Распоряжение Главы Республики Карелия от 31.08.2012 N 323-р Об одобрении Концепции защиты информации в Республике Карелия

Распоряжение Главы Республики Карелия
от 31 августа 2012 г. N 323-р

В соответствии с решением Координационного совета при полномочном представителе Президента Российской Федерации в Северо-Западном федеральном округе от 4 декабря 2002 года, решением Комиссии по вопросам защиты информации при Главе Республики Карелия от 26 июля 2012 года:

1. Одобрить прилагаемую Концепцию защиты информации в Республике Карелия.

2. Контроль за выполнением распоряжения возложить на Государственный комитет Республики Карелия по развитию информационно-коммуникационных технологий.

Глава Республики Карелия

А.П. Худилайнен

г. Петрозаводск

31 августа 2012 года

N 323-р

Концепция
защиты информации в Республике Карелия
(одобрена распоряжением Главы Республики Карелия от 31 августа 2012 г. N 323-р)

I. Введение

Концепция защиты информации в Республике Карелия (далее - Концепция) определяет систему взглядов на проблему обеспечения безопасности информации, содержащей сведения, составляющие государственную тайну, и конфиденциальную информацию (далее - информация ограниченного доступа).

Цель Концепции - определение задач, основных направлений, принципов организации, путей реализации государственной политики в области защиты информации в Республике Карелия.

Концепция разработана на основе требований Доктрины информационной безопасности Российской Федерации, Указов Президента Российской Федерации, нормативных и руководящих документов, регламентирующих вопросы защиты информации. Концепцией рассмотрены угрозы информационной безопасности и возможные их последствия, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения защиты информации в различных сферах деятельности. В Концепции излагаются основные положения государственной политики обеспечения защиты информации, организационная структура и принципы построения системы защиты информации в Республике Карелия.

Концепция служит методологической основой для разработки и реализации в органах государственной власти, органах местного самоуправления и организациях Республики Карелия:

1) правового, нормативно-методического, научно-технического и организационного обеспечения защиты информации;

2) единой технической политики в области применения информационных технологий и использования систем безопасности и средств защиты информации;

3) плана создания и развития комплексной системы защиты информации, включающей в себя комплекс мер и мероприятий по ее практической реализации.

Для предотвращения и ликвидации угроз информационной безопасности необходимо использовать комплексный подход, включающий правовые, экономические, организационные, технические, программные, социальные и иные механизмы, способные обеспечить безопасность, доступность и целостность информационных систем и ресурсов.

Правовую основу Концепции составляют Конституция Российской Федерации, законы Российской Федерации, международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере, Конституция Республики Карелия, Закон Республики Карелия от 26 марта 2007 года N 1066-ЗРК "О государственных электронных информационных ресурсах Республики Карелия".

II. Общие положения

1. Система защиты информации

Интенсивное внедрение информационных технологий во все сферы жизни и деятельности общества, рост удельного веса информационной безопасности в обеспечении национальной безопасности государства привели к тому, что информационный ресурс становится сегодня таким же богатством страны, как ее полезные ископаемые, производственные и людские ресурсы.

В последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения защиты информации.

Формируется база правового обеспечения защиты информации. Приняты Федеральные законы "Об информации, информационных технологиях и о защите информации", "О персональных данных", "О коммерческой тайне", "Об электронной подписи" и другие. Развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.

Защита информации является неотъемлемой составной частью основной деятельности органов государственной власти, органов местного самоуправления, организаций Республики Карелия и достигается проведением комплекса правовых, организационных и технических мероприятий, направленных на предотвращение или преодоление конкретных угроз безопасности информации в зависимости от условий деятельности и решаемых задач.

Успешному решению вопросов обеспечения информационной безопасности способствует государственная система защиты информации, система защиты государственной тайны, система лицензирования деятельности в области защиты информации и система сертификации средств защиты информации.

