ГЛАВА АДМИНИСТРАЦИИ КРАСНОДАРСКОГО КРАЯ
ПОСТАНОВЛЕНИЕ
от 16 июля 2002 г. N 783
О СИСТЕМЕ ЗАЩИТЫ
ИНФОРМАЦИОННЫХ РЕСУРСОВ КРАСНОДАРСКОГО КРАЯ
В соответствии с Федеральным законом от 20 февраля 1995 г. N
24-ФЗ "Об информации, информатизации и защите информации", в целях
обеспечения эффективного управления информационными ресурсами
Краснодарского края, обеспечения правового режима их использования
как объекта собственности, предотвращения утечки информации,
несанкционированного ее уничтожения, искажения, копирования,
блокирования и подделки постановляю:
1. Утвердить:
Положение о системе защиты информационных ресурсов
Краснодарского края (приложение N 1).
Руководство по контролю состояния защиты информационных
ресурсов Краснодарского края (приложение N 2).
2. Контроль за выполнением настоящего постановления возложить
на заместителя главы администрации, руководителя аппарата
Рощупкину З.И.
3. Постановление вступает в силу со дня его подписания.
Первый зам. главы администрации
Краснодарского края
А.А.РЕМЕЗКОВ
Приложение N 1
к постановлению главы
администрации Краснодарского края
от 16 июля 2002 г. N 783
ПОЛОЖЕНИЕ
О СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ
КРАСНОДАРСКОГО КРАЯ
Введение
Информационные ресурсы Краснодарского края являются элементом
состава имущества и объектом права собственности края. Для
эффективного использования этих информационных ресурсов они должны
быть надежно защищены от угроз несанкционированного
распространения информации, несанкционированных и непреднамеренных
воздействий на нее, которые могут привести к ее уничтожению,
искажению, блокированию доступа к информации для законных
пользователей.
Наибольшую опасность такие угрозы представляют для
информационных ресурсов, содержащихся в персональных компьютерах,
локальных и распределенных вычислительных сетях и представленных в
виде носителей на магнитной и оптической основе, информативных
физических полей, информационных массивов и баз данных.
Настоящее Положение определяет структуру системы защиты
информационных ресурсов Краснодарского края, не содержащих
сведений, составляющих государственную тайну, ее задачи и функции,
основы организации защиты информационных ресурсов.
1. Общие положения
1.Настоящее Положение является документом, обязательным для
исполнения при проведении работ по формированию, использованию и
защите информационных ресурсов Краснодарского края в органах
государственной власти (далее именуются - органы власти),
государственных предприятиях, учреждениях Краснодарского края
(далее именуются - организации) и носит рекомендательный характер
для органов местного самоуправления и организаций иных форм
собственности.
2. Целями защиты информационных ресурсов являются:
- обеспечение эффективного управления информационными
ресурсами и их использования;
- предотвращение утечки конфиденциальной информации по
техническим каналам;
- предотвращение несанкционированного уничтожения, искажения,
блокирования, подделки информации;
- обеспечение правового режима использования информационных
ресурсов как объекта собственности.
3. Правовую основу работ по защите информационных ресурсов
Краснодарского края в органах власти и организациях составляют
Конституция Российской Федерации, Федеральный закон "Об
информации, информатизации и защите информации", Положение о
государственной системе защиты информации в Российской Федерации
от иностранных технических разведок и от ее утечки по техническим
каналам, утвержденное Постановлением Правительства Российской
Федерации от 15 сентября 1993 г. N 912-51, а также другие
нормативные правовые акты в сфере формирования, использования и
защиты информационных ресурсов.
4. Защита информационных ресурсов осуществляется путем
выполнения мероприятий по предотвращению утечки конфиденциальной
информации по техническим каналам, несанкционированного доступа к
ней, предупреждению несанкционированных программно - технических
воздействий с целью уничтожения, искажения, блокирования или
подделки информации в процессе ее обработки, передачи и хранения.
5. Мероприятия по защите информационных ресурсов являются
составной частью управленческой, научной и производственной
деятельности и осуществляются во взаимосвязи с мерами по
обеспечению установленного режима обработки информационных
ресурсов и конфиденциальности проводимых работ.
6. Главными направлениями работ по защите информационных
ресурсов в крае являются:
- регистрация защищаемых информационных ресурсов края,
определение их владельцев и пользователей, ответственных
за обеспечение защиты информационных ресурсов;
- выявление и анализ угроз утечки конфиденциальной информации
по техническим каналам, несанкционированного доступа, уничтожения,
искажения, блокирования или подделки информации в процессе ее
обработки, передачи и хранения в технических средствах обработки
информации;
- разработка организационно - технических мероприятий по
защите информационных ресурсов и их реализация;
- организация и проведение контроля состояния защиты
информационных ресурсов.
7. Защите подлежат:
- информационные ресурсы края, содержащие сведения, отнесенные
к служебной информации ограниченного распространения (служебной
тайне), персональным данным о жителях края и другой
конфиденциальной информации;
- информационные ресурсы края, содержащие важную информацию с
точки зрения ее коммерческой ценности и влияния на управленческую
и хозяйственную деятельность в крае;
- средства вычислительной техники, информационно -
вычислительные комплексы, сети и системы, операционные системы,
системы управления базами данных, другое общесистемное и
прикладное программное обеспечение, автоматизированные системы
управления, системы связи и передачи данных, технические средства
звукозаписи, звукоусиления, звуковоспроизведения, переговорные и
телевизионные устройства, средства изготовления, тиражирования
документов и другие технические средства обработки графической,
смысловой и буквенно - цифровой информации, входящей в состав
информационных ресурсов края;
- технические средства и системы, не обрабатывающие защищаемую
информацию, но размещенные в помещениях, где обрабатывается
(циркулирует) конфиденциальная информация, а также сами помещения,
предназначенные для ведения переговоров, раскрывающих содержание
этих ресурсов (конфиденциальных переговоров).
