Постановление Губернатора Калужской области от 17.03.2005 № 91
Об утверждении Концепции защиты информации в исполнительных органах государственной власти Калужской области на период до 2010 года
ГУБЕРНАТОР КАЛУЖСКОЙ ОБЛАСТИ ПОСТАНОВЛЕНИЕ 17 марта 2005 г. N 91 ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ НА ПЕРИОД ДО 2010 ГОДА В целях развития и совершенствования системы защиты информации висполнительных органах государственной власти Калужской области какнеотъемлемой составной части государственной системы защиты информацииРоссийской Федерации ПОСТАНОВЛЯЮ: 1. Утвердить Концепцию защиты информации в исполнительных органахгосударственной власти Калужской области на период до 2010 года(прилагается). 2. Контроль за исполнением настоящего постановления возложить назаместителя Губернатора области - руководителя администрацииГубернатора области Куликова Г.В. Губернатор области А.Д.Артамонов КОНЦЕПЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ НА ПЕРИОД ДО 2010 ГОДА Одобрена решением Комиссии по информационной безопасности при Губернаторе Калужской области 3 февраля 2005 г. Утверждена постановлением Губернатора Калужской области 17 марта 2005 г. Калуга 2005 год СОДЕРЖАНИЕ Введение I. Общие положения II. Состояние защиты информации в исполнительных органахгосударственной власти Калужской области III. Цели, задачи, принципы функционирования и развития системызащиты информации в исполнительных органах государственной властиКалужской области IV. Основы организации защиты информации в исполнительных органахгосударственной власти Калужской области V. Этапы реализации Концепции защиты информации в исполнительныхорганах государственной власти Калужской области ВВЕДЕНИЕ Концепция защиты информации в исполнительных органахгосударственной власти Калужской области представляет собой системувзглядов на содержание проблемы защиты информации с ограниченнымдоступом, а также на цели, задачи, принципы, основные направленияразвития и совершенствования системы защиты информации висполнительных органах государственной власти Калужской области. Концепция предназначена для использования руководителямиисполнительных органов государственной власти Калужской области и ихаппаратами при решении задач по обеспечению, развитию исовершенствованию системы защиты информации. Правовую основу Концепции составляют: Конституция РоссийскойФедерации, федеральные законы, правовые и нормативные акты РоссийскойФедерации по защите информации (безопасности информации), а такжемеждународные договоры и соглашения, заключенные или признанныеРоссийской Федерацией, определяющие права и ответственность граждан,общества и государства в информационной сфере. Настоящая Концепция развивает Концепцию национальной безопасностиРоссийской Федерации, Доктрину информационной безопасности РоссийскойФедерации, Концепцию информатизации исполнительных органовгосударственной власти Калужской области. Основные понятия и термины: безопасность информации - состояние защищенности информации,характеризуемое способностью персонала, технических средств иинформационных технологий обеспечивать конфиденциальность (т.е.сохранение в тайне от субъектов, не имеющих полномочий на ознакомлениес ней), целостность и доступность информации при её обработкетехническими средствами; государственная тайна - защищаемые государством сведения вобласти его военной, внешнеполитической, экономической,разведывательной, контрразведывательной и оперативно-розыскной деятельности,распространение которых может нанести ущерб безопасности РоссийскойФедерации; защита информации - деятельность, направленная на предотвращениеутечки защищаемой информации, несанкционированных и непреднамеренныхвоздействий на защищаемую информацию; защищаемая информация - информация, являющаяся предметомсобственности и подлежащая защите в соответствии с требованиямиправовых документов или требованиями, устанавливаемыми собственникоминформации; защищаемый объект информатизации (объект информатизации)совокупность информационных ресурсов, средств и систем обработкиинформации, используемых в соответствии с заданной информационнойтехнологией, средств обеспечения объекта информатизации, помещений илиобъектов (зданий, сооружений, технических средств), в которых ониустановлены, или помещения и объекты, предназначенные для веденияконфиденциальных переговоров; информация с ограниченным доступом - документированнаяинформация, которая по условиям её правового режима подразделяется наинформацию, отнесенную к государственной тайне, и конфиденциальную; информационные ресурсы - отдельные документы и отдельные массивыдокументов, документы и массивы документов в информационных системах(библиотеках, архивах, фондах, банках