Постановление Администрации Сахалинской области от 19.02.2002 N 24-па "Об утверждении Концепции по защите информации на территории Сахалинской области, Положения о совете по защите информации при администрации Сахалинской области и его состава" (с изменениями и дополнениями)

Постановление Администрации Сахалинской области
от 19 февраля 2002 г. N 24-па
"Об утверждении Концепции по защите информации на территории
Сахалинской области, Положения о совете по защите информации при
администрации Сахалинской области и его состава"

С изменениями и дополнениями от:

15 июля 2004 г., 6 апреля 2010 г.

В целях обеспечения единого подхода к вопросам защиты информационных ресурсов Сахалинской области, выработки методической и организационной основы информационной безопасности области, активизации деятельности по защите информации и в соответствии с законодательными и нормативно-правовыми актами Российской Федерации по вопросам информатизации и защиты информации администрация области постановляет:

1. Утвердить Концепцию защиты информации на территории Сахалинской области (прилагается)

2. Рекомендовать органам местного самоуправления, руководителям организаций, допущенных в установленном порядке к выполнению работ, связанных с использованием сведений, составляющих государственную тайну, учитывать Концепцию при разработке и проведении мероприятий по защите информации.

3. Утратил силу

Информация об изменениях:

См. текст пункта 3

4. Утратил силу

Информация об изменениях:

См. текст пункта 4

Губернатор области

И.П. Фархутдинов

19 февраля 2002 г.

N 24-па

Концепция
защиты информации на территории Сахалинской области
(утв. постановлением Администрации Сахалинской области
от 19 февраля 2002 г. N 24-па)

I. Общие положения

В настоящее время можно выделить следующий ряд факторов, определяющих необходимость формирования официально принятой системы определенных единых принципов и приоритетов, а также правил и методов организации защиты информации на территории Сахалинской области (Концепция):

- недостаточное, а зачастую и полное отсутствие методического руководства работами по защите информации со стороны вышестоящих организаций и контроль с их стороны за исполнением принятых решений;

- возрастание зависимости результатов деятельности органов государственной власти, местного самоуправления, предприятий, учреждений и организации от достоверности используемой ими информации, своевременности ее получения, надежности принятых мер по сохранению информации с ограниченным доступом;

- превращение информации в товар, формирование информационных ресурсов, находящихся в собственности области, местного самоуправления, предприятий, учреждений, организаций и граждан, необходимость защиты этих ресурсов от противоправных действий;

- относительное снижение объемов обрабатываемой в учреждениях и организациях информации, составляющей государственную тайну, и увеличение объемов обрабатываемой информации, составляющей служебную, коммерческую, профессиональную, личную и иную охраняемую законом тайну, неоднозначная классификация одной и той же защищаемой информации при передаче ее из негосударственных учреждений в государственные и наоборот, необходимость равнопрочной защиты данной информации, независимо от места нахождения носителей;

- широкое использование в органах государственной власти Сахалинской области информационных систем, накапливающих и передающих значительные объемы ценной информации и, в то же время, уязвимых для неконтролируемого доступа к защищаемой информации, возрастание риска и опасности несанкционированных воздействий на информацию в этих системах (компьютерная безопасность);

- использование криминальными структурами устройств негласного получения информации, рост числа преступлений в сфере компьютерной информации, невозможность своевременно прогнозировать и выявлять эти угрозы, достоверно оценивать опасность и принимать адекватные меры по их устранению из центра;

- неспособность большинства предприятий, организаций и учреждений различных форм собственности, находящихся на территории Сахалинской области, организовать эффективную защиту используемой ими информации, вследствие отсутствия специалистов в области защиты информации, необходимой нормативно-методической литературы;

- непредсказуемые экономические и социальные последствия возникновения критических ситуаций, связанных с нарушением безопасности информации в управлении экологически опасными производствами, транспортом, энергетикой.

Концепция защиты информации на территории Сахалинской области служит методологической основой для:

- реализации государственной политики Российской Федерации в сфере обеспечения защиты информации на территории Сахалинской области;

- разработки стратегии защиты информации в области, включая цели, задачи и комплекс мер по ее практической реализации;

- подготовки предложений по совершенствованию правового, нормативно-методического, научно-технического и организационного обеспечения защиты информации;

- разработки областных программ защиты информации.

