ГЛАВА РЕСПУБЛИКИ КАРЕЛИЯ
РАСПОРЯЖЕНИЕ
[Об одобрении Концепции защиты
информации в Республики Карелия]
В соответствии с решением
Координационного совета при полномочном
представителе Президента Российской
Федерации в Северо-Западном федеральном
округе от 4 декабря 2002 года, решением
Комиссии по вопросам защиты информации
при Главе Республики Карелия от 26 июля 2012
года:
1. Одобрить прилагаемую Концепцию
защиты информации в Республике
Карелия.
2. Контроль за выполнением
распоряжения возложить на
Государственный комитет Республики
Карелия по развитию информационно-
коммуникационных технологий.
Глава
Республики Карелия
А.П. Худилайнен
г. Петрозаводск
31 августа 2012 года
N 323-р
Одобрена распоряжением
Главы Республики Карелия
от 31 августа 2012 года N 323-р
КОНЦЕПЦИЯ ЗАЩИТЫ
ИНФОРМАЦИИ В РЕСПУБЛИКЕ КАРЕЛИЯ
I. ВВЕДЕНИЕ
Концепция защиты информации в
Республике Карелия (далее - Концепция)
определяет систему взглядов на проблему
обеспечения безопасности информации,
содержащей сведения, составляющие
государственную тайну, и
конфиденциальную информацию (далее -
информация ограниченного доступа).
Цель Концепции - определение задач,
основных направлений, принципов
организации, путей реализации
государственной политики в области
защиты информации в Республике
Карелия.
Концепция разработана на основе
требований Доктрины информационной
безопасности Российской Федерации,
Указов Президента Российской Федерации,
нормативных и руководящих документов,
регламентирующих вопросы защиты
информации. Концепцией рассмотрены
угрозы информационной безопасности и
возможные их последствия, методы и
средства предотвращения, парирования и
нейтрализации угроз, а также особенности
обеспечения защиты информации в
различных сферах деятельности. В
Концепции излагаются основные положения
государственной политики обеспечения
защиты информации, организационная
структура и принципы построения системы
защиты информации в Республике
Карелия.
Концепция служит методологической
основой для разработки и реализации в
органах государственной власти, органах
местного самоуправления и организациях
Республики Карелия:
1) правового,
нормативно-методического,
научно-технического и организационного
обеспечения защиты информации;
2) единой технической политики в
области применения информационных
технологий и использования систем
безопасности и средств защиты
информации;
3) плана создания и развития
комплексной системы защиты информации,
включающей в себя комплекс мер и
мероприятий по ее практической
реализации.
Для предотвращения и ликвидации
угроз информационной безопасности
необходимо использовать комплексный
подход, включающий правовые,
экономические, организационные,
технические, программные, социальные и
иные механизмы, способные обеспечить
безопасность, доступность и целостность
информационных систем и ресурсов.
Правовую основу Концепции
составляют Конституция Российской
Федерации, законы Российской Федерации,
международные договоры и соглашения,
заключенные или признанные Российской
Федерацией, определяющие права и
ответственность граждан, общества и
государства в информационной сфере,
Конституция Республики Карелия, Закон
Республики Карелия от 26 марта 2007 года N
1066-ЗРК "О государственных электронных
информационных ресурсах Республики
Карелия".
II. ОБЩИЕ ПОЛОЖЕНИЯ
1. Система защиты информации
Интенсивное внедрение
информационных технологий во все сферы
жизни и деятельности общества, рост
удельного веса информационной
безопасности в обеспечении национальной
безопасности государства привели к тому,
что информационный ресурс становится
сегодня таким же богатством страны, как
ее полезные ископаемые,
производственные и людские ресурсы.
В последние годы в Российской
Федерации реализован комплекс мер по
совершенствованию обеспечения защиты
информации.
Формируется база правового
обеспечения защиты информации. Приняты
Федеральные законы "Об информации,
информационных технологиях и о защите
информации", "О персональных данных", "О
коммерческой тайне", "Об электронной
подписи" и другие. Развернута работа по
созданию механизмов их реализации,
подготовке законопроектов,
регламентирующих общественные
отношения в информационной сфере.
Защита информации является
неотъемлемой составной частью основной
деятельности органов государственной
власти, органов местного самоуправления,
организаций Республики Карелия и
достигается проведением комплекса
правовых, организационных и технических
мероприятий, направленных на
предотвращение или преодоление
конкретных угроз безопасности
информации в зависимости от условий
деятельности и решаемых задач.
Успешному решению вопросов
обеспечения информационной
безопасности способствует
государственная система защиты
информации, система защиты
государственной тайны, система
лицензирования деятельности в области
защиты информации и система
сертификации средств защиты
информации.