К основным факторам, определяющим необходимость создания и развития системы защиты информации Республики Карелия, относятся:

1) увеличение объемов конфиденциальной информации, а так же возрастание зависимости результатов деятельности органов государственной власти, органов местного самоуправления и организаций Республики Карелия от достоверности используемой ими информации, своевременности ее получения, надежности принятых мер по ее сохранению;

2) неоднозначность классификации одной и той же информации при ее обработке в различных государственных и негосударственных учреждениях;

3) широкое использование в органах исполнительной власти Республики Карелия федеральных, региональных и глобальных информационных систем, накапливающих и передающих значительные объемы важной информации, и в то же время уязвимых для угроз несанкционированного доступа к конфиденциальной информации, возрастание риска и опасности несанкционированных и непреднамеренных воздействий на информацию в этих системах;

4) возрастание опасности информационных угроз, возникающих в отношении органов государственной власти, органов местного самоуправления и организаций Республики Карелия;

5) использование техническими разведками иностранных государств, криминальными структурами устройств негласного получения информации, рост числа преступлений в сфере применения информационно-коммуникационных технологий;

6) использование в органах государственной власти, органах местного самоуправления и организациях Республики Карелия технических и программных средств зарубежного производства, обеспечивающих сбор, хранение, обработку и передачу информации, не сертифицированных по требованиям безопасности информации;

7) невозможность своевременно и достоверно прогнозировать и выявлять угрозы информационным системам, оценивать их опасность, принимать адекватные меры по их устранению;

8) неспособность большинства организаций самостоятельно обеспечить эффективную защиту информации вследствие отсутствия подготовленных специалистов, необходимой нормативно-методической литературы, высокой стоимости средств защиты информации и услуг по ее защите.

2. Цели системы защиты информации

Целями системы защиты информации в Республике Карелия являются:

1) предотвращение или существенное снижение ущерба безопасности органов государственной власти, органов местного самоуправления, организаций, отдельных граждан Республики Карелия путем использования методов и средств защиты информации;

2) реализация единой государственной политики, организация и координация работ по защите информации на территории Республики Карелия;

3) содействие экономическому, научно-техническому прогрессу Республики Карелия, обеспечению его безопасности и устойчивого развития;

4) защита информационных и телекоммуникационных систем от преступлений, совершаемых с использованием уязвимостей информационных технологий, обеспечение органов государственной власти, органов местного самоуправления, организаций, отдельных граждан Республики Карелия достоверной, полной и своевременной информацией, необходимой для принятия решений, а также предотвращение нарушений целостности и незаконного использования информационных ресурсов;

5) формирование системы защищенного электронного взаимодействия органов государственной власти, органов местного самоуправления, организаций, граждан Республики Карелия.

3. Основные задачи системы защиты информации

Основными задачами системы защиты информации в Республике Карелия являются:

1) проведение единой государственной политики в области защиты информации, формирование и координация деятельности органов государственной власти, органов местного самоуправления и организаций Республики Карелия в обеспечении защиты информации, создание комплексной системы защиты информации и контроля эффективности применяемых мер и средств защиты;

2) методическое и информационное обеспечение работ по защите информации в Республике Карелия;

3) исключение или существенное затруднение получения информации средствами технической разведки, путем предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, несанкционированных воздействий на информацию с целью ее уничтожения, искажения и блокирования;

4) подготовка предложений по совершенствованию правового, нормативного, методического, научно-технического и организационного обеспечения защиты информации на объектах информатизации Республики Карелия, обеспечение активного участия в процессах создания и использования глобальных информационных сетей и систем;

5) принятие в пределах компетенции нормативных правовых актов, регулирующих отношения в области защиты информации в Республике Карелия;

6) формирование и организация деятельности служб и подразделений по защите информации в Республике Карелия;

7) определение и учет информационных ресурсов, систем и средств формирования, передачи, хранения, обработки и распространения информации, подлежащей защите;

8) контроль и анализ состояния защиты информации в органах государственной власти, органах местного самоуправления и организациях Республики Карелия;

9) выявление ключевых проблем в области защиты информации, определение приоритетных направлений развития системы защиты информации;

10) проведение практических мероприятий по созданию системы защиты информации;

11) совершенствование и развитие системы подготовки специалистов в области защиты информации.

4. Структура системы защиты информации

Структура системы защиты информации, ее задачи и функции, основы организации защиты сведений, составляющих государственную тайну или содержащих конфиденциальную информацию, определены Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Совета Министров Правительства Российской Федерации от 15 сентября 1993 года N 912-51.

