятельности ряда Субъектов наблюдается отсутствие четкой и (или) присутствие слабой структуры организации процесса обеспечения ИБ (защиты информации) (отсутствует понимание, какой сотрудник за какие функции, направления, задачи и мероприятия отвечает, какие средства защиты применяются и где, и т.д.), а принимаемые решения выстраиваются с несоблюдением политики ИБ. Отсутствует и (или) присутствует недостаточное внутриведомственное взаимодействие между назначенными специалистами по ИБ и локальными администраторами, специалистами, ответственными за направление информатизации в Субъекте (при наличии), а также сотрудниками, ответственными за иные узкопрофильные направления деятельности Субъекта и использующими объекты защиты Субъекта.
4.2.10.2.Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.2.10.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ РАЗНЫХ СТАДИЙ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СТАДИЯ 1:
4.3.1.Динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации).
4.3.1.1.Субъекты в основном эксплуатируют зарубежные средства защиты информации, компоненты ИС, программное обеспечение, технологии, программные продукты ввиду отсутствия аналогов на российском рынке. Поэтому они сталкиваются с проблемой ценообразования на проведение мероприятий по обеспечению ИБ, которая заключается в сложности планирования таких мероприятий с их стороны при нестабильной ситуации на ценовом рынке ИБ (защиты информации), в том числе в связи с динамикой курса мировых валют.
4.3.1.2.Основная причина существования проблемы: экономические, финансовые предпосылки, а также иные внешние искусственные факторы.
4.3.1.3.Следствия проблемы:
1) увеличение стоимости владения ИТ-инфраструктурой и ИС;
2) вероятность нарушения требований действующего законодательства по ИБ (защите информации) ввиду неисполнения (несвоевременного исполнения) требований по ИБ (защите информации);
3) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба ввиду неисполнения (несвоевременного исполнения) требований по ИБ (защите информации);
4) неэффективное использование бюджетных ресурсов ввиду завышения Субъектами стоимости мероприятий по обеспечению ИБ при планировании в целях гарантированного удовлетворения своих потребностей;
5) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.2.Отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ.
4.3.2.1.В деятельности ряда Субъектов наблюдается отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ, в ходе которых определяются потребность в финансовых ресурсах и результаты их использования. Отсутствует стратегическое планирование мероприятий по обеспечению ИБ с учетом приоритетных направлений информатизации, задач модернизации и инновационного развития Нижегородской области и каждой организации в отдельности.
4.3.2.2.Основные причины существования проблемы:
1) поиск новых решений обеспечения ИБ в связи с появлением новых угроз ИБ;
2) общее отсутствие в деятельности Субъектов выработанного единого эффективного и действенного (налаженного) механизма регулирования текущей Стадии обеспечения ИБ (указанная Стадия регламентируется исключительно внутренними локальными актами (в том числе планами-графиками закупок), не имеющими зачастую единой стратегической цели для общей безопасности Нижегородской области), планирование и прогнозирование мероприятий по обеспечению ИБ осуществляется без участия головных подразделений по защите информации;
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.2.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) отсутствие возможности грамотно спланировать (подготовить) мероприятия по обеспечению ИБ и качественно реализовать все Стадии обеспечения ИБ;
3) ошибки в определении реальных потребностей в тех или иных мерах, средствах, системах защиты и, как следствие, неэффективное использование бюджетных средств: закупается зачастую не та продукция, которая действительно нужна, не в том объеме, который действительно необходим, осуществляются не те работы, которые действительно нужны в целях обеспечения ИБ Нижегородской области (Субъектов, их объектов защиты);
4) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.3.Сложность применения регулирующих норм назначенными специалистами по ИБ.
4.3.3.1.Назначенные специалисты по ИБ в большинстве Субъектов не имеют возможности четко ориентироваться в действующем законодательстве, регламентирующем сферу ИБ, что снижает уровень защищенности Субъектов и их объектов защиты и, значит, не способствует получению оптимальных результатов проводимых мероприятий по обеспечению ИБ и ведет к неэффективности (неработоспособности) всей системы ИБ Нижегородской области.