К основным факторам, определяющим
необходимость создания и развития
системы защиты информации Республики
Карелия, относятся:
1) увеличение объемов
конфиденциальной информации, а так же
возрастание зависимости результатов
деятельности органов государственной
власти, органов местного самоуправления
и организаций Республики Карелия от
достоверности используемой ими
информации, своевременности ее
получения, надежности принятых мер по ее
сохранению;
2) неоднозначность классификации
одной и той же информации при ее
обработке в различных государственных и
негосударственных учреждениях;
3) широкое использование в органах
исполнительной власти Республики
Карелия федеральных, региональных и
глобальных информационных систем,
накапливающих и передающих значительные
объемы важной информации, и в то же время
уязвимых для угроз несанкционированного
доступа к конфиденциальной информации,
возрастание риска и опасности
несанкционированных и непреднамеренных
воздействий на информацию в этих
системах;
4) возрастание опасности
информационных угроз, возникающих в
отношении органов государственной
власти, органов местного самоуправления
и организаций Республики Карелия;
5) использование техническими
разведками иностранных государств,
криминальными структурами устройств
негласного получения информации, рост
числа преступлений в сфере применения
информационно-коммуникационных
технологий;
6) использование в органах
государственной власти, органах
местного самоуправления и организациях
Республики Карелия технических и
программных средств зарубежного
производства, обеспечивающих сбор,
хранение, обработку и передачу
информации, не сертифицированных по
требованиям безопасности информации;
7) невозможность своевременно и
достоверно прогнозировать и выявлять
угрозы информационным системам,
оценивать их опасность, принимать
адекватные меры по их устранению;
8) неспособность большинства
организаций самостоятельно обеспечить
эффективную защиту информации
вследствие отсутствия подготовленных
специалистов, необходимой
нормативно-методической литературы,
высокой стоимости средств защиты
информации и услуг по ее защите.
2. Цели системы защиты информации
Целями системы защиты информации в
Республике Карелия являются:
1) предотвращение или существенное
снижение ущерба безопасности органов
государственной власти, органов
местного самоуправления, организаций,
отдельных граждан Республики Карелия
путем использования методов и средств
защиты информации;
2) реализация единой
государственной политики, организация и
координация работ по защите информации
на территории Республики Карелия;
3) содействие экономическому,
научно-техническому прогрессу
Республики Карелия, обеспечению его
безопасности и устойчивого развития;
4) защита информационных и
телекоммуникационных систем от
преступлений, совершаемых с
использованием уязвимостей
информационных технологий, обеспечение
органов государственной власти, органов
местного самоуправления, организаций,
отдельных граждан Республики Карелия
достоверной, полной и своевременной
информацией, необходимой для принятия
решений, а также предотвращение
нарушений целостности и незаконного
использования информационных
ресурсов;
5) формирование системы защищенного
электронного взаимодействия органов
государственной власти, органов
местного самоуправления, организаций,
граждан Республики Карелия.
3. Основные задачи системы защиты информации
Основными задачами системы защиты
информации в Республике Карелия
являются:
1) проведение единой
государственной политики в области
защиты информации, формирование и
координация деятельности органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия в обеспечении защиты
информации, создание комплексной
системы защиты информации и контроля
эффективности применяемых мер и средств
защиты;
2) методическое и информационное
обеспечение работ по защите информации в
Республике Карелия;
3) исключение или существенное
затруднение получения информации
средствами технической разведки, путем
предотвращения утечки информации по
техническим каналам,
несанкционированного доступа к ней,
несанкционированных воздействий на
информацию с целью ее уничтожения,
искажения и блокирования;
4) подготовка предложений по
совершенствованию правового,
нормативного, методического,
научно-технического и организационного
обеспечения защиты информации на
объектах информатизации Республики
Карелия, обеспечение активного участия в
процессах создания и использования
глобальных информационных сетей и
систем;
5)
принятие в пределах компетенции
нормативных правовых актов,
регулирующих отношения в области защиты
информации в Республике Карелия;
6) формирование и организация
деятельности служб и подразделений по
защите информации в Республике
Карелия;
7) определение и учет
информационных ресурсов, систем и
средств формирования, передачи,
хранения, обработки и распространения
информации, подлежащей защите;
8) контроль и анализ состояния
защиты информации в органах
государственной власти, органах
местного самоуправления и организациях
Республики Карелия;
9) выявление ключевых проблем в
области защиты информации, определение
приоритетных направлений развития
системы защиты информации;
10) проведение практических
мероприятий по созданию системы защиты
информации;
11) совершенствование и развитие
системы подготовки специалистов в
области защиты информации.
4. Структура системы защиты информации
Структура системы защиты
информации, ее задачи и функции, основы
организации защиты сведений,
составляющих государственную тайну или
содержащих конфиденциальную информацию,
определены Положением о государственной
системе защиты информации в Российской
Федерации от иностранных технических
разведок и от ее утечки по техническим
каналам, утвержденным постановлением
Совета Министров Правительства
Российской Федерации от 15 сентября 1993
года N 912-51.
Федеральным органом,
уполномоченным в области обеспечения
безопасности информации в ключевых
системах информационной инфраструктуры,
противодействия техническим разведкам и
технической защиты информации является
Федеральная служба по техническому и
экспортному контролю Российской
Федерации (далее - ФСТЭК России).
