Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Постановление главы администрации Краснодарского края от 16 июля 2002 г. N 783 "О системе защиты информационных ресурсов Краснодарского края"
- Приложение N 1. Положение о системе защиты информационных ресурсов Краснодарского края
Приложение N 1. Положение о системе защиты информационных ресурсов Краснодарского края
Приложение N 1
к постановлению главы
администрации Краснодарского края
от 16 июля 2002 г. N 783
Положение о системе защиты информационных ресурсов
Краснодарского края
Введение
Информационные ресурсы Краснодарского края являются элементом состава имущества и объектом права собственности края. Для эффективного использования этих информационных ресурсов они должны быть надежно защищены от угроз несанкционированного распространения информации, несанкционированных и непреднамеренных воздействий на нее, которые могут привести к ее уничтожению, искажению, блокированию доступа к информации для законных пользователей.
Наибольшую опасность такие угрозы представляют для информационных ресурсов, содержащихся в персональных компьютерах, локальных и распределенных вычислительных сетях и представленных в виде носителей на магнитной и оптической основе, информативных физических полей, информационных массивов и баз данных.
Настоящее Положение определяет структуру системы защиты информационных ресурсов Краснодарского края, не содержащих сведений, составляющих государственную тайну, ее задачи и функции, основы организации защиты информационных ресурсов.
1. Общие положения
1. Настоящее Положение является документом, обязательным для исполнения при проведении работ по формированию, использованию и защите информационных ресурсов Краснодарского края в органах государственной власти (далее именуются - органы власти), государственных предприятиях, учреждениях Краснодарского края (далее именуются организации) и носит рекомендательный характер для органов местного самоуправления и организаций иных форм собственности.
2. Целями защиты информационных ресурсов являются:
- обеспечение эффективного управления информационными ресурсами и их использования;
- предотвращение утечки конфиденциальной информации по техническим каналам;
- предотвращение несанкционированного уничтожения, искажения, блокирования, подделки информации;
- обеспечение правового режима использования информационных ресурсов как объекта собственности.
3. Правовую основу работ по защите информационных ресурсов Краснодарского края в органах власти и организациях составляют Конституция Российской Федерации, Федеральный закон "Об информации, информатизации и защите информации", Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденное постановлением Правительства Российской Федерации от 15 сентября 1993 г. N 912-51, а также другие нормативные правовые акты в сфере формирования, использования и защиты информационных ресурсов.
4. Защита информационных ресурсов осуществляется путем выполнения мероприятий по предотвращению утечки конфиденциальной информации по техническим каналам, несанкционированного доступа к ней, предупреждению несанкционированных программно-технических воздействий с целью уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения.
5. Мероприятия по защите информационных ресурсов являются составной частью управленческой, научной и производственной деятельности и осуществляются во взаимосвязи с мерами по обеспечению установленного режима обработки информационных ресурсов и конфиденциальности проводимых работ.
6. Главными направлениями работ по защите информационных ресурсов в крае являются:
- регистрация защищаемых информационных ресурсов края, определение их владельцев и пользователей, ответственных за обеспечение защиты информационных ресурсов;
- выявление и анализ угроз утечки конфиденциальной информации по техническим каналам, несанкционированного доступа, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации;
- разработка организационно-технических мероприятий по защите информационных ресурсов и их реализация;
- организация и проведение контроля состояния защиты информационных ресурсов.
7. Защите подлежат:
- информационные ресурсы края, содержащие сведения, отнесенные к служебной информации ограниченного распространения (служебной тайне), персональным данным о жителях края и другой конфиденциальной информации;
- информационные ресурсы края, содержащие важную информацию с точки зрения ее коммерческой ценности и влияния на управленческую и хозяйственную деятельность в крае;
- средства вычислительной техники, информационно-вычислительные комплексы, сети и системы, операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение, автоматизированные системы управления, системы связи и передачи данных, технические средства звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации, входящей в состав информационных ресурсов края;
- технические средства и системы, не обрабатывающие защищаемую информацию, но размещенные в помещениях, где обрабатывается (циркулирует) конфиденциальная информация, а также сами помещения, предназначенные для ведения переговоров, раскрывающих содержание этих ресурсов (конфиденциальных переговоров).
8. К возможным источникам угроз безопасности информационных ресурсов края относятся:
- противоправная деятельность политических и экономических структур, а также отдельных лиц в сфере формирования, распространения и использования информационных ресурсов края;
- нарушения установленных регламентов сбора, обработки, хранения и передачи информационных ресурсов.
