Приложение к Постановлению от 31.12.2015 г № 920 Концепция
Концепция информационной безопасности нижегородской области I. основные положения 1.1. введение
1.1.1.Настоящая Концепция представляет собой единую систему взглядов на проблемы информационной безопасности, построение (развитие) системы информационной безопасности Нижегородской области, направленные на согласованное исполнение органами исполнительной власти и местного самоуправления муниципальных образований Нижегородской области, организациями Нижегородской области, в том числе подведомственными органам исполнительной власти и органам местного самоуправления муниципальных образований Нижегородской области (далее - Субъекты), требований по обеспечению информационной безопасности (защиты информации), установленных на федеральном и областном уровнях.
1.1.2.Положения настоящей Концепции детализируют Доктрину информационной безопасности Российской Федерации, утвержденную Президентом Российской Федерации от 9 сентября 2000 года N Пр-1895, применительно к сфере информационной безопасности Нижегородской области, а также Стратегию национальной безопасности Российской Федерации до 2020 года, утвержденную Указом Президента Российской Федерации от 12 мая 2009 года N 537, применительно к информационной сфере Нижегородской области.
1.1.3.Настоящая Концепция разработана на основе анализа текущего состояния системы информационной безопасности Нижегородской области во избежание причинения ущерба Нижегородской области и субъектам правоотношений вследствие реализации информационных рисков и угроз информационной безопасности и определяет:
1) проблемные области обеспечения информационной безопасности Нижегородской области (Субъектов, их объектов защиты), требующие решения на современном этапе развития;
2) актуальные направления, задачи и принципы развития текущей системы информационной безопасности Нижегородской области.
1.1.4.Настоящая Концепция служит основой для:
1) создания государственных программ, а также планов Субъектов по информационной безопасности (защите информации);
2) уточнения содержания иных связанных с ней программ, планов, правовых и организационно-распорядительных документов, находящихся в стадии выполнения или разработки;
3) проведения единой согласованной политики в сфере обеспечения информационной безопасности Нижегородской области;
4) подготовки предложений по совершенствованию правового, научно-технического и организационного обеспечения информационной безопасности Нижегородской области.
1.1.5.Положения настоящей Концепции разработаны на основе:
1) основных направлений государственной политики в области информационной безопасности, сформулированных в Концепции региональной информатизации, утвержденной распоряжением Правительства Российской Федерации от 29 декабря 2014 года N 2769-р;
2) решений, методических рекомендаций Совета безопасности Российской Федерации, Координационного Совета по защите информации при полномочном представителе Президента Российской Федерации в ПФО (далее - Координационный Совет), управления Федеральной службы по техническому и экспортному контролю Российской Федерации (далее - ФСТЭК России) по Приволжскому федеральному округу (далее - ПФО), управления Федеральной службы безопасности Российской Федерации (далее - ФСБ России) по Нижегородской области по организации системы информационной безопасности (защиты информации) в субъектах Российской Федерации;
3) Основ организации защиты информации в ПФО, одобренных решением Координационного Совета от 12 ноября 2009 года;
4) иных нормативных правовых актов, методических рекомендаций федеральных органов исполнительной власти, регулирующих отношения и вопросы в области информации, информационных технологий и информационной безопасности (защиты информации) в Российской Федерации.