ФСТЭК России является органом
защиты государственной тайны,
наделенным полномочиями по распоряжению
сведениями, составляющими
государственную тайну. ФСТЭК России
организует деятельность
государственной системы
противодействия техническим разведкам и
технической защиты информации и
руководит ею.
В Северо-Западном федеральном
округе организует и руководит
деятельностью государственной системы
противодействия техническим разведкам и
технической защиты информации
Управление ФСТЭК России по
Северо-Западному федеральному округу.
Составной частью государственной
системы защиты информации Российской
Федерации и системы защиты информации
Северо-Западного федерального округа
является система защиты информации
Республики Карелия, в состав которой
входят:
1) Комиссия по вопросам защиты
информации при Главе Республики Карелия
(координационный орган);
2) Совет по информатизации при Главе
Республики Карелия (совещательный
орган);
3) Комиссия по развитию
информационного общества и формированию
электронного правительства в Республике
Карелия (координационный орган);
4) органы государственной власти
Республики Карелия, органы местного
самоуправления в Республике Карелия,
территориальные органы федеральных
органов исполнительной власти,
уполномоченные в области обеспечения
безопасности, в области противодействия
техническим разведкам и технической
защиты информации, организации,
осуществляющие работу со сведениями,
составляющими государственную тайну;
5) постоянно действующие
технические комиссии по защите
государственной тайны и экспертные
комиссии в органах государственной
власти, органах местного самоуправления
и организациях Республики Карелия
(коллегиальные органы);
6) режимно-секретные подразделения
и структурные подразделения (штатные
специалисты) по защите информации
органов государственной власти, органов
местного самоуправления и организаций
Республики Карелия.
Проведение на территории
Республики Карелия государственной
политики, а также координация
деятельности органов исполнительной
власти Республики Карелия по
обеспечению защиты информации возложено
на Государственный комитет Республики
Карелия по развитию
информационно-коммуникационных
технологий (далее - Комитет), в
соответствии с Положением о Комитете.
5. Основные объекты защиты информации
Основными объектами защиты
являются: информация ограниченного
доступа, носители и технология ее
обработки, технические средства, в
отношении которых необходимо обеспечить
безопасность информации.
В политической сфере объектами
защиты выступают:
1) информация ограниченного
доступа;
2) информационно-аналитические
технологии проведения избирательных
кампаний;
3) электронные технологии
проведения общегосударственных и
республиканских референдумов по
социально и политически значимым для
государственной стратегии развития
вопросам;
4) системы ситуационного
моделирования политических и социальных
аспектов управления и информационной
поддержки принятия решений.
В экономической сфере в качестве
объектов защиты выступают:
1) информация ограниченного
доступа;
2) экономически значимые
информационные ресурсы организаций, в
том числе составляющие коммерческую
тайну;
3) системы сбора и обработки
финансовой, биржевой, налоговой,
таможенной информации и информации о
внешнеэкономической деятельности
Республики Карелия и
предпринимательской сферы;
4) внутрибанковские и межбанковские
корпоративные сети, обеспечивающие
проведение банковских операций;
5) автоматизированные системы сбора
и анализа статистической информации,
обеспечивающие принятие рациональных
решений на уровне республики, отрасли,
организаций, а также проведение анализа
и прогнозирование
социально-экономического развития
Республики Карелия;
6) корпоративные
информационно-телекоммуникационные
системы, обеспечивающие управление
отраслью, корпорацией.
В правоохранительной сфере
объектами защиты являются:
1) информация ограниченного
доступа;
2) система криминальной
статистики;
3) информационные ресурсы,
информационная инфраструктура:
информационно-вычислительные сети,
пункты управления, узлы и линии связи.
В сфере предотвращения и
локализации чрезвычайных ситуаций
объектами защиты являются:
1) информация ограниченного
доступа;
2) система сбора и обработки
информации о возможном возникновении
чрезвычайных ситуаций;
3) система управления ликвидацией
последствий чрезвычайных ситуаций;
4) диспетчерские службы управления
тепловых электростанций,
гидроэлектростанций;
5) диспетчерские службы управления
полетами гражданской авиации,
автомобильным, железнодорожным, морским
и речным транспортом;
6) автоматизированная система
управления трубопроводными сетями (газо-
и нефтепроводы).
В информационных и
телекоммуникационных системах
объектами защиты являются:
1) государственные информационные
ресурсы, в том числе содержащие сведения
ограниченного доступа;
2) средства и система
информатизации (средства вычислительной
техники, информационно-вычислительные
комплексы, сети и системы), программные
средства (операционные системы, системы
управления базами данных, другое
общесистемное и прикладное программное
обеспечение), автоматизированная
система управления, системы связи и
передачи данных;
3) технические средства приема,
обработки, хранения и передачи
информации ограниченного доступа
(звукозапись, звукоусиление,
переговорные и телевизионные
устройства, средства изготовления и
тиражирования документов), их
информационные физические поля;
4)
информационно-телекоммуникационные
системы специального назначения,
создаваемые в интересах органов
государственной власти;
5) технические средства и системы,
не относящиеся к средствам и системам
информатизации, но находящиеся в
помещениях, в которых обрабатывается
информация ограниченного доступа, а
также сами помещения, предназначенные
для обработки информации ограниченного
распространения;
6) помещения, предназначенные для
ведения переговоров, в ходе которых
оглашаются сведения ограниченного
доступа.