8. К возможным источникам угроз безопасности информационных
ресурсов края относятся:
- противоправная деятельность политических и экономических
структур, а также отдельных лиц в сфере формирования,
распространения и использования информационных ресурсов края;
- нарушения установленных регламентов сбора, обработки,
хранения и передачи информационных ресурсов.
9. Основными организационно - техническими мероприятиями по
защите информационных ресурсов в крае являются:
- установление правил и требований по обращению с
информационными ресурсами, по использованию технических средств
обработки и передачи информационных ресурсов, подлежащих защите;
- введение территориальных, энергетических, пространственных и
временных ограничений в режимах использования технических средств
обработки и передачи информационных ресурсов, подлежащих защите;
- разработка средств защиты информационных ресурсов и контроля
ее эффективности и их использование;
- сертификация средств зашиты информационных ресурсов, систем
и средств информатизации и связи по требованиям безопасности
информации;
- разработка и внедрение технических решений и элементов
защиты информационных ресурсов при проектировании, строительстве
(реконструкции) и эксплуатации объектов, систем и среде в
информатизации и связи;
- аттестование объектов по выполнению требований обеспечения
защиты информации.
10. Конкретные методы, приемы и меры защиты информационных
ресурсов разрабатываются в зависимости от объекта защиты,
действующих против него источников угроз безопасности информации,
установленных для данного объекта требований по защите
информационных ресурсов и выделенных для этого средств.
11. Проведение любых работ по формированию и использованию
защищаемых информационных ресурсов без принятия необходимых мер по
их защите не допускается.
2. Система защиты информационных ресурсов края
12. Систему защиты информационных ресурсов края образуют:
- совокупность защищаемых информационных ресурсов;
- носители защищаемых информационных ресурсов независимо от
формы представления информации и принципов действия носителей,
включая бумажные носители, персональные компьютеры, локальные и
распределенные вычислительные сети и другие носители;
- органы власти и организации, владеющие защищаемыми
информационными ресурсами и их носителями;
- органы власти и организации, использующие защищаемые
информационные ресурсы;
- специальные подразделения по защите информации;
- ответственные специалисты, обеспечивающие защиту
информационных ресурсов;
- система правовых, организационно - распорядительных,
нормативных, плановых и информационных документов,
регламентирующих и обеспечивающих деятельность по защите
информационных ресурсов края:
- средства защиты информационных ресурсов и контроля ее
эффективности;
- совокупность организационных и технических мероприятий по
защите информационных ресурсов.
13. Организационная структура системы защиты информационных
ресурсов края включает:
- Совет по вопросам технической защиты информации при главе
администрации края;
- рабочую группу по защите информационных ресурсов Совета по
вопросам технической защиты информации при главе администрации
края;
- структурное подразделение по информатизации администрации
края;
- структурное подразделение по технической защите информации
администрации края;
- подразделения органов власти и организации - владельцы
защищаемых информационных ресурсов, специально уполномоченные
собственником ресурсов по распоряжению этими ресурсами;
- подразделения органов власти и организации - владельцы
носителей защищаемых информационных ресурсов;
- подразделения органов власти и предприятия - пользователи
защищаемых информационных ресурсов края, их подразделения по
защите информации, штатные (нештатные) специалисты по защите
информации;
- территориальные органы федеральных органов исполнительной
власти (Управление Федеральной службы безопасности Российской
Федерации по Краснодарскому краю, Главное управление внутренних
дел Краснодарского края, Центр правительственной связи в
Краснодарском крае, Управление Государственной технической
комиссии при Президенте Российской Федерации по Южному
федеральному округу и другие органы, учреждения и предприятия
федеральной собственности, владеющие информационными ресурсами
совместного ведения);
- предприятия и организации, специализирующиеся на проведении
работ и оказании услуг в области защиты информации.
14. Систему защиты информационных ресурсов края возглавляет
заместитель главы администрации края, руководитель аппарата,
являющийся председателем Совета по вопросам технической защиты
информации при главе администрации края (далее Совета). Совет
действует в соответствии с Положением о Совете, утверждаемым
главой администрации края, и является совещательным и
консультативным органом, обеспечивающим разработку предложений по
созданию, функционированию и развитию системы защиты
информационных ресурсов.
15. Рабочая группа по защите информационных ресурсов выполняет
следующие функции:
- разрабатывает концептуальные подходы к обеспечению защиты
информационных ресурсов края;
- разрабатывает предложения по организации и координации работ
по защите информационных ресурсов в крае;
- контролирует выполнения положений Федерального закона "Об
информации, информатизации и защите информации", касающихся
вопросов защиты информационных ресурсов;
- рассматривает и оценивает разработанные владельцами
информационных ресурсов методические материалы, способы и
конкретные мероприятия по их защите, готовит предложения по их
распространению и практической реализации в крае;
- участвует в разработке проектов краевых программ
информатизации, готовит предложения по защите информационных
ресурсов;
- разрабатывает проекты документов, регламентирующих защиту
информационных ресурсов края;
- разрабатывает предложения по подготовке кадров для системы
защиты информационных ресурсов края;
- разрабатывает предложения по совершенствованию и развитию
системы защиты информационных ресурсов края.
16. Структурное подразделение по информатизации администрации
края выполняет следующие функции:
- проводит единую техническую политику, осуществляет
организацию и координацию работ по защите информационных ресурсов
края от несанкционированного доступа к информации,
несанкционированных и непреднамеренных воздействий на нее;
- разрабатывает проекты краевых программ информатизации с
учетом мероприятий по защите информационных ресурсов;
- выполняет функции Заказчика по проведению научно -
исследовательских, опытно - конструкторских и других работ по
защите информационных ресурсов края;
- ведет в установленном порядке реестр информационных ресурсов
края, в том числе информационных баз и банков данных;
- участвует в установленном порядке в разработке проектов
документов, регламентирующих защиту информационных ресурсов края
от несанкционированного доступа к информации, несанкционированных
и непреднамеренных воздействий на нее;
- разрабатывает предложения по обеспечению владельцев и
пользователей информационных ресурсов края средствами защиты
информации от несанкционированного доступа, несанкционированных и
непреднамеренных воздействий на нее:
- организует и осуществляет контроль эффективности проводимых
мероприятий и принимаемых мер по защите информационных ресурсов
края от несанкционированного доступа к информации,
несанкционированных и непреднамеренных воздействий на нее.
