Постановление Администрации Воронежской области от 06.09.1999 N 886 "О внедрении системы защиты информационных ресурсов Воронежской области" (утратило силу)

Постановление Администрации Воронежской области от 6 сентября 1999 г. N 886
"О внедрении системы защиты информационных ресурсов Воронежской
области"

ГАРАНТ:

Постановлением Правительства Воронежской области от 26 мая 2015 г. N 438 настоящее постановление признано утратившим силу

Во исполнение Федерального закона "Об информации, информатизации и защите информации" N 24-ФЗ от 20.02.95 г., закона Воронежской области "Об информатизации Воронежской области " N 28-II-ОЗ от 13.01.98 г. в целях обеспечения социально-экономического развития области, эффективного управления информационными ресурсами области, обеспечения правового режима их использования как объекта собственности, предотвращения утечки информации, несанкционированного ее уничтожения, искажения, копирования, блокирования и подделки, постановляю:

1. Руководителям органов представительной, исполнительной и судебной властей, органов местного самоуправления области, предприятий (объединений), учреждений и организаций, независимо от их организационно-правовой формы собственности, внедрить систему защиты информационных ресурсов Воронежской области.

2. Утвердить Положение о системе защиты информационных ресурсов Воронежской области (приложение 1).

3. Утвердить Руководство по контролю состояния защиты информационных ресурсов (приложение 2).

4. Отделам информатизации и ведения автоматизированных банков данных (Шеньшин) и безопасности, защиты государственной тайны и информации (Меркулов) до 15.10.99 г. разработать план первоочередных мероприятий по защите информационных ресурсов Воронежской области и представить его на рассмотрение Совета по вопросам защиты информации.

5. Контроль за выполнением настоящего постановления возложить на заместителя главы администрации области - руководителя аппарата, председателя Совета по вопросам защиты информации Корнеева В.М.

Первый заместитель главы администрации области - председатель правительства

А.М. Сысоев

Положение
о системе защиты информационных ресурсов
Воронежской области
(утв. постановлением Администрации Воронежской области
от 6 сентября 1999 г. N 886)

Введение

Информационные ресурсы Воронежской области являются элементом состава имущества и объектом права собственности области. Для эффективного использования этих информационных ресурсов они должны быть надежно защищены от угроз несанкционированного распространения информации, несанкционированных и непреднамеренных воздействий на нее, которые могут привести к ее уничтожению, искажению, блокированию доступа к информации для законных пользователей.

Наибольшую опасность такие угрозы представляют для информационных ресурсов, содержащихся в персональных компьютерах, локальных и распределенных вычислительных сетях и представленные в виде носителей на магнитной и оптической основе, информативных физических полей, информационных массивов и баз данных. Настоящее Положение определяет структуру системы защиты информационных ресурсов, не содержащих сведений, составляющих государственную тайну, ее задачи и функции, основы организации защиты информационных ресурсов.

1. Общие положения

1. Настоящее Положение является документом, обязательным для исполнения при проведении работ по формированию, использованию и защите информационных ресурсов Воронежской области в органах (аппаратах, администрациях) представительной, исполнительной и судебной властей и в органах местного самоуправления Воронежской области (далее именуются - органы власти), на предприятиях и в их объединениях, учреждениях и организациях независимо от их организационно-правовой формы и формы собственности (далее именуются - предприятия).

2. Целями защиты информационных ресурсов являются:

- обеспечение эффективного управления информационными ресурсами и их использования;

- предотвращение утечки информации ограниченного доступа по техническим каналам;

- предотвращение несанкционированного уничтожения, искажения, блокирования, подделки информации;

- обеспечение правового режима использования информационных ресурсов как объекта собственности.

3. Правовую основу работ по защите информационных ресурсов Воронежской области в органах власти и на предприятиях области составляют Конституция Российской Федерации, Федеральный закон "Об информации, информатизации и защите информационных ресурсов", Закон Воронежской области "Об информатизации Воронежской области ", "Положение о региональной системе защиты информации в Воронежской области", а также другие нормативные правовые документы в сфере формирования, использования и защиты информационных ресурсов.

4. Защита информационных ресурсов осуществляется путем выполнения мероприятий по предотвращению утечки конфиденциальной информации по техническим каналам, несанкционированного доступа к ней, предупреждению несанкционированных программно-технических воздействий с целью уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения.

5. Мероприятия по защите информационных ресурсов являются составной частью управленческой, научной и производственной деятельности и осуществляются во взаимосвязи с мерами по обеспечению установленного режима обработки информационных ресурсов и конфиденциальности проводимых работ.

6. Главными направлениями работ по защите информационных ресурсов в области являются: регистрация защищаемых информационных ресурсов области, определение их владельцев и пользователей, ответственных за обеспечение защиты информационных ресурсов; выявление и анализ угроз утечки конфиденциальной информации по техническим каналам, несанкционированного доступа, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации; разработка организационно-технических мероприятий по защите информационных ресурсов и их реализация; организация и проведение контроля состояния защиты информационных ресурсов.

7. Защите подлежат:

- информационные ресурсы области, содержащие сведения, отнесенные к служебной информации ограниченного распространения (служебной тайне), персональным данным о жителях области и другой конфиденциальной информации;

- открытые информационные ресурсы области, содержащие важную информацию с точки зрения ее коммерческой ценности и влияния на управленческую и хозяйственную деятельность в области;

- средства вычислительной техники, информационно-вычислительные комплексы, сети и системы, операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение, автоматизированные системы управления, системы связи и передачи данных, технические средства звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации, входящей в состав информационных ресурсов области;

- технические средства и системы, не обрабатывающие защищаемую информацию, но размещенные в помещениях, где обрабатывается (циркулирует) информационные ресурсы ограниченного доступа, а также сами помещения, предназначенные для ведения переговоров, раскрывающих содержание этих ресурсов (конфиденциальных переговоров).