1.1.6.В настоящей Концепции используются понятия, определения и сокращения, установленные Федеральными законами от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 года N 152-ФЗ "О персональных данных", Законом Российской Федерации от 21 июля 1993 года N 5485-1 "О государственной тайне", ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации", ГОСТ Р 51188-98 "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30 августа 2002 года N 282, Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008 года, а также следующие понятия, определения и сокращения:
"ИС" - информационная система;
"ИР" - информационный ресурс;
"ОМСУ" - орган(ы) местного самоуправления муниципальных образований Нижегородской области, в том числе муниципальных районов и (или) городских округов Нижегородской области;
"ОИВ" - орган(ы) исполнительной власти Нижегородской области;
"Органы" - ОИВ и ОМСУ;
"Организации" - организации, в уставном (складочном) капитале которых доля (вклад) Нижегородской области и (или) муниципальных образований Нижегородской области составляет 50%% (пятьдесят процентов) и более, и расположенные на территории Нижегородской области;
"Подведомственные организации" - организации, подведомственные Органам;
"Субъекты" - Органы, Организации и Подведомственные организации;
"специалист по ИБ" - специалист по информационной безопасности и (или) защите (технической) информации, не отнесенной к государственной тайне, и (или) защите (технической) информации, содержащей сведения, составляющие государственную тайну;
"мероприятия по обеспечению ИБ" - мероприятия по обеспечению информационной безопасности, в том числе по защите (технической) информации, проводимые Субъектами;
"НО" - Нижегородская область;
"ИБ" - информационная безопасность как состояние защищенности Субъектов и (или) их объектов защиты;
"ИБ НО" - ИБ (защита информации) Нижегородской области, Субъектов и их объектов защиты;
"головное подразделение по защите информации" - ОИВ, обеспечивающие реализацию государственной политики, организацию координации и межведомственного взаимодействия, а также контроль в области обеспечения безопасности информации по вопросам технической защиты информации, составляющей государственную тайну, информации ограниченного доступа, не отнесенной к государственной тайне; противодействие иностранным техническим разведкам; обеспечение безопасности информации в ключевых системах информационной инфраструктуры и в открытых информационных системах.
1.2.ОБЪЕКТЫ ЗАЩИТЫ
1.2.1.В рамках реализации функций Субъектов защите подлежат следующие основные объекты (далее - объекты защиты Субъектов):
1.2.1.1.Информация ограниченного доступа и открытая (общедоступная) информация, содержащаяся в ИС и ИР Субъектов.
1.2.1.2.Информационные технологии, используемые Субъектами.
1.2.1.3.Информационные системы, содержащие защищаемую информацию и автоматизирующие исполнение государственных и (или) муниципальных функций, функций Субъектов, предоставление государственных и (или) муниципальных услуг населению:
1) справочно-правовые (информационно-правовые), содержащие тексты законов, указов, постановлений, иных нормативных правовых актов, решений различных государственных органов и т.п., консультации специалистов по праву, бухгалтерскому и налоговому учету, судебные решения, типовые формы деловых документов и другие (например, "Гарант", "Консультант" и т.п.);
2) информационно-справочные, используемые для официального доведения любой информации до определенного или неопределенного круга лиц, при этом факт доведения такой информации не порождает правовых последствий, однако может являться обязательным в силу действующего законодательства (например, официальные порталы (сайты) Субъектов, закрытые порталы для нескольких групп участников, интернет-портал государственных и муниципальных услуг Нижегородской области и т.п.);
3) сегментные, представляющие собой сегменты федеральных ИС, создаваемые и эксплуатируемые на уровне Нижегородской области на основании предоставляемых с федерального уровня рекомендаций (правовых, организационных, технических) и используемые для сбора, обработки, свода данных на уровне Нижегородской области и передачи их на уровень федеральный, и наоборот, при этом цели и задачи создания (модернизации), эксплуатации данных ИС определяются на федеральном уровне (например, "Региональный сегмент Единой Государственной Информационной Системы в сфере Здравоохранения Нижегородской области", "Информационная система персональных данных отдела социально-правовой защиты детей министерства образования Нижегородской области, обеспечивающая автоматизацию процессов получения, обработки, хранения и передачи информации о детях, оставшихся без попечения родителей, и граждан, желающих принять ребенка на опеку (попечительство) и усыновление", "АИСТ" (автоматизированная информационная система трансфузиологии, обеспечивающая информационное взаимодействие с единым информационным центром и ведение единой информационной базы данных службы крови России) и т.п.);
4) внутриобластные, создаваемые и эксплуатируемые по решению органов государственной власти Нижегородской области (ОМСУ) или Субъекта в интересах нескольких Субъектов, при этом цели и задачи создания (модернизации), эксплуатации данных ИС, а также требования к ним определяются на уровне Нижегородской области (муниципальных образований области) или Субъекта, соответственно (например, "ЕСЭДД", "РСМЭВ", "АИС МФЦ", "НЭТИС" и т.п.);
5) ведомственные, создаваемые (эксплуатируемые) по решению Субъекта в интересах Субъекта и группы подведомственных ему организаций, цели и задачи создания (модернизации), эксплуатации которых определяются Субъектом (например, "1С: Свод отчетов" и т.п.);
6) служебные, создаваемые (эксплуатируемые) по решению Субъекта и в его интересах, цели и задачи создания (модернизации), эксплуатации которых определяются Субъектом, и используемые для автоматизации определенной области деятельности или типовой деятельности, неспецифичной относительно полномочий конкретного Субъекта (например, "Управление персоналом (кадрами)", "Продукты Microsoft Office" и т.п.);
7) межрегиональные, используемые группой субъектов Российской Федерации и создаваемые (эксплуатируемые) в интересах Субъектов, при этом инициатором создания таких ИС и их оператором является один из субъектов Российской Федерации.