17. Структурное подразделение по технической защите информации
администрации края выполняет следующие функции:
- осуществляет организацию и координацию работ по защите
информационных ресурсов ограниченного доступа (служебной
информации ограниченного распространения и персональных данных) от
утечки информации по техническим каналам;
- организует проведение специальных проверок и специальных
исследований технических средств, аттестование информационных
систем, содержащих информационные ресурсы с ограниченным доступом,
по выполнению требований защиты информации;
- разрабатывает предложения по обеспечению владельцев и
пользователей информационных ресурсов края средствами защиты
информации от ее утечки по техническим каналам;
- организует и осуществляет контроль эффективности проводимых
мероприятий и принимаемых мер по защите информационных ресурсов
ограниченного доступа.
18. Подразделения органов власти и организации - владельцы
защищаемых информационных ресурсов, специально уполномоченные
собственником ресурсов по распоряжению этими ресурсами, выполняют
следующие функции:
- устанавливают требования к пользователям информационных
ресурсов в части их защиты, осуществляют контроль выполнения этих
требований;
- разрабатывают инструкции пользователям, методические
материалы, способы и конкретные мероприятия по защите
информационных ресурсов, готовят предложения по их распространению
и практической реализации в крае;
- осуществляют планирование работ по защите информационных
ресурсов, организуют их непосредственное материально - техническое
обеспечение и выполнение;
- организуют подготовку и повышение квалификации специалистов
по защите информационных ресурсов;
- проводят периодический анализ состояния работ по защите
информационных ресурсов.
Для непосредственного выполнения работ по защите
информационных ресурсов в подразделениях органов власти и
организациях - владельцах информационных ресурсов из
обслуживающего персонала информационных систем в зависимости от
объема работ назначается штатный (нештатный) специалист по защите
информационных ресурсов.
Штатный (нештатный) специалист по защите информационных
ресурсов:
- разрабатывает мероприятия по комплексной защите информации,
участвует в согласовании технических заданий на проведение работ
по информатизации и защите информации;
- принимает участие в подготовке обслуживающего персонала,
технических и программных средств защиты информации, помещений к
проведению работ, связанных с использованием защищаемых
информационных ресурсов;
- разрабатывает совместно с другими сотрудниками инструкции по
защите информационных ресурсов на конкретных рабочих местах;
- участвует в аттестовании рабочих мест, вычислительных
комплексов (средств обработки, накопления и хранения информации),
разрабатывает проекты заключений о возможности проведения работ с
защищаемыми информационными ресурсами;
- осуществляет подготовку отчетов о состоянии работ по защите
информационных ресурсов;
- проводит повседневный контроль состояния защиты
информационных ресурсов.
19. Подразделения органов власти и организации - владельцы
носителей защищаемых информационных ресурсов обеспечивают уровень
защиты информационных ресурсов на этих носителях в соответствии с
установленными владельцами ресурсов требованиями.
20. Подразделения органов власти и организации - пользователи
информационных ресурсов, их подразделения по защите информации,
штатные (нештатные) специалисты по защите информации осуществляют
защиту переданных им ресурсов в соответствии с требованиями,
установленными владельцами информационных ресурсов.
21. Территориальные органы федеральных органов исполнительной
власти выполняют функции по защите информационных ресурсов края и
информационных ресурсов совместного ведения в соответствии с
положениями об этих органах.
22. Организации, специализирующиеся на проведении работ и
оказании услуг в области защиты информации, на договорной основе в
установленном законодательством порядке выполняют следующие
функции:
- разрабатывают проекты концепции, региональной программы по
защите информационных ресурсов;
- разрабатывают проекты нормативно - методических документов
по защите информационных ресурсов;
- проводят научные исследования и работы по созданию
технических средств защиты информационных ресурсов и контроля их
эффективности;
- разрабатывают и осуществляют мероприятия по защите
информационных ресурсов;
- проводят специальные проверки и специальные исследования
технических средств, аттестование информационных систем,
содержащих информационные ресурсы с ограниченным доступом, по
выполнению требований защиты информации;
- осуществляют подготовку и повышение квалификации
специалистов в этой области.
3. Организация защиты информационных ресурсов
23. Защита информационных ресурсов является составной частью
работ по их созданию и использованию и осуществляется во всех
органах власти и во всех организациях края, располагающих этими
ресурсами.
24. Организация защиты информационных ресурсов возлагается на
руководителей органов власти и организаций, руководителей
подразделений, создающих и использующих информационные ресурсы,
эксплуатирующих системы и средства информатизации и связи,
обрабатывающих и передающих защищаемую информацию.
25. Требования по защите информационных ресурсов определяются
их владельцами при подготовке решений, программ и планов работ,
технических заданий на создание информационных ресурсов и средств
их обработки на основе стандартов, нормативных и методических
документов, утверждаемых Государственной технической комиссией при
Президенте Российской Федерации и органами государственной власти
края в соответствии с их компетенцией. Указанные требования
согласовываются со структурным подразделением по информатизации и
структурным подразделением по технической защите информации
администрации края. При необходимости установленные требования
уточняются и корректируются в процессе создания и использования
информационных ресурсов.
26. Непосредственное выполнение функций по обеспечению защиты
информационных ресурсов осуществляется подразделением, назначенным
владельцем этих ресурсов ответственным за формирование и ведение
соответствующих ресурсов.
27. Выполнение установленных требований, реализация
необходимых мероприятий по защите информационных ресурсов
осуществляются органами власти, организациями, их подразделениями,
должностными лицами использующими эти ресурсы, владеющими их
носителями и эксплуатирующими их.