9. Основными организационно-техническими мероприятиями по защите информационных ресурсов в крае являются:
- установление правил и требований по обращению с информационными ресурсами, по использованию технических средств обработки и передачи информационных ресурсов, подлежащих защите;
- введение территориальных, энергетических, пространственных и временных ограничений в режимах использования технических средств обработки и передачи информационных ресурсов, подлежащих защите;
- разработка средств защиты информационных ресурсов и контроля ее эффективности и их использование;
- сертификация средств защиты информационных ресурсов, систем и средств информатизации и связи по требованиям безопасности информации;
- разработка и внедрение технических решений и элементов защиты информационных ресурсов при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;
- аттестование объектов по выполнению требований обеспечения защиты информации.
10. Конкретные методы, приемы и меры защиты информационных ресурсов разрабатываются в зависимости от объекта защиты, действующих против него источников угроз безопасности информации, установленных для данного объекта требований по защите информационных ресурсов и выделенных для этого средств.
11. Проведение любых работ по формированию и использованию защищаемых информационных ресурсов без принятия необходимых мер по их защите не допускается.
2. Система защиты информационных ресурсов края
12. Систему защиты информационных ресурсов края образуют:
- совокупность защищаемых информационных ресурсов;
- носители защищаемых информационных ресурсов независимо от формы представления информации и принципов действия носителей, включая бумажные носители, персональные компьютеры, локальные и распределенные вычислительные сети и другие носители;
- органы власти и организации, владеющие защищаемыми информационными ресурсами и их носителями;
- органы власти и организации, использующие защищаемые информационные ресурсы;
- специальные подразделения по защите информации;
- ответственные специалисты, обеспечивающие защиту информационных ресурсов;
- система правовых, организационно-распорядительных, нормативных, плановых и информационных документов, регламентирующих и обеспечивающих деятельность по защите информационных ресурсов края;
- средства защиты информационных ресурсов и контроля ее эффективности;
- совокупность организационных и технических мероприятий по защите информационных ресурсов.
13. Организационная структура системы защиты информационных ресурсов края включает:
- Совет по вопросам технической защиты информации при главе администрации края;
- рабочую группу по защите информационных ресурсов Совета по вопросам технической защиты информации при главе администрации края;
- структурное подразделение по информатизации администрации края;
- структурное подразделение по технической защите информации администрации края;
- подразделения органов власти и организации - владельцы защищаемых информационных ресурсов, специально уполномоченные собственником ресурсов по распоряжению этими ресурсами;
- подразделения органов власти и организации - владельцы носителей защищаемых информационных ресурсов;
- подразделения органов власти и предприятия - пользователи защищаемых информационных ресурсов края, их подразделения по защите информации, штатные (нештатные) специалисты по защите информации;
- территориальные органы федеральных органов исполнительной власти (Управление Федеральной службы безопасности Российской Федерации по Краснодарскому краю, Главное управление внутренних дел Краснодарского края, Центр правительственной связи в Краснодарском крае, Управление Государственной технической комиссии при Президенте Российской Федерации по Южному федеральному округу и другие органы, учреждения и предприятия федеральной собственности, владеющие информационными ресурсами совместного ведения);
- предприятия и организации, специализирующиеся на проведении работ и оказании услуг в области защиты информации.
14. Систему защиты информационных ресурсов края возглавляет заместитель главы администрации края, руководитель аппарата, являющийся председателем Совета по вопросам технической защиты информации при главе администрации края (далее Совета). Совет действует в соответствии с Положением о Совете, утверждаемым главой администрации края, и является совещательным и консультативным органом, обеспечивающим разработку предложений по созданию, функционированию и развитию системы защиты информационных ресурсов.
15. Рабочая группа по защите информационных ресурсов выполняет следующие функции:
- разрабатывает концептуальные подходы к обеспечению защиты информационных ресурсов края;
- разрабатывает предложения по организации и координации работ по защите информационных ресурсов в крае;
- контролирует выполнения положений Федерального закона "Об информации, информатизации и защите информации", касающихся вопросов защиты информационных ресурсов;
- рассматривает и оценивает разработанные владельцами информационных ресурсов методические материалы, способы и конкретные мероприятия по их защите, готовит предложения по их распространению и практической реализации в крае;
- участвует в разработке проектов краевых программ информатизации, готовит предложения по защите информационных ресурсов;
- разрабатывает проекты документов, регламентирующих защиту информационных ресурсов края;
- разрабатывает предложения по подготовке кадров для системы защиты информационных ресурсов края;
- разрабатывает предложения по совершенствованию и развитию системы защиты информационных ресурсов края.