В научной и технологической сфере
объектами защиты являются:
1) информационные ресурсы,
содержащие сведения ограниченного
доступа;
2) программы, направления и
результаты фундаментальных поисковых и
прикладных научных исследований,
содержащие сведения потенциально важные
для научно-технического,
технологического и
социально-экономического развития в
целом, утрата которых может нанести
ущерб национальным интересам и престижу
Российской Федерации и Республики
Карелия;
3) открытия, изобретения,
программные продукты, другие объекты
интеллектуальной собственности;
4) опытные и промышленные образцы,
модели и экспериментальное
оборудование;
5) системы телекоммуникации и
каналы связи;
6) автоматизированные системы
управления сложными технологическими
установками.
В сфере обеспечения информационной
безопасности личности объектами защиты
могут являться:
1) сведения, составляющие личную,
семейную, врачебную тайну, адвокатскую
тайну, тайну нотариальных действий,
предварительного следствия и другие;
2) личная информация, передаваемая
по техническим и иным средствам связи;
3) система обеспечения
конфиденциальности информационного
обмена между частными лицами;
4) информационные ресурсы,
содержащие персональные данные.
6. Субъекты правовых отношений в информационной сфере
Субъектами правовых отношений в
информационной сфере являются:
1) органы государственной власти,
органы местного самоуправления и
организации Республики Карелия;
2) должностные лица и структурные
подразделения (штатные специалисты),
обеспечивающие защиту информации;
3) юридические и физические лица,
производящие и потребляющие
информацию;
4) юридические и физические лица,
разрабатывающие и применяющие
информационные системы, технологии и
средства их обеспечения;
5) граждане, организации,
формирующие информационные ресурсы и
предоставляющие пользователям
информацию из них.
7. Источники угроз информационной безопасности
Правовое регулирование
информационного взаимодействия
субъектов информационных отношений
должно осуществляться в соответствии с
существующей нормативной правовой базой
Российской Федерации и Республики
Карелия.
В настоящее время деятельность
органа управления любого уровня,
деятельность любой организации
немыслима без использования современных
информационных технологий и
телекоммуникационных систем.
Практически все управленческие решения
принимаются на основе информационных
ресурсов, которые обрабатываются,
накапливаются и передаются с
использованием технических средств.
Следствием этого является целый
спектр угроз, связанных с возможностью
несанкционированного получения
информации и специальных воздействий на
нее.
В качестве основных типов угроз
безопасности информации
рассматриваются:
1) нарушение конфиденциальности
информации;
2) нарушение доступности
информации;
3) нарушение целостности
информации.
В рамках этих угроз рассматривают
виды воздействия для их реализации:
1) хищение (несанкционированное
копирование) информации;
2) утрата информации;
3) уничтожение информации
(уничтожение файлов, баз данных и т.д.);
4) блокирование информации;
5) модификация (искажение)
информации;
6) отрицание подлинности
информации;
7) навязывание ложной информации.
8. Способы воздействия угроз на объекты информационной безопасности
Способы воздействия угроз на
объекты информационной безопасности в
Республике Карелия подразделяются на
информационные,
программно-математические, физические,
радиоэлектронные,
организационно-правовые.
К информационным способам
относятся:
1) нарушения адресности и
своевременности информационного обмена,
противозаконный сбор и использование
информации;
2) несанкционированный доступ к
информационным ресурсам;
3) манипулирование информацией
(дезинформация, сокрытие или искажение
информации);
4) незаконное копирование данных в
информационных системах;
5) использование средств массовой
информации с позиций, противоречащих
интересам граждан, организаций и
государства;
6) хищение информации из библиотек,
архивов, банков и баз данных;
7) нарушение технологии обработки
информации.
Программно-математические способы
включают:
1) внедрение программ-вирусов;
2) установку программных и
аппаратных закладных устройств;
3) разработку, распространение и
использование программ, действие
которых направлено на преодоление
средств защиты от несанкционированного
доступа к информационным ресурсам;
4) уничтожение или модификацию
данных в информационных системах.
Физические способы включают:
1) уничтожение или разрушение
средств обработки информации и связи;
2) уничтожение, разрушение или
хищение машинных или других оригиналов
носителей информации;
3) хищение программных или
аппаратных ключей и средств
криптографической защиты информации;
4) воздействие на персонал;
5) поставку "зараженных" компонентов
информационных систем.
Радиоэлектронными способами
являются:
1) перехват и утечка информации по
техническим каналам;
2) внедрение электронных устройств
перехвата информации в технических
средствах и помещениях;
3) перехват, дешифрование и
навязывание ложной информации в сетях
передачи данных и линиях связи;
4) воздействие на парольно-ключевые
системы;
5) радиоэлектронное подавление
линий связи и систем управления.