4.3.3.2.Основные причины существования проблемы:
1) периодическая доработка и изменение правовой базы сферы ИБ, в том числе в целях приведения законодательства Нижегородской области в соответствие с федеральным законодательством;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.3.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба ввиду неисполнения (несвоевременного исполнения) требований по ИБ (защите информации);
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.4.Несогласованность разработки актов в сфере ИБ (защиты информации).
4.3.4.1.В деятельности большинства Субъектов наблюдается несогласованность разработки актов в сфере ИБ (защиты информации) на областном уровне и на уровне Субъектов.
4.3.4.2.Основные причины существования проблемы:
1) отстаивание федеральных интересов, интересов Нижегородской области и интересов отдельных Субъектов;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.4.3.Следствия проблемы:
1) несоблюдение сроков согласований, затягивание принятия необходимых актов, регламентирующих сферу ИБ (защиты информации) в Нижегородской области;
2) сложность для выработки единой стратегии развития ИБ Нижегородской области, в том числе по ряду ключевых вопросов;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
СТАДИЯ 2:
4.3.5.Подготовка некорректных документов для реализации мероприятий по обеспечению ИБ.
4.3.5.1.В большинстве случаев Субъекты формируют некорректные документы на мероприятия по обеспечению ИБ, содержащие:
1) ошибочные технические спецификации;
2) двусмысленные формулировки;
3) избыточные или недостаточные требования;
4) требования, установленные с нарушениями действующего законодательства;
5) требования, установленные без соблюдения действующих стандартов и т.д.
4.3.5.2.Основные причины существования проблемы:
1) недостаточная проработанность единого эффективного и действенного (налаженного) механизма регулирования текущей Стадии обеспечения ИБ (в частности, подготовка технических заданий на мероприятия по созданию систем защиты осуществляется зачастую без участия головных подразделений по защите информации, а экспертиза технических заданий на указанные мероприятия проводится ими только для ОИВ);
2) игнорирование замечаний и рекомендаций Головного подразделения по ТЗИ при подготовке ОИВ мероприятий по обеспечению ИБ;
3) недостаточное информирование субъектов Российской Федерации федеральными органами исполнительной власти, внедряющими сегменты ИС в субъектах Российской Федерации, об архитектуре внедряемых ИС и требованиях к их защите, непредоставление необходимых документов на ИС для качественной реализации Стадий обеспечения ИБ и т.д.;
4) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.5.3.Следствия проблемы:
1) затруднение реализации особенно сложных и длительных проектов создания и внедрения средств, систем защиты, ИС, требующих концентрации и рационального использования ресурсов;
2) неэффективное использование выделенных бюджетных ресурсов, их несвоевременное освоение;
3) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
4) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.6.Отсутствие централизованного подхода при проведении однотипных мероприятий по обеспечению ИБ.
4.3.6.1.Для текущей системы ИБ Нижегородской области характерно, что каждый Субъект самостоятельно планирует и организует (реализует) однотипные мероприятия по обеспечению ИБ, в частности:
1) закупка однотипных средств защиты информации;
2) закупка однотипных аппаратных решений, программного обеспечения;
3) проведение однотипных правовых и организационных мероприятий.
Это требует отвлечения значительных временных, а зачастую и финансовых ресурсов, а качество реализации мероприятий по обеспечению ИБ в ряде Субъектов не соответствует минимально установленным действующим законодательством требованиям.
4.3.6.2.Основная причина существования проблемы: недостаточная проработанность единого эффективного и действенного (налаженного) механизма регулирования текущей Стадии обеспечения ИБ (в частности, не осуществляются централизованные закупки однотипных средств защиты информации, аппаратных решений, программного обеспечения и пр.).
4.3.6.3.Следствия проблемы:
1) излишнее неоправданное отвлечение временных ресурсов на разработку требований к однотипным мероприятиям по обеспечению ИБ;
2) неэффективное использование бюджетных ресурсов ввиду отсутствия централизованного подхода к проведению мероприятий по обеспечению ИБ;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.7.Корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ.