данных, других информационныхсистемах); конфиденциальная информация - документированная информация,доступ к которой ограничивается в соответствии с законодательствомРоссийской Федерации; несанкционированный доступ к информации - получение защищаемойинформации заинтересованным субъектом с нарушением установленныхправовыми документами или собственником, владельцем информации правили правил доступа к защищаемой информации; объект защиты - объект, имеющий охраняемые сведения, и (или)объект, на котором осуществляются работы с защищаемой информацией; система защиты информации - совокупность органов и (или)исполнителей, используемой ими техники защиты информации, а такжеобъектов защиты, организованная и функционирующая по правилам,установленным соответствующими правовыми, организационно -распорядительными и нормативными документами в области защитыинформации; средство защиты информации - техническое, криптографическое,программное средство, вещество и (или) материал, предназначенные илииспользуемые для защиты информации; средство контроля эффективности защиты информации - техническоепрограммное средство, вещество и (или) материал, предназначенные илииспользуемые для контроля эффективности защиты информации; техника защиты информации - средства защиты информации, средстваконтроля эффективности защиты информации, средства и системыуправления, предназначенные для обеспечения защиты информации; технический канал утечки информации - совокупность объектазащиты, физической среды и средства технической разведки, которымдобывается защищаемая информация; утечка информации по техническим каналам - неконтролируемоераспространение защищаемой информации по техническим каналам врезультате несанкционированного доступа к информации и получениязащищаемой информации разведками. I. ОБЩИЕ ПОЛОЖЕНИЯ В условиях, когда основной объем информации во всех сферахдеятельности государства обрабатывается и передается с использованиемсредств информатизации и связи, значительно возрастает угроза утечкиинформации по техническим каналам в результате несанкционированногодоступа к системам информатизации и связи разведок и спецслужбиностранных государств и злоумышленников. Утечка информации, а также специальные воздействия на информациюв целях ее уничтожения, искажения или блокирования могут привести кснижению эффективности деятельности государства в области обороны,внешней политики, экономики и экологии, к утрате передовых позиций внаиболее развитых отраслях науки и техники, значительным материальнымпотерям и другим негативным последствиям, существенно влияющим насостояние национальной безопасности России. Все это обусловливаетнеобходимость принятия адекватных мер по защите информации. Защита информации является неотъемлемой составной частью основнойдеятельности исполнительных органов государственной власти Калужскойобласти и достигается проведением определенного комплекса правовых,организационных, технических и методических мероприятий, направленныхна предотвращение или преодоление угроз безопасности информации взависимости от условий деятельности и решаемых задач. Проведение указанного комплекса мероприятий должно основыватьсяна определении: - источников угроз безопасности информации на конкретных объектах(от кого защищать информацию); - перечней объектов защиты и защищаемых сведений (что защищать); - средств и методов защиты информации (как защищать). Источники угроз безопасности информации делятся на внешние ивнутренние. К внешним источникам относятся: - деятельность иностранных политических, экономических, военных,разведывательных и информационных структур, направленная противинтересов Российской Федерации в информационной сфере; - стремление ряда стран к доминированию и ущемлению интересовРоссии в мировом информационном пространстве, вытеснению её с внешнегои внутреннего информационных рынков; - обострение международной конкуренции за обладаниеинформационными технологиями и ресурсами; - деятельность международных террористических организаций; - увеличение технологического отрыва ведущих держав мира инаращивание их возможностей по противодействию созданиюконкурентоспособных российских информационных технологий; - разработка рядом государств концепций информационных войн,предусматривающих создание средств опасного воздействия наинформационные сферы других стран мира, нарушение функционированияинформационных и телекоммуникационных систем, сохранностиинформационных ресурсов, получение несанкционированного доступа к ним. К внутренним источникам относятся: - процесс глобализации информационно-телекоммуникационныхкомплексов, внедрение телекоммуникационных информационных технологий,реализуемых преимущественно на аппаратно-программных