Постановление Администрации города Волгограда от 09.12.2002 N 1441 "О совершенствовании системы защиты муниципальных информационных ресурсов, циркулирующих в муниципальной информационно-вычислительной сети Волгограда"

2. Департаменту финансов администрации Волгограда предусмотреть в проекте городского бюджета на 2003 год расходы в сумме 758 тыс.рублей по статье расходной части бюджета города "Информатика (информационное обеспечение)" на реализацию Программы совершенствования системы защиты муниципальных информационных ресурсов, циркулирующих в муниципальной информационно-вычислительной сети Волгограда.

3. Контроль за выполнением настоящего Постановления возложить на первого заместителя главы администрации Волгограда Г.Н.Володькина.

Глава администрации

Ю.В.Чехов

Программа
совершенствования системы защиты муниципальных информационных
ресурсов, циркулирующих в муниципальной
информационно-вычислительной сети Волгограда
(утв. Постановлением главы администрации Волгограда
от 9 декабря 2002 г. N 1441)

1. Введение

1.1. Под муниципальной информационно-вычислительной сетью Волгограда понимается комплекс средств и систем связи и информатизации, тем или иным способом подключенных к единой среде, содержащей муниципальные информационные ресурсы Волгограда.

1.2. Обеспечение безопасности муниципальных информационных ресурсов (далее - МИР), циркулирующих в муниципальной информационно-вычислительной сети Волгограда (далее - МИВС), является одной из основных задач, стоящих перед администрацией Волгограда, ее территориальными и отраслевыми структурными подразделениями. Необходимость в проведении данного вида работ обусловлена:

- обработкой в МИВС информации различного уровня доступа и соответствующими требованиями, предъявляемыми к ее защите;

- необходимостью установления различных прав доступа пользователей к МИР Волгограда;

- сложностью технологии обработки информации в МИВС;

- большим объемом обрабатываемой информации в МИВС и возросшими требованиями к обеспечению ее достоверности и целостности.

1.3. Администрацией Волгограда и рядом ее территориальных и отраслевых структурных подразделений проведена работа по становлению системы защиты МИР, циркулирующих в МИВС:

- начато формирование нормативно-правовой базы обеспечения безопасности МИР;

- создана структура системы защиты МИР;

- проведен комплекс организационно-технических мероприятий, направленных на предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе ее обработки, передачи и хранения.

Вместе с тем, как показали результаты оценки состояния организации работ по защите информации, требуемый уровень безопасности МИР, циркулирующих в МИВС, не обеспечивается, а сама система защиты МИР нуждается в совершенствовании.

В целях придания работам по защите информации, проводимым в администрации Волгограда и ее территориальных и отраслевых структурных подразделениях, планомерного и последовательного характера, приведения системы защиты МИР в полное соответствие требованиям законодательных и нормативных документов и была разработана настоящая Программа совершенствования системы защиты МИР, циркулирующих в МИВС (далее - Программа).

2. Цели и задачи по совершенствованию системы защиты МИР

2.1. Целями проводимых работ по совершенствованию системы защиты МИР, циркулирующих в МИВС, являются:

- приведение системы защиты МИР в полное соответствие с требованиями законодательных и нормативных документов по вопросам защиты информации;

- обеспечение сохранности, целостности, достоверности и полноты информации в МИВС;

- исключение или существенное затруднение добывания информации ограниченного доступа техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения МИР в процессе их обработки, передачи и хранения в МИВС;

- рациональное использование финансовых средств для проведения работ по защите информации;

- повышение ответственности всех участников информационного обмена в МИВС;

- сопряжение отдельных существующих элементов защиты информации в единую систему;

- создание необходимых условий, обеспечивающих планомерность и последовательность проводимых в администрации Волгограда и ее территориальных и отраслевых структурных подразделениях мероприятий по защите информации.