4.3.7.1.В Головное подразделение по ТЗИ поступают от ОИВ на рассмотрение документы на мероприятия по обеспечению ИБ. В ходе экспертизы технических заданий и (или) проектов на создание (модернизацию) ИС в части соблюдения требований по ИБ (защите информации) для каждого рассматриваемого документа Головным подразделением по ТЗИ выдаются замечания и рекомендации, подразумевающие его существенную корректировку в целях соблюдения действующего законодательства в сфере ИБ. В указанных целях экспертиза и корректировка проводится также в отношении документов, регламентирующих правовые мероприятия по обеспечению ИБ.
4.3.7.2.Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.7.3.Следствия проблемы:
1) выявление Головным подразделением по ТЗИ фактов вероятного нарушения требований действующего законодательства, в ряде случаев - неэффективного расходования бюджетных ресурсов и заведомо нереализуемой, реализуемой некачественно последующей Стадии обеспечения ИБ;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.8.Несоблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ.
4.3.8.1.Отдельными ОИВ не соблюдается процедура согласования и экспертизы технических заданий и проектов на создание (модернизацию) ИС в части соблюдения ими требований по ИБ (защите информации), проводимая Головным подразделением по ТЗИ.
4.3.8.2.Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.8.3.Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.9.Несоблюдение процедур обеспечения ИБ, регламентированных действующим законодательством.
4.3.9.1.Большинством Субъектов в ходе создания (модернизации) объектов защиты Субъектов не предусматривается проведение мероприятий по обеспечению ИБ, обязательных к исполнению в соответствии с действующим законодательством.
4.3.9.2.Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.9.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
СТАДИЯ 3:
4.3.10.Отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ.
4.3.10.1.В деятельности ряда Субъектов наблюдается:
1) отсутствие (несвоевременное приобретение) средств защиты, необходимость установки (эксплуатации) которых в конкретных случаях определена действующим законодательством;
2) отсутствие необходимых документов по ИБ (защите информации) на объекты защиты Субъектов и внутренние системы ИБ Субъектов;
3) недостаточная оснащенность средствами и аппаратурой контроля эффективности защиты информации, правовыми и методическими документами в области защиты информации, а также сертифицированными средствами защиты информации;
4) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.10.2.Основные причины существования проблемы:
1) недостаточная развитость рынка разработок (в том числе российских) в сфере информационных технологий, отсутствие достаточного количества надежных российских разработок средств защиты информации при курсе Правительства Российской Федерации на их использование, которые смогли бы ликвидировать (минимизировать) угрозы ИБ при тех или иных условиях эксплуатации объектов защиты Субъектов;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.10.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.11.Приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества.
4.3.11.1.В деятельности отдельных Субъектов наблюдается:
1) установка дублирующих по своему функционалу средств защиты информации и (или) ошибочных средств защиты информации;
2) преждевременное проведение работ, оказание (получение) услуг по ИБ (защите информации).
4.3.11.2.Основные причины существования проблемы:
1) недостаточное информирование субъектов Российской Федерации федеральными органами исполнительной власти, внедряющими сегменты ИС в субъектах Российской Федерации, об архитектуре внедряемых ИС и требованиях к их защите, непредоставление необходимых документов на ИС для качественной реализации Стадий обеспечения ИБ и т.д.;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.11.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба, в том числе из-за "закрытия" только одной и (или) нескольких из ряда возможных угроз;
2) неэффективное использование бюджетных ресурсов;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.12.Закупка однотипных средств защиты информации и ИТ-услуг по различным ценам.
4.3.12.1.При реализации мероприятий по обеспечению ИБ Субъектов приобретаются однотипные средства защиты информации и ИТ-услуги по различным ценам.
4.3.12.2.Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.12.3.Следствия проблемы:
1) приобретение зачастую некачественной продукции;
2) зачастую неэффективное использование бюджетных и временных ресурсов;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.13.Недостаточная квалификация специализированных организаций, лицензиатов, посреднических организаций, реализующих мероприятия по обеспечению ИБ.