средствахзарубежного производства, что существенно обостряет проблему защитыинформации от возможных несанкционированных и непреднамеренныхвоздействий; - увеличение объёмов хранимой и передаваемой информации, а такжетерриториальная распределенность телекоммуникационных информационныхсетей; - усложнение применяемых технологий и процессов функционированиятелекоммуникационных информационных сетей, что может приводить кпоявлению ошибок и недекларированных возможностей ваппаратно-программных средствах; - неблагоприятная криминогенная обстановка, возможность получениякриминальными структурами доступа к конфиденциальной информации,усиление влияния организованной преступности на жизнь общества,снижение степени защищенности законных интересов граждан, общества игосударства в информационной сфере; - недостаточная координация деятельности исполнительных органовгосударственной власти Калужской области по реализации единойгосударственной политики в области обеспечения информационнойбезопасности Российской Федерации; - недостаточная разработанность нормативной правовой базы,регулирующей отношения в информационной сфере, а также недостаточнаяправоприменительная практика; - неразвитость институтов гражданского общества и недостаточныйгосударственный контроль развития информационного рынка России; - недостаточное финансирование мероприятий по защите информации висполнительных органах государственной власти Калужской области; - снижение эффективности функционирования системы образования ивоспитания, недостаточное количество квалифицированных кадров вобласти защиты информации; - недостаточная активность исполнительных органов государственнойвласти Калужской области в информировании общества о своейдеятельности, в разъяснении принимаемых решений, в формированииоткрытых государственных ресурсов и развитии системы доступа к нимграждан; - использование несертифицированных по требованиям безопасностиинформации отечественных и зарубежных информационных технологий,средств информатизации и связи, а также средств защиты информации исредств контроля ее эффективности; - отсутствие в исполнительных органах государственной властиКалужской области минимально необходимого комплектаконтрольно-измерительной аппаратуры и программных средств дляпроведения постоянного контроля эффективности защиты информации. Основными способами реализации угроз безопасности информацииявляются: информационные, программно-аппаратные, физические,радиоэлектронные, а также нарушения организационно-правовых норм итребований. К информационным способам реализации угроз безопасностиинформации относятся: - противоправный сбор, распространение и использованиеинформации; - манипулирование информацией (сокрытие или искажениеинформации); - незаконное копирование данных и программ; - незаконное уничтожение информации; - хищение информации из баз и банков данных; - нарушение адресности и оперативности информационного обмена; - нарушение технологии обработки данных и информационного обмена. К программно-аппаратным способам реализации угроз безопасностиинформации относятся: - внедрение программных средств скрытого информационноговоздействия; - внедрение (несанкционированное и непреднамеренное) в компонентыпрограммно-аппаратного обеспечения информационно-вычислительных системсредств для сбора, изменения и разрушения хранящейся в них информации; - ошибки в настройке и использовании программно-аппаратногообеспечения информационно-вычислительных систем. К физическим способам реализации угроз безопасности информацииотносятся: - уничтожение, хищение или разрушение средств обработки, защитыинформации и связи, средств контроля эффективности защиты информации,целенаправленное внесение в них неисправностей; - уничтожение, хищение или разрушение машинных либо другихносителей информации; - хищение ключей (ключевых документов), средств криптографическойзащиты информации, программных или аппаратных ключей средств защитыинформации от несанкционированного доступа; - деятельность специальных служб иностранных государств,преступных сообществ, организаций и групп, противозаконнаядеятельность отдельных лиц, направленная на получениенесанкционированного доступа к информации и осуществление контроляфункционирования информационных и телекоммуникационных систем. К радиоэлектронным способам реализации угроз безопасностиинформации относятся: - перехват информации в технических каналах ее утечки; - перехват информации в сетях передачи данных и линиях связи; - внедрение электронных устройств перехвата информации втехнические средства и помещения; - навязывание ложной информации по сетям передачи данных и линиямсвязи; - радиоэлектронное подавление линий связи и систем управления. К нарушениям организационно-правовых норм и требованийбезопасности информации относятся: - незаконная деятельность в области защиты информации; - использование несертифицированных по требованиям безопасностиинформации средств защиты и средств контроля ее эффективности; - ошибки в разработке и реализации политики безопасностиинформации; - ошибки в реализации организационных методов защиты информации; - задержки в разработке и принятии необходимых нормативных,правовых и организационно-распорядительных документов в области защитыинформации. Результатами реализации угроз безопасности информации являются: - нарушение секретности (конфиденциальности) информации(разглашение, утрата, хищение, утечка, перехват и т.