ГЛАВА РЕСПУБЛИКИ КАРЕЛИЯ
РАСПОРЯЖЕНИЕ
[Об одобрении Концепции защиты
информации в Республики Карелия]
В соответствии с решением
Координационного совета при полномочном
представителе Президента Российской
Федерации в Северо-Западном федеральном
округе от 4 декабря 2002 года, решением
Комиссии по вопросам защиты информации
при Главе Республики Карелия от 26 июля 2012
года:
1. Одобрить прилагаемую Концепцию защиты
информации в Республике Карелия.
2. Контроль за выполнением распоряжения
возложить на Государственный комитет
Республики Карелия по развитию
информационно- коммуникационных
технологий.
Глава
Республики Карелия
А.П. Худилайнен
г. Петрозаводск
31 августа 2012 года
N 323-р
Одобрена распоряжением
Главы Республики Карелия
от 31 августа 2012 года N 323-р
КОНЦЕПЦИЯ ЗАЩИТЫ
ИНФОРМАЦИИ В РЕСПУБЛИКЕ КАРЕЛИЯ
I. ВВЕДЕНИЕ
Концепция защиты информации в
Республике Карелия (далее - Концепция)
определяет систему взглядов на проблему
обеспечения безопасности информации,
содержащей сведения, составляющие
государственную тайну, и
конфиденциальную информацию (далее -
информация ограниченного доступа).
Цель Концепции - определение задач,
основных направлений, принципов
организации, путей реализации
государственной политики в области
защиты информации в Республике
Карелия.
Концепция разработана на основе
требований Доктрины информационной
безопасности Российской Федерации,
Указов Президента Российской Федерации,
нормативных и руководящих документов,
регламентирующих вопросы защиты
информации. Концепцией рассмотрены
угрозы информационной безопасности и
возможные их последствия, методы и
средства предотвращения, парирования и
нейтрализации угроз, а также особенности
обеспечения защиты информации в
различных сферах деятельности. В
Концепции излагаются основные положения
государственной политики обеспечения
защиты информации, организационная
структура и принципы построения системы
защиты информации в Республике
Карелия.
Концепция служит методологической
основой для разработки и реализации в
органах государственной власти, органах
местного самоуправления и организациях
Республики Карелия:
1) правового, нормативно-методического,
научно-технического и организационного
обеспечения защиты информации;
2) единой технической политики в области
применения информационных технологий и
использования систем безопасности и
средств защиты информации;
3) плана создания и развития комплексной
системы защиты информации, включающей в
себя комплекс мер и мероприятий по ее
практической реализации.
Для предотвращения и ликвидации угроз
информационной безопасности необходимо
использовать комплексный подход,
включающий правовые, экономические,
организационные, технические,
программные, социальные и иные
механизмы, способные обеспечить
безопасность, доступность и целостность
информационных систем и ресурсов.
Правовую основу Концепции составляют
Конституция Российской Федерации,
законы Российской Федерации,
международные договоры и соглашения,
заключенные или признанные Российской
Федерацией, определяющие права и
ответственность граждан, общества и
государства в информационной сфере,
Конституция Республики Карелия, Закон
Республики Карелия от 26 марта 2007 года N
1066-ЗРК "О государственных электронных
информационных ресурсах Республики
Карелия".
II. ОБЩИЕ ПОЛОЖЕНИЯ
1. Система защиты информации
Интенсивное внедрение
информационных технологий во все сферы
жизни и деятельности общества, рост
удельного веса информационной
безопасности в обеспечении национальной
безопасности государства привели к тому,
что информационный ресурс становится
сегодня таким же богатством страны, как
ее полезные ископаемые,
производственные и людские ресурсы.
В последние годы в Российской Федерации
реализован комплекс мер по
совершенствованию обеспечения защиты
информации.
Формируется база правового обеспечения
защиты информации. Приняты Федеральные
законы "Об информации, информационных
технологиях и о защите информации",
"О персональных данных", "О
коммерческой тайне", "Об
электронной подписи" и другие.
Развернута работа по созданию
механизмов их реализации, подготовке
законопроектов, регламентирующих
общественные отношения в информационной
сфере.
Защита информации является неотъемлемой
составной частью основной деятельности
органов государственной власти, органов
местного самоуправления, организаций
Республики Карелия и достигается
проведением комплекса правовых,
организационных и технических
мероприятий, направленных на
предотвращение или преодоление
конкретных угроз безопасности
информации в зависимости от условий
деятельности и решаемых задач.
Успешному решению вопросов обеспечения
информационной безопасности
способствует государственная система
защиты информации, система защиты
государственной тайны, система
лицензирования деятельности в области
защиты информации и система
сертификации средств защиты
информации.