Организационно-правовые способы
включают:
1)
приобретение несовершенных или
устаревших информационных технологий и
средств информатизации;
2) невыполнение требований
законодательства и задержки в принятии
необходимых нормативно-правовых
положений в информационной сфере;
3) неправомерное ограничение
доступа к документам, содержащим важную
для граждан и организаций информацию.
9. Возможные последствия воздействия угроз информационной безопасности
В результате воздействия угроз
информационной безопасности может быть
нанесен серьезный ущерб интересам
Республики Карелия в политической,
экономической и других сферах
деятельности, а также причинен
экономический ущерб обществу и
отдельным гражданам.
Следствием воздействия угроз
информационной безопасности могут
явиться снижение темпов
научно-технического развития Республики
Карелия, утрата культурного наследия и
другие. Угрозы информационной
безопасности могут нанести физический,
материальный и моральный ущерб
гражданам, вызывать неадекватное
социальное или криминальное поведение
групп людей или отдельных лиц, оказать
влияние на процессы образования и
формирования личности.
Источники угроз безопасности
информации могут носить как
субъективный, так и объективный
характер. Источники угроз обусловлены
действиями субъектов правоотношений в
информационной сфере, техническими
средствами и стихийными бедствиями.
Меры противодействия угрозам
находятся в сферах обеспечения
информационной безопасности, защиты
информации и безопасного использования
информационных технологий.
10. Методы и средства обеспечения информационной безопасности
В целях предотвращения,
парирования и нейтрализации угроз
информационной безопасности
применяются правовые,
программно-технические и
организационно-экономические методы.
Правовые методы предусматривают
разработку комплекса нормативных
правовых актов, регламентирующих
информационные отношения в обществе,
нормативно-методических и руководящих
документов по обеспечению
информационной безопасности.
Программно-технические методы
включают предотвращение утечки
обрабатываемой информации путем
исключения несанкционированного
доступа к ней; предотвращение
специальных воздействий, вызывающих
разрушение, уничтожение, искажение
информации или сбои в работе средств
информатизации; выявление внедренных
программных или аппаратных закладочных
устройств; исключение перехвата
информации техническими средствами;
применение криптографических средств
защиты информации при передаче по
каналам связи и (или) для защиты
информации от несанкционированного
доступа при ее обработке и хранении.
Организационно-экономические
методы предусматривают формирование и
обеспечение функционирования систем
защиты секретной и конфиденциальной
информации, сертификацию этих систем по
требованиям информационной
безопасности, лицензирование
деятельности в сфере информационной
безопасности, стандартизацию способов и
средств защиты информации, контроль за
действием персонала в защищенных
информационных системах.
Основными источниками
угроз в сфере информационной
безопасности является деятельность
иностранных разведывательных и
специальных служб, преступных групп и
формирований, противозаконная'
деятельность отдельных лиц, нарушение
установленных регламентов сбора,
обработки и передачи информации,
преднамеренные действия и
непреднамеренные ошибки персонала
информационных систем, отказы
технических средств и сбои программного
обеспечения в
информационно-коммуникационных
системах, использование нелицензионного
программного обеспечения.
Основными направлениями
обеспечения информационной
безопасности в
информационно-коммуникационных
системах Республики Карелия являются:
1) предотвращение перехвата с
помощью технических средств информации,
передаваемой по каналам связи;
2) исключение несанкционированного
доступа к обрабатываемой или хранящейся
в технических средствах информации;
3) предотвращение утечки
обрабатываемой информации за счет
побочных электромагнитных излучений и
наводок, создаваемых функционирующими
техническими средствами, а также
электроакустических преобразований;
4) предотвращение специальных
программно-технических воздействий,
вызывающих разрушение, уничтожение,
искажение информации или сбои в работе
средств информатизации; выявление
внедренных на объекты и в технические
средства электронных устройств
перехвата информации (закладных
устройств);
5) предотвращение перехвата
техническими средствами речевой
информации из помещений и объектов.
Предотвращение перехвата с помощью
технических средств информации,
передаваемой по каналам связи,
достигается применением специальных
методов и средств защиты, в том числе
криптографических, а также проведением
организационно-технических и режимных
мероприятий.
Исключение несанкционированного
доступа к обрабатываемой или хранящейся
в технических средствах информации
достигается применением специальных
программно-технических средств защиты,
использованием криптографических
способов защиты, а также
организационными и режимными
мероприятиями.
Предотвращение утечки
обрабатываемой информации за счет
побочных электромагнитных излучений и
наводок, а также электроакустических
преобразований достигается применением
защищенных технических средств,
аппаратных средств защиты, средств
активного противодействия,
экранированием зданий или отдельных
помещений, установлением контролируемой
зоны вокруг средств информатизации и
другими организационными и техническими
мерами.
Предотвращение специальных
программно-технических воздействий,
вызывающих разрушение, уничтожение,
искажение информации или сбои в работе
средств информатизации, достигается
применением специальных программных и
аппаратных средств защиты (антивирусные
процессоры, антивирусные программы),
организацией системы контроля
безопасного программного обеспечения.