д.); - нарушение целостности информации (искажение, уничтожение ит.д.); - нарушение правил доступа к информации и работоспособностиинформационных систем (блокирование данных и информационных систем,разрушение элементов информационных систем, компрометация системызашиты информации и т.д.). К основным объектам защиты информации в исполнительных органахгосударственной власти Калужской области относятся: - информационные ресурсы, содержащие сведения, отнесенные кгосударственной тайне, и информационные ресурсы конфиденциальногохарактера; - средства и системы информатизации (средства вычислительнойтехники, информационно-вычислительные комплексы, сети и системы),программные средства (операционные системы, системы управления базамиданных, другое общесистемное и прикладное программное обеспечение),автоматизированные системы управления, системы связи и передачиданных, осуществляющие прием, обработку, хранение и передачуинформации с ограниченным доступом, их информативные физические поля; - технические средства и системы, обрабатывающие открытуюинформацию, но размещенные в помещениях, в которых обсуждаетсяинформация с ограниченным доступом; - помещения, предназначенные для ведения переговоров, в ходекоторых оглашаются сведения с ограниченным доступом. II. СОСТОЯНИЕ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ В последние годы в исполнительных органах государственной властиКалужской области развернута большая работа по внедрению современныхинформационных технологий в управленческую деятельность. В связи сэтим принимаются дополнительные меры по обеспечению собственнойбезопасности в этой сфере. Калужская область - один из первых субъектов РоссийскойФедерации, внедривших в 2001 году автоматизированную системууправления бюджетным процессом (АСУБГТ) при казначейской системеисполнения областного и консолидированного бюджетов. Ее внедрениезначительно повысило прозрачность, подконтрольность и управляемостьбюджетного процесса для руководства области, контролирующих органов,участников бюджетного процесса, а также населения. Важность и ответственность задач, решаемых с помощью АСУБП,требует обеспечения безопасности информации на всех этапах ееобработки, хранения и передачи по каналам связи. Это связано с тем,что нарушение целостности, доступности, а в ряде случаев иконфиденциальности информации, обрабатываемой в АСУБП, может привестик тяжелым финансовым и экономическим последствиям. Поэтому одним из основных объектов защиты информации в органахисполнительных государственной власти области является территориальнораспределенный комплекс аппаратных и программных средств АСУБП, еёинформационная база и коммуникационная среда. В 2002 году была создана комиссия по информационной безопасностипри Губернаторе Калужской области, что придало новый мощный импульсработам в этой сфере. Одним из важнейших приоритетов в деятельностикомиссии является комплекс мероприятий по технической защитеинформации в исполнительных органах государственной власти области иместного самоуправления. За последнее время были решены следующие важные задачи: - создана комплексная система защиты информации, обрабатываемой вавтоматизированной системе управления бюджетным процессом Калужскойобласти при казначейской системе исполнения; - запущены в эксплуатацию межсетевые экраны; - проводится аттестация выделенных и режимных помещений; - в информационных системах и на каждом персональном компьютереисполнительных органов государственной власти Калужской областиустановлены новые версии антивирусных программ, базы которых постоянноцентрализованно обновляются; - контроль за состоянием антивирусной защиты в информационныхсистемах и на каждом персональном компьютере исполнительных органовгосударственной власти Калужской области осуществляется комплекснымпрограммным корпоративным средством; - налажено взаимодействие с управлением Федеральной службыбезопасности по Калужской области по вопросам расследования инцидентовв информационной сфере; - корпоративная сеть в исполнительных органах