К основным факторам, определяющим
необходимость создания и развития
системы защиты информации Республики
Карелия, относятся:
1) увеличение объемов конфиденциальной
информации, а так же возрастание
зависимости результатов деятельности
органов государственной власти, органов
местного самоуправления и организаций
Республики Карелия от достоверности
используемой ими информации,
своевременности ее получения,
надежности принятых мер по ее
сохранению;
2) неоднозначность классификации одной и
той же информации при ее обработке в
различных государственных и
негосударственных учреждениях;
3) широкое использование в органах
исполнительной власти Республики
Карелия федеральных, региональных и
глобальных информационных систем,
накапливающих и передающих значительные
объемы важной информации, и в то же время
уязвимых для угроз несанкционированного
доступа к конфиденциальной информации,
возрастание риска и опасности
несанкционированных и непреднамеренных
воздействий на информацию в этих
системах;
4) возрастание опасности информационных
угроз, возникающих в отношении органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия;
5) использование техническими разведками
иностранных государств, криминальными
структурами устройств негласного
получения информации, рост числа
преступлений в сфере применения
информационно-коммуникационных
технологий;
6) использование в органах
государственной власти, органах
местного самоуправления и организациях
Республики Карелия технических и
программных средств зарубежного
производства, обеспечивающих сбор,
хранение, обработку и передачу
информации, не сертифицированных по
требованиям безопасности информации;
7) невозможность своевременно и
достоверно прогнозировать и выявлять
угрозы информационным системам,
оценивать их опасность, принимать
адекватные меры по их устранению;
8) неспособность большинства организаций
самостоятельно обеспечить эффективную
защиту информации вследствие отсутствия
подготовленных специалистов,
необходимой нормативно-методической
литературы, высокой стоимости средств
защиты информации и услуг по ее защите.
2. Цели системы защиты информации
Целями системы защиты информации в
Республике Карелия являются:
1) предотвращение или существенное
снижение ущерба безопасности органов
государственной власти, органов
местного самоуправления, организаций,
отдельных граждан Республики Карелия
путем использования методов и средств
защиты информации;
2) реализация единой государственной
политики, организация и координация
работ по защите информации на территории
Республики Карелия;
3) содействие экономическому,
научно-техническому прогрессу
Республики Карелия, обеспечению его
безопасности и устойчивого развития;
4) защита информационных и
телекоммуникационных систем от
преступлений, совершаемых с
использованием уязвимостей
информационных технологий, обеспечение
органов государственной власти, органов
местного самоуправления, организаций,
отдельных граждан Республики Карелия
достоверной, полной и своевременной
информацией, необходимой для принятия
решений, а также предотвращение
нарушений целостности и незаконного
использования информационных
ресурсов;
5) формирование системы защищенного
электронного взаимодействия органов
государственной власти, органов
местного самоуправления, организаций,
граждан Республики Карелия.
3. Основные задачи системы защиты информации
Основными задачами системы защиты
информации в Республике Карелия
являются:
1) проведение единой государственной
политики в области защиты информации,
формирование и координация деятельности
органов государственной власти, органов
местного самоуправления и организаций
Республики Карелия в обеспечении защиты
информации, создание комплексной
системы защиты информации и контроля
эффективности применяемых мер и средств
защиты;
2) методическое и информационное
обеспечение работ по защите информации в
Республике Карелия;
3) исключение или существенное
затруднение получения информации
средствами технической разведки, путем
предотвращения утечки информации по
техническим каналам,
несанкционированного доступа к ней,
несанкционированных воздействий на
информацию с целью ее уничтожения,
искажения и блокирования;
4) подготовка предложений по
совершенствованию правового,
нормативного, методического,
научно-технического и организационного
обеспечения защиты информации на
объектах информатизации Республики
Карелия, обеспечение активного участия в
процессах создания и использования
глобальных информационных сетей и
систем;
5)
принятие в пределах компетенции
нормативных правовых актов,
регулирующих отношения в области защиты
информации в Республике Карелия;
6) формирование и организация
деятельности служб и подразделений по
защите информации в Республике
Карелия;
7) определение и учет информационных
ресурсов, систем и средств формирования,
передачи, хранения, обработки и
распространения информации, подлежащей
защите;
8) контроль и анализ состояния защиты
информации в органах государственной
власти, органах местного самоуправления
и организациях Республики Карелия;
9) выявление ключевых проблем в области
защиты информации, определение
приоритетных направлений развития
системы защиты информации;
10) проведение практических мероприятий
по созданию системы защиты информации;
11) совершенствование и развитие системы
подготовки специалистов в области
защиты информации.
4. Структура системы защиты информации
Структура системы защиты информации, ее
задачи и функции, основы организации
защиты сведений, составляющих
государственную тайну или содержащих
конфиденциальную информацию, определены
Положением о государственной системе
защиты информации в Российской
Федерации от иностранных технических
разведок и от ее утечки по техническим
каналам, утвержденным постановлением
Совета Министров Правительства
Российской Федерации от 15 сентября 1993
года N 912-51.
Федеральным органом, уполномоченным в
области обеспечения безопасности
информации в ключевых системах
информационной инфраструктуры,
противодействия техническим разведкам и
технической защиты информации является
Федеральная служба по техническому и
экспортному контролю Российской
Федерации (далее - ФСТЭК России).
