Постановление Думы Рязанской области от 31.07.2002 № 501
О мерах по созданию системы защиты информации в компьютерных и телекоммуникационных системах администрации Рязанской области
РОССИЙСКАЯ ФЕДЕРАЦИЯ П О С Т А Н О В Л Е Н И Е ГЛАВЫ АДМИНИСТРАЦИИ РЯЗАНСКОЙ ОБЛАСТИ Утратил силу - Постановление Правительства Рязанской области от 28.10.2004 г. N 127 от 3I июля 2002г. N 50I О мерах по созданию системы защиты информации в компьютерных и телекоммуникационных системах администрации Рязанской области В соответствии с Федеральным законом от 20.02.95 г. N 24-ФЗ "Обинформации, информатизации и защите информации", Положением огосударственной системе защиты информации в Российской Федерации отиностранных технических разведок и от ее утечки по техническимканалам, утвержденным постановлением Правительства РоссийскойФедерации от 15.09.93 г. N 912-51, Указом Президента РоссийскойФедерации от 08.05.93 г. N 641с "О защитеинформационно-телекоммуникационных систем и баз данных от утечкиконфиденциальной информации по техническим каналам" и в целяхпредотвращения утечки информации, несанкционированного ее уничтожения,искажения, копирования, блокирования и подделки ПОСТАНОВЛЯЮ: 1. Создать комиссию по защите информации в компьютерных ителекоммуникационных системах администрации Рязанской области приглаве администрации области. 2. Утвердить состав комиссии по защите информации в компьютерныхи телекоммуникационных системах администрации Рязанской области приглаве администрации области (приложение 1). 3. Утвердить положение о системе защиты информации в компьютерныхи телекоммуникационных системах администрации Рязанской области(приложение 2). 4. Утвердить положение о комиссии по защите информации вкомпьютерных и телекоммуникационных системах администрации Рязанскойобласти при главе администрации области (приложение 3). 5. Отделу информационно-технических ресурсов администрацииобласти (Щегольков Е.И.) обеспечить разработку и внедрение впрактическую деятельность методических и нормативных правовыхдокументов, содержащих основные правила обеспечения защиты информациипри подключении к международным информационным системам. 6. Структурным подразделениям администрации области обеспечитьвыполнение мероприятий в целях предотвращения утечки конфиденциальнойинформации в международные информационные сети. 7. Рекомендовать руководителям органов местного самоуправлениярайонов и городов области разработать и осуществить мероприятия,направленные на обеспечение защиты информации в создаваемыхинформационных системах. 8. Контроль за выполнением настоящего постановления возложить назаместителя главы администрации области - руководителя комплекса поработе с территориями, органами местного самоуправления, связям собщественностью, информационной и кадровой политике Говорова А.Ф. Глава администрации области В.Н.Любимов Приложение N 1 к постановлению главы администрации Рязанской области от 3I.07.02 N 50I С О С Т А В комиссии по защите информации в компьютерных и телекоммуникационных системах администрации Рязанской области при главе администрации областиГоворов А.Ф. - заместитель главы администрации области - председатель комиссииКутенцын В.И. - заместитель главы администрации области - заместитель председателя комиссииКнязев А.Н. - управляющий делами администрации области - заместитель председателя комиссииПопов А.А. - председатель комитета по связям с общественностью и информационной политике - секретарь комиссии Члены комиссии:Соловьев Н.Н. - советник главы администрации области по безопасностиМонахов С.Г. - представитель УФСБ по Рязанской области (по согласованию)Сазиков В.Н. - начальник ЦПС в Рязанской области (по согласованию)Щегольков Е.И. - начальник отдела информационно-технических ресурсов управления делами администрации областиСурков В.А. - начальник отдела специальной документальной связи администрации областиСлавинский В.П.- начальник общего отдела управления делами администрации областиБрагин В.С. - начальник второго отдела администрации областиТуровцев А.М. - начальник особого сектора управления делами администрации области Приложение N 2 к постановлению главы администрации Рязанской области от 3I.07.02 N 50I ПОЛОЖЕНИЕ о системе защиты информации в компьютерных и телекоммуникационных системах администрации Рязанской области 1. Общие положения. 1.1. Настоящее Положение разработано в соответствии с Федеральнымзаконом N 24-ФЗ от 20.02.95 г. "Об информации, информатизации и защитеинформации", Положением о государственной системе защиты информации вРоссийской Федерации от иностранных технических разведок и от ееутечки по техническим каналам, утвержденным постановлениемПравительства Российской Федерации от 15.09.93 г. N 912-51, УказомПрезидента Российской Федерации от 08.05.93 г. N 641с "О защитеинформационно-телекоммуникационных систем и баз данных от утечкиконфиденциальной информации по техническим каналам". 2. Основные термины и определения. 2.1. Информация - сведения о лицах, предметах, фактах, событиях,явлениях и процессах независимо от формы их представления. 2.2. Информатизация - организационный социально-экономический инаучно-технический процесс создания оптимальных условий дляудовлетворения информационных потребностей и реализации прав граждан,органов государственной власти, органов местного самоуправления,организаций, общественных объединений на основе формирования ииспользования информационных ресурсов. 2.3. Информационные ресурсы - отдельные документы и отдельныемассивы документов, документы и массивы документов в информационныхсистемах (библиотеках, архивах, фондах, банках данных, другихинформационных системах). 2.4. Информационная система - организационно упорядоченнаясовокупность документов (массивов документов) и информационныхтехнологий, в том числе с использованием средств вычислительнойтехники и связи, реализующих процессы сбора, обработки, накопления,хранения, поиска и распространения информации. 