16. Структурное подразделение по информатизации администрации края выполняет следующие функции:
- проводит единую техническую политику, осуществляет организацию и координацию работ по защите информационных ресурсов края от несанкционированного доступа к информации, несанкционированных и непреднамеренных воздействий на нее;
- разрабатывает проекты краевых программ информатизации с учетом мероприятий по защите информационных ресурсов;
- выполняет функции Заказчика по проведению научно-исследовательских, опытно-конструкторских и других работ по защите информационных ресурсов края;
- ведет в установленном порядке реестр информационных ресурсов края, в том числе информационных баз и банков данных;
- участвует в установленном порядке в разработке проектов документов, регламентирующих защиту информационных ресурсов края от несанкционированного доступа к информации, несанкционированных и непреднамеренных воздействий на нее;
- разрабатывает предложения по обеспечению владельцев и пользователей информационных ресурсов края средствами защиты информации от несанкционированного доступа, несанкционированных и непреднамеренных воздействий на нее;
- организует и осуществляет контроль эффективности проводимых мероприятий и принимаемых мер по защите информационных ресурсов края от несанкционированного доступа к информации, несанкционированных и непреднамеренных воздействий на нее.
17. Структурное подразделение по технической защите информации администрации края выполняет следующие функции:
- осуществляет организацию и координацию работ по защите информационных ресурсов ограниченного доступа (служебной информации ограниченного распространения и персональных данных) от утечки информации по техническим каналам;
- организует проведение специальных проверок и специальных исследований технических средств, аттестование информационных систем, содержащих информационные ресурсы с ограниченным доступом, по выполнению требований защиты информации;
- разрабатывает предложения по обеспечению владельцев и пользователей информационных ресурсов края средствами защиты информации от ее утечки по техническим каналам;
- организует и осуществляет контроль эффективности проводимых мероприятий и принимаемых мер по защите информационных ресурсов ограниченного доступа.
18. Подразделения органов власти и организации - владельцы защищаемых информационных ресурсов, специально уполномоченные собственником ресурсов по распоряжению этими ресурсами, выполняет# следующие функции:
- устанавливают требования к пользователям информационных ресурсов в части их защиты, осуществляют контроль выполнения этих требований;
- разрабатывают инструкции пользователям, методические материалы, способы и конкретные мероприятия по защите информационных ресурсов, готовят предложения по их распространению и практической реализации в крае;
- осуществляют планирование работ по защите информационных ресурсов, организуют их непосредственное материально-техническое обеспечение и выполнение;
- организуют подготовку и повышение квалификации специалистов по защите информационных ресурсов;
- проводят периодический анализ состояния работ по защите информационных ресурсов.
Для непосредственного выполнения работ по защите информационных ресурсов в подразделениях органов власти и организациях - владельцах информационных ресурсов из обслуживающего персонала информационных систем в зависимости от объема работ назначается штатный (нештатный) специалист по защите информационных ресурсов.
Штатный (нештатный) специалист по защите информационных ресурсов:
- разрабатывает мероприятия по комплексной защите информации, участвует в согласовании технических заданий на проведение работ по информатизации и защите информации;
- принимает участие в подготовке обслуживающего персонала, технических и программных средств защиты информации, помещений к проведению работ, связанных с использованием защищаемых информационных ресурсов;
- разрабатывает совместно с другими сотрудниками инструкции по защите информационных ресурсов на конкретных рабочих местах;
- участвует в аттестовании рабочих мест, вычислительных комплексов (средств обработки, накопления и хранения информации), разрабатывает проекты заключений о возможности проведения работ с защищаемыми информационными ресурсами;
- осуществляет подготовку отчетов о состоянии работ по защите информационных ресурсов;
- проводит повседневный контроль состояния защиты информационных ресурсов.
19. Подразделения органов власти и организации - владельцы носителей защищаемых информационных ресурсов обеспечивают уровень защиты информационных ресурсов на этих носителях в соответствии с установленными владельцами ресурсов требованиями.
20. Подразделения органов власти и организации - пользователи информационных ресурсов, их подразделения по защите информации, штатные (нештатные) специалисты по защите информации осуществляют защиту переданных им ресурсов в соответствии с требованиями, установленными владельцами информационных ресурсов.
21. Территориальные органы федеральных органов исполнительной власти выполняют функции по защите информационных ресурсов края и информационных ресурсов совместного ведения в соответствии с положениями об этих органах.