ФСТЭК России является органом защиты
государственной тайны, наделенным
полномочиями по распоряжению
сведениями, составляющими
государственную тайну. ФСТЭК России
организует деятельность
государственной системы
противодействия техническим разведкам и
технической защиты информации и
руководит ею.
В Северо-Западном федеральном округе
организует и руководит деятельностью
государственной системы
противодействия техническим разведкам и
технической защиты информации
Управление ФСТЭК России по
Северо-Западному федеральному округу.
Составной частью государственной
системы защиты информации Российской
Федерации и системы защиты информации
Северо-Западного федерального округа
является система защиты информации
Республики Карелия, в состав которой
входят:
1) Комиссия по вопросам защиты информации
при Главе Республики Карелия
(координационный орган);
2) Совет по информатизации при Главе
Республики Карелия (совещательный
орган);
3) Комиссия по развитию информационного
общества и формированию электронного
правительства в Республике Карелия
(координационный орган);
4) органы государственной власти
Республики Карелия, органы местного
самоуправления в Республике Карелия,
территориальные органы федеральных
органов исполнительной власти,
уполномоченные в области обеспечения
безопасности, в области противодействия
техническим разведкам и технической
защиты информации, организации,
осуществляющие работу со сведениями,
составляющими государственную тайну;
5) постоянно действующие технические
комиссии по защите государственной
тайны и экспертные комиссии в органах
государственной власти, органах
местного самоуправления и организациях
Республики Карелия (коллегиальные
органы);
6) режимно-секретные подразделения и
структурные подразделения (штатные
специалисты) по защите информации
органов государственной власти, органов
местного самоуправления и организаций
Республики Карелия.
Проведение на территории Республики
Карелия государственной политики, а
также координация деятельности органов
исполнительной власти Республики
Карелия по обеспечению защиты
информации возложено на Государственный
комитет Республики Карелия по развитию
информационно-коммуникационных
технологий (далее - Комитет), в
соответствии с Положением о Комитете.
5. Основные объекты защиты информации
Основными объектами защиты являются:
информация ограниченного доступа,
носители и технология ее обработки,
технические средства, в отношении
которых необходимо обеспечить
безопасность информации.
В политической сфере объектами защиты
выступают:
1) информация ограниченного доступа;
2) информационно-аналитические
технологии проведения избирательных
кампаний;
3) электронные технологии проведения
общегосударственных и республиканских
референдумов по социально и политически
значимым для государственной стратегии
развития вопросам;
4) системы ситуационного моделирования
политических и социальных аспектов
управления и информационной поддержки
принятия решений.
В экономической сфере в качестве
объектов защиты выступают:
1) информация ограниченного доступа;
2) экономически значимые информационные
ресурсы организаций, в том числе
составляющие коммерческую тайну;
3) системы сбора и обработки финансовой,
биржевой, налоговой, таможенной
информации и информации о
внешнеэкономической деятельности
Республики Карелия и
предпринимательской сферы;
4) внутрибанковские и межбанковские
корпоративные сети, обеспечивающие
проведение банковских операций;
5) автоматизированные системы сбора и
анализа статистической информации,
обеспечивающие принятие рациональных
решений на уровне республики, отрасли,
организаций, а также проведение анализа
и прогнозирование
социально-экономического развития
Республики Карелия;
6) корпоративные
информационно-телекоммуникационные
системы, обеспечивающие управление
отраслью, корпорацией.
В правоохранительной сфере объектами
защиты являются:
1) информация ограниченного доступа;
2) система криминальной статистики;
3) информационные ресурсы,
информационная инфраструктура:
информационно-вычислительные сети,
пункты управления, узлы и линии связи.
В сфере предотвращения и локализации
чрезвычайных ситуаций объектами защиты
являются:
1) информация ограниченного доступа;
2) система сбора и обработки информации о
возможном возникновении чрезвычайных
ситуаций;
3) система управления ликвидацией
последствий чрезвычайных ситуаций;
4) диспетчерские службы управления
тепловых электростанций,
гидроэлектростанций;
5) диспетчерские службы управления
полетами гражданской авиации,
автомобильным, железнодорожным, морским
и речным транспортом;
6) автоматизированная система управления
трубопроводными сетями (газо- и
нефтепроводы).
В информационных и телекоммуникационных
системах объектами защиты являются:
1) государственные информационные
ресурсы, в том числе содержащие сведения
ограниченного доступа;
2) средства и система информатизации
(средства вычислительной техники,
информационно-вычислительные комплексы,
сети и системы), программные средства
(операционные системы, системы
управления базами данных, другое
общесистемное и прикладное программное
обеспечение), автоматизированная
система управления, системы связи и
передачи данных;
3) технические средства приема,
обработки, хранения и передачи
информации ограниченного доступа
(звукозапись, звукоусиление,
переговорные и телевизионные
устройства, средства изготовления и
тиражирования документов), их
информационные физические поля;
4) информационно-телекоммуникационные
системы специального назначения,
создаваемые в интересах органов
государственной власти;
5) технические средства и системы, не
относящиеся к средствам и системам
информатизации, но находящиеся в
помещениях, в которых обрабатывается
информация ограниченного доступа, а
также сами помещения, предназначенные
для обработки информации ограниченного
распространения;
6) помещения, предназначенные для ведения
переговоров, в ходе которых оглашаются
сведения ограниченного доступа.
