Постановление Губернатора Магаданской области от 04.10.2002 № 207
Об утверждении Концепции информационной безопасности Магаданской области
Р о с с и й с к а я Ф е д е р а ц и я М А Г А Д А Н С К А Я О Б Л А С Т Ь Г У Б Е Р Н А Т О Р П О С Т А Н О В Л Е Н И Еот 04.10.2002 № 207г. МагаданОб утверждении Концепцииинформационной безопасностиМагаданской области В соответствии с Законом Российской Федерации от 21.07.93 №5485-1 "О государственной тайне" ПОСТАНОВЛЯЮ: утвердить прилагаемую Концепцию информационной безопасностиМагаданской области. Губернатор В.И.ЦветковУТВЕРЖДЕНАпостановлениемгубернатора областиот_04.10.2002 № 207 КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МАГАДАНСКОЙ ОБЛАСТИ 1. Общие положения Концепция информационной безопасности Магаданской области(далее Концепция) представляет собой официально принятую системувзглядов на проблему обеспечения информационной безопасностиобласти и служит методологической основой для: - проведения государственной политики Российской Федерации вобласти обеспечения информационной безопасности области; - разработки стратегии информационной безопасности области,включая цели, задачи и комплекс мер по ее практической реализации; - подготовки предложений по совершенствованию правового,нормативно-методического, научно-технического и организационногообеспечения информационной безопасности; - разработки программ защиты информационных ресурсов областии средств информатизации. Основные термины и определения, используемые в Концепцииприведены в приложении № 1. 2. Система информационной безопасности Магаданской области Под системой защиты информации понимается совокупностьорганов защиты государственной и служебной тайны, используемые имисредства и методы (Закон Российской Федерации "О государственнойтайне", ст. 2). Основные вопросы национальных интересов Российской Федерациив целом и Магаданской области в частности состоят из четырехсоставляющих. Первая составляющая включает в себя соблюдениеконституционных прав и свобод человека и гражданина в областиполучения информации и пользования ею, обеспечение духовногообновления России, сохранение и укрепление нравственных ценностейобщества, традиций патриотизма и гуманизма, культурного и научногопотенциала страны в целом и Магаданской области в частности. Вторая составляющая включает в себя информационноеобеспечение государственной политики страны, связанное сдоведением до российской и международной общественности в целом иМагаданской области в частности, достоверной информации огосударственной политике, ее официальной позиции по социальнозначимым событиям российской и международной жизни, с обеспечениемдоступа граждан к открытым государственным информационнымресурсам. Третья составляющая включает в себя развитие современныхинформационных технологий, отечественной индустрии информации, втом числе индустрии средств информатизации, телекоммуникации исвязи, обеспечение потребностей внутреннего рынка ее продукцией ивыход этой продукции на мировой рынок, также обеспечениенакопления, сохранности и эффективного использования отечественныхинформационных ресурсов страны в целом и Магаданской области вчастности. В современных условиях только на этой основе можнорешать проблемы создания наукоемких технологий, технологическогоперевооружения промышленности, приумножения достиженийотечественной науки и техники. Россия должна занять достойноеместо среди мировых лидеров микроэлектронной и компьютернойпромышленности. Четвертая составляющая включает в себя защиту информационныхресурсов от несанкционированного доступа, обеспечение безопасностиинформационных и телекоммуникационных систем, как уже развернутых,так и создаваемых на территории страны в целом и Магаданскойобласти в частности. В основу организационной структуры системы информационнойбезопасности области положен принцип разделения прав иобязанностей между субъектами обеспечения защиты информационныхресурсов, с сочетанием коллегиальности при решении областныхзадач, самостоятельности и персональной ответственности прирешении задач информационной безопасности в отдельных областяхдеятельности, на отдельных предприятиях и организациях. Система информационной безопасности области является частьюГосударственной системы защиты информации и состоит из: - управлений Федеральной службы безопасности, Федеральногоагентства правительственной связи и информации, Гостехкомиссии иих органов по информационной безопасности в Дальневосточномфедеральном округе; - предприятий Дальневосточного федерального округа,специализирующихся на проведении работ в области информационнойбезопасности (осуществляющие лицензирование деятельности,аттестацию объектов, сертификацию средств защиты информации,оказание услуг в области защиты информации); - головных и ведущих научно-исследовательских,научно-технических, проектных и конструкторских организацийДальневосточного федерального округа; - высших учебных заведений и институтов повышенияквалификации в области информационной безопасностиДальневосточного федерального округа; - совета по информационной безопасности при губернатореобласти (коллегиальный орган); - областного Управления Федеральной службы безопасности,областных структур Федерального агентства правительственной связии информации, Министерства внутренних дел, Министерства обороны,органов судебной власти; - структурных подразделений по обеспечению информационнойбезопасности в органах государственной власти области и местногосамоуправления, предприятий, организаций и учреждений; - подразделений по защите информации (штатные специалистыструктурных подразделений, обеспечивающих информационнуюбезопасность предприятий, учреждений и организаций) проводящихработы с использованием сведений составляющих государственнуютайну и конфиденциального характера; - постоянно действующих технических комиссий (ПДТК) по защитегосударственной тайны в органах исполнительной власти субъектовРоссийской Федерации, предприятиях, организациях (коллегиальныйорган). 