2.2. Основными задачами по совершенствованию системы защиты МИР являются:

- разработка и утверждение пакета нормативных актов и организационно-распорядительных документов администрации Волгограда по обеспечению безопасности МИР;

- регулирование системы договорных отношений между администрацией Волгограда, ее территориальными и отраслевыми структурными подразделениями, муниципальными предприятиями и учреждениями, другими юридическими и физическими лицами, имеющими подключения к МИВС, в части вопросов, связанных с обеспечением безопасности МИР;

- нормативно-методическое обеспечение вопросов, связанных с документированием МИР, закреплением прав владения (пользования) ими за органами местного самоуправления Волгограда, предприятиями, организациями, учреждениями, общественными объединениями, гражданами;

- разработка и внедрение организационных и технических решений, обеспечивающих, с одной стороны, эффективную защиту информации, циркулирующей в МИВС, и, с другой стороны, снижающих стоимость финансовых затрат на реализацию защитных мероприятий;

- создание действенной системы контроля за состоянием защищенности МИР;

- повышение уровня квалификации кадров, работающих в сфере обеспечения информационной безопасности МИР.

3. Основные направления работ по совершенствованию системы защиты МИР

Основными направлениями работ по совершенствованию системы защиты МИР, циркулирующих в МИВС, являются:

- выявление, всесторонняя оценка и прогнозирование угроз безопасности МИР, циркулирующих в МИВС;

- предотвращение утечки информации ограниченного доступа по техническим каналам;

- предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации, циркулирующей в МИВС;

- проведение единой технической политики, организация и координация работ по защите МИР;

- создание организационных, технических, финансовых условий, обеспечивающих реализацию намеченных целей;

- организация и координация работ по защите МИР, привлечение к указанным работам всех юридических и физических лиц, заинтересованных в доступе к МИР;

- определение сведений, охраняемых от технических средств разведки, а также мест их обработки, хранения и циркуляции;

- анализ и оценка реальной опасности перехвата МИР ограниченного доступа техническими средствами разведки, несанкционированного доступа к ним, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки информации, подлежащей защите;

- разработка нормативных правовых актов и организационно-распорядительных документов для решения вопросов защиты МИР;

- разработка и внедрение организационных и технических решений, обеспечивающих требуемый уровень безопасности МИР ограниченного доступа, а также достоверность и целостность всей обрабатываемой информации в МИВС;

- совершенствование системы контроля за состоянием защищенности МИР;

- организация системы подготовки, переподготовки кадров, работающих в сфере обеспечения информационной безопасности МИР.

4. Принципы реализации Программы

Основными принципами, на основе которых строится Программа, являются:

- соблюдение всеми юридическими и физическими лицами, пользующимися услугами МИВС, требований Конституции Российской Федерации, законов Российской Федерации, нормативных правовых актов администраций Волгоградской области и Волгограда, руководящих и нормативно-методических документов Государственной технической комиссии при Президенте Российской Федерации (далее - Гостехкомиссия России) в части защиты МИР ограниченного доступа;

- неотвратимость ответственности юридических и физических лиц за нарушение режимов и правил обработки, защиты МИР ограниченного доступа;

- соблюдение единых требований (в части защиты МИР) для всех юридических и физических лиц, пользующихся услугами МИВС;

- применение неординарных подходов к организации защиты МИР, обеспечивающих, с одной стороны, эффективную защиту информации, циркулирующей в МИВС, и, с другой стороны, снижающих финансовые затраты на реализацию защитных мероприятий;

- применение на объектах информатизации в составе МИВС конкретных методов, приемов и мер защиты информации в зависимости от степени ее конфиденциальности и возможного ущерба в случае ее утечки, разрушения, уничтожения;

- комплексность, системность, плановость и повседневность проведения мероприятий по защите МИР, обеспечение защиты информации на всех технологических этапах ее обработки и во всех режимах функционирования технических средств, в том числе при проведении ремонтных и регламентных работ средств вычислительной техники и защиты информации;

- коллегиальность в рассмотрении важнейших вопросов, связанных с организацией защиты МИР.