8. К возможным источникам угроз безопасности информационных ресурсов области относятся:

- противоправная деятельность политических и экономических структур, а также отдельных лиц в сфере формирования, распространения и использования информационных ресурсов области;

- нарушения установленных регламентов сбора, обработки, хранения и передачи информационных ресурсов.

9. Основными организационно-техническими мероприятиями по защите информационных ресурсов в регионе являются:

- установление правил и требований по обращению с информационными ресурсами, по использованию технических средств обработки и передачи информационных ресурсов, подлежащих защите;

- введение территориальных, энергетических, пространственных и временных ограничений в режимах использования технических средств обработки и передачи информационных ресурсов, подлежащих защите;

- разработка средств защиты информационных ресурсов и контроля ее эффективности и их использование;

- сертификация средств защиты информационных ресурсов, систем и средств информатизации и связи по требованиям безопасности информации;

- разработка и внедрение технических решений и элементов защиты информационных ресурсов при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;

- аттестование объектов по выполнению требований обеспечения защиты информационных ресурсов.

10. Конкретные методы, приемы и меры защиты информационных ресурсов разрабатываются в зависимости от объекта защиты, действующих против него источников угроз безопасности информации, установленных для данного объекта требований по защите информационных ресурсов и выделенных для этого средств.

11. Проведение любых работ по формированию и использованию защищаемых информационных ресурсов без принятия необходимых мер по их защите не допускается.

2. Система защиты информационных ресурсов
Воронежской области

12. Систему защиты информационных ресурсов Воронежской области образуют:

- совокупность защищаемых информационных ресурсов;

- носители защищаемых информационных ресурсов независимо от формы представления информации и принципов действия носителей, включая бумажные носители, персональные компьютеры, локальные и распределенные вычислительные сети и другие носители;

- органы власти, предприятия и граждане, владеющие защищаемыми информационными ресурсами и их носителями, использующие эти ресурсы, специальные подразделения по защите информации и ответственные специалисты, обеспечивающие защиту информационных ресурсов;

- система правовых, организационно-распорядительных, нормативных, плановых и информационных документов, регламентирующих и обеспечивающих деятельность по защите информационных ресурсов области;

- средства защиты информационных ресурсов и контроля ее эффективности;

- совокупность организационных и технических мероприятий по защите информационных ресурсов.

13. Организационная структура системы защиты информационных ресурсов Воронежской области включает:

- Совет по вопросам защиты информации при главе администрации области;

- рабочую группу Совета по вопросам защиты информации;

- отдел информатизации информационно-аналитического управления администрации области;

- отдел безопасности, защиты государственной тайны и информации администрации области;

- подразделения органов власти и предприятия - владельцы защищаемых информационных ресурсов, специально уполномоченные собственником ресурсов по распоряжению этими ресурсами;

- подразделения органов власти и предприятия - владельцы носителей защищаемых информационных ресурсов;

- подразделения органов власти и предприятия - пользователи защищаемых информационных ресурсов области, их подразделения по защите информации, штатные (нештатные) специалисты по защите информации;

- региональные представительства федеральных органов государственной власти (Управление Федеральной службы безопасности Российской Федерации по Воронежской области;

- Управление внутренних дел администрации Воронежской области;

- Центр правительственной связи в Воронежской области;

- Управление гражданской обороны и чрезвычайных ситуаций, Гостехкомиссии России, Министерства обороны и другие органы, учреждения и предприятия федеральной собственности, владеющие информационными ресурсами совместного ведения;

- предприятия и организации, специализирующиеся на проведении работ и оказании услуг в области защиты информации.

14. Систему защиты информационных ресурсов области возглавляет заместитель главы администрации Воронежской области, являющийся председателем Совета по вопросам защиты информации при главе администрации области (далее Совета). Совет действует в соответствии утвержденным Положением о Совете и является совещательным и консультативным органом, обеспечивающим разработку предложений по созданию, функционированию и развитию системы защиты информационных ресурсов.

15. Рабочая группа Совета по вопросам защиты информации:

- разрабатывает концептуальные подходы к обеспечению защиты информационных ресурсов области;

- разрабатывает предложения по организации и координации работ по защите информационных ресурсов в области;

- контролирует выполнения положений Федерального закона "Об информации, информатизации и защите информации", Закона Воронежской области "Об информатизации Воронежской области", касающихся вопросов защиты информационных ресурсов;

- рассматривает и оценивает разработанные владельцами информационных ресурсов методические материалы, способы и конкретные мероприятия по их защите, готовит предложения по их распространению и практической реализации в области;

- участвует в разработке проектов областных программ информатизации, готовит предложения по защите информационных ресурсов;

- разрабатывает проекты документов, регламентирующих защиту информационных ресурсов области;

- разрабатывает предложения по подготовке кадров для системы защиты информационных ресурсов области;

- разрабатывает предложения по совершенствованию и развитию системы защиты информационных ресурсов области.

16. Отдел информатизации информационно-аналитического управления администрации области:

- проводит единую техническую политику, участвует в организации и координации работ по защите информационных ресурсов области;

- разрабатывает проекты областных программ информатизации с учетом мероприятий по защите информационных ресурсов;

- участвует в подготовке проектов ТЗ и договоров по проведению научно-исследовательских, опытно-конструкторских работ и других по защите информационных ресурсов области.

17. Отдел безопасности, защиты государственной тайны и информации администрации области:

- участвует в организации и координации работ по защите информационных ресурсов;

- участвует в разработке проектов документов, регламентирующих защиту информационных ресурсов;

- организует и осуществляет контроль эффективности проводимых мероприятий и принимаемых мер по защите информационных ресурсов.