4.3.13.1.При реализации мероприятий по обеспечению ИБ в Субъектах к исполнению приступают недостаточно квалифицированные специализированные организации, лицензиаты, разработчики, посреднические организации.
4.3.13.2.Основные причины существования проблемы:
1) недостаточное наполнение российского трудового рынка квалифицированными специалистами в области ИБ (защиты информации), работающими на стороне предложения;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.13.3.Следствия проблемы:
1) зачастую неэффективное использование бюджетных ресурсов;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.14.Невыполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.
4.3.14.1.Некоторыми Субъектами не выполняются мероприятия по обеспечению ИБ или несвоевременно и некачественно исполняются.
4.3.14.2.Основные причины существования проблемы:
1) затягивание предыдущих Стадий обеспечения ИБ;
2) непрогнозируемые причины внешнего характера, которые невозможно предвидеть заранее;
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.14.3.Следствия проблемы:
1) неэффективное использование бюджетных ресурсов;
2) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.15.Отсутствие должного внутреннего контроля.
4.3.15.1.Со стороны большинства Субъектов наблюдается отсутствие контроля за выполнением мероприятий по обеспечению ИБ, реализуемых специализированными организациями, лицензиатами, разработчиками, посредническими организациями.
4.3.15.2.Основные причины существования проблемы:
1) недостаточное количество специалистов по ИБ, способных одновременно контролировать выполнение мероприятий по обеспечению ИБ и выполнять иные функции;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.15.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.16.Низкая эффективность внутренней системы ИБ Субъектов.
4.3.16.1.В ряде Субъектов наблюдается недостаточная мощь текущей внутренней системы ИБ, в том числе отсутствие четкой структуры организации процесса обеспечения ИБ (защиты информации).
4.3.16.2.Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
4.3.16.3.Следствие проблемы: высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба.
4.4.ПРОБЛЕМЫ ИТ-ИНФРАСТРУКТУРЫ
4.4.1.Устаревшее ИТ-оборудование, программное обеспечение.
4.4.1.1.В ряде Субъектов эксплуатируемое ИТ-оборудование и программное обеспечение является физически и морально устаревшим и требует замены, что подрывает ИБ Нижегородской области (Субъектов) и оказывает негативное влияние на качественную реализацию Стадий обеспечения ИБ.
4.4.1.2.Основные причины существования проблемы:
1) отсутствие необходимых бюджетных ресурсов на приобретение современного ИТ-оборудования и программного обеспечения;
2) последствия планирования информатизации Нижегородской области (Субъектов);
3) отсутствие назначенных в ряде Субъектов специалистов, занимающихся вопросами информатизации, в том числе разработки и внедрения ИС.
4.4.1.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
3) низкая работоспособность, высокая стоимость обслуживания, невозможность эксплуатации на базе текущего ИТ-оборудования и программного обеспечения ИС различного уровня сложности и классов защищенности;
3) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.
4.4.2.Разнородная аппаратно-программная среда.
4.4.2.1.В деятельности большинства Субъектов наблюдается разнородная аппаратно-программная среда, которая характеризуется разнородностью используемых, в том числе для функционирования ИС, технических средств, базовых программных средств, средств разработки и средств защиты информации, наличием разных версий программного обеспечения (программных продуктов), отсутствием компонентов интеграции и т.д.
4.4.2.2.Основные причины существования проблемы:
1) применяются решения, необходимые для реализации функций конкретного Органа, что является неприменимым или избыточным для другого Органа;
2) разный масштаб финансирования для разных организаций на мероприятия информатизации и обеспечения ИБ;
3) общее отсутствие в деятельности Нижегородской области (Субъектов) выработанного единого эффективного и действенного (налаженного) механизма регулирования вопроса построения единообразной аппаратно-программной среды;
4) действующее законодательство, которое не запрещает применять различные аппаратно-программные решения;
5) непрогнозируемые причины внешнего характера, которые невозможно предвидеть заранее;
6) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.
4.4.2.3.Следствия проблемы:
1) неоправданность инвестиций в ряде случаев;
2) повышенные требования к кадровому обеспечению в части обеспечения беспроблемного функционирования аппаратно-программной среды;
3) увеличение стоимости владения ИТ-инфраструктурой в каждой отдельной организации;
4) сложности проведения единой стратегии (политики) ИБ и централизации функций по ИБ (защите информации);
5) сложность в развитии комплексного подхода к автоматизации в защищенном исполнении деловых процессов;
6) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.
4.4.3.Программные продукты с закрытым кодом.
4.4.3.1.Большинством Субъектов внедряются программные продукты (например, ИС и их составляющие) с закрытым кодом.
4.4.3.2.Основные причины существования проблемы:
1) недостаточное внутриведомственное взаимодействие между назначенным специалистом по ИБ, локальным администратором и сотрудником, занимающимся вопросами информатизации в конкретном Субъекте;
2) требования разработчиков программных продуктов;
3) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.
4.4.3.3.Следствия проблемы:
1) увеличение стоимости владения ИТ-инфраструктурой в каждой отдельной организации;
2) снижение уровня ИБ и высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
3) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ.
4.4.4.Отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД).
4.4.4.1.В деятельности большинства Субъектов наблюдается отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД).
4.4.4.2.Основные причины существования проблемы:
1) отсутствие необходимых бюджетных ресурсов;
2) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.
4.4.4.3.Следствия проблемы:
1) самостоятельная техническая поддержка и обслуживание вычислительного комплекса каждого отдельного Субъекта;
2) увеличение риска потери информации, нарушения ее целостности и доступности;
3) снижение общих показателей надежности и безопасности ИС;
4) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
5) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.
4.4.5.Ограниченные возможности развития ИТ-инфраструктуры.
4.4.5.1.Текущее состояние ИТ-инфраструктуры ряда Субъектов не позволяет в необходимой степени развить вычислительные комплексы (в том числе разместить ИС с новой архитектурой и функциональными возможностями) и гибко применять механизмы ИБ (защиты информации).
4.4.5.2.Основные причины существования проблемы:
1) отсутствие необходимых бюджетных ресурсов;
2) недостаточность кадровых ресурсов с необходимым уровнем квалификации для создания необходимой ИТ-инфраструктуры в Нижегородской области (Субъектах);
3) степень развития рынка ИТ-продукции и ИТ-услуг на момент создания ИТ-инфраструктуры;
4) неприменение перспективного планирования и прогнозирования;
5) текущие проблемы ИТ-инфраструктуры Нижегородской области;
6) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.
4.4.5.3.Следствия проблемы:
1) сложность применения комплексных решений ИБ (защиты информации) в Субъектах;
2) вероятность нарушения требований действующего законодательства по ИБ (защите информации) ввиду неисполнения (несвоевременного исполнения) требований по ИБ (защите информации) из-за необходимости модернизации ИТ-инфраструктуры;
3) дополнительные инвестиции в перестройку действующих ИС и их систем ИБ (защиты информации) и, как следствие, проведение повторного цикла Стадий обеспечения ИБ с необходимостью выделения дополнительных финансовых ресурсов;
4) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.
4.4.6.Отсутствие централизованного обслуживания и управления.
4.4.6.1.В деятельности Субъектов на областном и муниципальном уровнях не применяются механизмы обслуживания и управления из единого центра, которые бы позволили осуществлять контроль и мониторинг за безопасным функционированием ИС Субъектов, применением мер ИБ (защиты информации).
4.4.6.2.Основные причины существования проблемы:
1) недостаточное финансирование расходов на поддержание мощного ресурса централизованного обслуживания и управления на областном и муниципальном уровнях;
2) недостаточность кадровых ресурсов с необходимым уровнем квалификации для осуществления обслуживания и управления из единого центра;
3) текущие проблемы ИТ-инфраструктуры Нижегородской области;
4) рассогласованность межведомственных интересов;
5) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.
4.4.6.3.Следствия проблемы:
1) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области;
2) увеличение совокупной стоимости владения ИТ-инфраструктурой.