1.2.1.4.Информационные ресурсы (файлы, базы данных, электронные и бумажные документы (носители) и т.д.), содержащие защищаемую информацию и подразделяемые:
1) по категориям доступа на:
- внешние (открытые (общедоступные)), доступные всем пользователям услуг Субъектов и обеспечивающие их взаимодействие с гражданами и юридическими лицами;
- внешние с разграничением доступа, доступ к которым предоставлен гражданами и юридическими лицами, но ограничен в соответствии с правилами разграничения доступа;
- внутренние (с ограниченным доступом), доступные определенным группам сотрудников Субъектов и взаимодействующих органов власти, организаций, Субъектов;
2) как объекты права собственности на:
- федеральные;
- находящиеся в совместном ведении Российской Федерации и Нижегородской области как субъекта Российской Федерации;
- принадлежащие Нижегородской области как субъекту Российской Федерации;
- принадлежащие ОИВ;
- принадлежащие ОМСУ;
- принадлежащие другим Субъектам;
- принадлежащие другим субъектам Российской Федерации;
- принадлежащие иностранным юридическим и физическим лицам.
1.2.1.5.Информационно-телекоммуникационные сети, предназначенные для передачи по линиям связи защищаемой информации.
1.2.1.6.ИТ-инфраструктура - информационно-телекоммуникационная инфраструктура, включающая в себя: информационную инфраструктуру, представленную серверным оборудованием, оборудованием для консолидированного хранения данных, автоматизированными рабочими местами пользователей и т.д., техническим (аппаратным), программным и информационным обеспечением для их управления, и обеспечивающую основные функции - обработку и хранение защищаемой информации; телекоммуникационную инфраструктуру, обеспечивающую взаимосвязь элементов информационной инфраструктуры, а также передачу данных между информационной инфраструктурой и пользователями.
1.2.1.7.Инженерная инфраструктура, представленная техническими средствами и системами, не используемыми в ходе обработки и передачи информации, но размещенными в помещениях, где она обрабатывается и хранится, и обеспечивающая оптимальное функционирование основных систем ИТ-инфраструктуры, в том числе в целях нейтрализации утечек защищаемой информации (кондиционирование для поддержания температуры и уровня влажности в заданных параметрах, бесперебойное электроснабжение для автономной работы ИС в случаях отключения центральных источников электроэнергии, средства пожаротушения, система управления питанием и т.д.).
1.2.1.8.Помещения, где располагается вышеуказанная инфраструктура, в том числе:
1) помещения, в которых находятся вычислительные центры обработки данных, серверные помещения;
2) помещения, где располагаются автоматизированные рабочие места, на которых осуществляется обработка защищаемой информации, устройства ввода (вывода) и хранилища носителей защищаемой информации;
3) специальные помещения, предназначенные для регулярного проведения собраний, совещаний и других мероприятий закрытого характера (за исключением обсуждения сведений, составляющих государственную тайну).
1.2.1.9.Носители защищаемой информации.
1.2.1.10.Объекты, содержащие носители защищаемой информации, не отнесенные к вышеуказанным объектам защиты Субъектов.
1.2.2.Детализированный перечень объектов защиты, актуальный для конкретного Субъекта (далее - объекты защиты, объекты защиты Субъекта), определяется исходя из объектов защиты Субъектов и закрепляется каждым Субъектом самостоятельно в своем внутреннем акте, который может содержать перечень защищаемой информации, названия ИС (подсистем), автоматизированных рабочих мест, баз данных, информационных массивов, пакетов прикладных программ, обладателей информации, помещений, инфраструктур и прочего, подлежащего защите конкретным Субъектом. При необходимости указанный перечень согласовывается с вышестоящими организациями по подведомственности (в случае их наличия).