18. Подразделения органов власти и предприятия - владельцы защищаемых информационных ресурсов, специально уполномоченные собственником ресурсов по распоряжению этими ресурсами:

- устанавливают требования к пользователям информационных ресурсов в части их защиты, осуществляют контроль выполнения этих требований;

- разрабатывают инструкции пользователям, методические материалы, способы и конкретные мероприятия по защите информационных ресурсов, готовят предложения по их распространению и практической реализации в области;

- осуществляют планирование работ по защите информационных ресурсов области, организуют их непосредственное материально-техническое обеспечение и выполнение;

- организуют подготовку и повышение квалификации специалистов по защите информационных ресурсов;

- проводят периодический анализ состояния работ по защите информационных ресурсов.

Для непосредственного выполнения работ по защите информационных ресурсов в подразделениях органов власти и на предприятиях - владельцах информационных ресурсов из обслуживающего персонала информационных систем в зависимости от объема работ назначается штатный (нештатный) специалист по защите информационных ресурсов.

Штатный (нештатный) специалист по защите информационных ресурсов:

- разрабатывает мероприятия по комплексной защиты информации, участвует в согласовании технических заданий на проведение работ по информатизации и защите информации;

- принимает участие в подготовке обслуживающего персонала, технических и программных средств защиты информации, помещений к проведению работ, связанных с использованием с защищаемого информационного ресурса;

- разрабатывает совместно с другими сотрудниками инструкции по защите информационных ресурсов на конкретных рабочих местах;

- участвует в аттестовании рабочих мест, вычислительных комплексов (средств обработки, накопления и хранения информации), разрабатывает проекты заключений о возможности проведения работ с защищаемыми информационными ресурсами;

- осуществляет подготовку отчетов о состоянии работ по защите информационных ресурсов;

- проводит повседневный контроль состояния защиты информационных ресурсов.

19. Подразделения органов власти и предприятия - владельцы носителей защищаемых информационных ресурсов обеспечивают уровень защиты информационных ресурсов на этих носителях в соответствии с установленными владельцами ресурсов требованиями.

20. Подразделения органов власти и предприятия - пользователи информационных ресурсов, их подразделения по защите информации, штатные (нештатные) специалисты по защите информации осуществляют защиту переданных им ресурсов в соответствии с требованиями, установленными владельцами информационных ресурсов.

21. Региональные представительства федеральных органов государственной власти выполняют функции по защите информационных ресурсов Воронежской области и информационных ресурсов совместного ведения в соответствии с положениями об этих органах.

22. Центр правительственной связи в Воронежской области ведет реестр информационных ресурсов области, в том числе информационных баз и банков данных.

23. Органы, учреждения и предприятия федеральной собственности, владеющие информационными ресурсами совместного ведения Российской Федерации и Воронежской области, выполняют указанные в пункте 18 функции по их защите совместно с уполномоченными владельцами этих ресурсов от Воронежской области.

24. Предприятия и организации, специализирующиеся на проведении работ и оказании услуг в области защиты информации:

- разрабатывают проекты концепции, региональной программы по защите информационных ресурсов;

- разрабатывают проекты нормативно-методических документов по защите информационных ресурсов;

- проводят научные исследования и работы по созданию технических средств защиты информационных ресурсов и контроля ее эффективности;

- разрабатывают и осуществляют мероприятия по защите информационных ресурсов;

- проводят специальные проверки и специальные исследования технических средств, аттестование информационных систем, содержащих информационные ресурсы с ограниченным доступом, по выполнению требований защиты информации;

- осуществляют подготовку и повышение квалификации специалистов в этой области.

3. Организация защиты информационных ресурсов

25. Защита информационных ресурсов является составной частью работ по их созданию и использованию и осуществляется во всех органах власти и на предприятиях области, располагающих этими ресурсами.

26. Организация защиты информационных ресурсов возлагается на руководителей органов власти и предприятий, руководителей подразделений, создающих и использующих информационные ресурсы, эксплуатирующих системы и средства информатизации и связи, обрабатывающих и передающих защищаемую информацию.

27. Требования по защите информационных ресурсов определяются их владельцами при подготовке решений, программ и планов работ, технических заданий на создание информационных ресурсов и средств их обработки на основе стандартов, нормативных и методических документов, утверждаемых Гостехкомиссией России и органами государственной власти Воронежской области в соответствии с их компетенцией. Указанные требования согласовываются с отделом информатизации информационно-аналитического управления и отделом безопасности, защиты государственной тайны и информации администрации области. При необходимости установленные требования уточняются и корректируются в процессе создания и использования информационных ресурсов.

28. Непосредственное выполнение функций по обеспечению защиты информационных ресурсов осуществляется подразделением, назначенным владельцем этих ресурсов, ответственным за формирование и ведение соответствующих ресурсов.

29. Выполнение установленных требований, реализация необходимых мероприятий по защите информационных ресурсов осуществляется всеми органами власти, предприятиями, их подразделениями, должностными лицами и гражданами, использующими эти ресурсы, владеющими их носителями и эксплуатирующими их.