5. Объекты, подлежащие защите

В интересах обеспечения безопасности МИР, циркулирующей в МИВС, защите подлежат:

- информационные ресурсы, содержащие сведения, составляющие государственную тайну и конфиденциальную информацию;

- информационные ресурсы открытого доступа и распространения, несанкционированное искажение, уничтожение которых может нанести ущерб их собственнику;

- средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, автоматизированные системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), системы связи и передачи данных.

6. Организационная составляющая системы защиты МИР

6.1. Организационную составляющую системы защиты МИР образуют:

- комиссия по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда;

- технический совет при комиссии по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда;

- отдел мобилизационной и секретной работы администрации Волгограда;

- муниципальное учреждение "Городской информационный центр" (далее - МУ "ГИЦ");

- рабочая группа по определению степени конфиденциальности информации, циркулирующей в МИВС;

- экспертная комиссия по оценке готовности пользователей МИВС к работе с информацией ограниченного доступа;

- структурные подразделения, штатные специалисты (ответственные лица), занимающиеся вопросами защиты МИР, организаций - пользователей МИВС.

6.2. Порядок работы комиссии по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда определен Постановлением главы администрации Волгограда от 5 декабря 2000 г. N 1588 "О комиссии по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда". Состав комиссии утвержден Распоряжением главы администрации Волгограда от 21 декабря 2000 г. N 1213-р "Об утверждении состава комиссии по вопросам защиты информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда". Для участия в работе комиссии на ее заседания приглашаются представители территориальных и отраслевых структурных подразделений администрации Волгограда, муниципальных учреждений и предприятий, ответственные за обеспечение безопасности МИР.

6.3. Технический совет при комиссии по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда (далее - технический совет) создается как постоянно действующий консультативный орган. Руководитель технического совета назначается решением комиссии по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда из числа ее членов. Состав технического совета определяет его руководитель.

Основными задачами технического совета являются:

- согласование проектов решений комиссии по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда;

- проведение анализа проектов и предложений по защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда.

6.4. Отдел мобилизационной и секретной работы администрации Волгограда:

- координирует работу по защите информации, циркулирующей в МИВС;

- готовит типовые проекты организационно-распорядительных документов, касающихся вопросов защиты информации, а также предложения по совершенствованию нормативно-правовой базы обеспечения безопасности МИР, циркулирующих в МИВС;

- принимает участие в проведении аттестации объектов информатизации на соответствие их требованиям безопасности информации;

- организует постоянный и систематический контроль за состоянием защищенности МИР;

- принимает участие в подготовке договоров между администрацией Волгограда и предприятиями, организациями, учреждениями, пользующимися услугами МИВС (в части вопросов, касающихся защиты МИР).

6.5. МУ "ГИЦ":

- обеспечивает защиту МИР ограниченного доступа (в части, касающейся МУ "ГИЦ");

- выполняет функции хранилища всех МИР;

- разрабатывает предложения по совершенствованию системы защиты МИР, правового режима их использования;

- доводит требования законодательных, нормативных и руководящих документов по вопросам защиты информации до всех пользователей МИВС;

- разрабатывает модели информационного обмена между организациями - пользователями МИВС;

- осуществляет подключение новых пользователей к МИВС (при условии соблюдения требований, предъявляемых к защите МИР);

- ведет учет МИР, обрабатываемых в МИВС;

- принимает участие в формировании системы договорных отношений между администрацией Волгограда, ее территориальными и отраслевыми структурными подразделениями, муниципальными учреждениями и предприятиями, другими юридическими и физическими лицами, имеющими подключения к МИВС;

- принимает участие в разработке механизмов документирования МИР, закрепления прав муниципальной собственности на них;

- осуществляет подготовку, переподготовку кадров, работающих в сфере обеспечения информационной безопасности МИР.