Выявление внедренных на объекты и в
технические средства электронных
устройств перехвата информации
(закладочных устройств) достигается
проведением специальных проверок.
Предотвращение перехвата
техническими средствами речевой
информации из помещений и объектов
достигается применением специальных
средств защиты, проектными решениями,
обеспечивающими звукоизоляцию
помещений, выявлением специальных
устройств подслушивания и другими
организационными и режимными
мероприятиями.
Основными
организационно-техническими
мероприятиями по защите информации в
информационно-коммуникационных
системах Республики Карелия являются:
1) лицензирование деятельности
организаций в области защиты
информации;
2) аттестация объектов
информатизации по выполнению требований
обеспечения защиты информации при
проведении работ со сведениями,
отнесенными к государственной тайне;
3) сертификация средств защиты
информации и контроля ее эффективности,
систем и средств информатизации и связи
в части защищенности информации от
утечки по техническим каналам;
4) введение территориальных,
частотных, энергетических,
пространственных и временных
ограничений в режимах использования
технических средств, подлежащих
защите;
5) создание и применение
информационных и автоматизированных
систем управления в защищенном
исполнении;
6) разработка и использование
средств защиты информации и методов
контроля их эффективности;
7) применение специальных методов,
технических мер и средств защиты, в том
числе криптографических, исключающих
перехват информации, передаваемой по
каналам связи.
Конкретные методы, приемы и меры
защиты информации разрабатываются в
зависимости от степени возможного
ущерба в случаях ее утечки, разрушения
или уничтожения.
III. ЦЕЛИ, ЗАДАЧИ И
ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ
11. Цели обеспечения защиты информации
Основными целями обеспечения
защиты информации в Республике Карелия
являются:
1) защита информационных ресурсов
органов государственной власти, органов
местного самоуправления, организаций
Республики Карелия от
несанкционированного доступа,
обеспечение их целостности;
2) защита информационных и
телекоммуникационных систем от
преступлений, совершаемых с
использованием уязвимостей
информационных технологий;
3) создание благоприятных условий
для экономической стабильности и
развития Республики Карелия;
4) формирование системы
электронного взаимодействия органов
государственной власти, органов
местного самоуправления, организаций и
граждан Республики Карелия;
5) дальнейшее продвижение
Республики Карелия к современному
информационному обществу.
12. Задачи развития системы защиты информации
Основными задачами развития
системы защиты информации в Республике
Карелия являются:
1) создание необходимых и
достаточных правовых, организационных,
экономических и научно-технических
условий для обеспечения деятельности
системы защиты информации в Республике
Карелия;
2) обеспечение эффективной защиты
информации на объектах органов
государственной власти, органов
местного самоуправления и организаций,
находящихся в их ведении;
3) проведение единой
государственной политики в области
защиты информации, формирование и
координация деятельности органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия в обеспечении
информационной безопасности, создание
комплексной системы информационной
безопасности и контроля эффективности
применяемых мер и средств защиты;
4) выявление ключевых проблем
Республики Карелия в области защиты
информации, определение приоритетных
направлений развития системы защиты
информации в Республике Карелия;
5) создание механизмов
своевременного выявления,
прогнозирования, локализации и
блокирования угроз безопасности,
оперативного реагирования на проявления
негативных тенденций в использовании
государственных информационных
ресурсов и систем;
6) разработка мероприятий по защите
информационных ресурсов и средств
информатизации на объектах Республики
Карелия;
7) подготовка предложений по
совершенствованию правового,
нормативного, методического,
научно-технического и организационного
обеспечения технической защиты
информации на объектах Республики
Карелия;
8) принятие в пределах компетенции
нормативных правовых актов,
регулирующих отношения в области защиты
информации в Республике Карелия;
9) формирование и совершенствование
организационной структуры системы
защиты информации в Республике Карелия,
развитие ее научно-технического и
кадрового потенциала;
10) определение и учет
информационных ресурсов, систем и
средств формирования, передачи,
хранения, обработки и распространения
информации, подлежащей защите;
11) методическое и информационное
обеспечение работ по защите информации в
Республике Карелия;
12)
обеспечение безопасности при
осуществлении международного
информационного обмена посредством
информационных систем, сетей связи,
включая международную сеть "Интернет";
13) контроль и анализ состояния
защиты информации в органах
государственной власти, органах
местного самоуправления и организаций
Республики Карелия.
Разработка и осуществление
мероприятий для достижения целей и задач
обеспечения защиты информации в
Республике Карелия должны проводиться в
соответствии со следующими основными
принципами:
1) всеобщая обязательность,
правовая обусловленность,
универсальность, превентивность,
разумная достаточность,
дифференцированность, разграничение
функций и разделение полномочий;
2) формирование эффективных
компонентов системы защиты информации в
Республике Карелия, соответствующих
задачам обеспечения национальной
безопасности России, безопасности и
устойчивого развития Республики Карелия
с учетом ее экономических
возможностей;
3) обеспечение своевременной и
адекватной реакции на возникающие в
Республике Карелия и прогнозируемые
угрозы ведения технической разведки,
утечки информации по техническим
каналам, несанкционированного доступа к
информации и специальных воздействий на
нее;
4) формирование единой политики в
области защиты информации в Республике
Карелия:
5) использование коллегиальных
методов руководства системой защиты
информации и ее развития;
6) планирование развития системы
защиты информации в Республике Карелия.
