Постановление Администрации Смоленской области от 30.03.1998 № 135
О мерах по созданию системы защиты информации в компьютерных и телекоммуникационных системах администрации Смоленской области
АДМИНИСТРАЦИЯ СМОЛЕНСКОЙ ОБЛАСТИ П О С Т А Н О В Л Е Н И Еот 30.03.98г. N 135г. Смоленск Утратило силу - Постановление Администрации Смоленской области от 30.10.2007 г. N 375 О мерах по созданию системы защиты информации в компьютерных и телекоммуникационных системах администрации Смоленской области (В редакции Постановлений Администрации Смоленской области от 23.01.2002 г. N 12) В соответствии с Законом Российской Федерации N 0024-Ф3 от20.02.95 г. "Об информации, информатизации и защите информации",Положением о государственной системе защиты информации в РоссийскойФедерации от иностранных технических разведок и от ее утечки потехническим каналам, утвержденным Постановлением ПравительстваРоссийской Федерации от 15.09.93г. N912-51, ПостановлениемПравительства Российской Федерации "О сертификации средств защитыинформации" от 26.06.95г. N608, письмом Председателя Государственнойтехнической комиссии при Президенте Российской Федерации от 03.12.97г.N240/883 "О защите информации при вхождении России в международнуюинформационную систему "Интернет" и в целях организации защитыинформации в компьютерных и телекоммуникационных системах областнойадминистрацииПОСТАНОВЛЯЮ: 1. Создать комиссию по защите информации в компьютерных ителекоммуникационных системах администрации Смоленской области приглаве администрации области. 2. Утвердить положение о системе защиты информации в компьютерныхи телекоммуникационных системах администрации Смоленской области(Приложение 1). 3. Утвердить: - состав комиссии по защите информации в компьютерных и телекоммуникационных системах администрации Смоленской области при главе администрации области (Приложение 2); - положение о комиссии по защите информации в компьютерных и телекоммуникационных системах администрации Смоленской области при главе администрации области (Приложение 3). 4. Комитету по информационным ресурсам и телекоммуникациямобластной администрации (Мнев В.И.) обеспечить: - выполнение мероприятий по защите информации ограниченного доступа в компьютерных и телекоммуникационных системах областной администрации; - разработку и внедрение в практическую деятельность методических и нормативно-правовых документов, содержащих основные правила обеспечения защиты информации при подключении к международным информационным системам; - контроль за состоянием защиты информации в компьютерных и телекоммуникационных системах структурных подразделений областной администрации. 5. Структурным подразделениям областной администрации обеспечитьвыполнение мероприятий в целях предотвращения утечки конфиденциальнойинформации в международные информационные сети. 6. Рекомендовать руководителям органов местного самоуправлениярайонов (городов) области разработать и осуществить мероприятия,направленные на обеспечение защиты информации в создаваемыхинформационных системах. 7. Контроль за настоящим постановлением оставляю за собой. Глава администрации области А.Глушенков Приложение N 1 к постановлению главы администрации Смоленской области от 30.03.98г. N 135 ПОЛОЖЕНИЕ о системе защиты информации в компьютерных и телекоммуникационных системах администрации Смоленской области (В редакции Постановления Администрации Смоленской области от 13.07.2001 г. N 447) 1. Общие положения Настоящее Положение разработано в соответствии с ЗакономРоссийской Федерации N 0024-Ф3 от 20.02.95 г. "Об информации,информатизации и защите информации", Положением о государственнойсистеме защиты информации в Российской Федерации от иностранныхтехнических разведок и от ее утечки по техническим каналам,утвержденным Постановлением Правительства Российской Федерации от15.09.93г. N912-51, Постановлением Правительства Российской Федерации"О сертификации средств защиты информации" от 26.06.95г. N608 иписьмом Председателя Государственной технической комиссии приПрезиденте Российской Федерации от 03.12.97г. N240/883 "О защитеинформации при вхождении России в международную информационную систему"Интернет". 