II. Термины, используемые в настоящей Концепции,
их определения

В настоящей Концепции используются следующие понятия:

Объект защиты информации - информационные ресурсы, вне зависимости от форм хранения, содержащие информацию, составляющую государственную тайну, коммерческую тайну и другую конфиденциальную информацию, а также ценную открытую информацию и знания, система формирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного класса и назначения, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал, информационная инфраструктура, включающая центры обработки и анализа информации каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации, средства массовой информации, права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности.

Угрозы объектам защиты информации - фактор или совокупность факторов, создающих опасность функционированию и развитию информационной среды общества.

Внешние источники угрозы:

- недружественная политика иностранных государств в области информационного мониторинга, распространения информации и новых информационных технологий;

- деятельность иностранных разведывательных и специальных служб;

- деятельность иностранных экономических структур,

направленная против интересов Сахалинской области;

- преступные действия международных групп, формирований и отдельных лиц;

- стихийные бедствия и катастрофы. Внутренние источники угрозы:

- противозаконная деятельность политических и экономических структур и отдельных лиц в области формирования, распространения и использования информации;

- неправомерные действия органов государственной власти Сахалинской области, приводящие к нарушению законных прав граждан и организаций в информационной сфере;

- нарушения установленных регламентов сбора, обработки и передачи информации, преднамеренные действия и непреднамеренные ошибки персонала информационных систем, приводящие к утечке, уничтожению, искажению, подделке, блокированию, задержке, несанкционированному копированию информации, отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах, побочных электромагнитных излучений средств вычислительной техники.

III. Основные принципы обеспечения защиты информации

Основными принципами обеспечения защиты информации являются:

- законность;

- соблюдение баланса жизненно важных интересов личности, общества и государства;

- взаимная ответственность личности, общества и государства по обеспечению защиты информации.

Законность обеспечивается путем разработки правовой основы в области защиты информации. При этом должна учитываться необходимость соблюдения международных договоров и соглашений, подписанных от имени Российской Федерации.

Соблюдение баланса жизненно важных интересов личности, общества и государства основывается на оценках ущерба, который может быть нанесен в результате несанкционированного распространения информации и ущерба, наносимого собственнику информации в результате ее засекречивания. Соблюдение этого баланса обеспечивается правильно выбранной стратегией защиты информации и научной проработкой вопросов ее защиты

Взаимная ответственность личности, общества и государства предусматривает ограничение прав собственности предприятий, учреждений, организаций и граждан на информацию в связи с ее засекречиванием и компенсацию наносимого собственнику информации материального ущерба. Реализуется путем продуманной организации работ по защите информации с четким разграничением прав и обязанностей, конкретными нормативно-техническими требованиями и эффективным контролем за их выполнением.

IV. Общие задачи по защите информации

Эффективная защита информации достигается путем взаимосвязанного решения следующих общих задач:

- определение сведений, которые необходимо защищать от технических средств разведки;

- анализ демаскирующих признаков, раскрывающих эти сведения;

- оценка возможностей технических разведок и реальной опасности утечки информации, составляющей государственную и/или служебную тайну, несанкционированного доступа к ней, выявление возможных технических каналов утечки информации;

- разработка и осуществление технически и экономически обоснованных мероприятий по защите;

- организация и проведение контроля за состоянием системы защиты информации.

Защищать необходимо те сведения, за утечкой которых может последовать нанесение ущерба интересам личности, общества и государства в экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других сферах.

Анализ демаскирующих признаков заключается в как можно более полном изучении физических полей и сигналов, которые могут быть перехвачены техническими средствами разведки в целях добывания необходимых сведений.

Оценка возможностей иностранных технических разведок и реальной опасности утечки информации, составляющей государственную тайну, производится применительно к конкретным условиям проведения работ на основе методик, разрабатываемых под руководством Гостехкомиссии России.