3. Система информационной безопасности администрации Магаданской области В основу организационной структуры системы информационнойбезопасности администрации области положен принцип разделения прави обязанностей между субъектами обеспечения защиты информационныхресурсов, такими как: - губернатор (первый заместитель губернатора) области; - совет по информационной безопасности при губернатореобласти; - постоянно действующие технические комиссии (ПДТК) по защитегосударственной тайны; - структурные подразделения по информационной безопасности; - уполномоченные по вопросам информационной безопасности вструктурных подразделениях администрации области; - службы режима и секретного делопроизводства. Губернатор (первый заместитель губернатора) областиосуществляет общее руководство организацией и состоянием системыинформационной безопасности. Совет по информационной безопасности при губернаторе области,образован в соответствии с решением Гостехкомиссии России от 14марта 1995 г. № 32. Данным решением также одобрено "Типовоеположение о Совете (Технической комиссии) министерства, ведомства,органа государственной власти субъекта Российской Федерации позащите информации от иностранных технических разведок и от ееутечки по техническим каналам". Решение об образовании Совета, его Положение и персональныйсостав утвержден постановлением губернатора области от 15.11.2001г. № 450-р "О Совете по защите информации при губернатореобласти", от 22.11.2001 г. № 229 "О Положении о Совете поинформационной безопасности при губернаторе области". Совет возглавляет заместитель губернатора области, накоторого возложено руководство работами по защите информации. Всостав Совета входят, представители государственных органовобеспечения безопасности Российской Федерации (ФСБ, ФАПСИ, МВД,ФПС), а также других структур системы защиты информации. Среди основных задач и функций Совета выделяются следующие: - определение концептуальных подходов к обеспечению защитыинформации в регионе; - рассмотрение, анализ и координация хода выполненияпостановлений и решений Правительства Российской Федерации,решений Гостехкомиссии России по технической защите информации(ТЗИ) и государственной тайны; - рассмотрение результатов контроля, вопросовматериально-технического обеспечения, выработка рекомендаций посовершенствованию действующей системы защиты информации в регионеи другие. Совет работает по годовым планам. Периодичность созыва Советаопределяется его председателем. Решения принимаются в ходеоткрытого голосования, простым большинством голосов присутствующихчленов Совета. После утверждения главой администрации субъектаРоссийской Федерации, решения Совета доводятся до исполнителей идругих заинтересованных организаций в части их касающейся иявляются обязательными для исполнения. Постоянно действующие технические комиссии (ПДТК) создаютсяво исполнение распоряжения Правительства Российской Федерации от28 июня 2001 г. № 852-р в федеральных органах исполнительнойвласти, органах исполнительной власти субъектов РоссийскойФедерации, в организациях независимо от их организационно-правовойформы, допущенных в установленном порядке к выполнению работ,связанных с использованием сведений, составляющих государственнуютайну, по решению их руководителей. Положение о ПДТК по защите государственной тайны утвержденосовместным приказом Гостехкомиссии России и Федеральной службойбезопасности Российской Федерации от 28 июля 2001 г. № 309/405. ПДТК в администрации области, ее Положение и персональныйсостав утвержден распоряжением губернатора области от 13.11.2001г. № 446-р "О составе постоянно действующей технической комиссиипо защите государственной тайны в администрации области", от23.11.2001 г. № 231 "Об утверждении Положения о постояннодействующей технической комиссии по защите государственной тайныадминистрации области". Основными функциями и задачами ПДТК являются выработкарекомендаций руководителям органов (организаций), направленных нарешение двух основных вопросов. Во-первых, по совершенствованиюуправления системой защиты государственной тайны. Во-вторых,координация работ по противодействию иностранным техническимразведкам и технической защите информации. Методическое руководство деятельностью ПДТК в пределах своейкомпетенции осуществляет Межведомственная комиссия по защитегосударственной тайны и федеральные органы исполнительной власти. ПДТК - коллегиальный орган, в состав которого включаютсяспециалисты профилирующих структурных подразделений органа,специалисты подразделений по защите государственной тайны,специалисты подразделений по противодействию иностраннымтехническим разведкам и технической защите информации (ПДИТР иТЗИ), специалисты подразделений по физической защите объекта (приих наличии). Председателем ПДТК назначается один из заместителейруководителя органа. Положение о ПДТК, его численность и персональный составобъявляются в приказе руководителя органа (постановление главыадминистрации исполнительный власти). Назначаются заместитель ПДТКи секретарь (может быть введена штатная должность секретаря ПДТК). Деятельность ПДТК организуется в соответствии сперспективными и текущими планами работы ПДТК. Заседания ПДТК проводятся не реже одного раза в полгода, еерезультаты оформляются протоколами. Выработанные на заседаниях ПДТК рекомендации могут бытьобъявлены в приказах руководителей органов. Итоги работы ПДТК отражаются в годовых отчетах органов осостоянии защиты государственной тайны.