В научной и технологической сфере
объектами защиты являются:
1) информационные ресурсы, содержащие
сведения ограниченного доступа;
2) программы, направления и результаты
фундаментальных поисковых и прикладных
научных исследований, содержащие
сведения потенциально важные для
научно-технического, технологического и
социально-экономического развития в
целом, утрата которых может нанести
ущерб национальным интересам и престижу
Российской Федерации и Республики
Карелия;
3) открытия, изобретения, программные
продукты, другие объекты
интеллектуальной собственности;
4) опытные и промышленные образцы, модели
и экспериментальное оборудование;
5) системы телекоммуникации и каналы
связи;
6) автоматизированные системы управления
сложными технологическими
установками.
В сфере обеспечения информационной
безопасности личности объектами защиты
могут являться:
1) сведения, составляющие личную,
семейную, врачебную тайну, адвокатскую
тайну, тайну нотариальных действий,
предварительного следствия и другие;
2) личная информация, передаваемая по
техническим и иным средствам связи;
3) система обеспечения
конфиденциальности информационного
обмена между частными лицами;
4) информационные ресурсы, содержащие
персональные данные.
6. Субъекты правовых отношений в информационной сфере
Субъектами правовых отношений в
информационной сфере являются:
1) органы государственной власти, органы
местного самоуправления и организации
Республики Карелия;
2) должностные лица и структурные
подразделения (штатные специалисты),
обеспечивающие защиту информации;
3) юридические и физические лица,
производящие и потребляющие
информацию;
4) юридические и физические лица,
разрабатывающие и применяющие
информационные системы, технологии и
средства их обеспечения;
5) граждане, организации, формирующие
информационные ресурсы и
предоставляющие пользователям
информацию из них.
7. Источники угроз информационной безопасности
Правовое регулирование информационного
взаимодействия субъектов
информационных отношений должно
осуществляться в соответствии с
существующей нормативной правовой базой
Российской Федерации и Республики
Карелия.
В настоящее время деятельность органа
управления любого уровня, деятельность
любой организации немыслима без
использования современных
информационных технологий и
телекоммуникационных систем.
Практически все управленческие решения
принимаются на основе информационных
ресурсов, которые обрабатываются,
накапливаются и передаются с
использованием технических средств.
Следствием этого является целый спектр
угроз, связанных с возможностью
несанкционированного получения
информации и специальных воздействий на
нее.
В качестве основных типов угроз
безопасности информации
рассматриваются:
1) нарушение конфиденциальности
информации;
2) нарушение доступности информации;
3) нарушение целостности информации.
В рамках этих угроз рассматривают виды
воздействия для их реализации:
1) хищение (несанкционированное
копирование) информации;
2) утрата информации;
3) уничтожение информации (уничтожение
файлов, баз данных и т.д.);
4) блокирование информации;
5) модификация (искажение) информации;
6) отрицание подлинности информации;
7) навязывание ложной информации.
8. Способы воздействия угроз на объекты информационной безопасности
Способы воздействия угроз на объекты
информационной безопасности в
Республике Карелия подразделяются на
информационные,
программно-математические, физические,
радиоэлектронные,
организационно-правовые.
К информационным способам относятся:
1) нарушения адресности и
своевременности информационного обмена,
противозаконный сбор и использование
информации;
2) несанкционированный доступ к
информационным ресурсам;
3) манипулирование информацией
(дезинформация, сокрытие или искажение
информации);
4) незаконное копирование данных в
информационных системах;
5) использование средств массовой
информации с позиций, противоречащих
интересам граждан, организаций и
государства;
6) хищение информации из библиотек,
архивов, банков и баз данных;
7) нарушение технологии обработки
информации.
Программно-математические способы
включают:
1) внедрение программ-вирусов;
2) установку программных и аппаратных
закладных устройств;
3) разработку, распространение и
использование программ, действие
которых направлено на преодоление
средств защиты от несанкционированного
доступа к информационным ресурсам;
4) уничтожение или модификацию данных в
информационных системах.
Физические способы включают:
1) уничтожение или разрушение средств
обработки информации и связи;
2) уничтожение, разрушение или хищение
машинных или других оригиналов
носителей информации;
3) хищение программных или аппаратных
ключей и средств криптографической
защиты информации;
4) воздействие на персонал;
5) поставку "зараженных" компонентов
информационных систем.
Радиоэлектронными способами являются:
1) перехват и утечка информации по
техническим каналам;
2) внедрение электронных устройств
перехвата информации в технических
средствах и помещениях;
3) перехват, дешифрование и навязывание
ложной информации в сетях передачи
данных и линиях связи;
4) воздействие на парольно-ключевые
системы;
5) радиоэлектронное подавление линий
связи и систем управления.