государственнойвласти Калужской области построена на базе выделенных каналов,предоставляемых Центром специальной связи и информации в Калужскойобласти, что значительно повышает ее устойчивость к попыткамнесанкционированного доступа; - средства вычислительной техники, используемые для обработки ихранения секретной информации, подвергаются специализированнымпроверкам по выявлению электронных устройств перехвата информации иисследованию на побочные электромагнитные излучения и наводки; - проведены мероприятия по ограничению использованияинформационных ресурсов и других элементов информационных систем (втом числе и ресурсов сети Интернет) путем установления правилразграничения доступа. Организованы мониторинг и ежемесячный сбор информации отисполнительных органов государственной власти и местногосамоуправления: - об инцидентах, возникающих в отношении имеющихся информационныхресурсов; - о текущем состоянии дел с технической защитой имеющихсяинформационных ресурсов; - о наличии и составе подразделений, занимающихся вопросамиинформатизации, а также об укомплектованности их специалистами позащите информации. Анализ собранных материалов позволяет сделать ряд важных выводов.Имеет место непонимание отдельными руководителями важностиинформационных ресурсов, которыми располагают их организации, инеобходимости обеспечения их защищенности. Пока еще не везде имеютсяспециализированные подразделения, на которые возложено обеспечениеинформационной безопасности, а специалистов в области защитыинформации крайне мало. И мировой, и отечественный опыт показывают, что большинствослучаев несанкционированного доступа к ресурсам остаются простонезамеченными из-за отсутствия необходимых специальных знаний усотрудников информационно-технических служб, поэтому вопросамповышения квалификации специалистов по информационной безопасности висполнительных органах государственной власти Калужской областиуделяется самое пристальное внимание. К основным факторам, определяющим необходимость формирования иразвития системы защиты информации в исполнительных органахгосударственной власти Калужской области, относятся следующие: - возрастание зависимости результатов деятельности исполнительныхорганов государственной власти Калужской области от достоверностииспользуемой ими информации, своевременности её получения,эффективности принятых мер по её защите; - формирование государственных информационных ресурсов,находящихся в ведении исполнительных органов государственной властиКалужской области, необходимость защиты этих ресурсов отпротивоправных действий; - использование в исполнительных органах государственной властиКалужской области информационных систем, накапливающих и передающихинформацию, уязвимую для несанкционированного доступа к информации, атакже возрастание опасности несанкционированных и непреднамеренныхвоздействий на информацию в этих системах и, как следствие,непредсказуемые экономические и социальные последствия возникновениякритических ситуаций, связанных с нарушениями режимов безопасностиинформации в кредитно-финансовых учреждениях, системах управленияэкологически опасными производствами, транспортом, энергетикой; - расширение спектра источников угроз информационнойбезопасности, возникающих в отношении исполнительных органовгосударственной власти Калужской области; - рост числа преступлений в сфере информационных технологий; - использование в исполнительных органах государственной властиКалужской области технических и программных средств, обеспечивающихсбор, хранение, обработку и передачу информации, несертифицированныхпо требованиям безопасности информации. III. ЦЕЛИ, ЗАДАЧИ, ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ И РАЗВИТИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ Цель защиты информации в исполнительных органах государственнойвласти Калужской области состоит в предотвращении или существенномснижении ущерба безопасности региона, с использованием методов исредств защиты информации, а также создании условий, способствующихзащите интересов общества в политической, экономической,научно-технической и других сферах деятельности, путем: - предотвращения утечки, хищения, утраты, искажения, подделкиинформации; - предотвращения угроз безопасности личности и общества; - предотвращения несанкционированных действий по уничтожению,модификации, искажению, копированию, блокированию информации, а такжедругих форм незаконного вмешательства в информационные ресурсы иинформационные системы; - обеспечения правового режима документированной информации какобъекта собственности; - сохранения государственной тайны, конфиденциальной информации всоответствии с законодательством; - обеспечения прав субъектов в информационных