30. Защита информационных ресурсов осуществляется путем:

- организации контроля за использованием и распространением информационных ресурсов;

- проведения организационных и режимных мероприятий по допуску пользователей к информационным ресурсам, ограниченного доступа;

- обучения пользователей информационных ресурсов практической работе по их защите;

- предотвращения перехвата информации, передаваемой по каналам связи, за счет применения криптографических и иных методов и средств защиты;

- предотвращения утечки обрабатываемой информации в технических средствах ее обработки за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, достигаемого применением защищенных технических средств, аппаратных средств защиты, средств активной защиты, экранированием отдельных помещений, установлением контролируемой зоны вокруг объектов защиты и другими мерами;

- исключения несанкционированного доступа к системам и средствам информатизации и связи, а также к обрабатываемой или хранящейся в них информации, достигаемого применением программно-технических средств защиты, использованием криптографических способов защиты;

- предотвращения специальных программно-технических воздействий на средства информатизации, вызывающих уничтожение, искажение, блокирование информации или сбои в работе средств информатизации, достигаемого применением программных и аппаратных средств защиты (антивирусных процессоров и программ), организацией контроля безопасности программного обеспечения;

- выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств), достигаемого проведением специальных проверок по выявлению этих устройств;

- предотвращения перехвата техническими средствами защищаемой речевой информации из помещений и объектов, достигаемого применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями.

31. Инженерно-строительные меры по защите информационных ресурсов и порядок их выполнения в ходе строительно-монтажных работ, реконструкции объектов и их эксплуатации определяются при проектировании объектов. Обязательным условием приема объектов, на которых должны обрабатываться информационные ресурсы, в эксплуатацию является выполнение полного объема мер по защите информационных ресурсов и проведение аттестации объекта с целью определения эффективности принятых мер защиты и возможности их стабильного выполнения в ходе эксплуатации объекта.

32. Содержание и порядок осуществления мероприятий по защите информационных ресурсов в ходе эксплуатации объекта определяются в Руководстве по защите информации, разрабатываемом на каждом объекте.

33. Содержание и порядок осуществления мероприятий по защите конкретных информационных ресурсов в процессе их создания и использования определяются в Инструкции по защите информационных ресурсов, разрабатываемой подразделением, ответственным за ведение соответствующих ресурсов.

34. Информация, содержащая сведения, отнесенные к служебной тайне или персональным данным, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты информации. Соответствие технического средства и его программного обеспечения требованиям защищенности подтверждается сертификатом или предписанием на эксплуатацию, оформляемым по результатам специальных исследований и специальных проверок технических средств и программного обеспечения.

35. Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информационных ресурсов, содержащих информацию ограниченного доступа, проводится аттестование указанных средств и систем в реальных условиях эксплуатации на соответствие принимаемых методов, мер и средств защиты требуемому уровню защиты информационных ресурсов.

4. Контроль состояния защиты информационных ресурсов

36. Контроль состояния защиты информационных ресурсов (далее именуется - контроль) осуществляется с целью обеспечения их эффективной защиты, своевременного выявления и предотвращения утечки защищаемой информации по техническим каналам, несанкционированного доступа к ней и несанкционированных программно-технических воздействий на информацию.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информационных ресурсов, решений Гостехкомиссии России, постановлений и распоряжений органов власти по вопросам защиты информационных ресурсов, а также в оценке обоснованности и эффективности принятых мер защиты для выполнения утвержденных требований и норм по защите информационных ресурсов.

37. Контроль состояния защиты информационных ресурсов в области осуществляется следующими органами (в пределах их компетенции):

- органами государственной власти области;

- Гостехкомиссией России (силами центрального аппарата и специального центра, в зоне ответственности которого находится Воронежская область), органами Федеральной службы безопасности Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации в пределах их компетенции;

- рабочей группой по защите информационных ресурсов Совета по защите информации при главе администрации области;

- отделом информатизации информационно-аналитического управления администрации области;

- отделом безопасности, защиты государственной тайны и информации администрации области;

- уполномоченными должностными лицами подразделений администрации области и предприятий - владельцев информационных ресурсов;

- уполномоченными должностными лицами подразделений органов власти и предприятий - пользователей информационных ресурсов;

- уполномоченными должностными лицами подразделений органов власти и предприятий -владельцев носителей информационных ресурсов.

38. Органы государственной власти области организуют и осуществляют контроль состояния защиты информационных ресурсов на подчиненных им предприятиях через рабочую группу по защите информационных ресурсов, отдел информатизации информационно-аналитического управления администрации области; отдел безопасности, защиты государственной тайны и информации администрации области; предприятиями, имеющими лицензии на проведении работ по контролю состояния защиты информации, а руководители предприятий - через свои подразделения и своих специалистов по защите информационных ресурсов.

39. Защита информационных ресурсов считается эффективной, если принимаемые меры соответствуют установленным требованиям и нормам. Несоответствие мер установленным требованиям и нормам по защите информационных ресурсов является нарушением.

Нарушения по степени опасности делятся на две категории:

- первая - невыполнение требований или норм по защите информационных ресурсов, в результате чего имелась или имеется реальная возможность утечки информации ограниченного доступа, произошло разрушение, уничтожение, искажение, блокирование важной информации, сбои в работе средств ее обработки или имеется реальная возможность возникновения этих последствий;

- вторая - невыполнение требований или норм по защите информационных ресурсов, в результате чего создаются предпосылки к утечке информации, разрушению, уничтожению, искажению, блокированию важной информации или к сбоям в работе средств ее обработки.

40. При обнаружении нарушений первой категории руководители органов власти и предприятий обязаны:

- немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры по их устранению;

- организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности, принятых мер, проводимой отделом информатизации информационно-аналитического управления и отделом безопасности, защиты государственной тайны и информации администрации области.

При обнаружении нарушений второй категории руководители и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку. Контроль устранения этих нарушений осуществляется подразделениями и специалистами по защите информационных ресурсов органов власти и предприятий.

41. Доступ представителей рабочей группы Совета по защите информации, отдела информатизации информационно-аналитического управления и отдела безопасности, защиты государственной тайны и информации на контролируемые объекты осуществляется в установленном порядке по предъявлению специального удостоверения представителя администрации области и предписания на право проверки данного объекта, выданного руководителями органов власти области.