Организационно-правовые способы
включают:
1)
приобретение несовершенных или
устаревших информационных технологий и
средств информатизации;
2) невыполнение требований
законодательства и задержки в принятии
необходимых нормативно-правовых
положений в информационной сфере;
3) неправомерное ограничение доступа к
документам, содержащим важную для
граждан и организаций информацию.
9. Возможные последствия воздействия угроз информационной безопасности
В результате воздействия угроз
информационной безопасности может быть
нанесен серьезный ущерб интересам
Республики Карелия в политической,
экономической и других сферах
деятельности, а также причинен
экономический ущерб обществу и
отдельным гражданам.
Следствием воздействия угроз
информационной безопасности могут
явиться снижение темпов
научно-технического развития Республики
Карелия, утрата культурного наследия и
другие. Угрозы информационной
безопасности могут нанести физический,
материальный и моральный ущерб
гражданам, вызывать неадекватное
социальное или криминальное поведение
групп людей или отдельных лиц, оказать
влияние на процессы образования и
формирования личности.
Источники угроз безопасности информации
могут носить как субъективный, так и
объективный характер. Источники угроз
обусловлены действиями субъектов
правоотношений в информационной сфере,
техническими средствами и стихийными
бедствиями.
Меры противодействия угрозам находятся
в сферах обеспечения информационной
безопасности, защиты информации и
безопасного использования
информационных технологий.
10. Методы и средства обеспечения информационной безопасности
В целях предотвращения, парирования и
нейтрализации угроз информационной
безопасности применяются правовые,
программно-технические и
организационно-экономические методы.
Правовые методы предусматривают
разработку комплекса нормативных
правовых актов, регламентирующих
информационные отношения в обществе,
нормативно-методических и руководящих
документов по обеспечению
информационной безопасности.
Программно-технические методы включают
предотвращение утечки обрабатываемой
информации путем исключения
несанкционированного доступа к ней;
предотвращение специальных воздействий,
вызывающих разрушение, уничтожение,
искажение информации или сбои в работе
средств информатизации; выявление
внедренных программных или аппаратных
закладочных устройств; исключение
перехвата информации техническими
средствами; применение
криптографических средств защиты
информации при передаче по каналам связи
и (или) для защиты информации от
несанкционированного доступа при ее
обработке и хранении.
Организационно-экономические методы
предусматривают формирование и
обеспечение функционирования систем
защиты секретной и конфиденциальной
информации, сертификацию этих систем по
требованиям информационной
безопасности, лицензирование
деятельности в сфере информационной
безопасности, стандартизацию способов и
средств защиты информации, контроль за
действием персонала в защищенных
информационных системах.
Основными источниками угроз в
сфере информационной безопасности
является деятельность иностранных
разведывательных и специальных служб,
преступных групп и формирований,
противозаконная' деятельность
отдельных лиц, нарушение установленных
регламентов сбора, обработки и передачи
информации, преднамеренные действия и
непреднамеренные ошибки персонала
информационных систем, отказы
технических средств и сбои программного
обеспечения в
информационно-коммуникационных
системах, использование нелицензионного
программного обеспечения.
Основными направлениями обеспечения
информационной безопасности в
информационно-коммуникационных
системах Республики Карелия являются:
1) предотвращение перехвата с помощью
технических средств информации,
передаваемой по каналам связи;
2) исключение несанкционированного
доступа к обрабатываемой или хранящейся
в технических средствах информации;
3) предотвращение утечки обрабатываемой
информации за счет побочных
электромагнитных излучений и наводок,
создаваемых функционирующими
техническими средствами, а также
электроакустических преобразований;
4) предотвращение специальных
программно-технических воздействий,
вызывающих разрушение, уничтожение,
искажение информации или сбои в работе
средств информатизации; выявление
внедренных на объекты и в технические
средства электронных устройств
перехвата информации (закладных
устройств);
5) предотвращение перехвата техническими
средствами речевой информации из
помещений и объектов.
Предотвращение перехвата с помощью
технических средств информации,
передаваемой по каналам связи,
достигается применением специальных
методов и средств защиты, в том числе
криптографических, а также проведением
организационно-технических и режимных
мероприятий.
Исключение несанкционированного
доступа к обрабатываемой или хранящейся
в технических средствах информации
достигается применением специальных
программно-технических средств защиты,
использованием криптографических
способов защиты, а также
организационными и режимными
мероприятиями.
Предотвращение утечки обрабатываемой
информации за счет побочных
электромагнитных излучений и наводок, а
также электроакустических
преобразований достигается применением
защищенных технических средств,
аппаратных средств защиты, средств
активного противодействия,
экранированием зданий или отдельных
помещений, установлением контролируемой
зоны вокруг средств информатизации и
другими организационными и техническими
мерами.
Предотвращение специальных
программно-технических воздействий,
вызывающих разрушение, уничтожение,
искажение информации или сбои в работе
средств информатизации, достигается
применением специальных программных и
аппаратных средств защиты (антивирусные
процессоры, антивирусные программы),
организацией системы контроля
безопасного программного обеспечения.