Разработка и осуществление практических мер защиты - решающее условие обеспечение защиты информации. Оно реализуется путем проведения технических и организационных мероприятий. Необходимо иметь в виду, что использование организационных мер во многих случаях позволяет избежать дорогостоящих технических решений.

Организация и проведение контроля - необходимое условие осуществления эффективной защиты информации. Контроль должен строиться на следующих основных принципах: компетентность, непрерывность, всесторонность.

Контроль за состоянием защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-математических воздействий на информацию, оценки эффективности ее защиты и заключается в проверке выполнения нормативно-правовых документов по вопросам обеспечения защиты информации.

V. Общие требования к защите информации

Защита информации будет эффективной и рациональной, если выполняются следующие требования: обоснованность, надежность, достаточность, гибкость в управлении, своевременность.

Обоснованность - сложность решаемых задач, большой объем работ, а также ограниченность ресурсов вызывают необходимость глубокого научного обоснования принимаемых решений по защите информации, закладывая в решение проблем передовые научнотехнические идеи и достижения

Надежность - одно из главных требований. Обеспечивается глубокой проработкой всех вопросов защиты, эффективными мерами защиты и контроля.

Достаточность - означает необходимость поиска надежных мер защиты, избегая излишних затрат. Обеспечивается применением наиболее совершенных методов и средств защиты. Способствует соблюдению баланса интересов личности, общества и государства.

Гибкость в управлении - ввиду многочисленности защищаемых объектов и сведений, возможного резкого изменения обстановки, условий защиты и важности защищаемой информации нужна гибко управляемая структура, обеспечивающая способность прогнозирования угроз и их упреждающую нейтрализацию, оперативную и эффективную ликвидацию последствий угрозы. Обеспечивается главным образом высокой степенью автоматизации средств и систем защиты и наличием быстродействующей обратной связи.

Своевременность - диктует необходимость заблаговременной разработки мер защиты и контроля. Несвоевременность проведение мероприятий по защите может не только снизить ее эффективность, но и привести к обратному результату.

VI. Основы организации и управления защитой информации

Нормальное функционирование системы защиты информации на территории Сахалинской области возможно при создании следующих условий'

- определены приоритетные направления защиты информации в органах государственной власти и управления Сахалинской области, уточнены (разработаны) перечни сведений, подлежащих защите;

- органы государственной власти Сахалинской области участвуют в разработке законов и иных правовых актов в области защиты информации,

- работы по защите информации на территории области осуществляются под методическим руководством единого коллегиального органа,

- организовано взаимодействие подразделений по защите информации, созданных в различных предприятиях и организациях области, оказание им практической помощи, разрабатываются согласованные областные программы в области защиты информации.

- осуществляется организация и поддержка регионального сотрудничества по вопросам защиты информации

Систему защиты информации на территории Сахалинской области образуют'

- Совет по защите информации при администрации Сахалинской области,

- территориальные органы федеральных органов исполнительной власти: Управление ФСБ РФ по Сахалинской области, Управление внутренних дел Сахалинской области, Центр правительственной связи ФАПСИ при Президенте Российской Федерации в Сахалинской области, Управление ФСНП РФ по Сахалинской области, Управление Министерства юстиции Российской Федерации по Сахалинской области, Сахалинская таможня, Главное управление по делам гражданской обороны и чрезвычайным ситуациям Сахалинской области, формирования Министерства обороны и Федеральной пограничной службы, дислоцирующиеся на территории Сахалинской области;

- постоянно действующие технические комиссии по защите государственной тайны и подразделения по защите информации областных и территориальных органов исполнительной власти Сахалинской области и аппарата администрации области, органов местного самоуправления;

- предприятия, работающие со сведениями составляющими государственную и служебную тайну, выполняющие свои основные функции на территории области;

- предприятия, имеющие соответствующие лицензии и аккредитацию на оказание услуг в области защиты информации,

- предприятия, имеющие соответствующие лицензии по противодействию иностранным техническим разведкам,

- высшие учебные заведения и институты, занимающиеся подготовкой и повышением квалификации специалистов в области защиты информации.