Федеральным органом, уполномоченным в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации является Федеральная служба по техническому и экспортному контролю Российской Федерации (далее - ФСТЭК России).

ФСТЭК России является органом защиты государственной тайны, наделенным полномочиями по распоряжению сведениями, составляющими государственную тайну. ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею.

В Северо-Западном федеральном округе организует и руководит деятельностью государственной системы противодействия техническим разведкам и технической защиты информации Управление ФСТЭК России по Северо-Западному федеральному округу.

Составной частью государственной системы защиты информации Российской Федерации и системы защиты информации Северо-Западного федерального округа является система защиты информации Республики Карелия, в состав которой входят:

1) Комиссия по вопросам защиты информации при Главе Республики Карелия (координационный орган);

2) Совет по информатизации при Главе Республики Карелия (совещательный орган);

3) Комиссия по развитию информационного общества и формированию электронного правительства в Республике Карелия (координационный орган);

4) органы государственной власти Республики Карелия, органы местного самоуправления в Республике Карелия, территориальные органы федеральных органов исполнительной власти, уполномоченные в области обеспечения безопасности, в области противодействия техническим разведкам и технической защиты информации, организации, осуществляющие работу со сведениями, составляющими государственную тайну;

5) постоянно действующие технические комиссии по защите государственной тайны и экспертные комиссии в органах государственной власти, органах местного самоуправления и организациях Республики Карелия (коллегиальные органы);

6) режимно-секретные подразделения и структурные подразделения (штатные специалисты) по защите информации органов государственной власти, органов местного самоуправления и организаций Республики Карелия.

Проведение на территории Республики Карелия государственной политики, а также координация деятельности органов исполнительной власти Республики Карелия по обеспечению защиты информации возложено на Государственный комитет Республики Карелия по развитию информационно-коммуникационных технологий (далее - Комитет), в соответствии с Положением о Комитете.

5. Основные объекты защиты информации

Основными объектами защиты являются: информация ограниченного доступа, носители и технология ее обработки, технические средства, в отношении которых необходимо обеспечить безопасность информации.

В политической сфере объектами защиты выступают:

1) информация ограниченного доступа;

2) информационно-аналитические технологии проведения избирательных кампаний;

3) электронные технологии проведения общегосударственных и республиканских референдумов по социально и политически значимым для государственной стратегии развития вопросам;

4) системы ситуационного моделирования политических и социальных аспектов управления и информационной поддержки принятия решений.

В экономической сфере в качестве объектов защиты выступают:

1) информация ограниченного доступа;

2) экономически значимые информационные ресурсы организаций, в том числе составляющие коммерческую тайну;

3) системы сбора и обработки финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности Республики Карелия и предпринимательской сферы;

4) внутрибанковские и межбанковские корпоративные сети, обеспечивающие проведение банковских операций;

5) автоматизированные системы сбора и анализа статистической информации, обеспечивающие принятие рациональных решений на уровне республики, отрасли, организаций, а также проведение анализа и прогнозирование социально-экономического развития Республики Карелия;

6) корпоративные информационно-телекоммуникационные системы, обеспечивающие управление отраслью, корпорацией.

В правоохранительной сфере объектами защиты являются:

1) информация ограниченного доступа;

2) система криминальной статистики;

3) информационные ресурсы, информационная инфраструктура: информационно-вычислительные сети, пункты управления, узлы и линии связи.

В сфере предотвращения и локализации чрезвычайных ситуаций объектами защиты являются:

1) информация ограниченного доступа;

2) система сбора и обработки информации о возможном возникновении чрезвычайных ситуаций;

3) система управления ликвидацией последствий чрезвычайных ситуаций;

4) диспетчерские службы управления тепловых электростанций, гидроэлектростанций;

5) диспетчерские службы управления полетами гражданской авиации, автомобильным, железнодорожным, морским и речным транспортом;

6) автоматизированная система управления трубопроводными сетями (газо- и нефтепроводы).