28. Защита информационных ресурсов осуществляется путем:
- организации контроля за использованием и распространением
информационных ресурсов;
- проведения организационных и режимных мероприятий по допуску
пользователей к информационным ресурсам ограниченного доступа;
- обучения пользователей информационных ресурсов практической
работе по их защите;
- предотвращения перехвата информации, передаваемой по каналам
связи, за счет применения криптографических и иных методов и
средств защиты;
- предотвращения утечки обрабатываемой информации в
технических средствах ее обработки за счет побочных
электромагнитных излучений и наводок, а также электроакустических
преобразований, достигаемого применением защищенных технических
средств, аппаратных средств защиты, средств активной защиты,
экранированием отдельных помещений, установлением контролируемой
зоны вокруг объектов защиты и другими мерами;
- исключения несанкционированного доступа к системам и
средствам информатизации и связи, а также к обрабатываемой или
хранящейся в них информации, достигаемого применением программно -
технических средств защиты, использованием криптографических
способов защиты;
- предотвращения специальных программно - технических
воздействий на информацию, вызывающих уничтожение, искажение,
блокирование информации или сбои в работе средств информатизации,
достигаемого применением программных и аппаратных средств защиты
(антивирусных процессоров и программ), организацией контроля
безопасности программного обеспечения;
- выявления возможно внедренных на объекты и в технические
средства электронных устройств перехвата информации (закладных
устройств), достигаемого проведением специальных проверок по
выявлению этих устройств;
- предотвращения перехвата техническими средствами защищаемой
речевой информации из помещений и объектов, достигаемого
применением специальных средств защиты, проектными решениями,
обеспечивающими звукоизоляцию помещений, выявлением специальных
устройств подслушивания и другими организационными и режимными
мероприятиями.
29. Инженерно - строительные меры по защите информационных
ресурсов и порядок их выполнения в ходе строительно - монтажных
работ, реконструкции объектов и их эксплуатации определяются при
проектировании объектов. Обязательным условием ввода объектов, на
которых должны обрабатываться информационные ресурсы, в
эксплуатацию является выполнение полного объема мер по защите
информационных ресурсов и проведение аттестации объекта с целью
определения эффективности принятых мер защиты и возможности их
стабильного выполнения в ходе эксплуатации объекта.
30. Содержание и порядок осуществления мероприятий по защите
информационных ресурсов в ходе эксплуатации объекта определяются в
Руководстве по технической защите информации, разрабатываемом на
каждом объекте.
31. Содержание и порядок осуществления мероприятий по защите
конкретных информационных ресурсов в процессе их создания и
использования определяются в Инструкции по защите информационных
ресурсов, разрабатываемой подразделением, ответственным за ведение
соответствующих ресурсов.
32. Информация, содержащая сведения, отнесенные к служебной
тайне или персональным данным, должна обрабатываться с
использованием защищенных систем и средств информатизации и связи
или с использованием технических и программных средств защиты
информации. Соответствие технического средства и его программного
обеспечения требованиям защищенности подтверждается сертификатом
или предписанием на эксплуатацию, оформляемым по результатам
специальных исследований и специальных проверок технических
средств и программного обеспечения.
33. Для оценки готовности систем и средств информатизации и
связи к обработке (передаче) информационных ресурсов, содержащих
информацию ограниченного доступа, проводится аттестование
указанных средств и систем в реальных условиях эксплуатации на
соответствие принимаемых методов, мер и средств защиты требуемому
уровню защиты информационных ресурсов.
4. Контроль состояния защиты информационных ресурсов
34. Контроль состояния защиты информационных ресурсов (далее
именуется - контроль) осуществляется с целью обеспечения их
эффективной защиты, своевременного выявления и предотвращения
утечки защищаемой информации по техническим каналам,
несанкционированного доступа к ней и несанкционированных
программно - технических воздействий на информацию.
35. Контроль заключается в проверке выполнения актов
законодательства Российской Федерации по вопросам защиты
информационных ресурсов, решений Государственной технической
комиссии при Президенте Российской Федерации, постановлений и
распоряжений органов власти по вопросам защиты информационных
ресурсов, а также в оценке обоснованности и эффективности принятых
мер защиты для выполнения утвержденных требований и норм по защите
информационных ресурсов.
36. Контроль состояния защиты информационных ресурсов в крае
осуществляется следующими органами (в пределах их компетенции):
- органами исполнительной власти края;
- органами Государственной технической комиссии России при
Президенте Российской Федерации, Федеральной службы безопасности и
Федерального агентства правительственной связи и информации при
Президенте Российской Федерации;
- рабочей группой по защите информационных ресурсов Совета по
вопросам технической зашиты информации при главе администрации
края;
- структурным подразделением по технической защите информации
администрации края;
- уполномоченными должностными лицами подразделений
администрации края и организаций - владельцев информационных
ресурсов;
- уполномоченными должностными лицами подразделений органов
власти и организаций - пользователей информационных ресурсов;
- уполномоченными должностными лицами подразделений органов
власти и организаций - владельцев носителей информационных
ресурсов;
- организациями, имеющими лицензии на проведении работ по
контролю состояния защиты информации.
37. Орган исполнительной власти края организует и осуществляет
контроль состояния защиты информационных ресурсов в
подведомственных ему организациях через рабочую группу по защите
информационных ресурсов, структурное подразделение по технической
защите информации администрации края, а руководители организаций -
через свои подразделения и своих специалистов по защите
информационных ресурсов.
38. Защита информационных ресурсов считается эффективной, если
принимаемые меры соответствуют установленным требованиям и нормам.
Несоответствие мер установленным требованиям и нормам по защите
информационных ресурсов является нарушением.
Нарушения по степени опасности делятся на две категории:
- первая - невыполнение требований или норм по защите
информационных ресурсов, в результате чего имелась или имеется
реальная возможность утечки информации ограниченного доступа,
произошло разрушение, уничтожение, искажение, блокирование важной
информации, сбои в работе средств ее обработки или имеется
реальная возможность возникновения этих последствий;
- вторая - невыполнение требований или норм по защите
информационных ресурсов, в результате чего создаются предпосылки к
утечке информации, разрушению, уничтожению, искажению,
блокированию важной информации или к сбоям в работе средств ее
обработки.