Подразделение по защите информации. В соответствии с п. 18 "Положения о государственной системезащиты информации в Российской Федерации от ИТР и от ее утечки потехническим каналам" 1993 года в зависимости от объема работ позащите информации, руководителем предприятия (администрации)создается структурное подразделение по защите информации, либоназначаются штатные специалисты по этим вопросам. Типовые положения о подразделении по защите информации от ИТРи от ее утечки по техническим каналам в министерствах иведомствах, в органах государственной власти субъектов РоссийскойФедерации одобрено решением Гостехкомиссии России от 14 марта 1995г. № 32. Подразделение по защите информации может входить, поусмотрению главы администрации органа государственной властисубъекта Российской Федерации, в состав одного из специальныхуправлений. Подразделение по защите информации является самостоятельнымструктурным подразделением и проводит свою работу под методическимруководством Гостехкомиссии России. Структурные подразделения по информационной безопасностиосуществляет свою работу в соответствии с функциями, определеннымиположением о подразделении информационной безопасности. Уполномоченные по вопросам информационной безопасности(администраторы информационной безопасности) - лица, ответственноеза функционирование автоматизированных систем в установленномштатном режиме работы и защиту АС от несанкционированного доступак информации. Они назначаются приказом по организации. Наадминистраторов информационной безопасности и руководителейсоответствующих подразделений, определенных приказом поорганизации, возлагается контроль за исполнением мероприятий пообеспечению защиты информации. Службы режима и секретного делопроизводства организуют режимсекретности на предприятиях (в учреждениях) и обеспечивают егострогое соблюдение. Разрабатывают и осуществляют мероприятия пообеспечению режима секретности при ведении секретногоделопроизводства и осуществляют контроль за его соблюдением.Осуществляют координацию деятельности других подразделенийучреждения (предприятия) в части обеспечения сохранностигосударственных секретов. Ответственность за обеспечение информационной безопасностипри проведении работ, связанных с хранением, обработкой ипередачей информации в структурных подразделениях администрацииобласти возлагается на руководителей соответствующих управлений,комитетов, департаментов и отделов. 4. Цели и задачи информационной безопасности Основные цели информационной безопасности определяются набазе устойчивых приоритетов национальной безопасности, отвечающихдолговременным задачам общественного развития. В соответствии с этими приоритетами основными целямиинформационной безопасности являются: - защита информационных ресурсов от несанкционированногодоступа, обеспечение безопасности информационных ителекоммуникационных систем; - обеспечение органов государственной власти и управления,предприятий и граждан достоверной, полной и своевременнойинформацией, необходимой для принятия решений, а такжепредотвращение нарушений целостности и незаконного использованияинформационных ресурсов; - реализация прав граждан, организаций и государства наполучение, распространение и использование информационныхресурсов. Целью информационной безопасности области в широком смыслеявляется обеспечение рационального использования информационныхресурсов области для достижения максимального эффекта во всехсферах государственной деятельности. К основным задачам обеспечения информационной безопасностиотносится: - выявление, оценка и прогнозирование источников угрозинформационной безопасности, комплекса мероприятий и механизмов еереализации; создание нормативно-правовой базы обеспеченияинформационной безопасности, координация деятельности органовгосударственной власти и управления, предприятий по обеспечениюинформационной безопасности; - повышение безопасности информационных систем, включая сетисвязи, прежде всего органов власти, финансово-кредитной ибанковской сфер, безусловное обеспечение защиты сведений,составляющих государственную тайну; - развитие системы обеспечения информационной безопасности иуправления, совершенствование ее организации, форм, методов исредств предотвращения, парирования, нейтрализации угрозинформационной безопасности и ликвидации последствий ее нарушения. 5. Объекты обеспечения информационной безопасности Объекты информационной безопасности - это компонентыинформационной сферы, угрозы которым представляют опасность дляинтересов области в частности и национальных интересов страны вцелом. Объектами информационной безопасности являются: - информационные ресурсы, вне зависимости от форм хранения,содержащие информацию, составляющую государственную тайну,коммерческую тайну и другую конфиденциальную информацию, а такжеоткрытую информацию и знания; - система формирования, распространения и использованияинформационных ресурсов, включающая в себя информационные системыразличного класса и назначения, библиотеки, архивы, базы и банкиданных, информационные технологии, регламенты и процедуры сбора,обработки, хранения и передачи информации, научно-технический иобслуживающий персонал; - информационная инфраструктура, включающая центры обработкии анализа информации, каналы информационного обмена ителекоммуникации, механизмы обеспечения функционированиятелекоммуникационных систем и сетей, в том числе системы исредства защиты информации; - средства массовой информации; - права граждан и юридических лиц и государства на получение,распространение и использование информации, защитуконфиденциальной информации и интеллектуальной собственности. 5. 1. Объекты обеспечения информационной безопасности в сфере экономикиВоздействию угроз информационной безопасности в сфере экономикинаиболее подвержены: - система государственной статистики; - кредитно-финансовая система; - информационные и учетные автоматизированные системыподразделений органов исполнительной власти, обеспечивающихдеятельность в сфере экономики; - системы бухгалтерского учета предприятий, учреждений иорганизаций независимо от формы собственности; - системы сбора, обработки, хранения и передачи финансовой,налоговой, таможенной информации в области. 5. 2. Объекты обеспечения информационной безопасности в сферевнешней политики К наиболее важным объектам обеспечения информационнойбезопасности в сфере внешней политики относятся:- информационные ресурсы представительств федеральных органов исполнительной власти, реализующих внешнюю политикуРоссийской Федерации, на территории области; - информационные ресурсы предприятий, учреждений иорганизаций, подведомственных федеральным органам исполнительнойвласти, реализующим внешнюю политику Российской Федерации. 