Приложение. Распоряжение Правительства Астраханской области от 26.04.2021 N 129-Пр "О внесении изменения в распоряжение Правительства Астраханской области от 01.08.2013 N 348-Пр"

Приложение
к распоряжению Правительства
Астраханской области
от 26.04.2021 N 129-Пр

Концепция
информационной безопасности исполнительных органов государственной власти Астраханской области

1. Общие положения

1.1. Концепция информационной безопасности исполнительных органов государственной власти Астраханской области (далее - концепция) определяет цель, задачи, принципы обеспечения информационной безопасности, объекты информационной безопасности, основные угрозы, меры, методы и средства обеспечения информационной безопасности в исполнительных органах государственной власти Астраханской области.

1.2. Концепция является методологической основой для:

- формирования и проведения единой политики в области обеспечения информационной безопасности в исполнительных органах государственной власти Астраханской области;

- принятия управленческих решений и разработки практических мер по реализации политики информационной безопасности и выработки комплекса согласованных мер нормативно-правового и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

- разработки предложений по совершенствованию правового, методического, технического и организационного обеспечения информационной безопасности в исполнительных органах государственной власти Астраханской области.

1.3. Правовую основу концепции составляют Конституция Российской Федерации, указы Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", от 31.12.2015 N 683 "О Стратегии национальной безопасности Российской Федерации", от 05.12.2016 N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации", федеральные законы от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", от 28.12.2010 N 390-ФЗ "О безопасности", от 06.04.2011 N 63-ФЗ "Об электронной подписи" и иные правовые акты.

1.4. Положения концепции не распространяются на сведения, составляющие государственную тайну.

2. Цель и задачи обеспечения информационной безопасности

2.1. Целью обеспечения информационной безопасности является защита объектов информационной безопасности от угроз, указанных в разделе 5 настоящей концепции, вызванных неэффективностью процедур контроля, технологических сбоев, несанкционированных действий персонала или иных форм несанкционированного доступа к ним.

2.2. Задачами обеспечения информационной безопасности являются:

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, обрабатываемых в информационных системах;

- соблюдение требований законодательства Российской Федерации в области информационной безопасности;

- реализация государственной политики в области обеспечения информационной безопасности;

- организация и координация работ по защите информации;

- обеспечение защиты информации от несанкционированного доступа на всех этапах ее жизненного цикла;

- обеспечение непрерывного функционирования информационных систем и систем обеспечения информационной безопасности;

- своевременное прогнозирование, выявление и нейтрализация угроз информационной безопасности;

- обеспечение эффективной работы механизмов оперативного реагирования на угрозы информационной безопасности;

- организация повышения квалификации сотрудников исполнительных органов государственной власти Астраханской области в сфере информационной безопасности;

- своевременное выявление и расследование инцидентов нарушения информационной безопасности, восстановление актуального состояния информации, информационных систем и информационной инфраструктуры;

- мониторинг состояния защищенности информации.

3. Принципы обеспечения информационной безопасности

Обеспечение информационной безопасности осуществляется на основе следующих принципов:

- законности - осуществления защитных мероприятий и разработки системы обеспечения информационной безопасности в соответствии с законодательством Российской Федерации;

- комплексности - всестороннего обеспечения информационной безопасности, то есть использования всех доступных законных программно-технических, организационных, правовых и других мер обеспечения информационной безопасности;

- своевременности - упреждающего характера мер защиты информации, достигающегося параллельной разработкой и развитием мер защиты информации, а также реагирования на инциденты нарушения информационной безопасности в кратчайшие сроки адекватно степени опасности инцидента;

- системности - подхода к построению системы обеспечения информационной безопасности с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, имеющих существенное значение для понимания и решения проблем обеспечения информационной безопасности, включающего фазы планирования, реализации, контроля и совершенствования;

- непрерывности - постоянного поддержания работоспособности и развития системы обеспечения информационной безопасности;

- персональной ответственности - ответственности в пределах должностных обязанностей за несоблюдение требований по защите информации;

- минимизации полномочий - предоставления прав доступа сотрудникам исполнительных органов государственной власти Астраханской области к информационным ресурсам в объеме, достаточном для выполнения их должностных обязанностей;

- унифицированности - унификации принципов, правил, процедур, требований и технических решений по обеспечению информационной безопасности;

- простоты - понятности порядка действий и процесса использования средств обеспечения информационной безопасности и защиты информации.

4. Объекты информационной безопасности

К объектам информационной безопасности в исполнительных органах государственной власти Астраханской области относятся:

- информационные ресурсы, содержащие конфиденциальную информацию (служебную тайну, коммерческую тайну, персональные данные и прочую информацию ограниченного доступа), а также открытую (общедоступную) информацию;

- информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе информационные системы и средства защиты информации.

5. Основные угрозы информационной безопасности

5.1. Угроза информационной безопасности - совокупность факторов и условий, создающих опасность нарушения информационной безопасности.

5.2. Источники угроз информационной безопасности разделяются на угрозы, источник которых расположен вне контролируемой зоны (внешние), и угрозы, источник которых расположен в пределах контролируемой зоны (внутренние).

5.3. К внешним угрозам информационной безопасности относятся:

- деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных систем и информационной инфраструктуры;

- перехват и утечка информации по техническим каналам;

- неконтролируемое самопроизвольное распространение компьютерных вирусов и иных вредоносных программ;

- стихийные бедствия, катастрофы, пожары и аварии.