В информационных и телекоммуникационных системах объектами защиты являются:

1) государственные информационные ресурсы, в том числе содержащие сведения ограниченного доступа;

2) средства и система информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированная система управления, системы связи и передачи данных;

3) технические средства приема, обработки, хранения и передачи информации ограниченного доступа (звукозапись, звукоусиление, переговорные и телевизионные устройства, средства изготовления и тиражирования документов), их информационные физические поля;

4) информационно-телекоммуникационные системы специального назначения, создаваемые в интересах органов государственной власти;

5) технические средства и системы, не относящиеся к средствам и системам информатизации, но находящиеся в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки информации ограниченного распространения;

6) помещения, предназначенные для ведения переговоров, в ходе которых оглашаются сведения ограниченного доступа.

В научной и технологической сфере объектами защиты являются:

1) информационные ресурсы, содержащие сведения ограниченного доступа;

2) программы, направления и результаты фундаментальных поисковых и прикладных научных исследований, содержащие сведения потенциально важные для научно-технического, технологического и социально-экономического развития в целом, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации и Республики Карелия;

3) открытия, изобретения, программные продукты, другие объекты интеллектуальной собственности;

4) опытные и промышленные образцы, модели и экспериментальное оборудование;

5) системы телекоммуникации и каналы связи;

6) автоматизированные системы управления сложными технологическими установками.

В сфере обеспечения информационной безопасности личности объектами защиты могут являться:

1) сведения, составляющие личную, семейную, врачебную тайну, адвокатскую тайну, тайну нотариальных действий, предварительного следствия и другие;

2) личная информация, передаваемая по техническим и иным средствам связи;

3) система обеспечения конфиденциальности информационного обмена между частными лицами;

4) информационные ресурсы, содержащие персональные данные.

6. Субъекты правовых отношений в информационной сфере

Субъектами правовых отношений в информационной сфере являются:

1) органы государственной власти, органы местного самоуправления и организации Республики Карелия;

2) должностные лица и структурные подразделения (штатные специалисты), обеспечивающие защиту информации;

3) юридические и физические лица, производящие и потребляющие информацию;

4) юридические и физические лица, разрабатывающие и применяющие информационные системы, технологии и средства их обеспечения;

5) граждане, организации, формирующие информационные ресурсы и предоставляющие пользователям информацию из них.

7. Источники угроз информационной безопасности

Правовое регулирование информационного взаимодействия субъектов информационных отношений должно осуществляться в соответствии с существующей нормативной правовой базой Российской Федерации и Республики Карелия.

В настоящее время деятельность органа управления любого уровня, деятельность любой организации немыслима без использования современных информационных технологий и телекоммуникационных систем. Практически все управленческие решения принимаются на основе информационных ресурсов, которые обрабатываются, накапливаются и передаются с использованием технических средств.

Следствием этого является целый спектр угроз, связанных с возможностью несанкционированного получения информации и специальных воздействий на нее.

В качестве основных типов угроз безопасности информации рассматриваются:

1) нарушение конфиденциальности информации;

2) нарушение доступности информации;

3) нарушение целостности информации.

В рамках этих угроз рассматривают виды воздействия для их реализации:

1) хищение (несанкционированное копирование) информации;

2) утрата информации;

3) уничтожение информации (уничтожение файлов, баз данных и т.д.);

4) блокирование информации;

5) модификация (искажение) информации;

6) отрицание подлинности информации;

7) навязывание ложной информации.

8. Способы воздействия угроз на объекты информационной безопасности

Способы воздействия угроз на объекты информационной безопасности в Республике Карелия подразделяются на информационные, программно-математические, физические, радиоэлектронные, организационно-правовые.

К информационным способам относятся:

1) нарушения адресности и своевременности информационного обмена, противозаконный сбор и использование информации;

2) несанкционированный доступ к информационным ресурсам;

3) манипулирование информацией (дезинформация, сокрытие или искажение информации);

4) незаконное копирование данных в информационных системах;

5) использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государства;

6) хищение информации из библиотек, архивов, банков и баз данных;

7) нарушение технологии обработки информации.

Программно-математические способы включают:

1) внедрение программ-вирусов;

2) установку программных и аппаратных закладных устройств;

3) разработку, распространение и использование программ, действие которых направлено на преодоление средств защиты от несанкционированного доступа к информационным ресурсам;

4) уничтожение или модификацию данных в информационных системах.

Физические способы включают:

1) уничтожение или разрушение средств обработки информации и связи;

2) уничтожение, разрушение или хищение машинных или других оригиналов носителей информации;

3) хищение программных или аппаратных ключей и средств криптографической защиты информации;

4) воздействие на персонал;

5) поставку "зараженных" компонентов информационных систем.