5. 3. Объекты обеспечения информационной безопасности вусловиях чрезвычайных ситуаций Наиболее уязвимыми объектами обеспечения информационнойбезопасности в условиях чрезвычайных ситуаций являются системапринятия решений по оперативным действиям, связанным с развитиемтаких ситуаций и ходом ликвидации их последствий, а также системасбора и обработки информации о возможном возникновениичрезвычайных ситуаций.5. 4. Объекты обеспечения информационной безопасности в сфереобороныК объектам обеспечения информационной безопасности в сфере обороныможно отнести: - информационные ресурсы, системы связи и информационнаяинфраструктура воинских формирований и органов. 5. 5. Объекты обеспечения информационной безопасности винформационных и телекоммуникационных системах Основными объектами обеспечения информационной безопасности винформационных и телекоммуникационных системах являются: - информационные ресурсы, содержащие сведения, отнесенные кгосударственной тайне, и конфиденциальную информацию; - средства и системы информатизации (средства вычислительнойтехники, информационно-вычислительные комплексы, сети и системы),программные средства (операционные системы, системы управлениябазами данных, другое общесистемное и прикладное программноеобеспечение), автоматизированные системы управления, системы связии передачи данных, осуществляющие прием, обработку, хранение ипередачу информации ограниченного доступа, их информативныефизические поля; - технические средства и системы, обрабатывающие открытуюинформацию, но размещенные в помещениях, в которых обрабатываетсяинформация ограниченного доступа, а также сами помещения,предназначенные для обработки такой информации; - помещения, предназначенные для проведения закрытыхпереговоров, а также переговоров, в ходе которых оглашаютсясведения ограниченного доступа. 5. 6. Объекты обеспечения информационной безопасности вправоохранительной и судебной сферах К наиболее важным объектам обеспечения информационнойбезопасности в правоохранительной и судебной сферах относятся: - информационные ресурсы органов исполнительной власти,реализующих правоохранительные функции, судебных органов,содержащие сведения и оперативные данные служебного характера; - информационно-вычислительные центры, их информационное,техническое, программное и нормативное обеспечение; - информационная инфраструктура (информационно-вычислительныесети, пункты управления, узлы и линии связи). 5. 7. Объекты обеспечения информационной безопасности в сферевнутренней политики Наиболее важными объектами обеспечения информационнойбезопасности в сфере внутренней политики являются: - конституционные права и свободы человека и гражданина; - открытые информационные ресурсы органов исполнительнойвласти и средств массовой информации.5. 8. Объекты обеспечения информационной безопасности в сфередуховной жизниК числу основных объектов обеспечения информационной безопасности в сфере духовной жизни относятся; - свобода массовой информации; - неприкосновенность частной жизни, личная и семейная тайна. 6. Угроза информационной безопасности 6. 1. Угрозы безопасности информационных ителекоммуникационных сетей Угрозами безопасности информационных и телекоммуникационныхсистем являются: - противоправный сбор и использование информации; - утечка по техническим каналам; - внедрение электронных устройств для перехвата информации втехнических средствах обработки, хранения и передачи информации поканалам связи, а также в служебных помещениях органов власти,организаций, предприятий и учреждений; - компроментация ключей и средств криптографической защитыинформации; - использование несертифицированных средств информатизации изащиты информации. - нарушения технологии обработки информации (установленногорегламента сбора, обработки и передачи информации, преднамеренныедействия и ошибки персонала, отказ технических средств и сбоипрограммного обеспечения); - внедрение в аппаратные и программные изделия компонентов,реализующих не предусмотренные документацией на эти изделияфункции; - разработка и распространение программ, нарушающихнормальное функционирование информационных иинформационно-телекоммуникационных систем, в том числе и системзащиты информации; - уничтожение, повреждение, радиоэлектронное подавление илиразрушение средств и систем обработки информации, телекоммуникациии связи; - воздействие на парольно-ключевые системы защитыавтоматизированных систем обработки и передачи информации; - уничтожение, повреждение, разрушение или хищение машинных идругих носителей информации; - перехват информации в сетях передачи данных и линиях связи,дешифрование этой информации и навязывание ложной информации; - несанкционированный доступ к информации, находящейся вбанках и базах данных; нарушение законных ограничений нараспространение информации; - деятельность специальных служб иностранных государств,преступных сообществ, организаций и групп, противозаконнаядеятельность отдельных лиц, направленная на получениенесанкционированного доступа к информации и осуществление контроляза функционированием информационных и телекоммуникационных сетей; - привлечение к работам по созданию, развитию и защитеинформационных и телекоммуникационных систем организаций и фирм,не имеющих государственной лицензии на осуществление этих видовдеятельности. Источники угроз информационной безопасности подразделяются навнешние и внутренние. К внешним источникам относятся: - недружественная политика иностранных государств в областиинформационного мониторинга, распространения информации и новыхинформационных технологий; - деятельность иностранных разведывательных и специальныхслужб; - деятельность иностранных экономических структур,направленная против интересов области в частности и РоссийскойФедерации в целом; - преступные действия международных террористических групп иорганизаций, формирований и отдельных лиц; - стихийные бедствия и катастрофы. Внутренними