2. Основные термины и определения Информация - сведения о лицах, предметах, фактах, событиях,явлениях и процессах независимо от формы их представления. Информатизация - организационный социально - экономический инаучно - технический процесс создания оптимальных условий дляудовлетворения информационных потребностей и реализации прав граждан,органов государственной власти, органов местного самоуправления,организаций, общественных объединений на основе формирования ииспользования информационных ресурсов. Информационные ресурсы - отдельные документы и отдельные массивыдокументов, документы и массивы документов в информационных системах(библиотеках, архивах, фондах, банках данных, других информационныхсистемах) Информационная система - организационно упорядоченнаясовокупность документов (массивов документов) и информационныхтехнологий, в том числе с использованием средств вычислительнойтехники и связи, реализующих процессы сбора, обработки, накопления,хранения, поиска и распространения информации. Сведения ограниченного доступа - информация, для которойустановлен специальный режим сбора, хранения, обработки,распространения и использования. Конфиденциальная информация - документированная информация,доступ к которой ограничивается в соответствии с законодательствомРоссийской Федерации. Документированная информация - зафиксированная на материальномносителе информация с реквизитами, позволяющими ее идентифицировать. Защита информации - организационные, правовые, технические итехнологические меры по предотвращению угроз информационнойбезопасности и устранению их последствий. Информационная безопасность - состояние защищенностиинформационной среды общества, обеспечивающее ее формирование иразвитие в интересах граждан, организаций и государства. Угрозы информационной безопасности - фактор или совокупностьфакторов, создающих опасность функционированию и развитиюинформационной среды общества. Информационная среда общества - совокупность информационныхресурсов, систем формирования, распространения и использованияинформации, информационной инфраструктуры. Информационная инфраструктура - совокупность систем обработки ианализа информации, каналов информационного обмена и телекоммуникаций,линий связи, систем и средств защиты информации. 3. Цели и задачи 3.1.Основными целями защиты информации является: - предотвращение утечки, хищения, утраты, искажения, подделкиинформации; - предотвращение угроз безопасности личности, общества,государства; - предотвращение несанкционированных действий по уничтожению,модификации, искажению, копированию, блокированию информации;предотвращение других форм незаконного вмешательства в информационныересурсы и информационные системы, обеспечение правового режимадокументированной информации как объекта собственности; - защита конституционных прав граждан на сохранение личной тайныи конфиденциальности персональных данных, имеющихся в информационныхсистемах; - сохранение государственной тайны, конфиденциальностидокументированной информации в соответствии с законодательством; - обеспечение прав субъектов, участвующих в информационныхпроцессах, при разработке, производстве и применении информационныхсистем, технологий и средств их обеспечения. (Пункт в редакции Постановления Администрации Смоленской областиот 13.07.2001 г. N 447) 3.2. Основные задачи и функции: - контроль за выполнением требований законодательных, нормативно-правовых, распорядительных и методических документов как федерального уровня, так и принятых органами государственной власти области, в области информационной безопасности; - актуализация перечней сведений, составляющих государственную и служебную тайну структурных подразделений администрации области; (В редакции Постановления Администрации Смоленской областиот 13.07.2001 г. N 447) - анализ угроз безопасности информации и оценка реальной возможности перехвата информации техническими средствами, несанкционированного доступа, разрушения, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки информации ограниченного доступа; - разработка организационно-технических мероприятий по защите информации и их реализация. 4. Организационная структура системы защиты информации 4.1. Систему защиты информации в компьютерных ителекоммуникационных системах администрации области образуют: - глава администрации области; - комиссия по защите информации в компьютерных и телекоммуникационных системах администрации Смоленской области при главе администрации области; - отдел информационной безопасности комитета по информационным ресурсам и телекоммуникациям областной администрации; - уполномоченные по вопросам информационной безопасности в управлениях, комитетах и других структурных подразделениях администрации области; 4.2. Глава администрации области осуществляет общее руководствоорганизацией и состоянием системы защиты информации в компьютерных ителекоммуникационных системах администрации области. 4.3. Комиссия по защите информации в компьютерных ителекоммуникационных системах администрации Смоленской области приглаве администрации области является постоянно действующим органом приглаве администрации области и занимается рассмотрением вопросов,связанных с защитой информации, осуществляет координацию и контрольвыполнения работ по вопросам обеспечения защиты информации. Полномочия и порядок работы комиссии по защите информации вкомпьютерных и телекоммуникационных системах администрации Смоленскойобласти определяются его Положением, утвержденным главой администрацииобласти. 