39. При обнаружении нарушений первой категории руководители
органов власти и организаций обязаны:
- немедленно прекратить работы на участке (рабочем месте), где
обнаружены нарушения, и принять меры по их устранению;
- организовать в установленном порядке расследование причин и
условий появления нарушений с целью недопущения их в дальнейшем и
привлечения к ответственности виновных лиц.
Возобновление работ разрешается после устранения нарушений и
проверки достаточности и эффективности принятых мер, проводимых
структурным подразделением по технической защите информации
администрации края.
При обнаружении нарушений второй категории руководители
органов власти и организаций обязаны принять необходимые меры по
их устранению в сроки, согласованные с органом, проводившим
проверку. Контроль устранения этих нарушений осуществляется
подразделениями и специалистами по защите информационных ресурсов
органов власти и организаций.
40. Доступ представителей рабочей группы по защите
информационных ресурсов, структурного подразделения по технической
защите информации администрации края на контролируемые объекты
осуществляется в установленном порядке по предъявлению
специального удостоверения работника администрации края и
предписания на право проверки данного объекта, выданного
руководителем (заместителем руководителя) органа исполнительной
власти края.
5. Финансирование мероприятий по защите информационных ресурсов
41. Финансирование мероприятий по защите информационных
ресурсов края и содержания подразделений (специалистов) по защите
информационных ресурсов в органах власти края и в организациях,
финансируемых за счет средств краевого бюджета, предусматривается
в сметах расходов на их содержание.
Финансирование деятельности по защите информационных ресурсов
организаций иных форм собственности осуществляется за счет
средств, получаемых от их основной деятельности, и иных не
запрещенных законом источников.
42. Создание технических средств защиты информационных
ресурсов, не требующих капитальных вложений, осуществляется в
пределах средств, выделяемых заказчикам на научно -
исследовательские и опытно - конструкторские работы, связанные с
созданием информационных ресурсов. Расходы по разработке
технических средств защиты включаются в стоимость создания
информационных ресурсов.
Создание технических средств защиты информационных ресурсов,
требующих капитальных вложений, осуществляется в пределах средств,
выделяемых заказчикам на строительство (реконструкцию) сооружений
или объектов.
Зам. руководителя аппарата,
генеральный директор социально -
производственного департамента
администрации Краснодарского края
Н.А.ДОЛУДА
Приложение N 2
к постановлению главы
администрации Краснодарского края
от 16 июля 2002 г. N 783
РУКОВОДСТВО
ПО КОНТРОЛЮ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ
КРАСНОДАРСКОГО КРАЯ
Введение
Настоящее Руководство является документом, обязательным для
исполнения при проведении работ по контролю состояния защиты
информационных ресурсов Краснодарского края в органах
государственной власти (далее именуются - органы власти),
государственных предприятиях, учреждениях Краснодарского края
(далее именуются - организации), и носит рекомендательный характер
для органов местного самоуправления и организаций иных форм
собственности.
Руководство определяет структуру системы контроля состояния
защиты информационных ресурсов края, не содержащих сведений,
составляющих государственную тайну, ее задачи и функции, основы
организации контроля.
1. Цель и задачи контроля состояния защиты информационных
ресурсов края
Контроль состояния защиты информационных ресурсов - это
деятельность органов власти края, уполномоченных ими органов или
лиц по проверке соблюдения законодательных и иных нормативных
правовых актов, норм, стандартов и правил, оценке обоснованности
принятия управленческих решений, связанных с обеспечением защиты
информационных ресурсов края от утечки информации по техническим
каналам, несанкционированного доступа, несанкционированных и
непреднамеренных воздействий на защищаемую информацию, а также по
устранению и предупреждению различных нарушений по указанным
вопросам.
Основная цель контроля - обеспечение единой дисциплины в
организации работ по защите информационных ресурсов края,
своевременное выявление предпосылок и предотвращение утечки
информации по техническим каналам, несанкционированного доступа к
ней, несанкционированных и непреднамеренных воздействий на
защищаемую информацию и средства ее обработки.
Основными функциями контроля является оценка организации и
эффективности защиты информационных ресурсов.
Основными задачами в обеспечении реализации этой функции
являются:
оценка полноты и качества выполнения органами, организациями и
должностными лицами, осуществляющими деятельность в области защиты
информационных ресурсов, возложенных на них обязанностей и
функций;
оценка целесообразности и обоснованности, с точки зрения
обеспечения защиты информации, принимаемых управленческих решений
с целью предупреждения возможных неблагоприятных последствий их
выполнения;
выявление нарушений установленных требований или норм по
защите информации, установление их причин и определение виновных в
появлении нарушений, в необходимых случаях привлечение виновных к
ответственности;
профилактика различных видов нарушений.
Система контроля состояния защиты информационных ресурсов
базируется на следующих основных принципах:
законодательно - правовое определение статуса, полномочий и
ответственности контрольных органов и должностных лиц для
обеспечения действенности контроля;
соблюдение законности в действиях контрольных органов и их
должностных лиц;
независимость контрольных органов при осуществлении ими своих
полномочий от проверяемых органов власти, предприятий и
должностных лиц;
регулярность проведения контроля;
обязательное расследование инцидентов, связанных с нарушениями
требований и норм по защите информации, с последующим их анализом,
разработкой соответствующих мер и корректировкой (при
необходимости) нормативных и технических документов;
единая методология проведения контроля, общая информационная
база всех органов контроля, обеспечивающая доступ к информации при
сохранении в тайне информации ограниченного доступа;
эффективность контроля, как с точки зрения его
результативности (действенности), так и экономичности
(обоснованности затрат на содержание контрольных органов,
соответствия затрат результатам их деятельности).
В своей деятельности органы контроля состояния защиты
информационных ресурсов края руководствуются Конституцией
Российской Федерации, Федеральными законами "Об информации,
информатизации и защите информации", "Об участии в международном
информационном обмене", Положением о региональной системе
технической защиты информации в Краснодарском крае, Положением о
системе защиты информационных ресурсов Краснодарского края,
государственными стандартами в области защиты информации,
решениями, руководящими и нормативными документами Государственной
технической комиссии при Президенте Российской Федерации и иными
нормативными актами в области защиты информационных ресурсов, а
также настоящим Руководством.
