по обеспечению информационной безопасности в органах государственного управления Республики Карелия

I. Общие положения.

Положение по обеспечению информационной безопасности в органах государственного управления Республики Карелия (далее Положение) определяет единые цели, задачи, принципы, основные направления и порядок достижения информационной безопасности в органах государственного управления Республики Карелия.

Организация и проведение мероприятий по защите информации в системе органов государственного управления осуществляется в соответствии с требованиями Конституции Российской Федерации, Гражданского Кодекса Российской Федерации, действующими законами Российской Федерации "0 безопасности" от 5 марта 1992 года, "0 государственной тайне" от 21 июля 1993 года, "0б информации, информатизации и защите информации" от 25 января 1995 года, "0б участии в международном информационном обмене" от 5 июня 1996 года, указаниями и распоряжениями Президента Российской Федерации, постановлениями Правитиъсгва Российской Федерации, "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам" от 15 сентября 1993 года № 912-51, Указом Президента Российской Федерации от 6 марта 1997 года № 188 "0 перечне сведений конфиденциального характера", постановлениями и распорятениями Председателя Правительства Республики Карелия, регулирующими отношения в области защиты информации, а также в соответствии с требованиями настоящего Положения.

Требования Положения являются обязательными для всех работников органов государственного управления и должны выполняться при проведении работ в сфере информатизации (проектирование, монтаж и эксплуатация автоматизированных систем), создании и развитии единой информационной системы, местных информационных систем и при проведении работ по защите информации.

Защита информации должна быть дифференцированной в зависимости от установленной степени секретности или конфиденциальности защищаемой информации.

Проведение любых мероприятий и работ с использованием сведений, составляющих государственную тайну, без принятия необкодимьи мер по защите информации запрещается.

II. Защищаемые сведения.

2.1. Основными целями защиты информацин являются:

- соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки;

- предотвращение несанкционированного уничтожения, искажения, копирования ( в целях разглашения),блокирования информации в системах информатизации;

- создание благоприятных условий при обеспечении органов государственного управления достоверной, полной и своевременной информацией, необходимой для принятия правильных решений;

- предотвращение утечки информации по техническим каналам;

- сохранение возможности управления процессом обработки и пользования информацией.

2.2. Защита информации осуществляется путем:

- прогнозирования, выявления и оценки источников угроз информационной безопасности;

- проведения единой политики в области защиты информации, соответствующей законодательству Российской Федерации, разработкии комплекса мероприятий и механизмов ее реализации;

- предотвращения утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами;

- исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;

- выявления возможно внедренных на объектах и в технические средства электронных устройств перехвата информации (закладных устройств);

- предотвращение перехвата техническими средствами речевой информации из помещений и объектов;

- обеспечения эффективного управления системой информационной безопасности.

Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок достигается применением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.


Исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации достигается применением специальных программно-технических средств защиты, использованием криптографических способов защиты, а также организационными и режимными мероприятиями.

Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается применением специальных программных и аппаратных средств защиты (антивирусные процессы, антивирусные программы), организацией системы контроля безопасности программного обеспечения.

Выявленне возможно внедренных на объектах и в технических средствах электронньп устройств перехвата информации (закладных устройств) доспигаегся проведением специальных проверок по выявлению этих устройств.

Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями.

2.3. В органах государственного управления Республики Карелия защите подлежит:

- любая документировавиая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается:
- в отношении сведений, отнесенньп к государственной тайне, -уполномоченными органами на основании Закона Российской Федерации "0 государственной тайне" (Собрание законодательства Российской Федерации, 1997, № 41 ст.4673);

- в отношении конфиденциальной документированной информации -собственником информационных ресурсов или уполномоченным лицом на основании Федерального Закона "Об информации, информатизации и защите информации" (Собрание законодательства Российской Федерации, 1995, № 8, ст. 609,).

- в отношении персональных данных -федеральными законами и Указом Президента Российской Федерации от 6 марта 1997 года № 188 (Собрание законодательства Российской Федерации, 1997, № 10, ст. 1127,).
- в отношении информационных ресурсов (защищаемые сведения);

- в отношении системы формирования, распространения информационных pесурсов;

- в отношении информационной инфраструктуры.

Информационные ресурсы -отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Система формирования, распространения и использования информационных ресурсов -информационные системы различного уровня, класса и назначения, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, накопления, хранения, преобразования, отображения и передачи информации, нормативно-правовые положения, определяющие функции, права и ответственность участников данной системы, а также персонал, занятый в ней.

Информационная инфраструктура -центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации.