Радиоэлектронными способами являются:

1) перехват и утечка информации по техническим каналам;

2) внедрение электронных устройств перехвата информации в технических средствах и помещениях;

3) перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи;

4) воздействие на парольно-ключевые системы;

5) радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают:

1) приобретение несовершенных или устаревших информационных технологий и средств информатизации;

2) невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере;

3) неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

9. Возможные последствия воздействия угроз информационной безопасности

В результате воздействия угроз информационной безопасности может быть нанесен серьезный ущерб интересам Республики Карелия в политической, экономической и других сферах деятельности, а также причинен экономический ущерб обществу и отдельным гражданам.

Следствием воздействия угроз информационной безопасности могут явиться снижение темпов научно-технического развития Республики Карелия, утрата культурного наследия и другие. Угрозы информационной безопасности могут нанести физический, материальный и моральный ущерб гражданам, вызывать неадекватное социальное или криминальное поведение групп людей или отдельных лиц, оказать влияние на процессы образования и формирования личности.

Источники угроз безопасности информации могут носить как субъективный, так и объективный характер. Источники угроз обусловлены действиями субъектов правоотношений в информационной сфере, техническими средствами и стихийными бедствиями.

Меры противодействия угрозам находятся в сферах обеспечения информационной безопасности, защиты информации и безопасного использования информационных технологий.

10. Методы и средства обеспечения информационной безопасности

В целях предотвращения, парирования и нейтрализации угроз информационной безопасности применяются правовые, программно-технические и организационно-экономические методы.

Правовые методы предусматривают разработку комплекса нормативных правовых актов, регламентирующих информационные отношения в обществе, нормативно-методических и руководящих документов по обеспечению информационной безопасности.

Программно-технические методы включают предотвращение утечки обрабатываемой информации путем исключения несанкционированного доступа к ней; предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; выявление внедренных программных или аппаратных закладочных устройств; исключение перехвата информации техническими средствами; применение криптографических средств защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.

Организационно-экономические методы предусматривают формирование и обеспечение функционирования систем защиты секретной и конфиденциальной информации, сертификацию этих систем по требованиям информационной безопасности, лицензирование деятельности в сфере информационной безопасности, стандартизацию способов и средств защиты информации, контроль за действием персонала в защищенных информационных системах.

Основными источниками угроз в сфере информационной безопасности является деятельность иностранных разведывательных и специальных служб, преступных групп и формирований, противозаконная деятельность отдельных лиц, нарушение установленных регламентов сбора, обработки и передачи информации, преднамеренные действия и непреднамеренные ошибки персонала информационных систем, отказы технических средств и сбои программного обеспечения в информационно-коммуникационных системах, использование нелицензионного программного обеспечения.

Основными направлениями обеспечения информационной безопасности в информационно-коммуникационных системах Республики Карелия являются:

1) предотвращение перехвата с помощью технических средств информации, передаваемой по каналам связи;

2) исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;

3) предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, а также электроакустических преобразований;

4) предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; выявление внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);

5) предотвращение перехвата техническими средствами речевой информации из помещений и объектов.

Предотвращение перехвата с помощью технических средств информации, передаваемой по каналам связи, достигается применением специальных методов и средств защиты, в том числе криптографических, а также проведением организационно-технических и режимных мероприятий.

Исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации достигается применением специальных программно-технических средств защиты, использованием криптографических способов защиты, а также организационными и режимными мероприятиями.

Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований достигается применением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.

Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается применением специальных программных и аппаратных средств защиты (антивирусные процессоры, антивирусные программы), организацией системы контроля безопасного программного обеспечения. Выявление внедренных на объекты и в технические средства электронных устройств перехвата информации (закладочных устройств) достигается проведением специальных проверок.

Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями.

Основными организационно-техническими мероприятиями по защите информации в информационно-коммуникационных системах Республики Карелия являются:

1) лицензирование деятельности организаций в области защиты информации;

2) аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ со сведениями, отнесенными к государственной тайне;

3) сертификация средств защиты информации и контроля ее эффективности, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;

4) введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

5) создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

6) разработка и использование средств защиты информации и методов контроля их эффективности;

7) применение специальных методов, технических мер и средств защиты, в том числе криптографических, исключающих перехват информации, передаваемой по каналам связи.