1.2.3.Перечни объектов защиты Субъектов подлежат централизованному своду, а указанные в них объекты защиты - обязательному учету и защите конкретным Субъектом. Порядок сбора и анализа сводных данных устанавливается актом головного подразделения по защите информации.
1.3.ИНТЕРЕСЫ НИЖЕГОРОДСКОЙ ОБЛАСТИ В СФЕРЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.3.1.Основополагающими интересами Нижегородской области в сфере ИБ являются:
1) своевременное количественное и качественное обеспечение ИБ Субъектов, их объектов защиты, как уже созданных (эксплуатируемых), так и создаваемых на территории Нижегородской области;
2) соблюдение конституционных прав и свобод человека (гражданина) в области получения информации и пользования ею, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала Нижегородской области при использовании объектов защиты Субъектов;
3) информационное обеспечение политики Нижегородской области (Субъектов), связанное с доведением до нижегородской и российской общественности достоверной информации об официальной позиции Нижегородской области (Субъектов) по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым ИС, ИР Нижегородской области (Субъектов).
1.3.2.Интересы Нижегородской области в сфере ИБ достигаются путем эффективного использования Субъектами имеющихся ресурсов.
II.Виды, перечень, источники и возможные последствия воздействия угроз информационной безопасности
2.1.УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ИХ ИСТОЧНИКИ
2.1.1.Деятельность Субъектов, а также условия областной и международной информатизации способствуют значительному расширению использования ИС и ИР для целей оперативного управления и, одновременно с этим, повышению уровня информационных рисков, таких как утечка информации, ее несанкционированное уничтожение, искажение, недоступность хранимой, обрабатываемой и передаваемой информации. В существенной степени возникновению и реализации информационных рисков способствуют:
1) рост автоматизации деловых процессов в Субъектах и в целом по Нижегородской области;
2) увеличение объема обрабатываемой, передаваемой и хранимой Субъектами информации;
3) сосредоточение в базах данных Субъектов информации различного уровня важности, конфиденциальности и доступа;
4) расширение круга пользователей, имеющих доступ к ИС и ИР Нижегородской области, в том числе в связи с расширением сотрудничества Субъектов с другими субъектами Российской Федерации и иными партнерами;
5) увеличение числа удаленных рабочих мест пользователей, появление мобильных рабочих мест;
6) широкое использование Субъектами информационно-телекоммуникационной сети "Интернет" и различных каналов связи;
7) рост деловой и инвестиционной активности в Нижегородской области, который требует соответствующей динамики развития системы управления Нижегородской областью, которая, в свою очередь, требует развития ИТ-инфраструктуры;
8) рост компьютерных преступлений и прочих видов угроз ИБ;
9) присутствие на территории Нижегородской области совместных предприятий (в том числе с иностранным участием);
10) возрастание опасности угроз, возникающих в непосредственной близости от защищаемых объектов Субъектов;
11) неспособность отдельных организаций Нижегородской области самостоятельно обеспечить эффективную внутреннюю систему защиты.
2.1.2.Для каждого объекта защиты в том или ином исполнении характерны свои угрозы, последствия реализации угроз, источники угроз, методы, способы и средства защиты от угроз, подходы к оценке эффективности реализуемых мероприятий по обеспечению ИБ.
2.1.3.Исходя из интересов Нижегородской области в сфере ИБ, современного этапа развития и условий информатизации Нижегородской области, а также тенденций развития Российской Федерации и зарубежных стран, влияющих на развитие Нижегородской области, а также ввиду разнородности объектов защиты Субъектов, архитектуры их исполнения основными угрозами ИБ по своей общей направленности являются:
1) угрозы безопасности объектов защиты Субъектов, как уже созданных (эксплуатируемых), так и создаваемых Субъектами на территории Нижегородской области;
2) угрозы конституционным правам и свободам человека (гражданина) в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию при использовании объектов защиты Субъектов;
3) угрозы информационному обеспечению политики Нижегородской области (Субъектов).