процессах приразработке, производстве и применении информационных систем,технологий и средств обеспечения; - сохранения конфиденциальности документированной информацииограниченного доступа. Основными задачами защиты информации в исполнительных органахгосударственной власти Калужской области являются: - предотвращение несанкционированного доступа и специальныхвоздействий на защищаемую информацию в информационных системахисполнительных органов государственной власти Калужской области; - обеспечение безопасности информации в системах управления иэлектронного документооборота в исполнительных органах государственнойвласти Калужской области. Основные принципы функционирования системы защиты информации висполнительных органах государственной власти Калужской области. Принцип законности. Развитие и совершенствование системы защиты информации висполнительных органах государственной власти Калужской областиосуществляется в строгом соответствии с нормативными правовыми актамиРоссийской Федерации в области защиты информации, в том числе с учетоммеждународных договоров (соглашений), требованиямиорганизационно-распорядительных и нормативно-методических документовФедеральной службы по техническому и экспортному контролю РоссийскойФедерации и других органов власти в пределах их компетенции. Принцип разграничения полномочий. Исполнительные органы государственной власти Калужской областисоздают все условия для защиты информации на подведомственных имобъектах защиты в интересах реализации на них требуемого уровнязащиты. Принцип своевременности реакции. Заблаговременная разработка мер по защите информации и ихнепосредственная реализация, обеспечивающая адекватную реакцию навозникающие и прогнозируемые угрозы от деятельности техническихразведок, преступных групп, злоумышленников, утечки информации потехническим каналам, специальных воздействий на нее, а такжеупреждающую нейтрализацию, быструю ликвидацию последствий угроз. Принцип подконтрольности и подотчетности. Исполнительные органы государственной власти Калужской области вустановленном порядке отчитываются и несут ответственность передвышестоящими органами за состояние защиты информации. Принцип соответствия. Уровень развития системы защиты информации должен соответствоватьзадачам обеспечения информационной безопасности исполнительных органовгосударственной власти Калужской области. Средства и способы зашитыинформации применяются в соответствии с реальными угрозамибезопасности информации и экономическими возможностями исполнительныхорганов государственной власти Калужской области. Координационные идирективные методы управления системой защиты информации должнырационально сочетаться. Принцип непрерывности защиты. Исполнительные органы государственной власти Калужской областипринимают все соответствующие меры по защите информации на всех этапахжизненного цикла объекта защиты. Принцип разумной достаточности. Исполнительные органы государственной власти Калужской областиприменяют некоторый приемлемый уровень безопасности, при которомзатраты, риск и размер возможного ущерба были бы приемлемыми. Принцип гибкости управления и применения. Исполнительные органы государственной власти Калужской областиимеют возможность варьирования уровнем защищенности, что устраняетнеобходимость принятия кардинальных мер по полной замене средствзащиты на новые. Принцип системности. Защита информации в исполнительных органах государственной властиКалужской области является составной частью обеспечения информационнойбезопасности Российской Федерации и организуется с учётом всех опасныхдля защищаемых объектов видов технических разведок, их возможностей испособов ведения, а также сочетания правовых, организационных,технических и специальных методов и средств защиты информации,преемственности, непрерывности, разумной достаточности и гибкостимероприятий по защите информации. Основными направлениями защиты информации в исполнительныхорганах государственной власти Калужской области являются: - защита информации от утечки (разглашения, несанкционированногодоступа, разведки); - защита информации от несанкционированного воздействия; - защита информации от непреднамеренного воздействия. Содержание и порядок действий, направленных на обеспечение защитыинформации, определяют организацию защиты информации. IV. ОСНОВЫ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ Организационной основой реализации настоящей Концепции являетсяежегодный План мероприятий по информатизации исполнительных органовгосударственной власти Калужской области (далее - План), утверждаемыйПравительством Калужской области. Проект Плана составляется приформировании областного бюджета на следующий финансовый год иутверждается