5. Финансирование мероприятий по защите
информационных ресурсов

42. Финансирование мероприятий по защите информационных ресурсов области и содержания подразделений (специалистов) по защите информационных ресурсов в органах власти области и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.

Финансирование деятельности по защите информационных ресурсов остальных предприятий осуществляется за счет средств, получаемых от их основной деятельности, в основном при выполнении работ, связанных с использованием сведений защищаемых информационных ресурсов.

43. Создание технических средств защиты информационных ресурсов, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно-исследовательские и опытно-конструкторские работы, связанные с созданием информационных ресурсов. Расходы по разработке технических средств защиты включаются в стоимость создания информационных ресурсов.

Создание технических средств защиты информационных ресурсов, требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на строительство (реконструкцию) сооружений или объектов.

Руководство
по контролю состояния защиты информационных ресурсов
Воронежской области
(утв. постановлением Администрации Воронежской области
от 6 сентября 1999 г. N 886)

Введение

Настоящее Руководство является документом, обязательным для выполнения при проведении работ по контролю состояния защиты информационных ресурсов Воронежской области в органах (аппаратах, администрациях) представительной, исполнительной и судебной властей области и в органах местного самоуправления (далее - органы власти), на предприятиях и в их объединениях, учреждениях и организациях независимо от их организационно-правовой формы и формы собственности (далее - предприятия).

Руководство определяет структуру системы контроля состояния защиты информационных ресурсов Воронежской области, не содержащих сведений, составляющих государственную тайну, ее задачи и функции, основы организации контроля.

1. Цель и задачи контроля состояния защиты информационных
ресурсов области

Контроль состояния защиты информационных ресурсов это деятельность органов власти области, уполномоченных ими органов или лиц по проверке соблюдения законодательных и иных нормативных правовых актов, норм, стандартов и правил, оценке обоснованности принятия управленческих решений, связанных с обеспечением защиты информационных ресурсов области от утечки информации по техническим каналам, несанкционированного доступа, несанкционированных и непреднамеренных воздействий на защищаемую информацию, а также по устранению и предупреждению различных нарушений по указанным вопросам.

Основная цель контроля - обеспечение единой дисциплины в организации работ по защите информационных ресурсов области, своевременное выявление предпосылок и предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, несанкционированных и непреднамеренных воздействий на защищаемую информацию и средства ее обработки.

Основными функциями контроля является оценка организации и эффективности защиты информационных ресурсов.

Основными задачами в обеспечении реализации этой функции являются:

- оценка полноты и качества выполнения органами, организациями и должностными лицами, осуществляющими деятельность в области защиты информационных ресурсов, возложенных на них обязанностей и функций;

- оценка целесообразности и обоснованности, с точки зрения обеспечения защиты информации, принимаемых управленческих решений с целью предупреждения возможных неблагоприятных последствий их выполнения;

- выявление нарушений установленных требований или норм по защите информации, установление их причин и определение виновных в появлении нарушений, в необходимых случаях привлечение виновных к ответственности;

- профилактика различных видов нарушений.

Система контроля состояния защиты информационных ресурсов базируется на следующих основных принципах:

- законодательно-правовое определение статуса, полномочий и ответственности контрольных органов и должностных лиц для обеспечения действенности контроля;

- соблюдение законности в действиях контрольных органов и их должностных лиц;

- независимость контрольных органов, при осуществлении ими своих полномочий, от проверяемых органов власти, предприятий и должностных лиц;

- регулярность проведения контроля;

- обязательное расследование инцидентов, связанных с нарушениями требований и норм по защите информации, с последующим их анализом, разработкой соответствующих мер и корректировкой, при необходимости, нормативных и технических документов;

- единая методология проведения контроля, общая информационная база всех органов контроля, обеспечивающая доступ к информации при сохранении в тайне информации ограниченного доступа;

- эффективность контроля, как с точки зрения его результативности (действенности), так и экономичности (обоснованности затрат на содержание контрольных органов, соответствия затрат результатам их деятельности).

В своей деятельности органы контроля состояния защиты информационных ресурсов области руководствуются Конституцией Российской Федерации, законами Российской Федерации "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", законом Воронежской области "Об информатизации Воронежской области", "Положением о региональной системе защиты информации в Воронежской области", "Положением о системе защиты информационных ресурсов Воронежской области" , государственными стандартами в области защиты информации, решениями, руководящими и нормативными документами Гостехкомиссии России и иных государственных органов в области защиты информационных ресурсов, а также настоящим Руководством.

2. Виды контроля

2.1. Предварительный и текущий контроль,
контроль устранения недостатков

Предварительный контроль представляет собой оценочную проверку обоснованности мер защиты информации до начала обработки защищаемой информации в информационных системах. Осуществляется с целью своевременного выявления и предотвращения предпосылок возможных нарушений требований или норм защиты информации в процессе функционирования контролируемого объекта.

Текущий контроль - это проверка в процессе обработки защищаемой информации. Осуществляется с целью своевременного выявления возникающих трудностей и недостатков в реализации принятых мер защиты информации и выработки мероприятий по их устранению. Текущий контроль может быть периодическим, повседневным или непрерывным.

Контроль устранения недостатков - это проверка, проводимая после устранения ранее допущенных нарушений норм и требований защиты информации на контролируемом объекте, вследствие которых были приостановлены или ограничены работы с защищаемой информацией. Осуществляется с целью выдачи разрешения на продолжение работ с защищаемой информации.

2.2. Внутренний контроль, контроль владельцем
и собственником информационных ресурсов

Внутренний контроль проводится в подразделениях органов власти и предприятий - пользователях информационных ресурсов (на объектах контроля) силами, уполномоченных должностных лиц этих объектов.