6.6. Рабочая группа по определению степени конфиденциальности информации, циркулирующей в МИВС (далее - рабочая группа), создается по мере необходимости и на короткий период. В ее состав могут входить:

- сотрудники отдела мобилизационной и секретной работы администрации Волгограда;

- сотрудники режимно-секретных органов территориальных и отраслевых структурных подразделений администрации Волгограда;

- сотрудники режимно-секретных органов предприятий, организаций и учреждений, являющихся пользователями МИВС;

- представители региональных и федеральных органов исполнительной власти, министерств, ведомств, в компетенцию которых входит отнесение сведений к государственной, служебной тайне.

Основными задачами рабочей группы являются:

- подготовка заключений по результатам оценки степени конфиденциальности МИР, циркулирующих в МИВС;

- разработка предложений о включении (или исключении) тех или иных сведений в составе МИР в перечень (из перечня) сведений, содержащих информацию ограниченного доступа (распространения).

Порядок работы рабочей группы должен быть определен постановлением главы администрации Волгограда.

6.7. Экспертная комиссия по оценке готовности пользователей МИВС к работе с информацией ограниченного доступа (далее - комиссия) формируется по мере необходимости и на короткий срок. В ее состав могут входить:

- сотрудники отдела мобилизационной и секретной работы администрации Волгограда, в чьи функциональные обязанности входит решение вопросов, связанных с защитой информации;

- сотрудники территориальных и отраслевых структурных подразделений администрации Волгограда, ответственные за обеспечение безопасности информации;

- представители администрации Волгоградской области (по согласованию);

- представители Управления Государственной технической комиссии при Президенте Российской Федерации по Южному федеральному округу (по согласованию);

- представители Управления Федеральной службы безопасности Российской Федерации по Волгоградской области (по согласованию).

Основными задачами комиссии являются:

- оценка текущего состояния защищенности МИР, циркулирующих в МИВС;

- доведение результатов оценки до руководства администрации Волгограда;

- разработка заключений о готовности территориальных и отраслевых структурных подразделений администрации Волгограда, а также предприятий, организаций, учреждений, подключенных к МИВС, обеспечивать требуемый уровень безопасности МИР;

- разработка предложений по совершенствованию системы защиты МИР. Порядок работы комиссии должен быть определен постановлением главы администрации Волгограда.

6.8. Территориальные и отраслевые структурные подразделения администрации Волгограда, штатные специалисты (ответственные лица) организаций - пользователей МИВС, занимающиеся вопросами защиты МИР:

- проводят на объектах информатизации мероприятия, обеспечивающие требуемый уровень безопасности МИР;

- организуют постоянный и систематический контроль за состоянием защищенности информации;

- при выявлении на объектах информатизации нарушений в сфере информационной безопасности принимают немедленные меры по их устранению.

6.9. К решению определенного круга вопросов, связанных с защитой МИР, циркулирующих в МИВС, могут привлекаться сотрудники правового управления администрации Волгограда, а также юристы предприятий, организаций, учреждений, пользующихся услугами МИВС. В их компетенцию могут входить следующие вопросы:

- формирование системы договорных отношений между администрацией Волгограда, ее территориальными и отраслевыми структурными подразделениями, муниципальными предприятиями и учреждениями, другими юридическими и физическими лицами, имеющими подключения к МИВС;

- разработка нормативной базы закрепления прав собственности на муниципальные информационные ресурсы за конкретными пользователями МИВС;

- правовая оценка вопросов, связанных с обеспечением безопасности МИР.

7. Обеспечение реализации Программы

7.1. Нормативно-правовое обеспечение

Нормативно-правовую базу системы защиты МИР составляют:

- Конституция Российской Федерации;

- законодательные и нормативные акты Российской Федерации;

- руководящие и нормативно-методические документы Гостехкомиссии России, а также нормативные документы других ведомств, на основе которых организуется работа по защите МИР в администрации Волгограда и ее территориальных и отраслевых структурных подразделениях;

- нормативные акты по вопросам защиты информации администраций Волгоградской области и Волгограда;

- организационно-распорядительные документы по вопросам защиты информации, утверждаемые главой администрации Волгограда, руководителями территориальных и отраслевых структурных подразделений администрации Волгограда, предприятий, организаций и учреждений, чьи технические средства подключены к МИВС.