22. Организации, специализирующиеся на проведении работ и оказании услуг в области защиты информации, на договорной основе в установленном законодательством порядке выполняет следующие функции:
- разрабатывают проекты концепции, региональной программы по защите информационных ресурсов;
- разрабатывают проекты нормативно-методических документов по защите информационных ресурсов;
- проводят научные исследования и работы по созданию технических средств защиты информационных ресурсов и контроля ее эффективности;
- разрабатывают и осуществляют мероприятия по защите информационных ресурсов;
- проводят специальные проверки и специальные исследования технических средств, аттестование информационных систем, содержащих информационные ресурсы с ограниченным доступом, по выполнению требований защиты информации;
- осуществляют подготовку и повышение квалификации специалистов в этой области.
3. Организация защиты информационных ресурсов
23. Защита информационных ресурсов является составной частью работ по их созданию и использованию и осуществляется во всех органах власти и во всех организациях края, располагающих этими ресурсами.
24. Организация защиты информационных ресурсов возлагается на руководителей органов власти и организаций, руководителей подразделений, создающих и использующих информационные ресурсы, эксплуатирующих системы и средства информатизации и связи, обрабатывающих и передающих защищаемую информацию.
25. Требования по защите информационных ресурсов определяются их владельцами при подготовке решений, программ и планов работ, технических заданий на создание информационных ресурсов и средств их обработки на основе стандартов, нормативных и методических документов, утверждаемых Государственной технической комиссией при Президенте Российской Федерации и органами государственной власти края в соответствии с их компетенцией. Указанные требования согласовываются со структурным подразделением по информатизации и структурным подразделением по технической защите информации администрации края. При необходимости установленные требования уточняются и корректируются в процессе создания и использования информационных ресурсов.
26. Непосредственное выполнение функций по обеспечению защиты информационных ресурсов осуществляется подразделением, назначенным владельцем этих ресурсов ответственным за формирование и ведение соответствующих ресурсов.
27. Выполнение установленных требований, реализация необходимых мероприятий по защите информационных ресурсов осуществляется органами власти, организациями, их подразделениями, должностными лицами, использующими эти ресурсы, владеющими их носителями и эксплуатирующими их.
28. Защита информационных ресурсов осуществляется путем:
- организации контроля за использованием и распространением информационных ресурсов;
- проведения организационных и режимных мероприятий по допуску пользователей к информационным ресурсам ограниченного доступа;
- обучения пользователей информационных ресурсов практической работе по их защите;
- предотвращения перехвата информации, передаваемой по каналам связи, за счет применения криптографических и иных методов и средств защиты;
- предотвращения утечки обрабатываемой информации в технических средствах ее обработки за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, достигаемого применением защищенных технических средств, аппаратных средств защиты, средств активной защиты, экранированием отдельных помещений, установлением контролируемой зоны вокруг объектов защиты и другими мерами;
- исключения несанкционированного доступа к системам и средствам информатизации и связи, а также к обрабатываемой или хранящейся в них информации, достигаемого применением программно-технических средств защиты, использованием криптографических способов защиты;
- предотвращения специальных программно-технических воздействий на информацию, вызывающих уничтожение, искажение, блокирование информации или сбои в работе средств информатизации, достигаемого применением программных и аппаратных средств защиты (антивирусных процессоров и программ), организацией контроля безопасности программного обеспечения;
- выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств), достигаемого проведением специальных проверок по выявлению этих устройств;
- предотвращения перехвата техническими средствами защищаемой речевой информации из помещений и объектов, достигаемого применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями.
29. Инженерно-строительные меры по защите информационных ресурсов и порядок их выполнения в ходе строительно-монтажных работ, реконструкции объектов и их эксплуатации определяются при проектировании объектов. Обязательным условием ввода объектов, на которых должны обрабатываться информационные ресурсы, в эксплуатацию является выполнение полного объема мер по защите информационных ресурсов и проведение аттестации объекта с целью определения эффективности принятых мер защиты и возможности их стабильного выполнения в ходе эксплуатации объекта.
30. Содержание и порядок осуществления мероприятий по защите информационных ресурсов в ходе эксплуатации объекта определяются в Руководстве по технической защите информации, разрабатываемом на каждом объекте.
31. Содержание и порядок осуществления мероприятий по защите конкретных информационных ресурсов в процессе их создания и использования определяются в Инструкции по защите информационных ресурсов, разрабатываемой подразделением, ответственным за ведение соответствующих ресурсов.
32. Информация, содержащая сведения, отнесенные к служебной тайне или персональным данным, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты информации. Соответствие технического средства и его программного обеспечения требованиям защищенности подтверждается сертификатом или предписанием на эксплуатацию, оформляемым по результатам специальных исследований и специальных проверок технических средств и программного обеспечения.
33. Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информационных ресурсов, содержащих информацию ограниченного доступа, проводится аттестование указанных средств и систем в реальных условиях эксплуатации на соответствие принимаемых методов, мер и средств защиты требуемому уровню защиты информационных ресурсов.
4. Контроль состояния защиты информационных ресурсов
34. Контроль состояния защиты информационных ресурсов (далее именуется - контроль) осуществляется с целью обеспечения их эффективной защиты, своевременного выявления и предотвращения утечки защищаемой информации по техническим каналам, несанкционированного доступа к ней и несанкционированных программно-технических воздействий на информацию.
35. Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информационных ресурсов, решений Государственной технической комиссией# при Президенте Российской Федерации, постановлений и распоряжений органов власти по вопросам защиты информационных ресурсов, а также в оценке обоснованности и эффективности принятых мер защиты для выполнения утвержденных требований и норм по защите информационных ресурсов.
36. Контроль состояния защиты информационных ресурсов в крае осуществляется следующими органами (в пределах их компетенции):
- органами исполнительной власти края;
- органами Государственной технической комиссии России при Президенте Российской Федерации, Федеральной службы безопасности и Федерального агентства правительственной связи и информации при Президенте Российской Федерации;
- рабочей группой по защите информационных ресурсов Совета по вопросам технической защиты информации при главе администрации края;
- структурным подразделением по технической защите информации администрации края;
- уполномоченными должностными лицами подразделений администрации края и организаций - владельцев информационных ресурсов;
- уполномоченными должностными лицами подразделений органов власти и организаций - пользователей информационных ресурсов;
- уполномоченными должностными лицами подразделений органов власти и организаций - владельцев носителей информационных ресурсов:
- организациями, имеющими лицензии на проведении работ по контролю состояния защиты информации.
37. Орган исполнительной власти края организует и осуществляет контроль состояния защиты информационных ресурсов в подведомственных ему организациях через рабочую группу по защите информационных ресурсов, структурное подразделение по технической защите информации администрации края, а руководители организаций - через свои подразделения и своих специалистов по защите информационных ресурсов.
38. Защита информационных ресурсов считается эффективной, если принимаемые меры соответствуют установленным требованиям и нормам. Несоответствие мер установленным требованиям и нормам по защите информационных ресурсов является нарушением.
Нарушения по степени опасности делятся на две категории:
- первая - невыполнение требований или норм по защите информационных ресурсов, в результате чего имелась или имеется реальная возможность утечки информации ограниченного доступа, произошло разрушение, уничтожение, искажение, блокирование важной информации, сбои в работе средств ее обработки или имеется реальная возможность возникновения этих последствий;
- вторая - невыполнение требований или норм по защите информационных ресурсов, в результате чего создаются предпосылки к утечке информации, разрушению, уничтожению, искажению, блокированию важной информации или к сбоям в работе средств ее обработки.
39. При обнаружении нарушений первой категории руководители органов власти и организаций обязаны:
- немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры по их устранению;
- организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц.
Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой структурным подразделением по технической защите информации администрации края.
При обнаружении нарушений второй категории руководители органов власти и организаций обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку. Контроль устранения этих нарушений осуществляется подразделениями и специалистами по защите информационных ресурсов органов власти и организаций.
40. Доступ представителей рабочей группы по защите информационных ресурсов, структурного подразделения по технической защите информации администрации края на контролируемые объекты осуществляется в установленном порядке по предъявлению специального удостоверения работника администрации края и предписания на право проверки данного объекта, выданного руководителем (заместителем руководителя) органа исполнительной власти края.
5. Финансирование мероприятий по защите информационных ресурсов
41. Финансирование мероприятий по защите информационных ресурсов края и содержания подразделений (специалистов) по защите информационных ресурсов в органах власти края и в организациях, финансируемых за счет средств краевого бюджета, предусматривается в сметах расходов на их содержание.
Финансирование деятельности по защите информационных ресурсов организаций иных форм собственности осуществляется за счет средств, получаемых от их основной деятельности и иных не запрещенных законом источников.
42. Создание технических средств защиты информационных ресурсов, не требующих капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно-исследовательские и опытно-конструкторские работы, связанные с созданием информационных ресурсов. Расходы по разработке технических средств защиты включаются в стоимость создания информационных ресурсов.
Создание технических средств защиты информационных ресурсов, требующих капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на строительство (реконструкцию) сооружений или объектов.
Заместитель руководителя аппарата,
генеральный директор социально-
производственного департамента
|
администрации Краснодарского края |
Н.А. Долуда |