4.4. Методическое руководство и обеспечение нормативно -правовыми документами уполномоченных по вопросам информационнойбезопасности возлагается на отдел информационной безопасности комитетапо информационным ресурсам и телекоммуникациям областнойадминистрации. 4.5. Основные цели и задачи, функции, права и ответственностьотдела информационной безопасности комитета по информационным ресурсами телекоммуникациям областной администрации определяются егоПоложением, утвержденным заместителем главы администрации области -председателем комиссии по защите информации в компьютерных ителекоммуникационных системах администрации Смоленской области. 4.6. Уполномоченные по вопросам информационной безопасности вструктурных подразделениях администрации области руководствуются всвоей деятельности должностной инструкцией. 5. Объекты информационной безопасности Защите подлежат: - информационные ресурсы, содержащие сведения, отнесенные к государственной или служебной тайне, представленные в виде носителей на магнитной или оптической основе, информативных физических полей, информационных массивов и баз данных; - информационная инфраструктура, включающая компьютерные и телекоммуникационные информационные системы, программные и технические средства приема, передачи и обработки информации, используемые для обработки данных, содержащих сведения, отнесенные к государственной или служебной тайне; - технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к государственной или служебной тайне. 6. Угрозы информационной безопасности Источники угроз информационной безопасности подразделяются навнешние и внутренние. К внешним источникам относятся: - недружественная политика иностранных государств в области информационного мониторинга, распространения информации и новых информационных технологий; - деятельность иностранных разведывательных и специальных служб; - деятельность иностранных экономических структур, направленная против интересов области в частности и Российской Федерации в целом; - преступные действия международных групп, формирований и отдельных лиц; - стихийные бедствия и катастрофы. Внутренними источниками являются: - противозаконная деятельность политических и экономических структур и отдельных лиц в области формирования, распространения и использования информации; - неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере; - нарушения установленных регламентов сбора, обработки и передачи информации; - преднамеренные действия и непреднамеренные ошибки персонала информационных систем, приводящие к утечке, уничтожению, искажению, подделке, блокированию, задержке, несанкционированному копированию информации; - отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах; - каналы побочных электромагнитных излучений средств вычислительной техники. 7. Способы воздействия угроз на объекты информационной безопасности Способы воздействия угроз на объекты информационной безопасностиподразделяются на информационные, аппаратно - программные, физические,радиоэлектронные и организационно - правовые. К информационным способам относятся: - нарушение адресности и своевременности информационного обмена; - несанкционированный доступ к информационным ресурсам; - незаконное копирование данных в информационных системах; - хищение информации из банков и баз данных; - нарушение технологии обработки информации. Аппаратно - программные способы включают: - программно - математические воздействия; - установку программных и аппаратных закладных устройств; - уничтожение или модификацию данных в информационных системах. Физические способы включают: - уничтожение или разрушение средств обработки информации и связи; - уничтожение, разрушение или хищение машинных или других оригиналов носителей информации; - хищение аппаратных или программных ключей и средств криптографической защиты информации; - воздействие на персонал; - поставка "зараженных" компонентов информационных систем. Радиоэлектронными способами являются: - перехват информации в технических каналах ее утечки; - внедрение электронных устройств перехвата информации в технических средствах и помещениях; - перехват, дешифрование и внедрение ложной информации в сетях передачи данных и линиях связи; - воздействие на парольно - ключевые системы; - радиоэлектронное подавление линий связи и систем управления. Организационно - правовые способы включают: - закупки несовершенных или устаревших информационных технологий и компьютерных средств; - невыполнение требований законодательства и задержки в принятии необходимых нормативно - правовых положений в информационной сфере; 8. Мероприятия и методы по защите информации В целях предотвращения и нейтрализации угроз информационнойбезопасности применяются правовые, аппаратно - программные методы иорганизационно - технические мероприятия. Правовые методы предусматривают разработку комплекса нормативно -правовых актов и положений в области защиты