Постановление Администрации муниципального образования г. Салехард Ямало-Ненецкого автономного округа от 22.09.2015 N 394 "О Концепции информационной безопасности в Администрации муниципального образования город Салехард"

Постановление Администрации муниципального образования г. Салехард
от 22 сентября 2015 г. N 394
"О Концепции информационной безопасности в Администрации муниципального образования город Салехард"

В соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Ямало-Ненецкого автономного округа от 24 ноября 2011 года N 847-П "О концепции информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа", в целях единого подхода к обеспечению информационной безопасности в Администрации муниципального образования город Салехард, Администрация муниципального образования город Салехард постановляет:

1. Утвердить прилагаемую Концепцию информационной безопасности в Администрации муниципального образования город Салехард (далее - Концепция).

2. Определить отдел специальных мероприятий Администрации муниципального образования город Салехард (А.Н. Грачев) ответственным за обеспечение информационной безопасности в структурных подразделениях Администрации муниципального образования город Салехард (без прав юридических лиц) в соответствии с разделом VII Концепции.

3. Руководителям структурных подразделений Администрации муниципального образования город Салехард, обладающим правами юридического лица, обеспечить информационную безопасность, в том числе:

3.1. при планировании и осуществлении мероприятий в области информационной безопасности руководствоваться положениями Концепции;

3.2. локальным актом назначить отдел (либо сотрудника), отвечающий (его) за информационную безопасность в структурном подразделении в соответствии с разделом VII Концепции.

4. Муниципальному бюджетному информационному учреждению "Редакция газеты "Полярный круг" (Д.С. Фомин) опубликовать настоящее постановление в городской общественно-политической газете "Полярный круг".

5. Муниципальному казенному учреждению "Информационно-техническое управление" (С.Ю. Хохлов) разместить настоящее постановление в системе Интернет на официальном сайте муниципального образования город Салехард.

6. Контроль за исполнением настоящего постановления возложить на заместителя Главы Администрации города, управляющего делами П.И. Макогон.

Первый заместитель Главы Администрации города

С.А. Бурдыгин

Концепция
информационной безопасности в Администрации муниципального образования город Салехард
(утв. постановлением Администрации г. Салехарда от 22 сентября 2015 г. N 394)

Введение

В Концепции на основе выборочного анализа современного состояния определены цели, задачи и ключевые проблемы обеспечения информационной безопасности. Рассмотрены объекты, угрозы информационной безопасности, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения информационной безопасности в различных сферах деятельности Администрации муниципального образования город Салехард (далее - Администрация города). Также в Концепции излагаются основные положения государственной политики обеспечения информационной безопасности в Администрации города, организационная структура и принципы построения информационной безопасности. Концепция служит методологической основой разработки комплекса правовых актов и организационно-методических документов, регламентирующих деятельность в области информационной безопасности Администрации города.

Положения Концепции не распространяются на сведения, отнесенные к государственной тайне.

I. Общие положения

Концепция представляет собой принятую систему взглядов на проблему обеспечения информационной безопасности, методы и средства защиты жизненно важных интересов личности, общества, государства в информационной сфере и служит методологической основой изложенных направлений обеспечения информационной безопасности в Администрации города:

разработка стратегии обеспечения информационной безопасности Администрации города, включающей в себя цели, задачи и комплекс основных мер по ее практической реализации, формирования и проведения государственной политики Администрации города в области обеспечения информационной безопасности;

обеспечение единого понимания всеми участниками процесса информатизации в Администрации города проблем информационной безопасности;

определение уровней информационной безопасности объектов информатизации в Администрации города;

разработка единых подходов к построению программно-технических систем защиты объектов информатизации в Администрации города;

обеспечение условий гармонизации информационной инфраструктуры в Администрации города с глобальными сетями и системами.

Комплексная система информационной безопасности в Администрации города должна обеспечивать безопасное использование информационных ресурсов Администрации города и получение информационных услуг.

Концепция служит методологической основой:

формирования и проведения единой политики в Администрации города в области обеспечения информационной безопасности;

разработки целевых программ в Администрации города по обеспечению защиты информационных систем и ресурсов телекоммуникаций;

разработки и внедрения технологий информационной безопасности в Администрации города;

подготовки предложений по совершенствованию правового, организационного, технического и программного обеспечения информационной безопасности в Администрации города.

Положения Концепции должны учитываться при создании информационных ресурсов и систем, развитии информационных технологий, создании и развитии единого информационного пространства Администрации города.