Выявление внедренных на объекты и в
технические средства электронных
устройств перехвата информации
(закладочных устройств) достигается
проведением специальных проверок.
Предотвращение перехвата техническими
средствами речевой информации из
помещений и объектов достигается
применением специальных средств защиты,
проектными решениями, обеспечивающими
звукоизоляцию помещений, выявлением
специальных устройств подслушивания и
другими организационными и режимными
мероприятиями.
Основными организационно-техническими
мероприятиями по защите информации в
информационно-коммуникационных
системах Республики Карелия являются:
1) лицензирование деятельности
организаций в области защиты
информации;
2) аттестация объектов информатизации по
выполнению требований обеспечения
защиты информации при проведении работ
со сведениями, отнесенными к
государственной тайне;
3) сертификация средств защиты
информации и контроля ее эффективности,
систем и средств информатизации и связи
в части защищенности информации от
утечки по техническим каналам;
4) введение территориальных, частотных,
энергетических, пространственных и
временных ограничений в режимах
использования технических средств,
подлежащих защите;
5) создание и применение информационных и
автоматизированных систем управления в
защищенном исполнении;
6) разработка и использование средств
защиты информации и методов контроля их
эффективности;
7) применение специальных методов,
технических мер и средств защиты, в том
числе криптографических, исключающих
перехват информации, передаваемой по
каналам связи.
Конкретные методы, приемы и меры защиты
информации разрабатываются в
зависимости от степени возможного
ущерба в случаях ее утечки, разрушения
или уничтожения.
III. ЦЕЛИ, ЗАДАЧИ И
ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ
11. Цели обеспечения защиты информации
Основными целями обеспечения защиты
информации в Республике Карелия
являются:
1) защита информационных ресурсов
органов государственной власти, органов
местного самоуправления, организаций
Республики Карелия от
несанкционированного доступа,
обеспечение их целостности;
2) защита информационных и
телекоммуникационных систем от
преступлений, совершаемых с
использованием уязвимостей
информационных технологий;
3) создание благоприятных условий для
экономической стабильности и развития
Республики Карелия;
4) формирование системы электронного
взаимодействия органов государственной
власти, органов местного самоуправления,
организаций и граждан Республики
Карелия;
5) дальнейшее продвижение Республики
Карелия к современному информационному
обществу.
12. Задачи развития системы защиты информации
Основными задачами развития системы
защиты информации в Республике Карелия
являются:
1) создание необходимых и достаточных
правовых, организационных,
экономических и научно-технических
условий для обеспечения деятельности
системы защиты информации в Республике
Карелия;
2) обеспечение эффективной защиты
информации на объектах органов
государственной власти, органов
местного самоуправления и организаций,
находящихся в их ведении;
3) проведение единой государственной
политики в области защиты информации,
формирование и координация деятельности
органов государственной власти, органов
местного самоуправления и организаций
Республики Карелия в обеспечении
информационной безопасности, создание
комплексной системы информационной
безопасности и контроля эффективности
применяемых мер и средств защиты;
4) выявление ключевых проблем Республики
Карелия в области защиты информации,
определение приоритетных направлений
развития системы защиты информации в
Республике Карелия;
5) создание механизмов своевременного
выявления, прогнозирования, локализации
и блокирования угроз безопасности,
оперативного реагирования на проявления
негативных тенденций в использовании
государственных информационных
ресурсов и систем;
6) разработка мероприятий по защите
информационных ресурсов и средств
информатизации на объектах Республики
Карелия;
7) подготовка предложений по
совершенствованию правового,
нормативного, методического,
научно-технического и организационного
обеспечения технической защиты
информации на объектах Республики
Карелия;
8) принятие в пределах компетенции
нормативных правовых актов,
регулирующих отношения в области защиты
информации в Республике Карелия;
9) формирование и совершенствование
организационной структуры системы
защиты информации в Республике Карелия,
развитие ее научно-технического и
кадрового потенциала;
10) определение и учет информационных
ресурсов, систем и средств формирования,
передачи, хранения, обработки и
распространения информации, подлежащей
защите;
11) методическое и информационное
обеспечение работ по защите информации в
Республике Карелия;
12)
обеспечение безопасности при
осуществлении международного
информационного обмена посредством
информационных систем, сетей связи,
включая международную сеть
"Интернет";
13) контроль и анализ состояния защиты
информации в органах государственной
власти, органах местного самоуправления
и организаций Республики Карелия.
Разработка и осуществление мероприятий
для достижения целей и задач обеспечения
защиты информации в Республике Карелия
должны проводиться в соответствии со
следующими основными принципами:
1) всеобщая обязательность, правовая
обусловленность, универсальность,
превентивность, разумная достаточность,
дифференцированность, разграничение
функций и разделение полномочий;
2) формирование эффективных компонентов
системы защиты информации в Республике
Карелия, соответствующих задачам
обеспечения национальной безопасности
России, безопасности и устойчивого
развития Республики Карелия с учетом ее
экономических возможностей;
3) обеспечение своевременной и
адекватной реакции на возникающие в
Республике Карелия и прогнозируемые
угрозы ведения технической разведки,
утечки информации по техническим
каналам, несанкционированного доступа к
информации и специальных воздействий на
нее;
4) формирование единой политики в области
защиты информации в Республике
Карелия:
5) использование коллегиальных методов
руководства системой защиты информации
и ее развития;
6) планирование развития системы защиты
информации в Республике Карелия.