источниками являются: - противозаконная деятельность политических и экономическихструктур и отдельных лиц в области формирования, распространения ииспользования информации; - неправомерные действия государственных структур, приводящиек нарушению законных прав граждан и организаций в информационнойсфере; - нарушения установленных регламентов сбора, обработки ипередачи информации; - преднамеренные действия и непреднамеренные ошибки персоналаинформационных систем, приводящие к утечке, уничтожению,искажению, подделке, блокированию, задержке, несанкционированномукопированию информации; - отказы технических средств и сбои программного обеспеченияв информационных и телекоммуникационных системах; - каналы побочных электромагнитных излучений средстввычислительной техники; - закупка органами государственной власти импортных средствинформатизации, телекоммуникации и связи при наличии отечественныханалогов, не уступающих по своим характеристикам зарубежнымобразцам; - внедрение в аппаратные и программные изделия компонентов,реализующих функции, не предусмотренные документацией на этиизделия; - разработка и распространение программ, нарушающихнормальное функционирование информационных иинформационно-телекоммуникационных систем, в том числе системзащиты информации; - использование несертифицированных отечественных изарубежных информационных технологий, средств защиты информации,средств информатизации, телекоммуникации и связи при создании иразвитии информационной инфраструктуры; - нарушение законных ограничений на распространениеинформации; - недостаточное финансирование мероприятий по обеспечениюинформационной безопасности области. 6. 2. Угрозы конституционным правам и свободам человека игражданина в области духовной жизни и информационной деятельности - принятие федеральными органами государственной власти,органами государственной власти области нормативных актов,ущемляющих конституционные права и свободы граждан в областидуховной жизни и информационной деятельности; - противодействие, в том числе со стороны криминальныхструктур, реализации гражданами своих конституционных прав наличную и семейную тайну, тайну переписки, телефонных переговоров ииных сообщений; - нерациональное, чрезмерное ограничение доступа кобщественно необходимой информации; - неисполнение органами государственной власти, какфедерального, так и областного уровня, органами местногосамоуправления, организациями и гражданами требований федеральногозаконодательства в информационной сфере; - неправомерное ограничение доступа граждан к открытыминформационным ресурсам органов государственной власти, органовместного самоуправления, к открытым архивным материалам и другойсоциально значимой информации; 6. 3. Угрозы информационному обеспечению государственной политики - блокирование деятельности государственных средств массовойинформации по информированию аудитории; - низкая эффективность информационного обеспечениягосударственной политики РФ вследствие дефицита квалифицированныхкадров, отсутствия системы формирования и реализациигосударственной информационной политики. 6. 4. Угрозы информационной безопасности в сфере экономики - компьютерные преступления, связанные с проникновениемкриминальных элементов в компьютерные системы и сети банков и иныхфинансовых и кредитных организаций; - разглашение информации, содержащей сведения ограниченногораспространения; - противоправное копирование информации и ее искажениевследствие преднамеренных или случайных нарушений технологииработы с информацией, несанкционированного доступа к ней всистемах сбора, обработки и хранения финансовой, налоговой,таможенной информации. 6. 5. Угрозы информационной безопасности в условияхчрезвычайных ситуаций Сокрытие, задержка поступления, искажение и разрушениеоперативной информации, несанкционированный доступ к ней отдельныхлиц или групп лиц могут привести как к человеческим жертвам, так ик возникновению разного рода сложностей при ликвидации последствийчрезвычайной ситуации, связанных с особенностями информационноговоздействия в экстремальных условиях: - приведение в движение больших масс людей, испытывающихпсихический стресс; - к быстрому возникновению и распространению среди них паникии беспорядков на основе слухов, ложной или недостовернойинформации. 6. 6. Угрозы информационной безопасности в правоохранительнойи судебной сферах - деятельность иностранных государственных и частныхкоммерческих структур, стремящихся получить несанкционированныйдоступ к информационным ресурсам правоохранительных и судебныхорганов; - нарушение установленного регламента сбора, обработки,хранения и передачи информации, содержащейся в картотеках иавтоматизированных банках данных и использующейся длярасследования преступлений; - отсутствие единой методологии сбора, обработки и храненияинформации оперативно-розыскного, справочного, криминалистическогои статистического характера. 6. 7. Угрозы информационной безопасности в сфере внутренней политики - нарушение конституционных прав и свобод граждан,реализуемых в информационной среде; - недостаточное правовое регулирование отношений в областиправ различных политических сил на использование средств массовойинформации для пропаганды своих идей. 6. 8. Угрозы информационной безопасности в сфере духовной жизни - возможность нарушения общественной стабильности, нанесениевреда здоровью и жизни граждан вследствие деятельности религиозныхобъединений, проповедующих религиозный фундаментализм, а такжетоталитарных религиозных сект; - неспособность современного гражданского общества обеспечитьформирование у подрастающего поколения и поддержание в обществеобщественно необходимых нравственных ценностей, патриотизма игражданской ответственности. 