Правовую основу Концепции составляют Конституция Российской Федерации, Указ Президента Российской Федерации от 12 мая 2009 года N 537 "О Стратегии национальной безопасности Российской Федерации до 2020 года", Указ Президента Российской Федерации от 17 марта 2008 года N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", Доктрина информационной безопасности Российской Федерации, утвержденная приказом Президента Российской Федерации от 09 сентября 2000 года N Пр-1895, Федеральный закон от 28 декабря 2010 года N 390-ФЗ "О безопасности", Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных", Федеральный закон от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи", Федеральный закон от 06 апреля 2011 года N 63-ФЗ "Об электронной подписи" и иные правовые акты.

В настоящей Концепции используются следующие основные понятия:

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

информационные ресурсы - отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

информация - сведения (сообщения, данные) независимо от формы их представления;

информационная безопасность объекта информатизации - состояние защищенности объекта информатизации, при котором обеспечивается безопасность информатизации и автоматизированных средств ее обработки;

техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

II. Цели и задачи обеспечения информационной безопасности

Целью построения системы информационной безопасности в Администрации города является защита объектов информационной безопасности от наиболее распространенных угроз информационной безопасности, вызванных неэффективностью процедур контроля, технологических сбоев, несанкционированных действий персонала или иных форм незаконного вмешательства в информационные ресурсы и информационные системы.

Основные задачи обеспечения информационной безопасности в Администрации города:

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся и обрабатываемых в информационных системах;

обеспечение соблюдения требований законодательства Российской Федерации в области информационной безопасности;

формирование и проведение единой политики в обеспечении информационной безопасности;

организация и координация работ по информационной безопасности в различных сферах деятельности;

возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого участника в пределах его полномочий;

пересмотр и улучшение применяемых защитных мер, требований, норм и правил информационной безопасности с учетом изменения информационной среды и условий;

осознание необходимости обеспечения информационной безопасности как неотъемлемой части культуры;

постоянный контроль выполнения требований правовых актов, регламентирующих деятельность в области информационной безопасности;

создание системы непрерывного обучения, тренировки и проверки осведомленности персонала по вопросам обеспечения информационной безопасности;

осуществление деятельности по обеспечению доверия к информационной безопасности;

обеспечение защиты информации от несанкционированного доступа на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;

предотвращение утраты, искажения или уничтожения информации на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;

обеспечение непрерывного функционирования информационных систем и системы обеспечения информационной безопасности;

своевременное прогнозирование, выявление и нейтрализация угроз информационной безопасности;

обеспечение эффективной работы механизмов оперативного реагирования на угрозы информационной безопасности;

мониторинг состояния защищенности информации.

Достижение намеченной цели зависит от качественного решения основных задач в вопросе обеспечения информационной безопасности в Администрации города.

III. Объекты информационной безопасности

К объектам информационной безопасности Администрации города относятся:

1) информационные ресурсы Администрации города, содержащие конфиденциальную информацию (служебная тайна, коммерческая тайна, персональные данные и прочая информация), информацию ограниченного доступа, а также общедоступную информацию;

2) системы формирования, распространения и использования информационных ресурсов, включающие в себя информационные системы различного класса и назначения, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;

3) информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации.

Информационная безопасность всех вышеуказанных объектов создает условия надежного функционирования Администрации города.

IV. Основные угрозы информационной безопасности

Угроза информационной безопасности - совокупность факторов и условий, создающих опасность для нормального функционирования информационной инфраструктуры.

Источники угроз информационной безопасности в Администрации города разделяются на внешние и внутренние.

К внешним угрозам относятся:

деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных систем;

перехват и утечка информации по техническим каналам;

неконтролируемое самопроизвольное распространение компьютерных вирусов и иных вредоносных программ;

стихийные бедствия, катастрофы, пожары и аварии.

Внутренними источниками угроз являются:

невыполнение требований законодательства и несвоевременное принятие необходимых правовых актов, регламентирующих деятельность в сфере информационной безопасности;

нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, создающие предпосылки к утечке либо разглашению сведений, составляющих государственную, служебную и иную тайну;

внедрение несовершенных или устаревших информационных технологий и средств информатизации;

умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;

отказы, сбои, неисправности, несогласованности инженерно-технических, программных и системно-прикладных средств защиты информационных и телекоммуникационных систем;

использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты и контроля информации;

привлечение к работам по созданию, развитию и защите информационных систем сторонних организаций, не имеющих прав на осуществление соответствующих видов деятельности.

Приведенная выше классификация угроз носит условный характер, не является окончательной и не ранжирована по степени приоритетности. В объективной реальности угрозы, как правило, носят комбинированный характер.