2.4. Обьектами информационной защиты являются:
- сотрудники органов государственного управления, имеющие доступ к защищаемой информации;

- выделенные в административных зданиях органов государственного управления помещения, предназначенные для ведения секретных и конфиденциальных переговоров или обработки в них защищаемой информации (служебные кабинеты, актовые, конференц-залы и т.д.);

- средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации), средства изготовления, тиражирования документов и другие технические средства обработки информации, используемые для обработки защищаемой информации, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное обеспечение);

- технические средства и системы, не обрабатывающие непосредственно защищаемую информацию, но размещенные в помещениях, где обрабатывается (циркулирует) конфиденциальная информация.

III. Угрозы информационной безопасности.

3.1 Источники угроз информационной безопасности делятся на две группы - внешние и внутренние.
К внешним источникам относятся:

- неправомерные действия государственных структур и отдельных должностных лиц, приводящие к нарушению законных прав граждан и организаций в информационной сфере;

- противозаконная деятельность структур, групп и отдельных лиц в области формирования, распространения и использования информации;
- деятельность разведок и спецслужб;
- стихийные бедствия и катастрофы.

К внутренним источникам относятся:
- нескоординированность деятельности в органах государственного управления по реализации единой политики в области информатизации и защиты информации;

нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации;

преднамеренные действия персонала по разрушению системы формирования, распространения и использования информационных ресурсов;

- непреднамеренные ошибки персонала, отказы текнических средств и сбои программного обеспечения в информационных телекоммуникационных системах;

- вирусы.

В системе сбора и обработки конфиденциальной информации наибольшую опасность по обеспечению информационной безопасности представляют хищения и преднамеренное искажение информации, как результат информация становится недостоверной и влечет принятие неверных решений.

Серьезную опасность для нормального функционирования информационных систем представляют все более изощренные компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети.

3.2. Основные способы реализации угроз информационной безопасности.

Основные способы реализации угроз информационной безопасности подразделяются на организационно-правовые, информационные, программные, физические и радиоэлектронные.

А. Организационно-правовые способы реапизации угроз включают:

- невыполнение требований законодательства в сфере информационных отношений и защиты информации;

- задержкии с принятием необходимых нормативно-правовых положений и административных решений в сфере информационных отношений и защиты информации;

- нарушение режима хранения и порядка транспортировки носителя информации;

- несоблюдение регламента архивирования обрабатываемой информации;

- нарушение режима доступа лиц к охраняемому объекту;

- неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций открытую информацию;

- закупки несовершенных средств или применение устаревших информационных технологий и средств информатизации;

- несоблюдение установленного порядка приема в эксплуатацию программного обеспечения или использование на вычислительных системах нелицензионных программных продуктов;

- нарушения порядка организации ремонтно-профилактических работ и ремонта технических средств.

Б. К информационным способам реализации угроз относятся:

- несанкционированный доступ к информационным ресурсам,*

- незаконное копирование данных в информационных системах;

- хищение информации из банков и баз данных;

- нарушение адресности информационного обмена, противозаконный сбор и использование инфориации;

- манипулирование информацией (фальсификация, модификация, подделка, сокрытие, несанкционированное уничтожение или искажение информации);

- нарушение технологии сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации.

* -Несанкционированный доступ -доступ к информации, нарушающий установленные правила разграничения доступа, с использованием программного, микропрограммного и технического обеспечения.

В. Программные способы реализации угроз включают:

- внедрение программ "вирусов", программ, нарушающих организацию и программную структуру информационной системы;

- установку программных и аппаратных "закладок";

- поставку "'зараженных" компонентов информационных систем;

- уничтожение или модификацию данных в информационных системах.

Г. Физические способы реапизации угроз включают:

- хищение, уничтожение или разрушение средств хранения, обработки и передачи информации, машинных и других носителей информации;

- хищение программных или аппаратных ключей и средств защиты информации;

- воздействие на персонал.

Д. Радиоэлектронными способами реализации угроз являются:

- съем информации по техническим каналам;

- внедрение электронных устройств перехвата информации в технических средствах и помещениях;

- перехват и навязывание ложной информации в сетях данных и линиях связи;

- радиоэлектронное подавление линий связи и систем управления.

В результате воздействия угроз на информационную целостность и безопасность может быть нанесен весьма существенный ущерб экономическим интересам граждан, организаций и предприятий различных форм собственности и республике в целом.

IY. Организация работ по информационной безопасности.