2. Виды контроля
2.1. Предварительный и текущий контроль, контроль устранения
недостатков
Предварительный контроль представляет собой оценочную проверку
обоснованности мер защиты информации до начала обработки
защищаемой информации в информационных системах. Осуществляется с
целью своевременного выявления и предотвращения предпосылок
возможных нарушений требований или норм защиты информации в
процессе функционирования контролируемого объекта.
Текущий контроль - это проверка в процессе обработки
защищаемой информации. Осуществляется с целью своевременного
выявления возникающих трудностей и недостатков в реализации
принятых мер защиты информации и выработки мероприятий по их
устранению. Текущий контроль может быть периодическим,
повседневным или непрерывным.
Контроль устранения недостатков - это проверка, проводимая
после устранения ранее допущенных нарушений норм и требований
защиты информации на контролируемом объекте, вследствие которых
были приостановлены или ограничены работы с защищаемой
информацией. Осуществляется с целью выдачи разрешения на
продолжение работ с защищаемой информацией.
2.2. Внутренний контроль, контроль владельцем
и собственником информационных ресурсов
Внутренний контроль проводится в подразделениях органов власти
и предприятий - пользователей информационных ресурсов (на объектах
контроля) силами уполномоченных должностных лиц этих объектов.
Контроль владельцем информационных ресурсов осуществляется
непосредственно силами предприятия (подразделения органа власти),
ведущего соответствующие базы и банки данных, информационные
системы и другие информационные объекты.
Контроль собственником информационных ресурсов осуществляется
силами структурного подразделения по технической защите информации
администрации края, а также Советом по вопросам технической зашиты
информации при главе администрации Краснодарского края.
Собственник информационных ресурсов может осуществлять контроль
владельцев этих ресурсов, владельцев их носителей и пользователей
информационных ресурсов.
2.3. Организационный контроль, контроль эффективности,
технический контроль
Организационный контроль состояния защиты информации состоит в
проверке соответствия полноты и обоснованности мероприятий по
защите информационных ресурсов в крае требованиям нормативных
документов.
Контроль эффективности защиты информации заключается в
проверке соответствия количественных или качественных показателей
эффективности мероприятий по защите информации установленным
требованиям или нормам эффективности защиты информации.
Технический контроль эффективности защиты информации
заключается в проверке эффективности защиты информации с
использованием технических и / или программных средств контроля.
Он обеспечивает получение наиболее объективной и достоверной
информации о состоянии объектов контроля.
3. Формы контроля
К основным формам контроля защиты информационных ресурсов
относятся: инспектирование, надзор, экспертиза, аттестация,
сертификация, специальные исследования и специальные проверки.
Инспектирование - это контроль за соблюдением установленных
правил и требований по защите информации. Это наиболее
распространенная форма контроля. Используется всеми контрольными
органами.
Надзор - это контроль в форме правового регулирования. Эта
форма применяется прежде всего для осуществления контроля за
соблюдением законов, установленных норм, требований, стандартов. В
отличие от инспектирования субъекты надзора вправе при
соответствующих обстоятельствах применять к объектам надзора меры
административного принуждения. Необходимым условием надзора
является отсутствие между субъектами и объектами надзора
организационной соподчиненности.
Экспертиза - это предварительный контроль в форме оценки
возможности организации исполнять заявленные ею функции по защите
информационных ресурсов. Результатом экспертизы является
экспертное заключение.
Сертификация продукции по требованиям безопасности информации
(далее сертификация) - это предварительный контроль в форме
испытания конкретной продукции с целью подтверждения посредством
специального документа сертификата и знака соответствия, что
продукция соответствует требованиям стандартов или иных
нормативных и методических документов по безопасности информации,
утвержденных государственным органом по сертификации в пределах
его компетенции. При сертификации могут подтверждаться как
отдельные характеристики, так и весь комплекс характеристик
продукции, связанных с обеспечением безопасности информации.
Специальные исследования - это предварительный контроль в
форме исследования (проверки) отдельных характеристик конкретного
объекта с целью установления посредством специального документа -
Предписания на эксплуатацию, предельных значений указанных
характеристик, при соблюдении которых выполняются требования
нормативных документов по безопасности информации, утвержденных
государственным органом в пределах его компетенции.
Аттестация - это предварительный контроль в форме комплексной
проверки (испытания) защищаемого (контролируемого) объекта в
реальных условиях его эксплуатации с целью официальной оценки
соответствия используемого комплекса мер и средств защиты
требуемому уровню безопасности информации. Аттестация по
требованиям безопасности информации предшествует началу обработки
подлежащей защите информации. По результатам проверки выдается
специальный документ - аттестат соответствия.
4. Структура системы контроля состояния защиты
информационных ресурсов края
Система контроля состояния защиты информационных ресурсов
является составной частью региональной системы технической защиты
информации.
Система контроля состояния защиты информационных ресурсов
включает следующие субъекты контроля:
органы государственного надзора за состоянием защиты
информации - Центральный аппарат и управление Государственной
технической комиссии при Президенте Российской Федерации по Южному
федеральному округу, органы Федерального агентства
правительственной связи и информации при Президенте Российской
Федерации;
органы контроля собственника информационных ресурсов -
структурное подразделение по технической защите информации
администрации края, Совет по вопросам технической защиты
информации при главе администрации края;
органы контроля владельца информационных ресурсов -
уполномоченные должностные лица предприятия (подразделения органа
власти), ведущего соответствующие базы и банки данных,
информационные системы и другие информационные объекты;
организации, оказывающие услуги по контролю (аттестованию)
объектов по требованиям безопасности информации на договорной
основе (аудит состояния защиты информации).
Контроль в администрации края силами Государственной
технической комиссии при Президенте Российской Федерации
осуществляется по согласованию с главой администрации края.
5. Нарушения в области защиты информационных ресурсов края
Несоответствие мер защиты информационных ресурсов
установленным требованиям или нормам по защите информации является
нарушением.