Непрерывный процесс прогнозирования, выявления, идентификации, конкретизации, анализа и выработки мер по локализации угроз является неотъемлемой задачей текущей деятельности в построении системы информационной безопасности в Администрации города.

V. Основные направления деятельности по обеспечению информационной безопасности

Деятельность по обеспечению информационной безопасности призвана способствовать снижению рисков от угроз в информационной сфере, повышению эффективности и устойчивости в управлении информационными ресурсами и системами.

Основные направления обеспечения информационной безопасности:

1) правовое обеспечение информационной безопасности - деятельность в этой области направлена на создание и поддержание в актуальном состоянии системы локальных актов, регламентирующих деятельность по обеспечению информационной безопасности;

2) организация деятельности по обеспечению информационной безопасности - деятельность в этой области направлена на создание документированных процессов обеспечения информационной безопасности, скоординированных между структурными подразделениями Администрации города;

3) обеспечение информационной безопасности при управлении информационными ресурсами - деятельность в этой области направлена на идентификацию, классификацию информационных ресурсов и их владельцев, формирование и поддержание необходимого уровня информационной безопасности информационных ресурсов;

4) обеспечение информационной безопасности, связанное с персоналом, - деятельность в этой области направлена на минимизацию рисков, вызванных действиями работников в отношении информационных ресурсов, путем создания системы непрерывного обучения, тренировки и проверки осведомленности всех работников по вопросам обеспечения информационной безопасности;

5) физическая безопасность информационных ресурсов - деятельность в этой области направлена на минимизацию и предотвращение ущерба, вызванного физическим воздействием на информационные ресурсы;

6) обеспечение информационной безопасности на этапах жизненного цикла информации в информационной инфраструктуре - деятельность в этой области направлена на минимизацию рисков, возникающих в процессе создания, обработки, обмена и уничтожения информации в информационной инфраструктуре;

7) управление доступом к информационным ресурсам - деятельность в этой области направлена на создание порядка доступа к информационным ресурсам, контроль и мониторинг доступа;

8) управление инцидентами информационной безопасности - деятельность в этой области направлена на создание процесса по своевременному выявлению и реагированию на инциденты информационной безопасности;

9) соответствие требованиям - деятельность в этой области направлена на соответствие требованиям законодательства, локальных нормативных актов по обеспечению информационной безопасности.

VI. Принципы формирования системы информационной безопасности

Реализация основных концептуальных направлений информационной безопасности Администрации города осуществляется на основе следующих принципов:

1) централизация управления - предполагает, что деятельность по обеспечению информационной безопасности должна быть встроена в управленческие процессы Администрации города, подчиняться понятным руководителям закономерностям и оцениваться с позиций эффективности, для этого процессы обеспечения информационной безопасности должны быть организованы, управляемы и оцениваемы подобно другим процессам и согласованы с ними;

2) законность - предполагает осуществление защитных мероприятий и разработку системы информационной безопасности в соответствии с действующим законодательством в области информационных технологий и защиты информации;

3) персональная ответственность - предполагает персональную ответственность в пределах должностных полномочий за несоблюдение регламентирующих документов в области информационной безопасности;

4) минимизация полномочий - предполагает предоставление прав доступа сотрудникам Администрации города к информационным ресурсам в объеме, достаточном для качественного выполнения своих должностных (функциональных) обязанностей;

5) своевременность - предполагает своевременность выявления проблем, связанных с обеспечением информационной безопасности, и обнаружение угроз, потенциально способных нанести ущерб;

6) системность - системный подход к построению системы информационной безопасности предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, имеющих существенное значение для понимания и решения проблемы обеспечения информационной безопасности, включающим фазы планирования, реализации, контроля и совершенствования системы информационной безопасности;

7) комплексный подход - предполагает всестороннее обеспечение информационной безопасности и предусматривает использование взаимоувязанных программно-технических, организационных, правовых, нормативно-методических и других мер обеспечения информационной безопасности на единой концептуальной основе;

8) непрерывность - предполагает непрерывный, целенаправленный процесс по выявлению угроз информационной безопасности и принятию адекватных мер защиты;

9) унифицированность - предполагает, что принципы, правила, процедуры, требования и технические решения по обеспечению информационной безопасности должны быть унифицированы;

10) простота - предполагает, что порядок действий и процесс использования средств защиты информации должны быть понятны пользователю.