Контроль владельцем информационных ресурсов осуществляется непосредственно силами предприятия (подразделения органа власти), ведущего соответствующие базы и банки данных, информационные системы и другие информационные объекты.

Контроль собственником информационных ресурсов осуществляется силами отдела информатизации информационно-аналитического управления администрации области, отдела безопасности, защиты государственной тайны и информации администрации области, а также рабочей группой по защите информационных ресурсов Совета по вопросам защиты информации. Контроль собственником информационных ресурсов может осуществляться владельцев этих ресурсов, владельцев их носителей и пользователей информационных ресурсов.

2.3. Организационный контроль, контроль эффективности,
технический контроль

Организационный контроль состояния защиты информации состоит в проверке соответствия полноты и обоснованности мероприятий по защите информационных ресурсов требованиям руководящих и нормативных документов в области.

Контроль эффективности защиты информации заключается в проверке соответствия количественных или качественных показателей эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

Технический контроль эффективности защиты информации заключается в проверке эффективности защиты информации с использованием технических и/или программных средств контроля. Он обеспечивает получение наиболее объективной и достоверной информации о состоянии объектов контроля.

3. Формы контроля

К основным формам контроля защиты информационных ресурсов относятся: инспектирование, надзор, экспертиза, аттестация, сертификация, специальные исследования и специальные проверки.

Инспектирование - это контроль за соблюдением установленных правил и требований по защите информации. Это наиболее распространенная форма контроля. Используется всеми контрольными органами.

Надзор - это контроль в форме правового регулирования. Эта форма применяется, прежде всего, для осуществления контроля за соблюдением законов, установленных норм, требований, стандартов. В отличие от инспектирования субъекты надзора вправе при соответствующих обстоятельствах применять к объектам надзора меры административного принуждения. Необходимым условием надзора является отсутствие между субъектами и объектами надзора организационной соподчиненности.

Экспертиза - это предварительный контроль в форме оценки возможности организации исполнять заявленные ею функции по защите информационных ресурсов. Результатом экспертизы является экспертное заключение.

Сертификация продукции по требованиям безопасности информации (далее сертификация) - это предварительный контроль в форме испытания конкретной продукции с целью подтверждения посредством специального документа сертификата и знака соответствия, что продукция соответствует требованиям стандартов или иных нормативных и методических документов по безопасности информации, утвержденных государственным органом по сертификации в пределах его компетенции. При сертификации могут подтверждаться как отдельные характеристики, так и весь комплекс характеристик продукции, связанных с обеспечением безопасности информации.

Специальные исследования, специальные проверки это предварительный контроль в форме исследования (проверки) отдельных характеристик конкретного объекта с целью установления посредством специального документа предписания на эксплуатацию, предельных значений указанных характеристик, при соблюдении которых выполняются требования нормативных и методических документов по безопасности информации, утвержденных государственным органом в пределах его компетенции.

Аттестация - это предварительный контроль в форме комплексной проверки (испытания) защищаемого (контролируемого) объекта в реальных условиях его эксплуатации с целью официальной оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации. По результатам проверки выдается специальный документ - аттестат соответствия.

4. Структура системы контроля состояния защиты
информационных ресурсов области

Система контроля состояния защиты информационных ресурсов является составной частью региональной системы защиты информации.

Система контроля состояния защиты информационных ресурсов включает следующие субъекты контроля:

- органы государственного надзора за состоянием защиты информации - центральный аппарат и специальный центр Гостехкомиссии России, в зоне ответственности которого находится Воронежская область, органы Федерального агентства правительственной связи и информации;

- органы контроля собственника информационных ресурсов - отдел информатизации информационно-аналитического управления администрации области, отдел безопасности, защиты государственной тайны и информации администрации области, рабочая группа Совета по вопросам защиты информации;

- органы контроля владельца информационных ресурсов - уполномоченные должностные лица предприятия (подразделения органа власти), ведущего соответствующие базы и банки данных, информационные системы и другие информационные объекты;

- организации, оказывающие услуги по контролю (аттестованию) объектов по требованиям эффективности защиты информации на договорной основе (аудит состояния защиты информации);

- Гостехкомиссия России:

- осуществляет в пределах своих полномочий контроль за состоянием работ по технической защите информации в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления, на предприятиях, в учреждениях и организациях;

- организует проведение радиоконтроля за соблюдением установленного порядка передачи служебных сообщений должностными лицами предприятий, учреждений и организаций, выполняющими работы, связанные со сведениями, составляющими государственную или служебную тайну, при использовании открытых каналов радио и радиорелейных, тропосферных и спутниковых линий связи, доступных для радиоразведки.

Контроль в администрации области силами Инспекционного управления Гостехкомиссии России осуществляется по согласованию с главой администрации.

Территориальный орган Гостехкомиссии России (Волгоградский специальный центр) в пределах своей компетенции осуществляет контроль в органах власти области, а также на предприятиях, расположенных в зоне его ответственности .

- Федеральное агентство правительственной связи и информации при Президенте Российской Федерации:

- контролирует организацию и состояние эксплуатации, безопасности, развития и совершенствования правительственной связи, иных видов специальной связи и систем специальной информации для государственных органов;

- контролирует эффективность мер защиты информации с использованием шифровальной техники и криптографических методов, безопасности специальных видов связи (правительственной, шифрованной, засекреченной), шифровальной и дешифровальной работы.

5. Нарушения в области защиты информационных ресурсов области

Несоответствие мер защиты информационных ресурсов установленным требованиям или нормам по защите информации является нарушением.