информации. Аппаратно - программные методы включают: - предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований; - исключение или существенное затруднение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации; - предотвращение специальных программно - математических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств вычислительной техники; - выявление возможно внедренных в импортные технические средства специальных устройств съема (ретрансляции) или разрушения информации (закладных устройств). Организационно - технические мероприятия предусматривают: - формирование и обеспечение функционирования систем защиты информации ограниченного доступа; - сертификацию этих систем по требованиям информационной безопасности; - лицензирование деятельности в области защиты информации; - стандартизацию способов и средств защиты информации; - контроль за действием персонала в защищенных информационных системах; - физическую защиту от внешних воздействующих факторов, вызванных явлениями природы, а также преднамеренной и непреднамеренной деятельностью людей. Защите также подлежат технические средства, не обрабатывающиеинформацию, но размещенные в помещениях, где информацияобрабатывается. К ним относятся системы и средства радиотрансляции,пожарной и охранной сигнализации, часофикации и другие. Требуется выполнение комплексного исследования деятельностиперсонала информационных систем, в том числе методов повышениямотивации, морально - психологической устойчивости и социальнойзащищенности людей, работающих с информацией ограниченного доступа. 9. Контроль состояния информационной безопасности Контроль за состоянием информационной безопасности осуществляетсяс целью своевременного выявления и предотвращения утечки информации потехническим каналам, несанкционированного доступа к ней,преднамеренных программно - математических воздействий на информацию,оценки эффективности ее защиты и заключается в проверке выполнениянормативно - правовых документов по вопросам обеспечения защитыинформации. Приложение к постановлению Администрации Смоленской области от 23.01.2002г. N 12 Состав комиссии по защите информации в компьютерных и телекоммуникационных системах Администрации Смоленской области (В редакции Постановлений Администрации Смоленской области от 23.01.2002 г. N 12) БаклаковНиколай Валентинович - заместитель Главы Администрации Смоленской области, председатель комиссииМневВасилий Иванович - председатель Комитета по информационным ресурсам и телекоммуникациям Смоленской области, заместитель председателя комиссииЯковенковВалентин Владимирович - заместитель председателя Комитета по информационным ресурсам и телекоммуникациям Смоленской области, секретарь комиссии Члены комиссии:БондаренкоВладимир Георгиевич - начальник отдела специальной документальной связи Управления делами Аппарата Администрации Смоленской областиКузьминАлександр Юрьевич - заместитель начальника отдела Управления Федеральной службы безопасности Российской Федерации по Смоленской области (по согласованию)СиняковОлег Николаевич - старший сотрудник Центра правительственной связи в Смоленской области (по согласованию)ТюринаЛюдмила Семеновна - ведущий специалист отдела кадров и спецработы Управления делами Аппарата Главы Администрации Смоленской областиУстименкоСергей Николаевич - помощник Главы Администрации Смоленской областиФомченковСергей Михайлович - начальник отдела Комитета по информационным ресурсам и телекоммуникациям Смоленской области Приложение N 3 к постановлению главы администрации Смоленской области от 30.03.98г. N 135 ПОЛОЖЕНИЕ о комиссии по защите информации в компьютерных и телекоммуникационных системах администрации Смоленской области при главе администрации области 1. Основные положения 1.1. Комиссия по защите информации в компьютерных ителекоммуникационных системах администрации Смоленской области приглаве администрации области (далее комиссия) создана на основании: - Положения о государственной системе защиты информации вРоссийской Федерации от иностранных технических разведок и от ееутечки по техническим каналам, утвержденного ПостановлениемПравительства Российской Федерации от 15.09.93 N 912-51; - решений Гостехкомиссии при Президенте Российской Федерации: - от 21.11.93 N 6 "О состоянии защиты информации и мерах по ее совершенствованию в органах федеральной и региональной государственной власти"; - от 16.06.96 N 48 "Об организации работ по защите информации от технических разведок и от ее утечки по техническим каналам в регионах Российской Федерации". 1.2. Комиссия является постоянно действующим органом при главеадминистрации области и занимается рассмотрением вопросов, связанных сзащитой информации, осуществляет координацию и контроль выполненияработ по вопросам обеспечения защиты информации. 1.3.