7. Методы и средств обеспечения информационной безопасности В соответствии с Доктриной информационной безопасностиРоссийской Федерации, утвержденной Президентом РоссийскойФедерации ПР-1895 от 09.09.2000 г. следующие методы: - правовые: разработка нормативных правовых актов,регламентирующих отношения в информационной сфере, и нормативныхметодических документов по вопросам обеспечения информационнойбезопасности; - организационно-технические: создание и совершенствованиесистемы обеспечения информационной безопасности; усилениеправоприменительной деятельности органов исполнительной власти,включая предупреждение и пресечение правонарушений в информационносфере, а также выявление, изобличение и привлечение кответственности лиц, совершивших преступления и другиеправонарушения в этой сфере, разработка и использование средствзащиты информации и методов контроля эффективности этих средств,развитие защищенных телекоммуникационных систем, повышениенадежности специального программного обеспечения; создание системи средств предотвращения несанкционированного доступа кобрабатываемой информации и специальных воздействий, вызывающихразрушение, уничтожение, искажение информации, а также изменениештатных режимов функционирования систем и средств информатизации исвязи; выявление технических устройств и программ, представляющихопасность для нормального функционированияинформационно-телекоммуникационных систем, предотвращениеперехвата информации по техническим каналам, применениекриптографических средств защиты информации при ее хранении ипередаче по каналам связи, контроль за выполнением специальныхтребований по защите информации; сертификация средств защитыинформации, лицензирование деятельности в области защитыгосударственной тайны, стандартизация способов и средств защитыинформации; контроль за действиями персонала в защищенныхинформационных системах, подготовка кадров в области обеспеченияинформационной безопасности; -экономические: разработка программ обеспеченияинформационной безопасности области и определение порядка ихфинансирования; совершенствование системы финансирования работ,связанных с реализацией правовых и организационно-техническихметодов защиты информации, создание системы страхованияинформационных рисков физических и юридических лиц. 8. Сотрудничество с другими предприятиями, учреждениями и организациями в сфере информационной безопасности 8. 1. Взаимодействие в вопросах защиты информацииосуществляется в соответствии с планами взаимодействия,согласованными с руководителями взаимодействующих организаций(Государственной технической комиссией при Президенте РоссийскойФедерации, управлением Государственной технической комиссии приПрезиденте Российской Федерации по Дальневосточному федеральномуокругу, управлением ФСБ по Магаданской области, ЦПС ФАПСИ вМагаданской области и УВД Магаданской области). 8. 2. Взаимодействие с Государственной технической комиссиейпри Президенте Российской Федерации, управлением Государственнойтехнической комиссии при Президенте Российской Федерации поДальневосточному федеральному округу, управлением ФСБ поМагаданской области, ЦПС ФАПСИ в Магаданской области и УВДМагаданской области осуществляется в соответствии со схемойвзаимодействия (приложение № 8) в вопросах: - координации деятельности по обеспечению технической защитыинформации в аппарате Администрации, органах местногосамоуправления, на предприятиях, в учреждениях и организацияхМагаданской области; - развития сил, средств и возможностей технических разведок,выявления угроз безопасности информации; - противодействия добывания информации техническимисредствами разведки, предотвращения утечки информации потехническим каналам, несанкционированного доступа к ней,специальных воздействий на информацию в целях ее уничтожения,искажения и блокирования; - контроля, в пределах своих полномочий, деятельности потехнической защите информации в аппарате Администрации, органахместного самоуправления, на предприятиях, в учреждениях иорганизациях Магаданской области; - осуществления методического руководства по обеспечениютехнической защиты информации в аппарате Администрации, органахместного самоуправления, на предприятиях, в учреждениях иорганизациях Магаданской области; - обеспечения проведения оперативно-розыскной деятельности накоммуникационных сетях и в выделенных помещениях; - обеспечения защиты информации, циркулирующей в локальныхвычислительных сетях, магнитных и бумажных носителях; - обеспечения криптографической и инженерно-техническойбезопасности; - лицензирования и сертификации, в пределах своейкомпетенции, систем, комплексов телекоммуникаций, помещений иработ, связанных с защитой информации; - состояния криптографической и инженерно-техническойбезопасности шифрованной связи. 9. Нормативно - правовое обеспечение информационной безопасности Нормативно-правовое регулирование в области информационнойбезопасности формирует самостоятельную подсистему, котораявключает совокупность нормативно-правовых предписаний, достаточныхдля обеспечения организации структур в области информационнойбезопасности, координации и взаимодействия всех их уровней извеньев в процессе создания условий информационной безопасностиинформационных систем, реализации совокупности методов, средств иформ деятельности системы информационной безопасности области.(Основные нормативно-правовые акты и методические документы позащите информации перечислены в приложении № 2). Правовая основа в осуществлении информационной безопасностиявляется гарантом законности. Создание и распространение системыправовых, методологических и нормативных документов, регулирующихотношения в области информационной безопасности Магаданскойобласти, должно происходить на основе: - Конституции Российской Федерации, федеральных законовРоссийской Федерации; - актов Президента Российской Федерации (указы,распоряжения); - актов Правительства Российской Федерации (постановления,распоряжения); - руководящих документов Гостехкомиссии России; - нормативных актов министерств и ведомств РоссийскойФедерации, ответственных за организацию и состояние системыинформационной безопасности в стране (приказы, инструкции,стандарты, лицензии, сертификаты, положения, уставы, договоры поинформационной безопасности); - актов других федеральных органов исполнительной властиРоссийской Федерации; - законодательных и других нормативных актов органовгосударственной власти области. 