IV. ОСНОВНЫЕ НАПРАВЛЕНИЯ
ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ
13. Факторы повышения внимания к вопросам защиты информации
К основным факторам, определяющим
необходимость повышения внимания к
вопросам защиты информации в Республике
Карелия, относятся:
1) приграничное расположение, а также
наличие совместных предприятий (в том
числе со странами дальнего зарубежья),
иностранных представительств;
2) возрастание зависимости результатов
деятельности органов государственной
власти, органов местного самоуправления
и организаций Республики Карелия от
достоверности используемой ими
информации, своевременности ее
получения, надежности принятых по ее
сохранению мер;
3) придание информации статуса объекта
собственности, формирование
государственных информационных
ресурсов, находящихся в ведении
Республики Карелия, организаций и
граждан, необходимость защиты этих
ресурсов от противоправных действий;
4) использование в органах
государственной власти и органах
местного самоуправления, организациях
федеральных, региональных и глобальных
информационных систем, накапливающих и
передающих большие объемы информации, и
в то же время уязвимых для угроз
несанкционированного доступа к
информации, возрастание риска и
опасности несанкционированных и
непреднамеренных воздействий на
информацию в этих системах и, как
следствие, непредсказуемые
экономические и социальные последствия
возникновения критических ситуаций,
связанных с нарушениями режимов
безопасности информации в
кредитно-финансовых учреждениях,
системах управления экологически
опасными производствами, транспортом,
энергетикой;
5) возрастание информационных угроз,
возникающих в отношении органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия;
6) рост числа преступлений в сфере
информационных технологий;
7) использование в органах
государственной власти, органах
местного самоуправления и организациях
Республики Карелия технических и
программных средств зарубежного
производства, обеспечивающих сбор,
хранение, обработку и передачу
информации, не сертифицированных по
требованиям безопасности информации.
14. Обеспечение защиты информации
Обеспечение защиты информации в
Республике Карелия предусматривает
комплексный подход к достижению целей и
решению основных задач, который должен
осуществляться по следующим основным
направлениям:
1) законодательное и
нормативно-методическое обеспечение;
2) организационное обеспечение;
3) технологическое обеспечение;
4) кадровое обеспечение;
5) финансовое обеспечение.
Законодательное и
нормативно-методическое обеспечение
защиты информации предполагает:
1) издание в пределах компетенции
нормативных правовых актов,
регулирующих отношения в области защиты
информации в Республике Карелия;
2) обеспечение нормативными правовыми
актами и методическими документами по
защите информации, разработку системы
организационно-распорядительных и
нормативных документов в области защиты
информации, конкретизирующих и
дополняющих документы федерального
уровня применительно к условиям
Республики Карелия.
Организационное обеспечение защиты
информации предполагает:
1) создание структуры управления
системой защиты информации,
охватывающей все уровни органов власти,
а также хозяйствующие субъекты и
население Республики Карелия;
2) формирование структурных
подразделений по защите информации в
органах государственной власти, органах
местного самоуправления и организациях
Республики Карелия;
3) организацию и обеспечение работ по
выявлению и оценке угроз безопасности
информации, прогнозированию их развития,
разработке типового перечня угроз
безопасности информации для Республики
Карелия;
4) совершенствование взаимодействия
федеральных органов исполнительной
власти и органов государственной власти,
органов местного самоуправления,
организаций Республики Карелия при
организации и ведении работ по защите
информации;
5) создание системы мониторинга
состояния защиты информации в интересах
обеспечения принятия решений.
Технологическое обеспечение защиты
информации предполагает:
1) разработку и внедрение типовых систем
защиты информации для объектов органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия;
2) проведение мероприятий по защите
информации при проведении выставок в
Республике Карелия, конференций,
совещаний с участием представителей
иностранных государств, при
осуществлении международного
информационного обмена, в том числе с
использованием открытых информационных
систем;
3)
использование лицензионного и/или
сертифицированного общего и
специального программного обеспечения,
сертифицированных средств технической
защиты информации;
4) оснащение структурных подразделений
по защите информации, а также объектов
информатизации органов государственной
власти, органов местного самоуправления
и организаций Республики Карелия
современными сертифицированными
средствами технической защиты
информации (в том числе контроля
эффективности технической защиты
информации).
Кадровое обеспечение системы защиты
информации предполагает:
1) укомплектование органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия специалистами по
обеспечению защиты информации,
организацию системы общей подготовки
кадров;
2) создание и развитие системы подготовки
и переподготовки специалистов в области
защиты информации.