IV. ОСНОВНЫЕ НАПРАВЛЕНИЯ
ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ
13. Факторы повышения внимания к вопросам защиты информации
К основным факторам, определяющим
необходимость повышения внимания к
вопросам защиты информации в Республике
Карелия, относятся:
1) приграничное расположение, а
также наличие совместных предприятий (в
том числе со странами дальнего
зарубежья), иностранных
представительств;
2) возрастание зависимости
результатов деятельности органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия от достоверности
используемой ими информации,
своевременности ее получения,
надежности принятых по ее сохранению
мер;
3) придание информации статуса
объекта собственности, формирование
государственных информационных
ресурсов, находящихся в ведении
Республики Карелия, организаций и
граждан, необходимость защиты этих
ресурсов от противоправных действий;
4) использование в органах
государственной власти и органах
местного самоуправления, организациях
федеральных, региональных и глобальных
информационных систем, накапливающих и
передающих большие объемы информации, и
в то же время уязвимых для угроз
несанкционированного доступа к
информации, возрастание риска и
опасности несанкционированных и
непреднамеренных воздействий на
информацию в этих системах и, как
следствие, непредсказуемые
экономические и социальные последствия
возникновения критических ситуаций,
связанных с нарушениями режимов
безопасности информации в
кредитно-финансовых учреждениях,
системах управления экологически
опасными производствами, транспортом,
энергетикой;
5) возрастание информационных
угроз, возникающих в отношении органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия;
6) рост числа преступлений в сфере
информационных технологий;
7) использование в органах
государственной власти, органах
местного самоуправления и организациях
Республики Карелия технических и
программных средств зарубежного
производства, обеспечивающих сбор,
хранение, обработку и передачу
информации, не сертифицированных по
требованиям безопасности информации.
14. Обеспечение защиты информации
Обеспечение защиты
информации в Республике Карелия
предусматривает комплексный подход к
достижению целей и решению основных
задач, который должен осуществляться по
следующим основным направлениям:
1) законодательное и
нормативно-методическое обеспечение;
2) организационное обеспечение;
3) технологическое обеспечение;
4) кадровое обеспечение;
5) финансовое обеспечение.
Законодательное и
нормативно-методическое обеспечение
защиты информации предполагает:
1) издание в пределах компетенции
нормативных правовых актов,
регулирующих отношения в области защиты
информации в Республике Карелия;
2) обеспечение нормативными
правовыми актами и методическими
документами по защите информации,
разработку системы
организационно-распорядительных и
нормативных документов в области защиты
информации, конкретизирующих и
дополняющих документы федерального
уровня применительно к условиям
Республики Карелия.
Организационное обеспечение
защиты информации предполагает:
1) создание структуры управления
системой защиты информации,
охватывающей все уровни органов власти,
а также хозяйствующие субъекты и
население Республики Карелия;
2) формирование структурных
подразделений по защите информации в
органах государственной власти, органах
местного самоуправления и организациях
Республики Карелия;
3) организацию и обеспечение работ
по выявлению и оценке угроз безопасности
информации, прогнозированию их развития,
разработке типового перечня угроз
безопасности информации для Республики
Карелия;
4) совершенствование
взаимодействия федеральных органов
исполнительной власти и органов
государственной власти, органов
местного самоуправления, организаций
Республики Карелия при организации и
ведении работ по защите информации;
5) создание системы мониторинга
состояния защиты информации в интересах
обеспечения принятия решений.
Технологическое обеспечение
защиты информации предполагает:
1) разработку и внедрение типовых
систем защиты информации для объектов
органов государственной власти, органов
местного самоуправления и организаций
Республики Карелия;
2) проведение мероприятий по защите
информации при проведении выставок в
Республике Карелия, конференций,
совещаний с участием представителей
иностранных государств, при
осуществлении международного
информационного обмена, в том числе с
использованием открытых информационных
систем;
3)
использование лицензионного и/или
сертифицированного общего и
специального программного обеспечения,
сертифицированных средств технической
защиты информации;
4) оснащение структурных
подразделений по защите информации, а
также объектов информатизации органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия современными
сертифицированными средствами
технической защиты информации (в том
числе контроля эффективности
технической защиты информации).
Кадровое обеспечение системы
защиты информации предполагает:
1) укомплектование органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия специалистами по
обеспечению защиты информации,
организацию системы общей подготовки
кадров;
2) создание и развитие системы
подготовки и переподготовки
специалистов в области защиты
информации.
Финансовое обеспечение системы
защиты информации предполагает
финансирование мероприятий по защите
информации, содержащей сведения,
отнесенные к государственной или
служебной тайне, а также структурных
подразделений по защите информации в
органах государственной власти, органах
местного самоуправления и организациях
Республики Карелия; планирование в
сметах расходов средств на их
содержание.