Нарушения мер защиты информационных ресурсов по степени опасности делятся на две категории:

- первая - невыполнение требований или норм по защите информационных ресурсов, в результате чего имелась или имеется реальная возможность утечки информации ограниченного доступа, произошло разрушение, уничтожение, искажение, блокирование важной информации, сбои в работе средств ее обработки или имеется реальная возможность возникновения этих последствий;

- вторая - невыполнение требований или норм по защите информационных ресурсов, в результате чего создаются предпосылки к утечке информации, разрушению, уничтожению, искажению, блокированию важной информации или к сбоям в работе средств ее обработки.

Руководитель контрольного органа (проверочной комиссии), выявившего нарушение первой категории, обязан:

- принять меры к немедленному пресечению выявленного нарушения путем остановки процесса обработки информации или функционирования объекта;

- составить протокол контроля, который довести до руководителя проверяемой организации (объекта);

- сообщить руководству органа власти по подчиненности предприятия (объекта) и владельцу защищаемых информационных ресурсов о вскрытых нарушениях и принятых мерах по их пресечению.

При обнаружении нарушений первой категории руководители проверяемых организаций (объектов) обязаны:

- немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры по их устранению;

- организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер органом контроля, выявившим нарушение.

При обнаружении нарушений второй категорий руководители проверяемых организаций обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку. Контроль за устранением этих нарушений осуществляется подразделениями по контролю (уполномоченными должностными лицами) проверяемой организации.

6. Организация контроля состояния защиты
информационных ресурсов

Организация контроля за состоянием защиты информационных ресурсов на различных видах объектов контроля включает:

- планирование контроля состояния защиты информации;

- доведение решения о проведении проверки до руководителя проверяемой организации (в случае проведения гласной проверки);

- проведение контроля состояния защиты информации; доведение результатов контроля, выводов и рекомендаций до соответствующих органов и должностных лиц.

Для проведения работ по контролю могут привлекаться на договорной основе предприятия, имеющие лицензии на право проведения работ в области контроля.

Контроль состояния защиты информации осуществляется посредством проведения плановых или внезапных, гласных или негласных проверок, проверок по заявкам проверяемых организаций, а также в ходе повседневного наблюдения за состоянием защиты информации на контролируемых объектах.

Порядок планирования контроля, доведения решений о проведении контроля до проверяемых организаций, а также виды проверок определяют руководители уполномоченных органов контроля.

С целью исключения дублирования проверок и рационального распределения сил и средств всех контрольных органов, исключения случаев выпадения предприятий из сферы контроля, владельцы информационных ресурсов согласуют планы проведения контроля с отделом информатизации и отделом безопасности, защиты государственной тайны и информации администрации области.

Допуск представителей Инспекционного управления Гостехкомиссии России, ее территориальных органов на объекты для проведения контроля, доступ их к работам и документам, необходимым для проведения контроля, осуществляется в по предъявлении специального удостоверения представителя Гостехкомиссии России и предписания на право проведения проверки данного объекта.

Предписания на право проверки состояния защиты информации выдаются:

- для объектов органов государственной власти и местного самоуправления, предприятий и организаций на всей территории области - начальником Инспекционного управления Гостехкомиссии России, заместителем главы администрации области - председателем Совета по вопросам защиты информации при главе администрации области; для предприятий и органов местного самоуправления - начальником территориального органа Гостехкомиссии России, руководителями (заместителями руководителей) исполнительных органов местного самоуправления;

- для подведомственных предприятий - руководителями (заместителями руководителей) управлений (аппаратов, департаментов) органов государственной власти и местного самоуправления или руководителями их контрольных органов в соответствии с компетенцией.

Организация работ по текущему контролю состояния защиты информации на предприятиях (организациях) осуществляется их руководителями. В зависимости от объема работ по контролю руководителем предприятия создается структурное подразделение по контролю, либо назначаются штатные (нештатные) специалисты по этим вопросам.

Подразделения по контролю (штатные специалисты) на предприятиях - пользователях информационных ресурсов осуществляют мероприятия по предварительному и текущему контролю состояния защиты информации в ходе выполнения работ с защищаемыми информационными ресурсами определяют совместно владельцем информационных ресурсов основные направления комплексного контроля, участвуют в согласовании технических заданий на проведение работ, дают заключение о необходимости и возможности проведения работ по контролю.

Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю. Работники этих подразделений (штатные специалисты) приравниваются по оплате труда к соответствующим категориям работников основных структурных подразделений.

7. Порядок проведения ведомственного и вневедомственного
контроля на различных видах объектов.

7.1. Общий порядок проведения проверки.

Для проведения проверки руководителем контрольного органа назначается проверочная комиссия во главе с руководителем проверки, который получает предписание на право проведения проверки организации работ и выполнения требований по защите информации в организации (на объекте).

Предписание доводится руководителем проверки до руководителя проверяемой организации (объекта) или лица его замещающего, который обязан создать проверочной комиссии необходимые условия для исполнения ей своих функций, определенных положением о соответствующем органе контроля.

Руководитель проверки доводит до указанного должностного лица перечень проверяемых вопросов, а также перечень необходимых документов, изделий, технических средств и помещений, к которым должен быть обеспечен доступ членов проверочной комиссии, в соответствии с их правами, определенными настоящим Руководством.

Общими задачами контроля состояния защиты информационных ресурсов, решаемыми в ходе проверки, являются:

- проверка соответствия организации работ по защите информации, наличия и содержания внутренних организационно-распорядительных документов требованиям руководящих документов в области защиты информации;

- проверка соответствия качественных и количественных показателей эффективности мероприятий по защите информации требованиям или нормам защиты информации.

По результатам проверки составляется Акт. Акт проверки высылается в проверяемую организацию (на объект), руководству органа власти по подчиненности организации (объекта) и в орган, проводивший проверку.