5.4. К внутренним угрозам информационной безопасности относятся:

- невыполнение требований законодательства Российской Федерации и несвоевременное принятие необходимых правовых актов, регламентирующих деятельность в сфере информационной безопасности;

- нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, создающие предпосылки к утечке либо разглашению сведений конфиденциального характера;

- внедрение несовершенных или устаревших информационных технологий и средств информатизации;

- умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;

- отказы, сбои, неисправности, несогласованности инженерно-технических, программных и системно-прикладных средств защиты объектов информационной безопасности;

- использование не сертифицированных в соответствии с требованиями законодательства Российской Федерации средств информатизации и связи, а также средств защиты информации;

- привлечение к работам по созданию, развитию и защите информационных систем организаций, не имеющих лицензии на данный вид деятельности.

6. Основные элементы организационной структуры системы обеспечения информационной безопасности

6.1. Система обеспечения информационной безопасности представляет собой совокупность организационных и технических мероприятий для защиты информации от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных воздействий.

6.2. Структура, состав и основные функции системы обеспечения информационной безопасности определяются исходя из класса защищенности информационной системы и уровня значимости информации.

6.3. В каждом исполнительном органе государственной власти Астраханской области назначаются следующие сотрудники:

- лицо, ответственное за обеспечение защиты информации (в должности не ниже заместителя руководителя исполнительного органа государственной власти Астраханской области);

- лицо, ответственное за организацию обработки персональных данных (в должности не ниже заместителя руководителя исполнительного органа государственной власти Астраханской области);

- администратор безопасности информации (сотрудник исполнительного органа государственной власти Астраханской области, отвечающий за информационную безопасность).

Руководитель исполнительного органа государственной власти Астраханской области несет ответственность за организацию работ по обеспечению информационной безопасности.

6.4. Меры по обеспечению информационной безопасности призваны обеспечить:

- конфиденциальность информации;

- целостность информации;

- доступность информации.

6.5. Перечень необходимых мер защиты информации определяется по результатам обследования информационной системы.

6.6. Стадии создания системы обеспечения информационной безопасности включают:

- предпроектную стадию, включающую предпроектное обследование информационной системы, разработку технического задания на создание системы обеспечения информационной безопасности;

- стадию проектирования и реализации системы обеспечения информационной безопасности, включающую разработку технического проекта на построение системы обеспечения информационной безопасности;

- стадию ввода в действие системы обеспечения информационной безопасности, включающую опытную эксплуатацию и приемо-сдаточные испытания системы обеспечения информационной безопасности, а также оценку соответствия информационной системы требованиям безопасности информации.

7. Меры, методы и средства обеспечения информационной безопасности

7.1. Анализ технических, структурных, эксплуатационных и иных особенностей информационных систем имеет значение для организации и внедрения надежной системы обеспечения информационной безопасности.

При выборе и использовании комплекса мер, методов и средств защиты информации, необходимых для обеспечения безопасности информации в конкретных информационных системах, учитываются:

- наличие конфиденциальной информации;

- условия размещения и эксплуатации технических средств;

- способы обработки данных в информационной системе;

- особенности обработки и пересылки информации в электронном виде;

- количество пользователей и способы организации их работы с информационной системой;

- способы хранения информации.

7.2. Проблема обеспечения информационной безопасности может быть решена в результате комплексного применения всех мер защиты, включающих в себя:

- правовые меры обеспечения информационной безопасности;

- организационные меры обеспечения информационной безопасности;

- физические меры обеспечения информационной безопасности;

- технические меры обеспечения информационной безопасности.

К правовым мерам обеспечения информационной безопасности относятся действующие в Российской Федерации правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения принятых в них правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

К организационным мерам обеспечения информационной безопасности относятся меры организационного характера, регламентирующие процессы функционирования информационных систем, использование их ресурсов, деятельность сотрудников и сторонних организаций, а также порядок взаимодействия пользователей с информационными системами таким образом, чтобы в наибольшей степени затруднить либо исключить возможность реализации угроз информационной безопасности, снизить размер потерь в случае реализации угроз.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам объектов информатизации и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Технические меры обеспечения информационной безопасности основываются на использовании аппаратных и программных средств, входящих в состав информационных систем и выполняющих самостоятельно или в комплексе с другими средствами функции защиты.

7.3. С учётом всех требований и принципов обеспечения информационной безопасности в информационных системах по всем направлениям защиты могут быть включены следующие средства:

- средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей;

- средства разграничения доступа зарегистрированных пользователей к ресурсам;

- средства обеспечения и контроля целостности программных и информационных ресурсов;

- средства оперативного контроля и регистрации событий безопасности;

- средства обнаружения и предотвращения вторжений;

- средства анализа защищенности;

- средства межсетевого экранирования;

- антивирусные средства;

- средства криптографической защиты информации.

8. Контроль состояния информационной безопасности

8.1. Контроль состояния информационной безопасности осуществляется с целью получения объективных оценок текущего состояния защиты информации, оценки эффективности применяемых мер и технических решений, оказания методической помощи по организации работы по обеспечению информационной безопасности.

8.2. Исполнительные органы государственной власти Астраханской области осуществляют внутренний контроль состояния информационной безопасности. Контроль осуществляется сотрудником исполнительного органа государственной власти Астраханской области, назначенным администратором безопасности, с возможным привлечением иных сотрудников исполнительного органа государственной власти Астраханской области.

8.3. Министерство государственного управления, информационных технологий и связи Астраханской области в рамках своих полномочий осуществляет мониторинг исполнения в исполнительных органах государственной власти Астраханской области нормативных правовых актов Российской Федерации, нормативных правовых актов Губернатора Астраханской области и Правительства Астраханской области, а также основополагающих нормативно-методических документов Федеральной службы по техническому и экспортному контролю, регламентирующих вопросы организации сохранности информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.