2.1.4.Для каждого из направлений угроз, указанных в пункте 2.1.3 настоящего раздела, характерны естественные (объективные) и искусственные (субъективные) классы угроз.
2.1.4.1.Естественные - это угрозы, вызванные воздействиями на объект защиты и его элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
2.1.4.2.Искусственные - это угрозы, вызванные деятельностью человека. Таким образом, в качестве источников угроз ИБ Нижегородской области (Субъектов) могут выступать как физическое лицо - лицо, которое в результате умышленных или неумышленных действий может нанести ущерб объектам защиты и всей Нижегородской области, так и объективные проявления, независящие от человека.
Среди искусственных классов угроз, исходя из мотивации действий, можно выделить:
1) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании объектов защиты и их элементов, ошибками в программном обеспечении, ошибками в действиях человека и т.п.;
2) преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей.
2.1.5.Источники естественных и искусственных классов угроз по отношению к объектам защиты могут быть внешними или внутренними, то есть находиться как внутри объекта защиты - внутренние, так и вне его - внешние.
2.1.5.1.Внешние угрозы исходят от природных явлений, а также от субъектов, не входящих в круг пользователей и обслуживающего персонала объектов защиты, разработчиков объектов защиты - ИС, и субъектов, не имеющих непосредственного контакта с объектами защиты. К основным внешним источникам следует отнести:
1) деятельность иностранных политических, экономических, разведывательных и информационных структур на территории Нижегородской области, направленная против интересов Российской Федерации в информационной сфере;
2) деятельность международных террористических организаций;
3) стремление ряда стран к доминированию и ущемлению интересов Нижегородской области (равно как и всей страны) в мировом информационном пространстве, вытеснению ее с информационного рынка;
4) обострение конкуренции за обладание информационными технологиями и ресурсами;
5) увеличение технологического отрыва ряда стран и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
6) деятельность космических и наземных технических и иных средств (видов) разведки иностранных государств;
7) разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы Нижегородской области (всей страны в целом), нарушение нормального функционирования информационно-телекоммуникационных сетей (средств, систем), сохранности ИР, получение несанкционированного доступа к ним.
2.1.5.2.Внутренние угрозы исходят от пользователей, администраторов ИС и обслуживающего персонала объектов защиты, разработчиков объектов защиты ИС, других лиц, вовлеченных в информационные процессы и имеющих непосредственный контакт с объектами защиты, как допущенных, так и не допущенных к секретным (конфиденциальным) сведениям. К основным внутренним источникам следует отнести:
1) недостаточно конкурентоспособное состояние нижегородских (российских) отраслей промышленности, оказывающих влияние на сферу информации, информатизации и ИБ;
2) неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к информации ограниченного доступа, усиления влияния организованной преступности на жизнь общества;
3) недостаточная координация деятельности Субъектов по формированию и реализации единой политики в области обеспечения ИБ Нижегородской области;
4) недостаточная разработанность правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
5) недостаточное финансирование мероприятий по обеспечению ИБ Нижегородской области;
6) недостаточное количество квалифицированных кадров в области обеспечения ИБ;
7) недостаточная активность Субъектов в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых ИР и развитии системы доступа к ним граждан;
8) отставание Нижегородской области от ведущих субъектов Российской Федерации и стран по уровню информатизации Субъектов и в иных сферах;
9) действия сотрудников Субъектов в отношении объектов защиты Субъектов, порождающие реализацию угроз безопасности информации.
2.1.6.Основные угрозы ИБ могут реализовываться информационными, программно-математическими, физическими, радиоэлектронными, организационно-правовыми способами.
2.2.УГРОЗЫ БЕЗОПАСНОСТИ ОБЪЕКТОВ ЗАЩИТЫ
2.2.1.В настоящем подразделе представлены угрозы безопасности объектов защиты Субъектов, как уже созданных (эксплуатируемых), так и создаваемых Субъектами на территории Нижегородской области.