Организация работ по информационной безопасности в органах государственного управления осуществляется на основе требований законов Российской Федерации, Указов Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, руководящих документов Государственной Технической комиссии при Президенте РФ, нормативными документами Председателя Правительства Республики Карелия по вопросам обеспечения информационной безопасности.

Руководство работами по обеспечению безопасности информации, а также ответственность за организацию и выполнение мероприятий по защите информации возлагается на руководителей министерств, ведомств, комитетов и глав местного
самоуправления, а методическое руководство и контроль за обеспечением информационной безопасности -на Администрацию Председателя Правительства Республики Карелия.

В органах государственного и местного самоуправления на основе требований нормативно-правовых актов и настоящего Положения разрабатывается и утверждается руководителем Инструкция по информационной безопасности и назначается должностное лицо, ответственное за информационную безопасность.

4.1. Организация защиты конфиденциальной информации.

Организация защиты конфиденциальной информации включает в себя:

- разработку Концепции по защите информации и норм устанавливающих - порядок документирования информации, право собственности на информацию; категорию информации по уровню доступа к ней; порядок правовой защиты; владение, пользование и распоряжение;

- разработку и уточнение модели угроз конфиденциальной информации;

а) какие угрозы должны быть устранены и в какой мере;

- определение и утверждение Перечня сведений, подлежащих защите, а также персональных данных ( Указ Президенга Российской Федерации от 6 марта 1997 г. № 188, Постановление СМ -Правительства РФ от 15.09.1993 г. № 912-51.);

в) какие ресурсы защищать и с помощью каких средств должна быть реализована защита;

- определение перечня должностных лиц, уполномоченных относить информацию к конфиденциальной;

- разработку и доведение до лиц, допущенных к конфиденциальной информации, приказов, инструкций и других нормативно-правовых документов по соблюдению режима конфиденциальности;

- ограничение доступа к средствам хранения обработки и передачи конфиденциальной информации, а также к носителям, содержащим конфиденциальную информацию;

- ведение специального делопроизводства, обеспечивающего выделение и сохранность носителей, содержащих конфиденциальную информацию;

- использование правовых, организационных, технических и иных средств защиты конфиденциальной информации;

-осуществление контроля за соблюдением установленного режима конфиденциальности.

V. Обязанности должностных лиц органов государственного управления Республики Карелия по информационной безопасности

5.1. Обязанности руководителей министерств, ведомств, государственных комитетов и комитетов республики.

На руководителей министерств, ведомств, государственных комитетов и комитетов республики возлагаются обязанности по:

- организации и непосредственному руководству работами по режиму безопасности и защите информации;

- анализу потоков информации, циркулирующей в министерстве, ведомстве, комитете с целью определения объема конфиденциальной информации ограниченного распространения;

- анализу и выявлению возможных каналов утечки информации и принятию мер по их устранению;

- организации разработки организационно-технических мероприятий по защите информации и обеспечение работ по их реализации;

- организации разграничения полномочий сотрудников-пользователей конфиденциальной информацией;

- организации делопроизводства с секретными документами и документами ограниченного пользования;

- организации и обеспечению охраны и внутриобъектового режима;

- организации работ по совершенствованию системы мер предупреждения правонарушений со стороны сотрудников при работе с конфиденциальной информацией;

- организации учебы сотрудников подразделений по режиму безопасности и защите информации;

- контролю за состоянием информационной безопасности.

5.2. Обязанностк начальников (заведующих) отделов в органах государственного управления.

На начальников (заведующих) отделов в органах государственного управления возлагается:

- анализ потоков информации, циркулирующей в отделе, с целью определения объема конфиденциальной информации;

- выявление и анализ возможных каналов утечки информации;

- организация и проведение работ по реализации требований по защите информации в отделе;

- разграничение полномочий сотрудников - пользователей информацией конфиденциального характера;

- контроль за состоянием информационной безопасности в отделе.

5.3. Обязанности сотрудника, ответственного за вопросы защиты информации

на сотрудника, ответственного за вопросы защиты информации, возлагается:

- координация, методическое руководство за работами по обеспечению безопасности информации;

- организация аттестования технических средств и выделенных помещений с целью установления состояния защиты и ее соответствия требованиям руководящих документов;

- организация работ по проведению специальных проверок и специсследований технических средств и программного обеспечения;

- анализ, накопление данных о попытках преодоления систем защиты информации, ее хищений и используемых при этом методах, разработка и обеспечение мер противодействия;

- проведение предупредительно-профилактической работы по вопросам безопасности и предупреждения правонарушений со стороны работников органа государственного управления;

- взаимодействие по вопросам защиты информации с правоохранительными органами;

- разработка проектов приказов по вопросам информационной безопасности;

- подготовка предложений руководству о запрещении ведения работ с документами ограниченного распространения при обнаружении грубых нарушений требований нормативных документов по обеспечению безопасности информации, обрабатываемой на средствах вычислительной техники или передаваемой по каналам связи;

- проведение расследований по фактам разглашения конфиденциальных сведений, утраты документов и материалов, содержащих такие сведения, а также по фактам утечки информации по техническим каналам и фактам хищения средств вычислительной техники.