Нарушения мер защиты информационных ресурсов по степени
опасности делятся на две категории:
первая - невыполнение требований или норм по защите
информационных ресурсов, в результате чего имелась или имеется
реальная возможность утечки информации ограниченного доступа,
произошло разрушение, уничтожение, искажение, блокирование важной
информации, сбои в работе средств ее обработки или имеется
реальная возможность возникновения этих последствий;
вторая - невыполнение требований или норм по защите
информационных ресурсов, в результате чего создаются предпосылки к
утечке информации, разрушению, уничтожению, искажению,
блокированию важной информации или к сбоям в работе средств ее
обработки.
Руководитель контрольного органа (проверочной комиссии),
выявившего нарушение первой категории, обязан:
принять меры к немедленному пресечению выявленного нарушения
путем остановки процесса обработки информации или функционирования
объекта;
составить протокол контроля, который довести до руководителя
проверяемой организации (объекта);
сообщить, по подчиненности, руководству органа власти,
организации (объекта) и владельцу защищаемых информационных
ресурсов о вскрытых нарушениях и принятых мерах по их пресечению.
При обнаружении нарушений первой категории руководители
проверяемых организаций (объектов) обязаны:
немедленно прекратить работы на участке (рабочем месте), где
обнаружены нарушения, и принять меры по их устранению;
организовать в установленном порядке расследование причин и
условий появления нарушений с целью недопущения их в дальнейшем и
привлечения к ответственности виновных лиц.
Возобновление работ разрешается после устранения нарушений и
проверки достаточности и эффективности принятых мер органом
контроля, выявившим нарушение.
При обнаружении нарушений второй категорий руководители
проверяемых организаций обязаны принять необходимые меры по их
устранению в сроки, согласованные с органом, проводившим проверку.
Контроль за устранением этих нарушений осуществляется
подразделениями по контролю (уполномоченными должностными лицами)
проверяемой организации.
6. Организация контроля состояния защиты информационных ресурсов
Организация контроля за состоянием защиты информационных
ресурсов на различных видах объектов контроля включает:
планирование контроля состояния защиты информации;
доведение решения о проведении проверки до руководителя
проверяемой организации (в случае проведения гласной проверки);
проведение контроля состояния защиты информации;
доведение результатов контроля, выводов и рекомендаций до
соответствующих органов и должностных лиц.
Для проведения работ по контролю могут привлекаться на
договорной основе организации, имеющие лицензии на право
проведения работ в области контроля состояния защиты информации.
Контроль состояния защиты информации осуществляется
посредством проведения плановых или внезапных, гласных или
негласных проверок, проверок по заявкам проверяемых организаций, а
также в ходе повседневного наблюдения за состоянием защиты
информации на контролируемых объектах.
Порядок планирования контроля, доведения решений о проведении
контроля до проверяемых организаций, а также виды проверок
определяют руководители уполномоченных органов контроля.
С целью исключения дублирования проверок и рационального
распределения сил и средств всех контрольных органов, исключения
случаев выпадения предприятий из сферы контроля владельцы
информационных ресурсов согласуют планы проведения контроля со
структурным подразделением по защите информации администрации
края.
Допуск представителей Государственной технической комиссии при
Президенте Российской Федерации на объекты для проведения
контроля, доступ их к работам и документам, необходимым для
проведения контроля, осуществляется при предъявлении специального
удостоверения и предписания на право проведения проверки данного
объекта.
Предписания на право проверки состояния защиты информации
выдаются:
для объектов органов государственной власти на всей территории
края - начальником Инспекционного управления Государственной
технической комиссии при Президенте Российской Федерации,
заместителем главы администрации края - председателем Совета по
вопросам защиты информации при главе администрации края;
для организаций и органов местного самоуправления -
начальником Управления Государственной технической комиссии при
Президенте Российской Федерации по Южному федеральному округу,
руководителями (заместителями руководителей) исполнительных
органов местного самоуправления;
для подведомственных организаций - руководителями
(заместителями руководителей) органов государственной власти и
местного самоуправления или руководителями их контрольных органов
в соответствии с компетенцией.
Организация работ по текущему контролю состояния защиты
информации в организациях осуществляется их руководителями. В
зависимости от объема работ по контролю руководителем организации
создается структурное подразделение по контролю либо назначаются
штатные (нештатные) специалисты по этим вопросам.
Подразделения по контролю (штатные специалисты) в
организациях - пользователях информационных ресурсов осуществляют
мероприятия по предварительному и текущему контролю состояния
защиты информации в ходе выполнения работ с защищаемыми
информационными ресурсами, определяют совместно с владельцем
информационных ресурсов основные направления комплексного
контроля, участвуют в согласовании технических заданий на
проведение работ, дают заключение о необходимости и возможности
проведения работ по контролю.
Указанные подразделения (штатные специалисты) подчиняются
непосредственно руководителю организации или его заместителю.
7. Порядок проведения ведомственного и вневедомственного
контроля на различных видах объектов
7.1. Общий порядок проведения проверки
Для проведения проверки руководителем контролирующего органа
назначается проверочная комиссия во главе с руководителем
проверки, который получает предписание на право проведения
проверки организации работ и выполнения требований по защите
информации в организации (на объекте).
Предписание доводится руководителем проверки до руководителя
проверяемой организации (объекта) или лица его замещающего,
который обязан создать проверочной комиссии необходимые условия
для исполнения ею своих функций, определенных положением о
соответствующем органе контроля.
Руководитель проверки доводит до указанного должностного лица
перечень проверяемых вопросов, а также перечень необходимых
документов, изделий, технических средств и помещений, к которым
должен быть обеспечен доступ членов проверочной комиссии, в
соответствии с их правами, определенными настоящим Руководством.
Общими задачами контроля состояния защиты информационных
ресурсов, решаемыми в ходе проверки, являются:
проверка соответствия организации работ по защите информации,
наличия и содержания внутренних организационно - распорядительных
документов требованиям руководящих документов в области защиты
информации;
проверка соответствия качественных и количественных
показателей эффективности мероприятий по защите информации
требованиям или нормам защиты информации.