Конкретные методы, приемы и меры защиты информации разрабатываются в зависимости от степени возможного ущерба в случаях ее утечки, разрушения или уничтожения.

III. Цели, задачи и принципы защиты информации

11. Цели обеспечения защиты информации

Основными целями обеспечения защиты информации в Республике Карелия являются:

1) защита информационных ресурсов органов государственной власти, органов местного самоуправления, организаций Республики Карелия от несанкционированного доступа, обеспечение их целостности;

2) защита информационных и телекоммуникационных систем от преступлений, совершаемых с использованием уязвимостей информационных технологий;

3) создание благоприятных условий для экономической стабильности и развития Республики Карелия;

4) формирование системы электронного взаимодействия органов государственной власти, органов местного самоуправления, организаций и граждан Республики Карелия;

5) дальнейшее продвижение Республики Карелия к современному информационному обществу.

12. Задачи развития системы защиты информации

Основными задачами развития системы защиты информации в Республике Карелия являются:

1) создание необходимых и достаточных правовых, организационных, экономических и научно-технических условий для обеспечения деятельности системы защиты информации в Республике Карелия;

2) обеспечение эффективной защиты информации на объектах органов государственной власти, органов местного самоуправления и организаций, находящихся в их ведении;

3) проведение единой государственной политики в области защиты информации, формирование и координация деятельности органов государственной власти, органов местного самоуправления и организаций Республики Карелия в обеспечении информационной безопасности, создание комплексной системы информационной безопасности и контроля эффективности применяемых мер и средств защиты;

4) выявление ключевых проблем Республики Карелия в области защиты информации, определение приоритетных направлений развития системы защиты информации в Республике Карелия;

5) создание механизмов своевременного выявления, прогнозирования, локализации и блокирования угроз безопасности, оперативного реагирования на проявления негативных тенденций в использовании государственных информационных ресурсов и систем;

6) разработка мероприятий по защите информационных ресурсов и средств информатизации на объектах Республики Карелия;

7) подготовка предложений по совершенствованию правового, нормативного, методического, научно-технического и организационного обеспечения технической защиты информации на объектах Республики Карелия;

8) принятие в пределах компетенции нормативных правовых актов, регулирующих отношения в области защиты информации в Республике Карелия;

9) формирование и совершенствование организационной структуры системы защиты информации в Республике Карелия, развитие ее научно-технического и кадрового потенциала;

10) определение и учет информационных ресурсов, систем и средств формирования, передачи, хранения, обработки и распространения информации, подлежащей защите;

11) методическое и информационное обеспечение работ по защите информации в Республике Карелия;

12) обеспечение безопасности при осуществлении международного информационного обмена посредством информационных систем, сетей связи, включая международную сеть "Интернет";

13) контроль и анализ состояния защиты информации в органах государственной власти, органах местного самоуправления и организаций Республики Карелия.

Разработка и осуществление мероприятий для достижения целей и задач обеспечения защиты информации в Республике Карелия должны проводиться в соответствии со следующими основными принципами:

1) всеобщая обязательность, правовая обусловленность, универсальность, превентивность, разумная достаточность, дифференцированность, разграничение функций и разделение полномочий;

2) формирование эффективных компонентов системы защиты информации в Республике Карелия, соответствующих задачам обеспечения национальной безопасности России, безопасности и устойчивого развития Республики Карелия с учетом ее экономических возможностей;

3) обеспечение своевременной и адекватной реакции на возникающие в Республике Карелия и прогнозируемые угрозы ведения технической разведки, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее;

4) формирование единой политики в области защиты информации в Республике Карелия;

5) использование коллегиальных методов руководства системой защиты информации и ее развития;

6) планирование развития системы защиты информации в Республике Карелия.