после принятия закона Калужской области об областномбюджете. В Плане определяется перечень приоритетных мероприятий пореализации настоящей Концепции, для выполнения которых созданы всенеобходимые правовые и технологические предпосылки. Проект Плана разрабатывается информационно-аналитическимуправлением администрации Губернатора области с учетом рекомендацийкомиссии по информационной безопасности при Губернаторе области. Финансирование мероприятий Плана обеспечивается за счёт средствобластного бюджета. Организация защиты информации в исполнительных органахгосударственной власти Калужской области включает: - формирование нормативного, правового и методическогообеспечения деятельности в области защиты информации; - формирование организационной структуры и кадрового обеспечениядеятельности системы защиты информации; - проведение анализа деятельности исполнительных органовгосударственной власти Калужской области, а также применяемых имисистем управления и связи, определение наиболее важных объектовзащиты; - категорирование объектов защиты, а также классификациюавтоматизированных систем по требованиям защищенности отнесанкционированного доступа к информации; - оказание методической помощи исполнительным органамгосударственной власти Калужской области в разработке экономическиобоснованных организационно-технических мероприятий по защитеинформации; - координацию деятельности исполнительных органов государственнойвласти Калужской области по защите информации и согласованномуприменению техники защиты информации; - периодический контроль состояния защиты информации; - непрерывный мониторинг состояния системы защиты информации; - определение направлений развития и совершенствования системызащиты информации. Организация защиты информации осуществляется в зависимости от: - возможностей средств технической разведки по добываниюохраняемых сведений; - угроз утечки, уничтожения, искажения защищаемой информации илиблокирования доступа к ней; - категории объектов защиты, особенностей их функционирования ит.д. Защита информации на объектах информатизации. Цель защиты информации достигается путем: - предотвращения утечки информации, передаваемой по каналамсвязи; - предотвращения утечки обрабатываемой информации за счетпобочных электромагнитных излучений и наводок, создаваемыхфункционирующими техническими средствами обработки информации; - исключения несанкционированного доступа к обрабатываемой илихранящейся в технических системах и средствах; - выявления и предотвращения специальных воздействий, вызывающихуничтожение, искажение и блокирование информации или сбои в работетехнических систем и средств; - предотвращения утечки речевой информации из выделенных изащищаемых помещений; - выявления возможно внедренных на объекты и в техническиесредства иностранного производства электронных устройств перехватаинформации (закладных устройств). Объективная оценка защиты информации основывается на постоянном идейственном контроле ее состояния. Контроль состояния защиты информации в исполнительных органахгосударственной власти Калужской области осуществляетсяуполномоченными органами, входящими в систему защиты информации, всоответствии с их компетенцией. Контроль состояния защиты информации в исполнительных органахгосударственной власти Калужской области заключается в проверкесоответствия организации, наличия и содержания документов требованиямправовых, организационно-распорядительных и нормативных документов вобласти защиты информации, а также в оценке обоснованности иэффективности принятых мер защиты для обеспечения выполненияустановленных требований и норм. При этом оценка эффективностипринятых мер защиты информации проводится с использованием техническихи программных средств контроля на предмет соответствия установленнымтребованиям. Целями контроля состояния защиты информации являются:установление степени соответствия принятых мер требованиямзаконодательных и иных нормативных правовых актов, стандартов, норм,правил и инструкций по защите информации; выявление потенциальныхтехнических каналов утечки информации, несанкционированного доступа кинформации и специальных воздействий на информацию с ограниченнымдоступом и выработка рекомендаций по закрытию этих каналов. Основными задачами контроля состояния защиты информации являются: - оценка эффективности проводимых мер по защите информации; - выявление нарушений установленных норм и требований по защитеинформации; - выявление потенциальных каналов утечки информации об объектахзащиты, несанкционированного доступа к информации и специальныхвоздействий на информацию, анализ и оценка возможностей техническихразведок по получению защищаемой информации; - анализ причин нарушений и недостатков