5.4. Обязанности государственного служащего или лица, назначенного на государственную должность.

1. Государственный служащий или лицо, назначенное на государственную должность, обязаны:

1) сохранять доверенную ему или иную окраняемую законом тайну, в том числе и после прекращения государственной службы;

2) соблюдать порядок обращения со служебной информацией, установленный в республиканском государственном органе;

3) сохранять в тайне ставшие ему известными в связи с исполнением должностных обязанностей сведения, затрагивающие частную жизнь, честь и достоинство граждан.

2. Государственный служащий имеет право давать показания или делать заявления в отношении информации, содержащей государственную или иную охраняемую законом тайну, только в связи с возбужденным уголовным делом или в иных, прямо предусмотренных законом случаях, письменно предупредив об этом руководителя государственного органа.

3. Нарушение требований настоящей статьи влечет увольнение государственного служащего с должности, а также, если это предусмотрено законодательством Российской Федерации и Республики Карелия, привлечение его к административной или уголовной ответственности.*

* -Статья 15. Закона Республики Карелия "0 государственной службе Республики Карелия" (Собрание законодательства Республики Карелия, 1997, № 2 ст. 134).

VI. Планирование работ по информационной безопасности.

Планирование работ по информационной безопасности осуществляется ежегодно. Примерная форма плана утверждена распоряжением Председателя Правительства Республики Карелия от 5 января 1998 года № 1-р.

План мероприятий по комплексной защите информации, циркулирующей и обрабатываемой техническими средствами в органах государственного управления, разрабатывается и утверждается до 20 января и включает мероприятия, которые peально выполнимы:

1. Правовые мероприятия.

2. Организационные мероприятия.

3. Технические мероприятия.

Отчет о состоянии информационной безопасности представляется ежегодно к 15 марта текущего года в Администрацию Председателя Правительства Республики Карелия (через отдел специальной документальной связи и информатизации).

Форма отчета приведена в приложении к настоящему Положению.

VII. Взаимодействие по вопросам информационной безопасности.

Органы государственного управления взаимодействие осуществляют по вопросам:

- обеспечения защиты информации при информационном обмене из баз данных (согласно требованиям совместных нормативно-распорядительных документов);

- подготовки и проведения совещаний, консультаций, совместных мероприятий по техническим и организационным вопросам;

Порядок взаимодействия с правоохранительными органами по организации информационной безопасности в ходе обмена информацией, ответственность за сохранность информации устанавливается двусторонними нормативными документами, подписанными руководителями заинтересованньи сторон.

VIII. Требования по использованию сети Internet органами государственного управления Республики Карелия.

8.1. Порядок подключення к сети Интернет.

Решение о подключении к сети Internet принимает руководитель министерства, ведомства, государственного комитета, комитета.

Подключение к сети Internet осуществляется с целью предоставления возможности ведения информационно-аналитической работы в интересах органа государственного управления.

Иное использование ресурсов сети Internet запрещается.

Конкретный способ подключения к сети Internet определяется отделом информатизации органа государственного управления по согласованию с отделом специальной документальной связи и информатизации Администрации Председателя Правительства Республики Карелия.

Самостоятельное подключение пользователей к сети Internet или к серверу доступа категорически запрещается.

После подключения выделенной ЭВМ к сети Internet составляется акт о вводе в эксплуатацию рабочего места пользователя сети Internet. В акте отражается: способ подключения ЭВМ; фамилии пользователей, ответственных за взаимодействие с сетью Internet; содержание программного обеспечения; разрешенные способы съема информации; ответственный за техническую поддержку и сопровождение данного рабочего места. Акт утверждается руководителем, подписывается заведующим отделом информатизации и ответственным за информационную безопасность.

8.2. Порядок использования сети Internet сотрудниками органов государственного управления

Автоматизированное рабочее место (АРМ), с которого осуществляется взаимодействие с сетью Internet, не должно быть подключено ни к какой внутренней компьютерной сети и не должно содержать никакой служебной информации.