VII. Структура подразделений, обеспечивающих информационную безопасность в Администрации города

Основываясь на принципах построения системы информационной безопасности в Администрации города, определяется структурное подразделение, отвечающее за обеспечение информационной безопасности во всех структурных подразделениях, которое наделяется соответствующими полномочиями и обязанностями:

разработка правовых актов по информационной безопасности в Администрации города;

проведение проверочных мероприятий по информационной безопасности в Администрации города;

выбор средств обеспечения информационной безопасности информационных и телекоммуникационных систем в Администрации города;

создание и развитие системы защиты информации в Администрации города;

администрирование системы защиты информации в Администрации города;

участие в разработке (доработке) подсистем защиты информации в информационных системах Администрации города.

Глава Администрации города несет ответственность за организацию работ по обеспечению информационной безопасности.

Администрация города обязана согласовывать требования к внедряемым в Администрации города технических, программных и программно-технических средств защиты с центральным исполнительным органом государственной власти Ямало-Ненецкого автономного округа, ответственным за проведение государственной политики и осуществление исполнительно-распорядительной деятельности в сфере защиты государственной тайны и технической защиты информации.

VIII. Модель взаимодействия участников информационной системы

Моделирование информационной системы необходимо для описания процессов информационного взаимодействия в информационной системе и определения зон ответственности.

Участник информационной системы - физическое или юридическое лицо, непосредственно взаимодействующее с информационной системой.

Участники информационной системы подразделяются на 4 группы:

1) Владельцы информационной системы.

Зона ответственности:

разработка (доработка) информационной системы;

поддержание работоспособности информационной системы;

защита информации в информационной системе;

определение круга пользователей информации.

2) Оператор информационной системы.

Зона ответственности:

эксплуатация информационной системы, обработка информации.

3) Поставщик (владелец) информации.

Зона ответственности:

достоверность и своевременность предоставляемой информации;

наделение пользователей информации правами на получение информации из информационной системы.

4) Пользователь информации.

Зона ответственности:

соблюдение правил и прав на получение информации из информационной системы;

сохранение конфиденциальности полученных из информационной системы сведений.

Участник информационной системы может одновременно находиться в нескольких группах.

Владелец информационной системы при разработке (доработке) информационной системы взаимодействует со структурным подразделением, отвечающим за обеспечение информационной безопасности в Администрации города, в том числе:

1) представляет документацию на информационную систему;

2) согласует документацию на разработку (доработку) информационной системы;

3) информирует о ходе проведения работ по обеспечению информационной безопасности информационной системы.

Оператор информационной системы взаимодействует с владельцем информационной системы и структурным подразделением, отвечающим за обеспечение информационной безопасности во всех структурных подразделениях Администрации города, в том числе:

1) представляет документы, регламентирующие правила получения информации из информационной системы;

2) представляет документы, регламентирующие права пользователей на информацию;

3) представляет документы, регламентирующие правила приема информации в информационную систему.

IX. Меры, методы и средства обеспечения безопасности информационных систем

Анализ технических, структурных, эксплуатационных и иных особенностей информационных систем имеет важное значение для организации и внедрения надежной системы обеспечения информационной безопасности.

При выборе и использовании комплекса методов, способов и средств защиты информации, необходимых для обеспечения безопасности информации в конкретных информационных системах, должны учитываться такие факторы, как:

наличие конфиденциальной информации (персональные данные, служебная тайна и т.д.);

условия размещения и эксплуатации технических средств;

способы обработки данных в системе;

особенности обработки и пересылки информации в электронном виде;

количество пользователей и способы организации их работы с информационной системой;

способы хранения информации.

Проблема обеспечения информационной безопасности может быть решена в результате комплексного применения всех мер защиты, включающих в себя:

правовые (законодательные);

организационные;

технические.

Правовые (законодательные) меры обеспечения

безопасности информационных систем

К правовым (законодательным) мерам обеспечения безопасности информационных систем относятся действующие в Российской Федерации правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения принятых в них правил.

Правовые (законодательные) меры обеспечения безопасности информационных систем выделяют правовую область, в пределах которой допускается использовать информационные ресурсы различных субъектов информационных отношений.

Организационные меры обеспечения

безопасности информационных систем

Организационные меры обеспечения безопасности информационных систем - меры организационного характера, регламентирующие процессы функционирования информационных систем, использование их ресурсов, деятельность обслуживающего персонала, а также порядок обращения пользователей информации с информационными системами таким образом, чтобы в наибольшей степени затруднить либо исключить возможность реализации угроз информационной безопасности, снизить размер потерь в случае реализации угроз.