Для эффективного функционирования системы защиты МИР, обеспечения качественного управления данной системой, а также снижения финансовых затрат на проведение защитных мероприятий необходима первоочередная разработка следующих документов:

- концепции защиты муниципальных информационных ресурсов, циркулирующих в муниципальной информационно-вычислительной сети Волгограда;

- модели угроз безопасности муниципальным информационным ресурсам;

- положения о защите информации, циркулирующей в муниципальной информационно-вычислительной сети Волгограда;

- организационно-распорядительных документов, регламентирующих деятельность рабочей группы по оценке степени конфиденциальности информации и комиссии по оценке состояния защищенности информации;

- документов, определяющих порядок закрепления прав владения (пользования) МИР за конкретными юридическими и физическими лицами;

- документов, дополняющих существующую нормативно-правовую базу системы контроля за состоянием защищенности МИР;

- организационно-распорядительных документов, направленных на совершенствование системы защиты МИР.

7.2. Программно-техническое обеспечение

Для защиты МИР, циркулирующих в МИВС, используются:

- сертифицированные, выпускаемые серийно в защищенном исполнении технические средства обработки, передачи и хранения информации, образцы технических средств, прошедшие специальные лабораторные проверки и специальные исследования, а также различные сертифицированные средства защиты;

- сертифицированные программно-аппаратные комплексы защиты информации от несанкционированного доступа и программные средства антивирусной защиты информации;

- штатные средства защиты информации операционных систем (Windows NT/2000, Novell Netware, Unix; Windows 9X, Windows NT/2000 Workstation) и систем управления базами данных (используются в сочетании с сертифицированными и несертифицированными средствами защиты информации).

Технические и программные средства защиты МИР, технические средства обработки информации в защищенном исполнении призваны обеспечить:

- соблюдение пользователями МИВС установленных правил и режимов обработки информации в сети;

- защиту сведений, доступ к которым органичен федеральными законами, от утечки по техническим каналам и от несанкционированного доступа;

- объективность, достоверность и целостность информации, а также ее защиту от преднамеренных программно-технических воздействий.

Кроме того, средства защиты информации:

- должны быть адаптированными к применяемым в МИВС аппаратным и программным средствам;

- не должны существенно ухудшать основные функциональные и технические характеристики автоматизированных систем в составе МИВС (надежность, быстродействие, возможность изменения конфигурации системы) и создавать ощутимые трудности при их эксплуатации;

- не оказывать отрицательного воздействия на здоровье людей. В целом система защиты информации (в плане ее технической реализации) должна быть многоуровневой и сегментарной, а также обладать возможностями расширения. В состав системы защиты МИР могут входить отдельные подсистемы, ориентированные на решение локальных задач в сфере обеспечения безопасности информации, обрабатываемой в МИВС.

8. Финансирование Программы

Источниками финансирования работ, выполнение которых предусмотрено Программой, могут быть:

- средства городского бюджета;

- целевые поступления от пользователей МИВС;

- средства предприятий, организаций, учреждений, являющихся потенциальными пользователями МИВС;

- поступления за счет предоставления платных информационных услуг сторонним организациям;

- другие, не запрещенные законодательством Российской Федерации финансовые средства.

9. Этапы реализации Программы

Для реализации Программы составляется План мероприятий по совершенствованию системы защиты муниципальных информационных ресурсов, обрабатываемых в муниципальной информационно-вычислительной сети Волгограда (далее - План мероприятий) согласно приложению к настоящей Программе. Для выполнения отдельных работ по Плану мероприятий привлекаются на договорной основе юридические лица, имеющие лицензию Гостехкомиссии России. Предусматривается реализация Программы в три этапа.