15. Приоритеты развития системы защиты информации
Главными приоритетами развития
системы защиты информации в Республике
Карелия являются:
1) совершенствование
концептуальных и правовых основ
деятельности системы защиты
информации;
2) формирование и совершенствование
структурных подразделений по защите
информации в органах государственной
власти, органах местного самоуправления
и организациях Республики Карелия,
оснащение их средствами защиты
информации, средствами контроля
эффективности защиты информации;
3) создание органа по аттестации
объектов информатизации в соответствии
с требованиями безопасности
информации;
4) обеспечение функции комплексной
системы защиты информации, включающей
систему защищенных центров хранения и
обработки данных информационных
ресурсов, мониторинга защиты информации
Республики Карелия;
5) организация и обеспечение работ
по выявлению и оценке угроз безопасности
информации в Республике Карелия,
прогнозированию их развития.
V. ПУТИ РЕАЛИЗАЦИИ
КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ И ОЖИДАЕМЫЕ
РЕЗУЛЬТАТЫ
16. Пути реализации Концепции
Основными путями реализации
Концепции являются:
1) проведение в Республике Карелия
единой государственной политики в
области защиты информации;
2) проведение целенаправленной
повседневной деятельности органов
государственной власти, органов
местного самоуправления и организаций
Республики Карелия, направленной на
выполнение общегосударственных и
научно-технических программ в области
защиты информации, а также программ по
информатизации;
3) определение и поддержание
баланса между потребностью граждан,
общества и государства в свободном
обмене информацией и необходимыми
ограничениями на распространение
информации;
4) оценка состояния информационной
безопасности, выявление источников
внутренних и внешних угроз
информационной безопасности,
определение приоритетных направлений
предотвращения, отражения и
нейтрализации этих угроз;
5) предупреждение, выявление и
пресечение правонарушений, связанных с
посягательствами на законные интересы
граждан, общества и государства в
информационной сфере;
6) защита государственных
информационных ресурсов;
7) подготовка предложений по
совершенствованию правового,
нормативного, методического,
научно-технического, организационного и
финансового обеспечения в области
защиты информации в Республике
Карелия;
8) координация деятельности и
контроля органов государственной
власти, органов местного самоуправления
и организаций Республики Карелия,
участвующих в решении задач по
обеспечению защиты информации
Российской Федерации и Республики
Карелия;
9) разработка норм и требований,
регламентирующих обеспечение
информационной безопасности Республики
Карелия и позволяющих осуществлять
контроль ее состояния;
10) формирование и организация
деятельности органов по технической
защите информации в Республике
Карелия;
11) формирование организационной
структуры управления органа по
аттестации объектов информатизации;
12) разработка и внедрение мер
экономического стимулирования
мероприятий по обеспечению защиты
информации;
13) организация проведения
экспертиз проектов и программ на
соответствие требованиям защиты
информации;
14)
участие в межрегиональном и
международном сотрудничестве в области
защиты информации;
15) совершенствование и развитие
системы подготовки специалистов в
области защиты информации.
Одним из основных принципов
безопасности является принцип
обеспечения прочности системы защиты,
который достигается путем выбора
информационных технологий для создания
функциональных
информационно-телекоммуникационных и
автоматизированных систем, обоснованных
с точки зрения обеспечения их
безопасного применения.
17. Ожидаемые результаты от реализации Концепции Реализация Концепции обеспечит:
1) создание условий, способствующих
реализации государственной политики
Российской Федерации в сфере защиты
информации в Республике Карелия;
2) проведение единой политики в
области защиты информации, организации и
координации работ по защите информации
на территории Республики Карелия;
3) предотвращение или существенное
снижение ущерба безопасности
государства, органов государственной
власти, органов местного самоуправления,
организаций и граждан Республики
Карелия;
4) содействие экономическому,
научно-техническому прогрессу, его
безопасность и устойчивое развитие в
Республике Карелия;
5) защиту от несанкционированного
доступа, целостность и доступность
информационных ресурсов;
6) защиту информационных и
телекоммуникационных систем от
преступлений, совершаемых с
использованием уязвимостей
информационных технологий;
7) формирование системы
электронного взаимодействия органов
государственной власти, органов
местного самоуправления, организаций и
граждан Республики Карелия;
8) совершенствование и развитие
организационной и кадровой структуры
системы защиты информации;
9) оснащение подразделений и служб
системы защиты информации
высокоэффективными средствами защиты
информации, средствами контроля
эффективности защиты информации.
В результате реализации основных
направлений развития системы защиты
информации в Республике Карелия будет
создана система, соответствующая
задачам обеспечения национальной
безопасности, безопасности и
устойчивого развития с учетом
экономических возможностей Республики
Карелия и адекватно реагирующая на
угрозы безопасности информации в
социально-экономической,
административно-управленческой,
правоохранительной и других сферах
деятельности Республики Карелия.
Текст
сверен по:
Официальная рассылка