2.2.2.Основными способами реализации воздействия непреднамеренных угроз (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) могут являться:
1) неумышленные действия, приводящие к частичному или полному отказу ИС или разрушению аппаратных, программных ИС (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
2) неправомерное отключение оборудования, программного обеспечения, средств защиты или изменение режимов работы устройств и программ;
3) неумышленная порча носителей информации;
4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности ИС (зависания или зацикливания) или осуществляющих необратимые изменения в ИС (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
6) заражение автоматизированных рабочих мест компьютерными вирусами;
7) неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;
8) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
9) проектирование архитектуры ИС, технологии обработки данных, разработка прикладных программ с возможностями, представляющими опасность для работоспособности ИС и безопасности информации;
10) игнорирование организационных ограничений (установленных правил) при работе в ИС;
11) вход в ИС в обход средств защиты (загрузка посторонней операционной системы со сменных носителей и т.п.);
12) некомпетентное использование, настройка или неправомерное отключение средств защиты работниками служб безопасности;
13) пересылка данных по ошибочному адресу абонента (устройства);
14) ввод ошибочных данных;
15) неумышленное повреждение каналов связи;
16) закупки несовершенных, устаревших или неперспективных информационных технологий и средств информатизации;
17) использование несертифицированных российских и зарубежных информационных технологий, средств защиты, средств информатизации, телекоммуникации и связи при создании и развитии информационно-телекоммуникационных сетей, инженерной и ИТ-инфраструктуры Субъектов;
18) использование нелицензионного программного обеспечения;
19) невыполнение требований действующего законодательства и задержки в разработке и принятии необходимых правовых и технических документов в сфере информации, информатизации и ИБ;
20) неумышленное неправомерное ограничение доступа к документам (источникам), содержащим важную для граждан и организаций информацию (нарушение законных ограничений на распространение информации);
21) иные способы.
2.2.3.Основными способами реализации воздействия угроз умышленной дезорганизации работы, в том числе всей Нижегородской области (Субъектов), вывода ИС из строя, проникновения в ИС и несанкционированного доступа к информации могут являться:
1) физическое разрушение ИС (ИТ-инфраструктуры) (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации и т.п.);
2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);
3) несанкционированное уничтожение, повреждение, разрушение или хищение машинных (магнитных дисков, лент, микросхем памяти, запоминающих устройств) или других оригиналов носителей информации;
4) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж людей, постановка мощных активных радиопомех на частотах работы устройств и т.п.);
5) внедрение агентов в число доверенных лиц (в том числе, возможно, и в административную группу, отвечающую за безопасность);
6) вербовка (путем подкупа, шантажа и т.п.) людей или отдельных пользователей, имеющих определенные полномочия в сфере ИБ;
7) воздействие на персонал и пользователей ИС с целью создания благоприятных условий для реализации угроз ИБ НО;
8) манипулирование информацией (дезинформация, сокрытие или искажение информации);
9) угрозы виртуальной инфраструктуры;
10) угрозы, реализуемые в ходе и после загрузки ИС;
11) нарушение адресности и своевременности (оперативности) информационного обмена, противозаконный сбор, распространение и использование информации;
12) применение подслушивающих устройств, дистанционной фото- и видеосъемки и т.п.;
13) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.); перехват информации за счет ее утечки по техническим каналам;
14) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в ИС; перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи; вскрытие шифров криптозащиты информации;
15) несанкционированные (незаконные): доступ к ИР, к информации, находящейся в банках и базах данных; копирование носителей информации; копирование данных и программ; уничтожение информации; уничтожение или модификация данных в ИС; хищение информации из библиотек, архивов, банков и баз данных; хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.); чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств; чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки многозадачных операционных систем и систем программирования; использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.; получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя;
16) воздействие на парольно-ключевые системы автоматизированных систем обработки и передачи информации;
17) компрометация ключей и средств криптографической защиты информации; хищение программных или аппаратных ключей средств защиты и средств криптографической защиты информации;
18) внедрение (установка) на стадии проектирования, внедрения или эксплуатации систем программных и аппаратных закладочных устройств, компьютерных вирусов, то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования ИС, а также приводящих к компрометации систем защиты (внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на такие изделия);
19) внедрение электронных устройств перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи и в помещения Субъектов (в том числе серверные);
20) разработка и распространение программ, нарушающих стабильное функционирование информационно-телекоммуникационных сетей (средств, систем), в том числе систем защиты;
21) поставка "зараженных" компонентов ИС;
22) внедрение компьютерных вирусов;
23) несанкционированное уничтожение, разрушение или хищение средств обработки и защиты, средств связи и целенаправленное внесение в них неисправностей;
24) незаконное подключение к линиям связи с целью: работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений; прямой подмены законного пользователя путем его физического отключения после входа в ИС и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений;
25) радиоэлектронное подавление линий связи и систем управления;
26) нарушение технологии обработки информации, данных и информационного обмена;
27) реализация угроз, не являющихся атаками;
28) диверсионные действия по отношению к объектам защиты Субъектов;
29) использование средств массовой информации Нижегородской области с позиций, противоречащих интересам граждан, организаций и Нижегородской области (равно как и всей страны);
30) противодействие доступу Субъектов к новейшим информационным технологиям (разработкам) в сфере защиты информации, создание условий для усиления технологической зависимости Нижегородской области в области современных информационных технологий;
31) иные способы.