В процессе эксплуатации сети Internet всю получаемую из этой сети информацию допускается либо просматривать на экране дисплея, либо сохранять в виде твердой копии, т.е. распечатывать на принтере.

Порядок подготовки информации для размещения на WWW-серверах и порядок использования предназначенных для обмена информацией с сетью Internet определен распоряжением Председателя Правительства Республики Карелия от 3 февраля 1998 года № 64-р.

На руководителей возлагается ответственность за организацию работы их сотрудников в сети Internet в соответствии с требованиями руководящих документов по информационной безопасности.

Контроль за выполнением требований нормативных документов по организации работы с сетью Internet возлагается на отдел

специальной документальной связи и информатизации Администрации Председателя Правительства Республики Карелия.

В случае нарушения установленного порядка использования ресурсов сети Internet контролирующие органы вправе отключить АРМ от сети Internet, уведомив об этом руководство органа государственного управления.

Если нарушения привели к тяжким последствиям, то по факту нарушения назначается и проводится служебное расследование.

8.3. Обязанности пользователя сети lnternet.

Каждый сотрудник при работе с сетью Internet несет персональную ответственность за свои действия и за выполнение требований нормативных документов по информационной безопасности.

Пользователям сети Internet запрещается:

- самостоятельно передавать информацию в сеть Internet;

- самостоятельно модифицировать программное обеспечение APM;

- распространять и устанавливать на других АРМ любое программное обеспечение и данные, полученные по каналам сети Internet.

Обо всех нештатных ситуациях и их последствиях пользователь обязан немедленно доложить руководителю структурного подразделения и поставить в известность контролирующие органы.

IX. Контроль за состоянием информационной безопасности.

Контроль за состоянием информационной безопасности в органах государственного управления Республики Карелия проводится с целью проверки состояния режима, безопасности и защиты информации и их соответствия требованиям руководящих и нормативных документов.

Контроль за обеспечением режима, безопасности и защиты информации организуется Начальником Администрации Председателя Правительства Республики Карелия и проводится отделом специальной документальной связи и информатизации.

Контроль за состоянием информационной безопасности, сохранностью конфиденциальных документов и материалов, соблюдением установленного порядка работы с ними, а также эффективностью системы мер по обеспечению защиты информации, обрабатываемой на средствах вычислительной техники и передаваемой по каналам связи, может осуществляться в плановом порядке, внепланово и внезапно (по указанию Председателя Правительства Республики Карелия).

По результатам контроля оформляется акт, который доводится до сведения руководства проверяемого министерства, ведомства, комитета.

В зависимости от характера нарушений, связанных с функционированием средств и систем защиты информации, принимаются меры вплоть до приостановки обработки информации, выявления и устранения причин нарушений. Возобновление работ производится после принятия мер по устранению нарушений и проверки эффективности защиты органами контроля и только с разрешения органа, санкционировавшего проверку.

За разглашение конфиденциальной информации ограниченного распространения, а также нарушение порядка обращения с документами, носителями, содержащими такую информацию, должностные лица могут быть привлечены к дисциплинарной или иной, предусмотренной законодательством, ответственности.

Приложение
к Положению по информационной безопасности

ОТЧЕТ
о состоянии информационной безопасности за 19__ год
(наименование органа государственного управления)

Отчет составляется в произвольной форме, в нем в обязательном порядке отражаются следующие вопросы:

1. Оценка реальной опасности утечки информации, отнесенной к конфиденциальной, несанкционированного доступа к ней потенциальных нарушителей, их намерения, применяемые средства, методы и способы, а также возможные технические каналы утечки информации.

2. Наличие и состояние оборудования объектов органа государственного управления инженерно-техническими средствами охраны.

3. Основные мероприятия и организаторская работа по обеспечению и совершенствованию сохранности конфиденциальной информации и документов.

4. Состояние работ по защите конфиденциальной информации, обрабатываемой техническими средствами.

Основные организационно-технические мероприятия по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней.

Наличие программных средств защиты информации.

5. Работа постоянно действующей комиссии по безопасности и защите информации.

6. Порядок подготовки сотрудников по безопасности и защите информации.

7. Организация контроля по вопросам защиты информации, эффективность и периодичность .

8. Положительный опыт работы по обеспечению защиты информации.

9. Выводы о состоянии работы по защите информации, предложения по их совершенствованию, нерешенные вопросы.


Текст Положения
сверен по:
Рассылка ( в СЗРК текст постановления без приложений)


Редакция документа с учетом
изменений и дополнений подготовлена
в отделе баз данных ИВЦ ПГУ