Технические меры обеспечения

безопасности информационных систем

Технические меры обеспечения безопасности информационных систем должны быть основаны на использовании единых программных и технических средств, входящих в состав информационных систем и выполняющих самостоятельно или в комплексе с другими средствами функции защиты.

При учете всех требований и принципов обеспечения безопасности информации в информационной системе в состав системы включают следующие технические и программные средства:

идентификации пользователей;

аутентификации пользователей (потребителей) информации и информационных объектов (терминалов, программных алгоритмов, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;

разграничения доступа к данным;

управления информационными потоками;

информационной безопасности в линиях передачи данных, в хранилищах информации;

обеспечения и контроля целостности программных и информационных ресурсов;

регистрации и контроля обращений к информации, подлежащей защите;

реагирования на попытки реализации несанкционированного доступа;

активные и пассивные средства защиты информации, обрабатываемой техническими средствами информационных систем и циркулирующей в помещениях объекта от утечки по техническим каналам.

X. Порядок организации работ при разработке и эксплуатации информационных систем и системы обеспечения информационной безопасности

Разработка любой прикладной информационной системы требует обязательной доработки системы обеспечения информационной безопасности, в связи с чем данные рабочие процессы должны протекать параллельно, без отрыва друг от друга.

Процессу разработки, модернизации информационной системы должен предшествовать процесс определения перечня информации, которую в будущем будут обрабатывать в данной системе, и присвоения категорий защищаемой информации.

Этапу ввода в эксплуатацию прикладной информационной системы должен предшествовать этап ввода в эксплуатацию разработанной (доработанной) системы информационной безопасности. Разработанная (доработанная) система информационной безопасности должна предусматривать:

назначение уровня полномочий и должностных лиц, ответственных за присвоение категории обрабатываемой информации (служебная тайна, персональные данные, открытая информация общего пользования и т.д.);

назначение уровня полномочий и должностных лиц, имеющих право распоряжаться информацией, - применительно к каждой категории защищаемой информации;

условия и порядок допуска пользователей информации к работе с информацией - применительно к каждой категории защищаемой информации;

определение объема информации, необходимой и достаточной для эффективного выполнения работниками организации своих прямых должностных обязанностей;

определение границ применения информации пользователями информации;

разработку необходимого пакета документов, регламентирующих работу в информационной системе.

Стадия ввода в действие прикладной информационной системы завершается аттестацией объекта информатизации, в состав которого вводится данная система.

XI. Порядок управления системой обеспечения информационной безопасности

Управление системой обеспечения информационной безопасности в Администрации города представляет собой целенаправленное воздействие на ее компоненты, обеспечивающее защищенность информации, обрабатываемой в информационных системах.

Цель процесса управления системой обеспечения информационной безопасности - обеспечение надежной защиты информации в процессе ее сбора, обработки, хранения и предоставления (передачи) конечному пользователю информации.

Управление системой информационной безопасности Администрации города должно осуществляться на всех этапах существования информационной системы, с момента проведения научно-технических изысканий, предшествующих проектным работам по созданию новой информационной системы до момента вывода этой системы из технической эксплуатации по причине ее морального устаревания.

Управление системой обеспечения информационной безопасности Администрации города осуществляет структурное подразделение, отвечающие за информационную безопасность, объединяющие в своем составе квалифицированных специалистов в области информационных технологий и защиты информации.

XII. Контроль состояния информационной безопасности

Контроль состояния информационной безопасности осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Основная решаемая задача - получение объективных оценок текущего состояния защиты информации ограниченного доступа, оценка эффективности применяемых мер и технических решений для обеспечения информационной безопасности в Администрации города, оказание методической помощи по обеспечению режима защиты информации, организация работы по обеспечению информационной безопасности.

Под постоянным контролем находятся:

дисциплина выполнения правовых, организационно-распорядительных и нормативных документов Администрации города;

действующие меры обеспечения информационной безопасности;

обоснованность и эффективность применения мер обеспечения информационной безопасности.

Общее состояние информационной безопасности контролируется структурным подразделением, отвечающим за информационную безопасность в Администрации города. С целью получения объективного заключения о состоянии информационной безопасности Администрации города структурное подразделение, отвечающее за информационную безопасность, может привлекать к выполнению оперативного контроля и аудита состояния безопасности информации специалистов исполнительного органа государственной власти Ямало-Ненецкого автономного округа, участвующего в поддержании и эксплуатации прикладных информационных систем, а также организации, обладающие соответствующими правами на осуществление деятельности в области защиты информации.

Оценка эффективности мер информационной безопасности проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.