10. Контроль состояния информационной безопасности Контроль, за состоянием информационной безопасности,осуществляется с целью своевременного выявления и предотвращенияутечки информации по техническим каналам, несанкционированногодоступа к ней, преднамеренных программно математическихвоздействий на информацию, оценки эффективности ее защиты изаключается в проверке выполнения нормативно - правовых документовпо вопросам обеспечения информационной безопасности. --------------------Приложение № 1к Концепции информационнойбезопасности Магаданскойобласти ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, указанные в Концепции информационной безопасности Магаданской области ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - состояние защищенности информационной среды общества,обеспечивающее ее формирование, использование и развитие винтересах граждан, организаций, государства [8] ЗАЩИТА ИНФОРМАЦИИ - деятельность, направленная на предотвращение утечкизащищаемой информации, несанкционированных и непреднамеренныхвоздействий на защищаемую информацию [52, 54, 57, 62] ЗАЩИЩАЕМАЯ ИНФОРМАЦИЯ - информация, являющаяся предметом собственности и подлежащаязащите в соответствии с требованиями правовых документов илитребованиями, устанавливаемыми собственником информации.Примечание: Собственником информации может быть: государство,юридическое лицо, группа физических лиц, отдельное физическое лицо[52, 54, 55, 57] СОБСТВЕННИК ИНФОРМАЦИИ - субъект, в полном объеме реализующий полномочия владения,пользования, распоряжения информацией в соответствии сзаконодательными актами [52] ОБЪЕКТ ЗАЩИТЫ ИНФОРМАЦИИ информация или носитель информации, или информационныйпроцесс, которые необходимо защищать в соответствии с поставленнойцелью защиты информации [52] ЦЕЛЬ ЗАЩИТЫ ИНФОРМАЦИИ заранее намеченный результат защиты информации. Примечание.Целью защиты информации может быть предотвращение ущербасобственнику, владельцу, пользователю информации в результатевозможной утечки информации и/или несанкционированного инепреднамеренного воздействия на информацию [52] НОСИТЕЛЬ ИНФОРМАЦИИ физическое лицо или материальный объект, в том числефизическое поле, в котором информация находит свое отображение ввиде символов, образов, сигналов, технических решений и процессов,количественных характеристик физических величин [52] ИНФОРМАЦИЯ - сведения о лицах, предметах, фактах, событиях, явлениях ипроцессах независимо от формы их представления [7, 52, 55, 62] ИНФОРМАТИЗАЦИЯ - организационный социально-экономический и научно-техническийпроцесс создания оптимальных условий для удовлетворенияинформационных потребностей и реализации прав граждан, органовгосударственной власти, органов местного самоуправления,организаций, общественных объединений на основе формирования ииспользования информационных ресурсов [7] ИНФОРМАЦИОННЫЕ РЕСУРСЫ - - отдельные документы и отдельные массивы документов,документы и массивы документов в информационных системах(библиотеках, архивах, фондах, банках данных, другихинформационных системах) [7, 55, 62] - отдельные документы и отдельные массивы документов,документы и массивы документов в информационных системах(библиотеках, архивах, фондах, банках данных, других видахинформационных систем) [8] ИНФОРМАЦИОННАЯ СИСТЕМА - организационно упорядоченная совокупность документов(массивов документов) и информационных технологий, в том числе сиспользованием средств вычислительной техники и связи [7] СВЕДЕНИЯ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА- утверждены Указом Президента Российской Федерации от 06.03.97№ 188 (сведения конфиденциального характера) и постановлениемПравительства Российской Федерации от 03.11.94 № 1233 (служебнаяинформация ограниченного распространения) [30] УГРОЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ совокупность условий и факторов, создающих потенциальную илиреально существующую опасность, связанную с утечкой информациии/или несанкционированными и/или непреднамеренными воздействиямина нее [54] ИНФОРМАЦИОННАЯ СФЕРА (СРЕДА) - - сфера (среда) деятельности субъектов, связанная ссозданием, преобразованием и потреблением информации [8, 57] - совокупность информации, информационной инфраструктуры,субъектов, осуществляющих сбор, формирование, распространение ииспользование информации, а также системы регулированиявозникающих при этом общественных отношений [25] ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА СИСТЕМЫ (СЕТИ) СВЯЗИ - совокупность информационных подсистем, центров управления,аппаратно-программных средств и технологий обеспечения сбора,хранения, обработки и передачи информации в системе (сети) связи[62] КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ- - документированная информация, доступ к которойограничивается в соответствии с законодательством РоссийскойФедерации [7, 8, 34] - информация, требующая защиты [63] ДОКУМЕНТИРОВАННАЯ ИНФОРМАЦИЯ (ДОКУМЕНТ) - зафиксированная на материальном носителе информация среквизитами, позволяющими ее идентифицировать [7, 8] Перечисленные определения и ссылки на руководящие документы[в квадратных скобках] соответствуют определениям, приведенным в"Сборнике терминов и определений. Гостехкомиссия России 2001 г." ----------------Приложение № 2к Концепции информационнойбезопасности Магаданскойобласти Основные нормативные правовые акты и методические документы по защите информации 1. Федеральный закон от 21.07.93 № 5485-1 "О государственной тайне" (в редакции Федерального закона от 06.10 97 № 131-ФЗ). 2. Федеральный закон от 05.03.92 № 2446-1 "О безопасности". 3. Федеральный закон от 20.02.95 № 24-ФЗ "Об информации, информатизации и защите информации". 4. Федеральный закон от 04.07.96 № 85-ФЗ "Об участии в международном информационном обмене". 5. Федеральный закон от 16.02.95 №15-ФЗ "О связи". 6. Федеральный закон от 08.08.2001 № 128-ФЗ "О лицензировании отдельных видов деятельности". 