в организации иобеспечении защиты информации, выработка рекомендаций по ихустранению; - предупреждение невыполнения установленных норм и требований позащите информации; - оценка деятельности органов власти и управления, организаций пометодическому руководству и координации работ в области защитыинформации (в пределах их компетенции). V. ЭТАПЫ РЕАЛИЗАЦИИ КОНЦЕПЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В ИСПОЛНИТЕЛЬНЫХ ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ КАЛУЖСКОЙ ОБЛАСТИ Концепцию защиты информации в исполнительных органахгосударственной власти Калужской области предлагается реализовать втри этапа. Первый этап (2005 г.) - формирование системы защиты информации висполнительных органах государственной власти Калужской области. В ходе этапа: - уточняются принципы взаимодействия исполнительных органовгосударственной власти Калужской области при решении задач защитыинформации; - формируются коллегиальные органы для координации деятельностипо защите информации в исполнительных органах государственной властиКалужской области; - создаются структурные подразделения по защите информации висполнительных органах государственной власти Калужской области; - определяются и уточняются перечни информационных ресурсов,подлежащих защите, определяются структура и порядок деятельностисоответствующих систем формирования, учета, хранения и распространенияинформационных ресурсов; - осуществляются подготовка, переподготовка и повышениеквалификации специалистов в области защиты информации; - дорабатываются первоочередные правовые,организационно-распорядительные нормативные и плановые документы вобласти защиты информации; - исполнительные органы государственной власти Калужской областиобеспечиваются правовыми, организационно-распорядительными,нормативными, информационными и методическими документами в областизащиты информации; - органы системы защиты информации оснащаются существующимисредствами защиты информации и средствами контроля эффективностизащиты информации; - организуется контроль состояния защиты информации и создаетсяинформационно-аналитическая система обеспечения деятельности в областизащиты информации в исполнительных органах государственной властиКалужской области; - выявляются проблемные вопросы в области защиты информации,вырабатываются предложения и планы по их реализации. Второй этап (2006 - 2008 гг.) - развитие системы защитыинформации в исполнительных органах государственной власти Калужскойобласти. На втором этапе: - совершенствуется нормативное правовое обеспечение защитыинформации в исполнительных органах государственной власти Калужскойобласти, разрабатываются и совершенствуются основныеорганизационно-распорядительные документы в области защиты информации; - совершенствуются организационные мероприятия, техническиеметоды и техника защиты информации на объектах защиты; - внедряется информационно-аналитическая система обеспечениядеятельности в области защиты информации в исполнительных органахгосударственной власти Калужской области; - создается информационно-аналитическая система выявления,прогнозирования угроз безопасности информации и планированиямероприятий по защите информации. Третий этап (2009 - 2010 гг.) - совершенствование системы защитыинформации в исполнительных органах государственной власти Калужскойобласти, осуществляемое в направлении интеграции в государственнуюсистему защиты информации. На третьем этапе: - осуществляется дальнейшее совершенствованиенормативно-методического и технического обеспечения системы защитыинформации в исполнительных органах государственной власти Калужскойобласти; - осуществляется оснащение важнейших объектов защитыперспективной техникой защиты информации; - разрабатывается и создается областная система техническогоконтроля; - осуществляется интеграция информационно-аналитической системыобеспечения деятельности в области защиты информации в исполнительныхорганах государственной власти Калужской области винформационно-аналитическую систему государственной системы защитыинформации. Реализация Концепции позволит: - повысить эффективность управления системой защиты информации засчёт создания в исполнительных органах государственной властиКалужской области информационно-аналитической системы обеспечениядеятельности в области защиты информации и её сопряжения синформационно-аналитической системой государственной системы защитыинформации; - усовершенствовать организационную структуру системы защитыинформации, её кадровое обеспечение; - улучшить обеспеченность органов системы защиты информациидокументами в области защиты информации; - повысить оснащенность органов системы защиты информациивысокоэффективной техникой защиты информации.