При наличии в Акте нарушений или недостатков, проверенной организацией в месячный срок составляется план устранения недостатков, который согласовывается с контрольным органом, проводившим проверку.

О выполнении всех мероприятий плана устранения недостатков проверенная организация извещает орган контроля, который может направить в организацию своих сотрудников для оценки эффективности выполненных мероприятий.

Проверка считается законченной после отметки о выполнении всех мероприятий плана устранения недостатков.

7.2. Вопросы, подлежащие проверке на объектах информатизации:

- наличие аттестата на объект информатизации;

- характер сведений, циркулирующих между подразделениями, в соответствии с принятой в организации технологией обработки информации;

- правильность классификации обрабатываемой информации по категории доступа, порядка ее обработки, хранения и размножения при использовании технических средств (СВТ, ТСПИ, оргтехника и т. д.);

- деятельность структурных подразделений и ответственных должностных лиц по обеспечению безопасности информации, подлежащей защите;

- организация и фактическое состояние доступа обслуживающего и эксплуатирующего персонала к защищаемым информационным ресурсам, наличие и качество организационно-распорядительных документов по допуску персонала к защищаемым ресурсам;

- состояние учета всех технических и программных средств отечественного и иностранного производства, участвующих в обработке информации, подлежащей защите, наличие и правильность оформления документов по специальным исследованиям и проверкам технических средств ЭВТ;

- правильность размещения средств ЭВТ, ТСПИ (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории в соответствии с предписаниями на их эксплуатацию;

- выполнение организационных и технических мер по защите информации, циркулирующей в средствах ЭВТ, наличия, качества установки и порядка эксплуатации программно-аппаратных средств защиты от НСД;

- выполнение требований по защите информации при подключении автоматизированных систем обработки информации к внешним и международным информационным системам;

- оценка эффективности защиты информации по результатам технического контроля.

7.3. Вопросы, подлежащие проверке в органах
государственной власти и местного самоуправления:

- наличие структурных подразделений, сотрудников, уровень их подготовки, квалификации, обеспечивающих решение вопросов, связанных с защитой конфиденциальной информации;

- наличие в системе органа управления руководящих документов по защите конфиденциальной информации;

- наличие аттестатов на объекты информатизации; своевременность и правильность доведения требований руководящих документов по защите информации до сотрудников аппарата и подведомственных организаций, знание их сотрудниками аппарата;

- правильность классификации обрабатываемой информации по категории доступа, порядка ее обработки и хранения при использовании технических средств (СВТ, ТСПИ, оргтехника и т.д.), проверка правильности распечатки документов с грифом "Для служебного пользования", их учета;

- наличие необходимых документов на технические средства, участвующие в обработке подлежащей защите информации;

- состояние безопасности информации в сетях связи и информатизации;

- оценка деятельности аппарата по методическому руководству и координации работ по защите информации на подведомственных предприятиях.

7.4. Вопросы, подлежащие проверке в
научно-исследовательских и проектных организациях,
а также на промышленных предприятиях:

- наличие и полнота отработки Руководства по защите информации в соответствии с требованиями руководящих документов Гостехкомиссии, Положения о системе защиты информационных ресурсов области, правильность оценки угроз безопасности информации и налаженность взаимодействия с местными органами Гостехкомиссии России и ФАПСИ;

- наличие в Технических заданиях на разработку (создание) изделий (систем, средств, объектов) разделов по защите информации;

- качество проработки и обоснованность в эскизных и технических проектах мероприятий по защите информации, правильность определения технических каналов утечки информации;

- наличие и полнота разработки Инструкции по защите информации для различных этапов жизненного цикла объектов защиты;

- наличие и правильность ведения журналов учета рабочего времени средств обработки защищаемой информации;

- оценка безопасности информации на защищаемых объектах с учетом результатов технического контроля;

- наличие аттестатов на объекты информатизации.

7.5. Вопросы, подлежащие проверке в системах
и сетях связи, управления и передачи данных:

- выполнение требований по защите информации при присоединении ведомственной (внутренней) сети связи к сети связи общего пользования;

- наличие и правильность установки аппаратуры защиты информации в каналах связи;

- обоснованность и полнота мероприятия по обеспечению надежности функционирования и защищенности от посторонних воздействий систем автоматизированного управления, а также систем передачи оперативно-диспетчерской информации;

- наличие аттестатов на объекты информатизации;

- эффективность мероприятий по проверке и защите оконечных устройств и коммутационного оборудования, размещенных в выделенных помещениях или передающих подлежащую защите или критичную информацию.

7.6. Вопросы, подлежащие проверке в
финансово-кредитных организациях:

- наличие выписки из требований по защите информации клиентов организации, органов государственной власти и местного самоуправления;

- наличие специального участка (комплекса технических средств) для обработки подлежащей защите информации;

- наличие аттестатов на объекты информатизации;

- алгоритм специального технологического процесса выделения подлежащей защите информации из общего массива финансовой информации, обеспечивающего безопасность подлежащей защите информации.

8. Финансирование мероприятий по контролю состояния
защиты информационных ресурсов области

Финансирование мероприятий по контролю состояния защиты информационных ресурсов области, а также подразделений контроля в органах власти области и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.

Финансирование деятельности подразделений контроля остальных предприятий и организаций осуществляется за счет средств, получаемых от их основной деятельности, в основном при выполнении работ, связанных с использованием защищаемых информационных ресурсов.

Создание средств контроля эффективности защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчиком на научно-исследовательские и опытно-конструкторские работы, связанные с созданием информационных ресурсов. Расходы по разработке указанных средств включаются в стоимость создаваемых информационных ресурсов.