2.2.4.Ряд вышеуказанных основных возможных путей умышленной дезорганизации работы, вывода ИС из строя, проникновения в ИС и несанкционированного доступа к информации при определенных обстоятельствах (условиях) может носить непреднамеренный характер, и наоборот.
2.3.УГРОЗЫ КОНСТИТУЦИОННЫМ ПРАВАМ И СВОБОДАМ ЧЕЛОВЕКА
(ГРАЖДАНИНА)
2.3.1.В настоящем подразделе представлены угрозы конституционным правам и свободам человека (гражданина) в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному обновлению Нижегородской области при использовании объектов защиты Субъектов.
2.3.2.Основными способами реализации воздействия угроз могут являться:
1) принятие на уровне Нижегородской области и Субъектов решений, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;
2) создание монополий на формирование, получение и распространение информации в Нижегородской области, в том числе с использованием телекоммуникационных систем;
3) противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
4) неправомерное ограничение доступа к общественно необходимой информации;
5) противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;
6) неисполнение Субъектами требований действующего законодательства, регулирующего отношения в информационной сфере и сфере ИБ;
7) неправомерное ограничение доступа граждан к открытым ИР (ИС) Нижегородской области, к открытым архивным материалам и социально значимой информации;
8) дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;
9) нарушение конституционных прав и свобод человека (гражданина) в области массовой информации;
10) вытеснение нижегородских информационных агентств, средств массовой информации с нижегородского (внутреннего) информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни Нижегородской области от зарубежных информационных структур;
11) девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;
12) снижение духовного и нравственного потенциала населения Нижегородской области, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования информационных технологий;
13) манипулирование информацией (дезинформация, сокрытие или искажение информации).
2.4.УГРОЗЫ ИНФОРМАЦИОННОМУ ОБЕСПЕЧЕНИЮ
2.4.1.В настоящем подразделе представлены угрозы информационному обеспечению политики Нижегородской области (Субъектов).
2.4.2.Основными способами реализации воздействия угроз информационному обеспечению политики Нижегородской области (Субъектов) могут являться:
1) монополизация информационного рынка Нижегородской области, его отдельных секторов зарубежными информационными структурами;
2) блокирование деятельности нижегородских средств массовой информации и ИС;
3) недостаточность информационного обеспечения политики Нижегородской области (Субъектов) вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации информационной политики.