7. Федеральный закон от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи". 8. Указ Президента Российской Федерации от 30.11.95 № 1203 с изменениями от 24.01.98, 06 июня, 10 сентября 2001 года "Об утверждении перечня сведений, отнесенных к государственной тайне". 9. Указ Президента Российской Федерации от 19.02.99 № 212 "Вопросы Государственной технической комиссии при Президенте Российской Федерации". 10. "Доктрина информационной безопасности Российской Федерации", утверждена Президентом Российской Федерации 09.09.2000 № Пр.-1895. 11. Указ Президента Российской Федерации от 17.12.97 № 1300 "Концепция национальной безопасности Российской Федерации" в редакции Указа Президента Российской Федерации от 10.01.2000 № 24. 12. Указ Президента Российской Федерации от 06.03.97 № 188 "Перечень сведений конфиденциального характера". 13. Указ Президента Российской Федерации от 6.10.98 № 1189 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена". 14. Постановление правительства Российской Федерации от 05.12.91 № 35 "О перечне сведений, которые не могут составлять коммерческую тайну". 15. Постановление Правительства Российской Федерации от 03.11.94 № 1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти". 16. "Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам" утверждено постановлением Совета Министров - Правительства Российской Федерации от 15.09.93 № 912-51. 17. "Положение по аттестации объектов информатизации по требованиям безопасности информации", утверждено Председателем Гостехкомиссии при Президенте Российской Федерации 25.11.94 года. 18. "Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утверждено Приказом ФАПСИ от 23.09.99 № 158 . 19. Решение Гостехкомиссии России и ФАПСИ от 27.04.94 № 10 "Положение о государственном лицензировании деятельности в области защиты информации" (с дополнением). 20. ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения". 21. ГОСТ Р 50922-96 "Защита информации. Основные термины и определения". 22. ГОСТ Р 51583-2000 "Порядок создания автоматизированных систем в защищенном исполнении". 23. ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний". 24. ГОСТ 12.1.050-86 "Методы измерения шума на рабочих местах". 25. ГОСТ Р ИСО 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель". 26. ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации". 27. ГОСТ 2.114-95 "Единая система конструкторской документации. Технические условия". 28. ГОСТ 2.601-95 "Единая система конструкторской документации. Эксплуатационные документы". 29. ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем". 30. ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем". 31. ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения". 32. РД Госстандарта СССР 50-682-89 "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения". 33. РД Госстандарта СССР 50-34.698-90 "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов". 34. РД Госстандарта СССР 50-680-89 "Методические указания. Автоматизированные системы. Основные положения". 35. ГОСТ 34.601- 90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания". 36. ГОСТ 6.38-90 "Система организационно-распорядительной документации. Требования к оформлению". 37. ГОСТ 6.10- 84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, ЕСКД, ЕСПД и ЕСТД". 38. ГОСТ Р-92 "Система сертификации ГОСТ. Основные положения". 39. ГОСТ 28195-89 "Оценка качества программных средств. Общие положения". 40. ГОСТ Р ИСОООМЭК 9126- 90 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению". 41. ГОСТ 2.111-68 "Нормоконтроль". 42. ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации". 43. РД Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей", Москва, 1999г. 44. РД Гостехкомиссии России "Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам", Москва, 2000 год. 45. ГОСТ 13661-92 "Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания". 46. "Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации", Гостехкомиссия России, Москва, 2001 год. 47. "Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации", Гостехкомиссия России, Москва, 2001 год. 48. "Временная методика оценки защищенности речевой конфиденциальной информации от утечки по акустическому и виброакустическому каналам", Гостехкомиссия России, Москва, 2001 год. 49. "Временная методика оценки защищенности речевой конфиденциальной информации от утечки за счет электроакустических преобразований во вспомогательных технических средствах и системах", Гостехкомиссия России, Москва, 2001 год. 50. ГОСТ 29216-91 "Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний". 51. СанПиН 2.2.2.542-96 "Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы". 52. ГОСТ Р 50948-96. "Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности". 53. ГОСТ Р 50949-96 "Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности". 54. ГОСТ Р 50923-96 "Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения". 55. ГОСТ 22505-83 "Радиопомехи индустриальные от приемников телевизионных и приемников радиовещательных частотно модулированных сигналов в диапазоне УКВ. Нормы и методы измерений". 56. ГОСТ Р 50628-93 "Совместимость электромагнитная машин электронных вычислительных персональных. Устойчивость к электромагнитным помехам. Технические требования и методы испытаний". 57. ПУЭ-76 "Правила устройства электроустановок". 58. Решение Гостехкомиссии России от 14.03.95 № 32 "Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам". 59. Решение Гостехкомиссии России от 14.03.95 № 32 "Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации". 60. Решение Гостехкомиссии России от 14.03.95 № 32 "Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)". 61. Решение Гостехкомиссии России от 03.10.95 № 42 "Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте". 62. Специальные технические требования и рекомендации позащите информации, составляющей государственную тайну, от утечки по техническимканалам", утвержденные решением Гостехкомиссии при ПрезидентеРоссийской Федерации от 23.05.97 № 55. ----------------