IV. Основные направления обеспечения защиты информации

13. Факторы повышения внимания к вопросам защиты информации

К основным факторам, определяющим необходимость повышения внимания к вопросам защиты информации в Республике Карелия, относятся:

1) приграничное расположение, а также наличие совместных предприятий (в том числе со странами дальнего зарубежья), иностранных представительств;

2) возрастание зависимости результатов деятельности органов государственной власти, органов местного самоуправления и организаций Республики Карелия от достоверности используемой ими информации, своевременности ее получения, надежности принятых по ее сохранению мер;

3) придание информации статуса объекта собственности, формирование государственных информационных ресурсов, находящихся в ведении Республики Карелия, организаций и граждан, необходимость защиты этих ресурсов от противоправных действий;

4) использование в органах государственной власти и органах местного самоуправления, организациях федеральных, региональных и глобальных информационных систем, накапливающих и передающих большие объемы информации, и в то же время уязвимых для угроз несанкционированного доступа к информации, возрастание риска и опасности несанкционированных и непреднамеренных воздействий на информацию в этих системах и, как следствие, непредсказуемые экономические и социальные последствия возникновения критических ситуаций, связанных с нарушениями режимов безопасности информации в кредитно-финансовых учреждениях, системах управления экологически опасными производствами, транспортом, энергетикой;

5) возрастание информационных угроз, возникающих в отношении органов государственной власти, органов местного самоуправления и организаций Республики Карелия;

6) рост числа преступлений в сфере информационных технологий;

7) использование в органах государственной власти, органах местного самоуправления и организациях Республики Карелия технических и программных средств зарубежного производства, обеспечивающих сбор, хранение, обработку и передачу информации, не сертифицированных по требованиям безопасности информации.

14. Обеспечение защиты информации

Обеспечение защиты информации в Республике Карелия предусматривает комплексный подход к достижению целей и решению основных задач, который должен осуществляться по следующим основным направлениям:

1) законодательное и нормативно-методическое обеспечение;

2) организационное обеспечение;

3) технологическое обеспечение;

4) кадровое обеспечение;

5) финансовое обеспечение.

Законодательное и нормативно-методическое обеспечение защиты информации предполагает:

1) издание в пределах компетенции нормативных правовых актов, регулирующих отношения в области защиты информации в Республике Карелия;

2) обеспечение нормативными правовыми актами и методическими документами по защите информации, разработку системы организационно-распорядительных и нормативных документов в области защиты информации, конкретизирующих и дополняющих документы федерального уровня применительно к условиям Республики Карелия.

Организационное обеспечение защиты информации предполагает:

1) создание структуры управления системой защиты информации, охватывающей все уровни органов власти, а также хозяйствующие субъекты и население Республики Карелия;

2) формирование структурных подразделений по защите информации в органах государственной власти, органах местного самоуправления и организациях Республики Карелия;

3) организацию и обеспечение работ по выявлению и оценке угроз безопасности информации, прогнозированию их развития, разработке типового перечня угроз безопасности информации для Республики Карелия;

4) совершенствование взаимодействия федеральных органов исполнительной власти и органов государственной власти, органов местного самоуправления, организаций Республики Карелия при организации и ведении работ по защите информации;

5) создание системы мониторинга состояния защиты информации в интересах обеспечения принятия решений.

Технологическое обеспечение защиты информации предполагает:

1) разработку и внедрение типовых систем защиты информации для объектов органов государственной власти, органов местного самоуправления и организаций Республики Карелия;

2) проведение мероприятий по защите информации при проведении выставок в Республике Карелия, конференций, совещаний с участием представителей иностранных государств, при осуществлении международного информационного обмена, в том числе с использованием открытых информационных систем;

3) использование лицензионного и/или сертифицированного общего и специального программного обеспечения, сертифицированных средств технической защиты информации;

4) оснащение структурных подразделений по защите информации, а также объектов информатизации органов государственной власти, органов местного самоуправления и организаций Республики Карелия современными сертифицированными средствами технической защиты информации (в том числе контроля эффективности технической защиты информации).

Кадровое обеспечение системы защиты информации предполагает:

1) укомплектование органов государственной власти, органов местного самоуправления и организаций Республики Карелия специалистами по обеспечению защиты информации, организацию системы общей подготовки кадров;

2) создание и развитие системы подготовки и переподготовки специалистов в области защиты информации.