2.5.ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основными последствиями реализации угроз ИБ являются:
1) причинение материального ущерба Субъектам и (или) физического и (или) морального ущерба личности:
- от любых неправомерных действий с объектами защиты;
- от нарушения конституционных прав и свобод личности;
- от необходимости восстановления нарушенных прав и объектов защиты;
- от дезорганизации их деятельности;
- от уничтожения (утраты) объектов защиты и средств их обработки;
2) причинение ущерба жизненно важным интересам Нижегородской области;
3) нарушение доступности информации и работоспособности ИС (блокирование данных и ИС, разрушение элементов ИС, компрометация системы защиты информации и т.д.);
4) нарушение секретности (конфиденциальности) информации (разглашение, утрата, хищение, утечка, перехват и т.д.);
5) нарушение целостности защищаемой информации (несанкционированное уничтожение, искажение и т.д.);
6) подрывание деловой репутации Субъектов, Нижегородской области на российской и международной аренах;
7) создание атмосферы напряженности и политической нестабильности на территории Нижегородской области;
8) антисоциальное и криминальное поведение групп людей или отдельных лиц, противоречащее принятым в российском обществе нормам (правилам) поведения, негативное влияние на процессы формирования личности;
9) провокация социальных, национальных и религиозных конфликтов;
10) нарушение функционирования системы государственного управления, объектов повышенного стратегического значения Нижегородской области;
11) затруднение принятия важнейших политических, экономических и других решений;
12) создание препятствия на пути равноправного сотрудничества Нижегородской области с развитыми субъектами Российской Федерации, странами (государствами);
13) снижение темпов научно-технического развития Нижегородской области;
14) нарушение баланса интересов личности, общества и Нижегородской области;
15) утрата культурного наследия, проявление бездуховности и безнравственности.
III.Система информационной безопасности Нижегородской области
3.1.ПОНЯТИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ
3.1.1.Объекты защиты Субъектов, интересы Нижегородской области в сфере ИБ, наличие угроз ИБ (безопасности информации) и уровень последствий реализации угроз являются основаниями формирования и существования системы ИБ Нижегородской области.
3.1.2.Система ИБ Нижегородской области - это: совокупность правил, определяющих суть и формы отношений, направленных на обеспечение ИБ Субъектов, их объектов защиты, а также лиц, участвующих в этих отношениях; совокупность мер правового, организационного и технического характера, направленных на обеспечение безопасности объектов защиты Субъектов от угроз ИБ (безопасности информации).
3.1.3.Система ИБ Нижегородской области представляет собой часть общей системы обеспечения ИБ Российской Федерации, обеспечения национальной безопасности страны, организационно входит в систему защиты информации в ПФО и ориентируется в своей деятельности на государственную политику обеспечения безопасности Российской Федерации.
3.1.4.Система ИБ Нижегородской области объединяет два самостоятельных уровня: системы ИБ (защиты информации) Субъектов (первый уровень) и системы защиты объектов защиты (второй уровень) и определяет единые направления и принципы их организации.
3.1.5.Основными функциями системы ИБ Нижегородской области являются:
1) разработка и реализация единой стратегии (политики) обеспечения ИБ Нижегородской области (Субъектов, их объектов защиты);
2) оценка состояния ИБ Нижегородской области, выявление источников внутренних и внешних угроз ИБ, определение направлений предотвращения и нейтрализации угроз;
3) координация и контроль деятельности отдельных субъектов системы ИБ Нижегородской области;
4) организация разработки государственных программ по информационной безопасности (защите информации), а также планов Субъектов в сфере ИБ (защиты информации) и координация работ по их реализации;
5) проведение единой технической политики в области обеспечения ИБ Нижегородской области;
6) организация исследований в области ИБ Нижегородской области;
7) обеспечение контроля за созданием и применением средств защиты информации, систем защиты в Нижегородской области;
8) реализация прав граждан на получение, распространение и использование информации;
9) реализация мероприятий по обеспечению ИБ в Нижегородской области;
10) представление интересов Нижегородской области в сфере ИБ (защиты информации);
11) осуществление мероприятий по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения ИБ (защиты информации) Нижегородской области;
12) внесение предложений по совершенствованию системы обеспечения ИБ Российской Федерации;
13) взаимодействие с федеральными органами исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, по вопросам исполнения действующего законодательства, решений Президента Российской Федерации, Правительства Российской Федерации и Совета безопасности Российской Федерации в области обеспечения ИБ (защиты информации) Российской Федерации, а также по вопросам реализации государственных программ в этой сфере.
3.1.6.Реализация единой политики в области ИБ в Нижегородской области, а также обеспечение выполнения требований нормативных, методических документов по ИБ в Нижегородской области достигаются с помощью системы ИБ Нижегородской области.
3.2.СТРУКТУРНЫЕ ЭЛЕМЕНТЫ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НИЖЕГОРОДСКОЙ ОБЛАСТИ
3.2.1.Действующая система ИБ Нижегородской области создает определенную вертикаль в организации и реализации мероприятий по обеспечению ИБ: