ПРАВИТЕЛЬСТВО ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
ПОСТАНОВЛЕНИЕ
от 24 ноября 2011 г. № 847-П
О КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ИСПОЛНИТЕЛЬНЫХ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ
ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
(в ред. постановления
Правительства ЯНАО
от 28.04.2012 № 351-П)
В соответствии с Федеральным законом
от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", в целях единого подхода к обеспечению информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа Правительство Ямало-Ненецкого автономного округа постановляет:
1. Утвердить прилагаемую Концепцию
информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа (далее - Концепция).
2. Исполнительным органам государственной власти Ямало-Ненецкого автономного округа и подведомственным им учреждениям при планировании и осуществлении мероприятий в области информационной безопасности руководствоваться положениями Концепции
.
3. Определить департамент информационных технологий и связи Ямало-Ненецкого автономного округа уполномоченным исполнительным органом государственной власти Ямало-Ненецкого автономного округа ответственным за обеспечение информационной безопасности в исполнительных органах государственной власти Ямало-Ненецкого автономного округа в соответствии с разделом VII
Концепции.
4. Рекомендовать органам местного самоуправления в Ямало-Ненецком автономном округе разработать концепции информационной безопасности, аналогичные Концепции
, утвержденной настоящим постановлением.
(п. 4 в ред. постановления
Правительства ЯНАО от 28.04.2012 № 351-П)
(см. текст в предыдущей редакции
)
5. Контроль за исполнением настоящего постановления возложить на заместителя Губернатора Ямало-Ненецкого автономного округа Булаева А.И.
Губернатор
Ямало-Ненецкого автономного округа
Д.Н.КОБЫЛКИН
Утверждена
постановлением Правительства
Ямало-Ненецкого автономного округа
от 24 ноября 2011 года № 847-П
КОНЦЕПЦИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСПОЛНИТЕЛЬНЫХ ОРГАНОВ
ГОСУДАРСТВЕННОЙ ВЛАСТИ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
(в ред. постановления
Правительства ЯНАО
от 28.04.2012 № 351-П)
Введение
В Концепции на основе выборочного анализа современного состояния определены цели, задачи и ключевые проблемы обеспечения информационной безопасности. Рассмотрены объекты, угрозы информационной безопасности, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения информационной безопасности в различных сферах деятельности исполнительных органов государственной власти Ямало-Ненецкого автономного округа (далее - автономный округ). Также в Концепции излагаются основные положения государственной политики обеспечения информационной безопасности в исполнительных органах государственной власти автономного округа, организационная структура и принципы построения информационной безопасности. Концепция служит методологической основой разработки комплекса правовых актов и организационно-методических документов, регламентирующих деятельность в области информационной безопасности исполнительных органов государственной власти автономного округа.
Положения Концепции не распространяются на сведения, отнесенные к государственной тайне.
(абзац введен постановлением
Правительства ЯНАО от 28.04.2012 № 351-П)
I. Общие положения
безопасности информационных систем
Технические меры обеспечения безопасности информационных систем должны быть основаны на использовании единых программных и технических средств, входящих в состав информационных систем и выполняющих самостоятельно или в комплексе с другими средствами функции защиты.
При учете всех требований и принципов обеспечения безопасности информации в информационной системе в состав системы включают следующие технические и программные средства:
идентификации пользователей;
аутентификации пользователей (потребителей) информации и информационных объектов (терминалов, программных алгоритмов, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
разграничения доступа к данным;
управления информационными потоками;
информационной безопасности в линиях передачи данных, в хранилищах информации;
обеспечения и контроля целостности программных и информационных ресурсов;
регистрации и контроля обращений к информации, подлежащей защите;
реагирования на попытки реализации несанкционированного доступа;
активные и пассивные средства защиты информации, обрабатываемой техническими средствами информационных систем и циркулирующей в помещениях объекта от утечки по техническим каналам.
X. Порядок организации работ при разработке и эксплуатации
информационных систем и системы обеспечения
информационной безопасности
Разработка любой прикладной информационной системы требует обязательной доработки системы обеспечения информационной безопасности, в связи с чем данные рабочие процессы должны протекать параллельно, без отрыва друг от друга.
Процессу разработки, модернизации информационной системы должен предшествовать процесс определения перечня информации, которую в будущем будут обрабатывать в данной системе, и присвоения категорий защищаемой информации.
Этапу ввода в эксплуатацию прикладной информационной системы должен предшествовать этап ввода в эксплуатацию разработанной (доработанной) системы информационной безопасности. Разработанная (доработанная) система информационной безопасности должна предусматривать:
назначение уровня полномочий и должностных лиц, ответственных за присвоение категории обрабатываемой информации (служебная тайна, персональные данные, открытая информация общего пользования и т.д.);
назначение уровня полномочий и должностных лиц, имеющих право распоряжаться информацией, - применительно к каждой категории защищаемой информации;
условия и порядок допуска пользователей информации к работе с информацией - применительно к каждой категории защищаемой информации;
определение объема информации, необходимой и достаточной для эффективного выполнения работниками организации своих прямых должностных обязанностей;
определение границ применения информации пользователями информации;
разработку необходимого пакета документов, регламентирующих работу в информационной системе.
Стадия ввода в действие прикладной информационной системы завершается аттестацией объекта информатизации, в состав которого вводится данная система.
XI. Порядок управления системой
обеспечения информационной безопасности
Управление системой обеспечения информационной безопасности исполнительных органов государственной власти автономного округа представляет собой целенаправленное воздействие на ее компоненты, обеспечивающее защищенность информации, обрабатываемой в информационных системах.
Цель процесса управления системой обеспечения информационной безопасности - обеспечение надежной защиты информации в процессе ее сбора, обработки, хранения и предоставления (передачи) конечному пользователю информации.
Управление системой информационной безопасности исполнительных органов государственной власти автономного округа должно осуществляться на всех этапах существования информационной системы, с момента проведения научно-технических изысканий, предшествующих проектным работам по созданию новой информационной системы до момента вывода этой системы из технической эксплуатации по причине ее морального устаревания.
Управление системой обеспечения информационной безопасности исполнительных органов государственной власти автономного округа осуществляют специальные подразделения в структуре исполнительных органов государственной власти автономного округа, отвечающие за информационную безопасность, объединяющие в своем составе квалифицированных специалистов в области информационных технологий и защиты информации.
XII. Контроль состояния информационной безопасности
Контроль состояния информационной безопасности осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Основная решаемая задача - получение объективных оценок текущего состояния защиты информации ограниченного распространения, оценка эффективности применяемых мер и технических решений для обеспечения информационной безопасности исполнительных органов государственной власти автономного округа, оказание методической помощи по обеспечению режима защиты информации, организация работы по обеспечению информационной безопасности.
Под постоянным контролем находятся:
дисциплина выполнения правовых, организационно-распорядительных и нормативных документов органов государственной власти;
действующие меры обеспечения информационной безопасности;
обоснованность и эффективность применения мер обеспечения информационной безопасности.
Общее состояния информационной безопасности контролируется структурным подразделением исполнительного органа государственной власти автономного округа, отвечающим за информационную безопасность. С целью получения объективного заключения о состоянии информационной безопасности исполнительных органов государственной власти автономного округа структурное подразделение исполнительного органа государственной власти автономного округа, отвечающее за информационную безопасность, может привлекать к выполнению оперативного контроля и аудита состояния безопасности информации специалистов других исполнительных органов государственной власти автономного округа, участвующих в поддержании и эксплуатации прикладных информационных систем, а также организации, обладающие соответствующими правами на осуществление деятельности в области защиты информации.
Оценка эффективности мер информационной безопасности проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