9.1. На первом этапе:

- разрабатываются концептуальные подходы к защите МИР;

- разрабатывается нормативная база закрепления прав владения (пользования) МИР за конкретными пользователями;

- определяются технические средства, действительно задействованные в обработке МИР ограниченного доступа, изучаются условия расположения данных средств;

- проводится изучение технологии обработки информации ограниченного доступа, уточняются режимы ее обработки;

- оценивается необходимость использования открытых каналов связи для передачи информации ограниченного доступа;

- уточняется степень участия персонала в обработке (передаче, хранении) информации, характер взаимодействия организаций - пользователей МИВС между собой;

- производится категорирование и классификация автоматизированных систем в составе МИВС, участвующих в обработке информации ограниченного доступа;

- определяются основные источники угроз безопасности МИР;

- разрабатывается модель угроз безопасности МИР, циркулирующим в МИВС;

- изучается положительный опыт проведения в субъектах Российской Федерации, министерствах, ведомствах работ по защите корпоративных вычислительных сетей;

- разрабатываются варианты организации защиты МИВС.

9.2. На втором этапе:

- разрабатываются наиболее оптимальные по критерию "эффективность - стоимость" механизмы и способы защиты МИР, циркулирующих в МИВС;

- разрабатывается перечень организационных и технических мероприятий по защите МИР;

- оценивается необходимость привлечения для выполнения работ по установке и наладке технических средств защиты информации сторонних организаций, имеющих соответствующие лицензии Гостехкомиссии России (или Федерального агентства правительственной связи и информации России);

- разрабатывается техническое задание на проведение мероприятий по защите информации, определяются их источники финансирования;

- производится закупка технических и программных средств защиты информации, их установка, наладка;

- проводятся специальные исследования и специальные проверки технических средств, задействованных в обработке информации, составляющей государственную тайну;

- разрабатываются Положение о защите информации, обрабатываемой в МИВС администрации Волгограда, а также пакет необходимых организационно-распорядительных документов исходя из технологии обработки в МИВС информации и установленных для нее режимов доступа.

9.3. На третьем этапе проводится:

- опытная эксплуатация МИВС, средств защиты информации;

- аттестация объектов информатизации, участвующих в обработке секретной информации;

- подготовка заключений о достигнутом уровне защищенности МИР;

- контроль за состоянием защищенности МИР.

10. Ожидаемые результаты реализации Программы

Реализация Программы позволит администрации Волгограда:

- проводить в масштабе всего города единую скоординированную техническую политику по защите МИР, принимать в пределах компетенции правовые акты, регулирующие отношения в сфере защиты МИР;

- завершить все работы по защите МИР, начатые в отдельных территориальных и отраслевых структурных подразделениях администрации Волгограда, в соответствии с требованиями законодательных и нормативных документов, действующих в сфере информационной безопасности;

- создать оптимальную (с точки зрения ее действенности) организационную структуру системы защиты МИР:

- разработать эффективные методы и способы защиты информации применительно к конкретным условиям эксплуатации МИВС и источникам угроз;

- осуществлять эффективное управление системой защиты МИР, координацию и методическое руководство работами по защите информации в подведомственных администрации Волгограда территориальных и отраслевых структурных подразделениях;

- проводить анализ состояния защищенности информации, циркулирующей в МИВС;

- вырабатывать рекомендации по закрытию возможных каналов утечки секретной (служебной) информации;

- наладить постоянный контроль за соблюдением в МИВС правового режима доступа к МИР;

- осуществлять постоянный контроль за состоянием безопасности локальных информационных систем, подключенных к МИВС;

- организовать безопасный режим работы МИВС при подключении ее отдельных элементов к различным международным телекоммуникационным системам, включая сеть "Интернет";

- в значительной мере снизить расходы городского бюджета на проведение работ по защите информации.

Муниципальное учреждение

"Городской информационный центр"