4.5.ОЦЕНКА ПРОБЛЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.5.1.В Таблице 1 подраздела 4.5 раздела IV настоящей Концепции приведена общая оценка вышеуказанных проблем по их степени значимости (критичности) для системы ИБ Нижегородской области. Применена следующая система оценки по возрастанию степени значимости (критичности) проблем для системы ИБ Нижегородской области:
| 1 балл: | Существование данной проблемы в наименьшей степени оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области |
| 2 балла: | Существование данной проблемы оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области, но может в быстрой степени перекрываться проведением дополнительных мероприятий |
| 3 балла: | Существование данной проблемы в средней степени оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области и может быть исключено проведением дополнительных мероприятий |
| 4 балла: | Существование данной проблемы приближает уровень ИБ Нижегородской области к критическому значению и сопровождается негативными последствиями в степени выше среднего |
| 5 баллов: | Существование данной проблемы указывает на максимальный уровень критичности (значимости), сильно сказывается на уровне ИБ Нижегородской области и на успешном развитии системы ИБ Нижегородской области, а также может привести к значительному ущербу при реализации угроз ИБ |
Таблица 1
| Наименование проблем | Оценка в баллах | ||||
| 1 | 2 | 3 | 4 | 5 | |
| ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ ВСЕХ СТАДИЙ | |||||
| Отсутствие должностей штатных специалистов по ИБ | V | ||||
| Назначение на должности нештатных специалистов по ИБ сотрудников иных профилей деятельности | V | ||||
| Частая ротация назначенных специалистов по ИБ | V | ||||
| Недостаточная квалификация назначенных специалистов по ИБ | V | ||||
| Недостаточная образовательная база в Нижегородской области | V | ||||
| Формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ | V | ||||
| Отсутствие единого ИТ-центра реализации Стадий обеспечения ИБ | V | ||||
| Отсутствие контроля всех Стадий обеспечения ИБ | V | ||||
| Отсутствие достаточной отчетности | V | ||||
| Отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ | V | ||||
| ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ РАЗНЫХ СТАДИЙ | |||||
| 1 Стадия: | |||||
| Динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации) | V | ||||
| Отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ | V | ||||
| Сложность применения регулирующих норм назначенными специалистами по ИБ | V | ||||
| Несогласованность разработки правовых актов в сфере ИБ (защиты информации) | V | ||||
| 2 Стадия: | |||||
| Подготовка некорректных документов для реализации мероприятий по обеспечению ИБ | V | ||||
| Отсутствие централизованного подхода при проведении однотипных мероприятий по обеспечению ИБ | V | ||||
| Корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ | V | ||||
| Несоблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ | V | ||||
| Несоблюдение процедур обеспечения ИБ, регламентированных действующим законодательством | V | ||||
| 3 Стадия: | |||||
| Отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ | V | ||||
| Приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества | V | ||||
| Закупка однотипных средств защиты информации и ИТ-услуг по различным ценам | V | ||||
| Недостаточная квалификация специализированных организаций, лицензиатов, посреднических организаций, реализующих мероприятия по обеспечению ИБ | V | ||||
| Невыполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение | V | ||||
| Отсутствие должного внутреннего контроля | V | ||||
| Низкая эффективность внутренней системы ИБ Субъектов | V | ||||
| ПРОБЛЕМЫ ИТ-ИНФРАСТРУКТУРЫ | |||||
| Устаревшее ИТ-оборудование, программное обеспечение | V | ||||
| Разнородная аппаратно-программная среда | V | ||||
| Программные продукты с закрытым кодом | V | ||||
| Отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД) | V | ||||
| Ограниченные возможности развития ИТ-инфраструктуры | V | ||||
| Отсутствие централизованного обслуживания и управления | V | ||||
4.5.2.Проблемы Стадий обеспечения ИБ создают барьеры, в том числе искусственные, не только для функционирования самих Субъектов и выполнения ими мероприятий по обеспечению ИБ, но и для развития отношений с субъектами сферы ИБ Нижегородской области, а их существование свидетельствует о необходимости совершенствования действующей в Нижегородской области правовой и технической баз и развития системы ИБ Нижегородской области.