Совет по защите государственной тайны и информации при администрации Сахалинской области является коллегиальным совещательным и консультативным органом, обеспечивающим взаимодействие всех субъектов системы защиты информации при проведении работ по защите информации и разработку комплекса мер по созданию и совершенствованию этой системы на территории области.

В соответствии с распоряжением Правительства Российской Федерации от 28 июня 2001 г. N 852-р в органах исполнительной власти (далее именуются - органы), в организациях, независимо от их организационно-правовой формы, допущенных в установленном порядке к выполнению работ, связанных с использованием сведений, составляющих государственную тайну, создаются постоянно действующие технические комиссии по защите государственной тайны (ПДТК).

ПДТК вырабатывают рекомендации руководителям органов (организаций), направленные на обеспечение решения следующих основных вопросов:

- надежное и эффективное управление системой защиты государственной тайны в органе (организации) и ее функционирование;

- своевременное выявление и закрытие возможных каналов неправомерного распространения сведений, составляющих государственную тайну;

- организация и координация работ по противодействию иностранным техническим разведкам (ПД ИТР) и технической защите информации;

- совершенствование системы физической и технической защиты объектов органов (организаций), направленной на обеспечение их безопасности.

Во всех субъектах системы защиты информации на территории Сахалинской области целесообразно создать исполнительные органы по вопросам защиты информации - подразделения (штатные специалисты) по защите информации.

В практической работе по руководству и организации защиты информации в Сахалинской области должен соблюдаться принцип сочетания коллегиальности при решении общегосударственных задач, полной самостоятельности и персональной ответственности при постановке и решении задач защиты в отдельной области деятельности.

VII. Нормативно-правовое обеспечение защиты информации

Нормативно-правовое регулирование в области защиты информации формирует самостоятельную подсистему, которая включает совокупность нормативно-правовых предписаний, достаточных для обеспечения организации структур в области информационной безопасности, координации и взаимодействия всех их уровней и звеньев в процессе создания условий информационной безопасности информационных систем, реализации совокупности методов, средств и форм деятельности системы защиты информации области.

Создание и распространение системы правовых, методологических и нормативных документов, регулирующих отношения в области защиты информации, должно происходить на основе:

- Конституции Российской Федерации, федеральных законов Российской Федерации;

- актов Президента РФ (указы, распоряжения);

- актов Правительства Российской Федерации (постановления, распоряжения);

- нормативных актов министерств и ведомств Российской Федерации, ответственных за организацию и состояние системы информационной безопасности в стране (приказы, инструкции, стандарты, лицензии, сертификаты, положения, уставы, договоры по информационной безопасности);

- законодательных и других нормативных актов органов государственной власти области

VIII. Контроль состояния защиты информации

Контроль за состоянием защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-математических воздействий на информацию, оценки эффективности ее защиты и заключается в проверке выполнения нормативно-правовых документов по вопросам обеспечения защиты информации.

Контроль организуется Государственной технической комиссией при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством внутренних дел Российской Федерации и Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, структурными и межотраслевыми подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

IX. Финансирование мероприятий по защите информации

Финансирование мероприятий по защите информации, содержащей сведения, отнесенные к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.

X. Заключение

Принятие Концепции в качестве руководящего документа предполагает в дальнейшем разработку положения о системе защиты информации, конкретных функций подразделений по защите информации, образованных в соответствии с задачами определенными концепцией, а также подробные процедуры по выполнению соответствующих функций, перечень сведений, подлежащих защите, и другие документы по защите информации.

Положение
о совете по защите информации при администрации Сахалинской области
(утв. постановлением Администрации Сахалинской области
от 19 февраля 2002 г. N 24-па)

С изменениями и дополнениями от:

6 апреля 2010 г.

Пункт 4, утвердивший настоящее Положение, утратил силу

Информация об изменениях:

См. текст Положения в предыдущей редакции

Состав
совета по защите информации при администрации Сахалинской области
(утв. постановлением Администрации Сахалинской области
от 19 февраля 2002 г. N 24-па)

С изменениями и дополнениями от:

15 июля 2004 г.

Пункт 3, утвердивший настоящий Состав, утратил силу

ГАРАНТ:

См. текст Состава в предыдущей редакции