Комиссия осуществляет свою деятельность в соответствии сКонституцией Российской Федерации, федеральными нормативными правовымиактами, Положением о государственной системе защиты информации вРоссийской Федерации, утвержденным Постановлением ПравительстваРоссийской Федерации от 15.09.93 N 912-51, решениями федеральныхорганов информационной безопасности и защиты информации, областныминормативными правовыми актами в области защиты информации, настоящимПоложением, а также иными документами по вопросам защиты информации. 1.4.Состав комиссии утверждается главой администрации области.Председатель комиссии, на которого возлагается руководствоорганизационной работой по обеспечению защиты информации, назначаетсяиз числа заместителей главы администрации области. 1.5. При необходимости для реализации решений комиссии еепредседатель в установленном порядке вносит предложения о подготовкепроектов областных нормативных правовых актов. 1.6. Комиссия осуществляет свои функции во взаимодействии сСоветом безопасности Российской Федерации, федеральными ирегиональными органами Федеральной службы безопасности, Федеральногоагентства правительственной связи и информации при ПрезидентеРоссийской Федерации, Гостехкомиссии при Президенте РоссийскойФедерации, Министерства внутренних дел Российской Федерации,Министерства обороны Российской Федерации, а также органамигосударственной власти области. 2. Функции комиссии 2.1. Основными функциями комиссии являются: определение концептуальных подходов к обеспечению защитыинформации в компьютерных и телекоммуникационных системахадминистрации области; разработка предложений по формированию областной системы защитыинформации в компьютерных и телекоммуникационных системахадминистрации области; определение приоритетных направлений работы по вопросам защитыинформации в областных органах государственного управления; выработка рекомендаций по совершенствованию действующей системызащиты информации в компьютерных и телекоммуникационных системахадминистрации области на основе обобщения и анализа информации орезультатах ее деятельности; выработка предложений по выполнению требований нормативных актовпо обеспечению защиты информации организациями на территории области; рассмотрение результатов контроля эффективности принятых мерзащиты информации в органах государственного управления, принятиерешений по организации или совершенствованию защиты информации; рассмотрение вопросов повышения эффективности работы органовзащиты информации в компьютерных и телекоммуникационных системахобластной администрации, их материально - технического и финансовогообеспечения; разработка предложений по организации подготовки кадров дляэффективного функционирования системы защиты информации в компьютерныхи телекоммуникационных системах администрации области; разработка проектов постановлений и распоряжений администрацииобласти по вопросам защиты информации, организация и проведениеэкспертизы проектов областных нормативных правовых актов насоответствие требованиям нормативных документов по защите информации; 2.2. По решению председателя комиссии могут рассматриваться идругие вопросы, возникающие в ходе работы по организации и обеспечениюзащиты информации на территории области. 3. Деятельность комиссии 3.1. Работа членов комиссии осуществляется на безвозмезднойоснове. 3.2. Периодичность созыва комиссии определяется ее председателем. 3.3. Председатель комиссии имеет право: запрашивать и получать в установленном порядке от органовгосударственного управления и организаций независимо от формсобственности необходимые для осуществления деятельности комиссииинформацию, документы и материалы; привлекать в установленном порядке для выполнения аналитических иэкспертных работ на договорной основе организации и специалистов; организовывать подготовку обобщенной информации по вопросам,отнесенным к компетенции комиссии, и представлять ее главеадминистрации области; формировать повестку дня и список лиц, приглашаемых на заседаниякомиссии. 3.4. Члены комиссии обладают равными правами при обсуждениипроектов решений. В случае несогласия с принятым решением каждый членкомиссии вправе изложить письменно свое мнение, которое подлежитобязательному приобщению к протоколу заседания комиссии. 3.5. Решения комиссии принимаются открытым голосованием исчитаются принятыми, если они поддержаны простым большинством голосовприсутствующих членов комиссии. При равенстве голосов решающимявляется голос председателя комиссии. Решения комиссии являютсяправомочными, если на заседании комиссии присутствовало не менее 2/3его членов. Решения подписываются председателем и секретарем комиссии,рассылаются членам комиссии, доводятся до исполнителей и другихзаинтересованных организаций в части, их касающейся. 3.6. Организационно-техническое и информационное обеспечениедеятельности комиссии осуществляет комитет по информационным ресурсами телекоммуникациям областной администрации.