По результатам проверки составляется акт. Акт проверки
высылается в проверяемую организацию (на объект), руководству
органа власти по подчиненности организации (объекта) и в орган,
проводивший проверку.
При наличии в акте нарушений или недостатков проверенной
организацией в месячный срок составляется план устранения
недостатков, который согласовывается с контролирующим органом,
проводившим проверку.
О выполнении всех мероприятий плана устранения недостатков
проверенная организация извещает орган контроля, который может
направить в организацию своих сотрудников для оценки эффективности
выполненных мероприятий.
Проверка считается законченной после отметки о выполнении всех
мероприятий плана устранения недостатков.
7.2. Вопросы, подлежащие проверке на объектах информатизации
наличие аттестата на объект информатизации;
характер сведений, циркулирующих между подразделениями, в
соответствии с принятой в организации технологией обработки
информации;
правильность классификации обрабатываемой информации по
категории доступа, порядка ее обработки, хранения и размножения
при использовании технических средств (СВТ, ТСПИ, оргтехника и
т.д.);
деятельность структурных подразделений и ответственных
должностных лиц по обеспечению безопасности информации, подлежащей
защите;
организация и фактическое состояние доступа обслуживающего и
эксплуатирующего персонала к защищаемым информационным ресурсам,
наличие и качество организационно - распорядительных документов по
допуску персонала к защищаемым ресурсам;
состояние учета всех технических и программных средств
отечественного и иностранного производства, участвующих в
обработке информации, подлежащей защите, наличие и правильность
оформления документов по специальным исследованиям и проверкам
технических средств ЭВТ;
правильность размещения средств ЭВТ, ТСПИ (с привязкой к
помещениям, в которых они установлены), трасс прокладки
информационных и неинформационных цепей, выходящих за пределы
контролируемой территории в соответствии с предписаниями на их
эксплуатацию;
выполнение организационных и технических мер по защите
информации, циркулирующей в средствах ЭВТ, наличия, качества
установки и порядка эксплуатации программно - аппаратных средств
защиты от НСД:
выполнение требований по защите информации при подключении
автоматизированных систем обработки информации к внешним
международным информационным системам;
эффективность защиты информации по результатам технического
контроля.
7.3. Вопросы, подлежащие проверке в органах
государственной власти и местного самоуправления
наличие структурных подразделений, сотрудников, уровень их
подготовки, квалификации, обеспечивающих решение вопросов,
связанных с защитой конфиденциальной информации;
наличие руководящих документов по защите конфиденциальной
информации;
наличие аттестатов на объекты информатизации;
своевременность и правильность доведения требований
руководящих документов по защите информации до сотрудников
аппарата и подведомственных организаций, знание их сотрудниками
аппарата;
правильность классификации обрабатываемой информации по
категории доступа, порядка ее обработки и хранения при
использовании технических средств (ЭВТ, ТСПИ, оргтехника и т.д.),
проверка правильности распечатки документов с грифом "Для
служебного пользования", их учета;
наличие необходимых документов на технические средства,
участвующие в обработке подлежащей защите информации;
состояние безопасности информации в сетях связи и
информатизации;
оценка деятельности аппарата по методическому руководству и
координации работ по защите информации в подведомственных
организациях.
7.4. Вопросы, подлежащие проверке в научно - исследовательских
и проектных организациях, а также на промышленных предприятиях
наличие и полнота отработки Руководства по технической защите
информации в соответствии с требованиями Государственной
технической комиссии при Президенте Российской Федерации,
Положения о системе защиты информационных ресурсов Краснодарского
края;
правильность оценки угроз безопасности информации и
налаженность взаимодействия с органами Государственной технической
комиссии при Президенте Российской Федерации и Федерального
агентства правительственной связи и информации при Президенте
Российской Федерации;
наличие в технических заданиях на разработку (создание)
изделий (систем, средств, объектов) разделов по защите информации;
качество проработки и обоснованность в эскизных и технических
проектах мероприятий по защите информации, правильность
определения технических каналов утечки информации;
наличие и полнота разработки Инструкции по защите информации
для различных этапов жизненного цикла объектов защиты;
наличие и правильность ведения журналов учета рабочего времени
средств обработки защищаемой информации;
оценка безопасности информации на защищаемых объектах с учетом
результатов технического контроля;
наличие аттестатов на объекты информатизации.
7.5. Вопросы, подлежащие проверке в системах и сетях связи,
управления и передачи данных
выполнение требований по защите информации при присоединении
ведомственной (внутренней) сети связи к сети связи общего
пользования;
наличие и правильность установки аппаратуры защиты информации
в каналах связи;
обоснованность и полнота мероприятий по обеспечению надежности
функционирования и защищенности от посторонних воздействий систем
автоматизированного управления, а также систем передачи
оперативно - диспетчерской информации;
наличие аттестатов на объекты информатизации;
эффективность мероприятий по защите оконечных устройств и
коммутационного оборудования, размещенных в выделенных помещениях
или передающих подлежащую защите информацию.
8. Финансирование мероприятий по контролю состояния защиты
информационных ресурсов края
Финансирование мероприятий по контролю состояния защиты
информационных ресурсов края, а также подразделений контроля в
органах власти и в организациях, финансируемых за счет средств
краевого бюджета, предусматривается в сметах расходов на их
содержание.
Финансирование деятельности подразделений контроля иных
организаций осуществляется за счет средств, получаемых от их
основной деятельности и из иных не запрещенных законодательством
источников.
Создание средств контроля эффективности защиты информации, не
требующих капитальных вложений, осуществляется в пределах средств,
выделяемых заказчикам на научно - исследовательские и опытно -
конструкторские работы, связанные с созданием информационных
ресурсов. Расходы по разработке указанных средств включаются в
стоимость создаваемых информационных ресурсов.
Зам. руководителя аппарата,
генеральный директор социально -
производственного департамента
администрации Краснодарского края
Н.А.ДОЛУДА
|