Финансовое обеспечение системы защиты информации предполагает финансирование мероприятий по защите информации, содержащей сведения, отнесенные к государственной или служебной тайне, а также структурных подразделений по защите информации в органах государственной власти, органах местного самоуправления и организациях Республики Карелия; планирование в сметах расходов средств на их содержание.

15. Приоритеты развития системы защиты информации

Главными приоритетами развития системы защиты информации в Республике Карелия являются:

1) совершенствование концептуальных и правовых основ деятельности системы защиты информации;

2) формирование и совершенствование структурных подразделений по защите информации в органах государственной власти, органах местного самоуправления и организациях Республики Карелия, оснащение их средствами защиты информации, средствами контроля эффективности защиты информации;

3) создание органа по аттестации объектов информатизации в соответствии с требованиями безопасности информации;

4) обеспечение функции комплексной системы защиты информации, включающей систему защищенных центров хранения и обработки данных информационных ресурсов, мониторинга защиты информации Республики Карелия;

5) организация и обеспечение работ по выявлению и оценке угроз безопасности информации в Республике Карелия, прогнозированию их развития.

V. Пути реализации концепции защиты информации и ожидаемые результаты

16. Пути реализации Концепции

Основными путями реализации Концепции являются:

1) проведение в Республике Карелия единой государственной политики в области защиты информации;

2) проведение целенаправленной повседневной деятельности органов государственной власти, органов местного самоуправления и организаций Республики Карелия, направленной на выполнение общегосударственных и научно-технических программ в области защиты информации, а также программ по информатизации;

3) определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;

4) оценка состояния информационной безопасности, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

5) предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере;

6) защита государственных информационных ресурсов;

7) подготовка предложений по совершенствованию правового, нормативного, методического, научно-технического, организационного и финансового обеспечения в области защиты информации в Республике Карелия;

8) координация деятельности и контроля органов государственной власти, органов местного самоуправления и организаций Республики Карелия, участвующих в решении задач по обеспечению защиты информации Российской Федерации и Республики Карелия;

9) разработка норм и требований, регламентирующих обеспечение информационной безопасности Республики Карелия и позволяющих осуществлять контроль ее состояния;

10) формирование и организация деятельности органов по технической защите информации в Республике Карелия;

11) формирование организационной структуры управления органа по аттестации объектов информатизации;

12) разработка и внедрение мер экономического стимулирования мероприятий по обеспечению защиты информации;

13) организация проведения экспертиз проектов и программ на соответствие требованиям защиты информации;

14) участие в межрегиональном и международном сотрудничестве в области защиты информации;

15) совершенствование и развитие системы подготовки специалистов в области защиты информации.

Одним из основных принципов безопасности является принцип обеспечения прочности системы защиты, который достигается путем выбора информационных технологий для создания функциональных информационно-телекоммуникационных и автоматизированных систем, обоснованных с точки зрения обеспечения их безопасного применения.

17. Ожидаемые результаты от реализации Концепции

Реализация Концепции обеспечит:

1) создание условий, способствующих реализации государственной политики Российской Федерации в сфере защиты информации в Республике Карелия;

2) проведение единой политики в области защиты информации, организации и координации работ по защите информации на территории Республики Карелия;

3) предотвращение или существенное снижение ущерба безопасности государства, органов государственной власти, органов местного самоуправления, организаций и граждан Республики Карелия;

4) содействие экономическому, научно-техническому прогрессу, его безопасность и устойчивое развитие в Республике Карелия;

5) защиту от несанкционированного доступа, целостность и доступность информационных ресурсов;

6) защиту информационных и телекоммуникационных систем от преступлений, совершаемых с использованием уязвимостей информационных технологий;

7) формирование системы электронного взаимодействия органов государственной власти, органов местного самоуправления, организаций и граждан Республики Карелия;

8) совершенствование и развитие организационной и кадровой структуры системы защиты информации;

9) оснащение подразделений и служб системы защиты информации высокоэффективными средствами защиты информации, средствами контроля эффективности защиты информации.

В результате реализации основных направлений развития системы защиты информации в Республике Карелия будет создана система, соответствующая задачам обеспечения национальной безопасности, безопасности и устойчивого развития с учетом экономических возможностей Республики Карелия и адекватно реагирующая на угрозы безопасности информации в социально-экономической, административно-управленческой, правоохранительной и других сферах деятельности Республики Карелия.