Финансовое обеспечение системы защиты
информации предполагает финансирование
мероприятий по защите информации,
содержащей сведения, отнесенные к
государственной или служебной тайне, а
также структурных подразделений по
защите информации в органах
государственной власти, органах
местного самоуправления и организациях
Республики Карелия; планирование в
сметах расходов средств на их
содержание.
15. Приоритеты развития системы защиты информации
Главными приоритетами развития системы
защиты информации в Республике Карелия
являются:
1) совершенствование концептуальных и
правовых основ деятельности системы
защиты информации;
2) формирование и совершенствование
структурных подразделений по защите
информации в органах государственной
власти, органах местного самоуправления
и организациях Республики Карелия,
оснащение их средствами защиты
информации, средствами контроля
эффективности защиты информации;
3) создание органа по аттестации объектов
информатизации в соответствии с
требованиями безопасности информации;
4) обеспечение функции комплексной
системы защиты информации, включающей
систему защищенных центров хранения и
обработки данных информационных
ресурсов, мониторинга защиты информации
Республики Карелия;
5) организация и обеспечение работ по
выявлению и оценке угроз безопасности
информации в Республике Карелия,
прогнозированию их развития.
V. ПУТИ РЕАЛИЗАЦИИ
КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ И ОЖИДАЕМЫЕ
РЕЗУЛЬТАТЫ
16. Пути реализации Концепции
Основными путями реализации Концепции
являются:
1) проведение в Республике Карелия единой
государственной политики в области
защиты информации;
2) проведение целенаправленной
повседневной деятельности органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия, направленной на
выполнение общегосударственных и
научно-технических программ в области
защиты информации, а также программ по
информатизации;
3) определение и поддержание баланса
между потребностью граждан, общества и
государства в свободном обмене
информацией и необходимыми
ограничениями на распространение
информации;
4) оценка состояния информационной
безопасности, выявление источников
внутренних и внешних угроз
информационной безопасности,
определение приоритетных направлений
предотвращения, отражения и
нейтрализации этих угроз;
5) предупреждение, выявление и пресечение
правонарушений, связанных с
посягательствами на законные интересы
граждан, общества и государства в
информационной сфере;
6) защита государственных информационных
ресурсов;
7) подготовка предложений по
совершенствованию правового,
нормативного, методического,
научно-технического, организационного и
финансового обеспечения в области
защиты информации в Республике
Карелия;
8) координация деятельности и контроля
органов государственной власти, органов
местного самоуправления и организаций
Республики Карелия, участвующих в
решении задач по обеспечению защиты
информации Российской Федерации и
Республики Карелия;
9) разработка норм и требований,
регламентирующих обеспечение
информационной безопасности Республики
Карелия и позволяющих осуществлять
контроль ее состояния;
10) формирование и организация
деятельности органов по технической
защите информации в Республике
Карелия;
11) формирование организационной
структуры управления органа по
аттестации объектов информатизации;
12) разработка и внедрение мер
экономического стимулирования
мероприятий по обеспечению защиты
информации;
13) организация проведения экспертиз
проектов и программ на соответствие
требованиям защиты информации;
14)
участие в межрегиональном и
международном сотрудничестве в области
защиты информации;
15) совершенствование и развитие системы
подготовки специалистов в области
защиты информации.
Одним из основных принципов
безопасности является принцип
обеспечения прочности системы защиты,
который достигается путем выбора
информационных технологий для создания
функциональных
информационно-телекоммуникационных и
автоматизированных систем, обоснованных
с точки зрения обеспечения их
безопасного применения.
17. Ожидаемые результаты от реализации Концепции Реализация Концепции обеспечит:
1) создание условий, способствующих
реализации государственной политики
Российской Федерации в сфере защиты
информации в Республике Карелия;
2) проведение единой политики в области
защиты информации, организации и
координации работ по защите информации
на территории Республики Карелия;
3) предотвращение или существенное
снижение ущерба безопасности
государства, органов государственной
власти, органов местного самоуправления,
организаций и граждан Республики
Карелия;
4) содействие экономическому,
научно-техническому прогрессу, его
безопасность и устойчивое развитие в
Республике Карелия;
5) защиту от несанкционированного
доступа, целостность и доступность
информационных ресурсов;
6) защиту информационных и
телекоммуникационных систем от
преступлений, совершаемых с
использованием уязвимостей
информационных технологий;
7) формирование системы электронного
взаимодействия органов государственной
власти, органов местного самоуправления,
организаций и граждан Республики
Карелия;
8) совершенствование и развитие
организационной и кадровой структуры
системы защиты информации;
9) оснащение подразделений и служб
системы защиты информации
высокоэффективными средствами защиты
информации, средствами контроля
эффективности защиты информации.
В результате реализации основных
направлений развития системы защиты
информации в Республике Карелия будет
создана система, соответствующая
задачам обеспечения национальной
безопасности, безопасности и
устойчивого развития с учетом
экономических возможностей Республики
Карелия и адекватно реагирующая на
угрозы безопасности информации в
социально-экономической,
административно-управленческой,
правоохранительной и других сферах
деятельности Республики Карелия.
Текст сверен
по:
Официальная рассылка