2.5. Сведения ограниченного доступа - информация, для которойустановлен специальный режим сбора, хранения, обработки,распространения и использования. 2.6. Конфиденциальная информация - документированная информация,доступ к которой ограничивается в соответствии с законодательствомРоссийской Федерации. 2.7. Документированная информация - зафиксированная наматериальном носителе информация с реквизитами, позволяющими ееидентифицировать. 2.8. Защита информации - организационные, правовые, технические итехнологические меры по предотвращению угроз информационнойбезопасности и устранению их последствий. 2.9. Информационная безопасность - состояние защищенностиинформационной среды общества, обеспечивающее ее формирование иразвитие в интересах граждан, организаций и государства. 2.10. Угроза информационной безопасности - фактор илисовокупность факторов, создающих опасность функционированию и развитиюинформационной среды общества. 2.11. Информационная среда общества - совокупность информационныхресурсов, систем формирования, распространения и использованияинформации, информационной инфраструктуры. 2.12. Информационная инфраструктура - совокупность системобработки и анализа информации, каналов информационного обмена ителекоммуникаций, линий связи, систем и средств защиты информации. 3. Цели и задачи. 3.1. Основными целями защиты информации являются: - предотвращение утечки информации по техническим каналам; - предотвращение несанкционированного уничтожения, искажения,копирования, блокирования информации в информационных системах; - соблюдение правового режима использования информационныхресурсов, информационных систем, обеспечение полноты, целостности,достоверности информации в информационных системах; - сохранение возможности управления процессом обработки ипользования информацией. 3.2. Основные задачи и функции: - контроль за выполнением требований законодательных, нормативныхправовых, распорядительных и методических документов как федеральногоуровня, так и принятых органами государственной власти области вобласти информационной безопасности; - определение и актуализация Перечня сведений, составляющихгосударственную и служебную тайну структурных подразделенийадминистрации области; - анализ угроз безопасности информации и оценка реальнойвозможности перехвата информации техническими средствами,несанкционированного доступа, разрушения, уничтожения, искажения,блокирования или подделки информации в процессе ее обработки, передачии хранения в технических средствах, выявление возможных техническихканалов утечки информации ограниченного доступа; - разработка организационно-технических мероприятий по защитеинформации и их реализация. 3.4. Организационная структура системы защиты информации. 4.1. Систему защиты информации в компьютерных ителекоммуникационных системах администрации области образуют: - глава администрации области; - комиссия по защите информации в компьютерных ителекоммуникационных системах администрации Рязанской области приглаве администрации области; - отдел информационно-технических ресурсов администрации области; - уполномоченные по вопросам информационной безопасности вуправлениях, комитетах и других структурных подразделенияхадминистрации области. 4.2. Глава администрации области осуществляет общее руководствоорганизацией и состоянием системы защиты информации в компьютерных ителекоммуникационных системах администрации области. 4.3. Комиссия по защите информации в компьютерных ителекоммуникационных системах администрации Рязанской области приглаве администрации области является постоянно действующим органом приглаве администрации области и занимается рассмотрением вопросов,связанных с защитой информации, осуществляет координацию и контрольвыполнения работ по вопросам обеспечения защиты информации. Полномочия и порядок работы комиссии по защите информации вкомпьютерных и телекоммуникационных системах администрации Рязанскойобласти при главе администрации области определяются ее Положением. 4.4. Методическое руководство и обеспечение нормативно-правовымидокументами уполномоченных по вопросам информационной безопасностивозлагается на отдел информационно-технических ресурсов администрацииобласти. 4.5. Основные цели и задачи, функции, права и ответственностьотдела информационно-технических ресурсов администрации области ввопросах защиты информации определяются его Положением, утвержденнымзаместителем главы администрации области - председателем комиссии позащите информации в компьютерных и телекоммуникационных системахадминистрации Рязанской области при главе администрации области. 4.6. Уполномоченный по вопросам информационной безопасностиструктурных подразделений администрации области руководствуется всвоей деятельности должностной инструкцией. 5. Объекты информационной безопасности. Защите подлежат: - информационные ресурсы, содержащие сведения, отнесенные кгосударственной или служебной тайне, представленные в виде носителейна магнитной или оптической основе, информативных физических полей,информационных массивов и баз данных; - информационная инфраструктура, включающая компьютерные ителекоммуникационные информационные системы, программные и техническиесредства приема, передачи и обработки информации, используемые дляобработки данных, содержащих сведения, отнесенные к государственнойили служебной тайне; - технические средства и системы, не обрабатывающие информацию,но размещенные в помещениях, где обрабатывается информация, содержащаясведения, отнесенные к государственной или служебной тайне. 6. Угроза информационной безопасности. Источники угроз информационной безопасности подразделяются навнешние и внутренние. К внешним источникам относятся: - недружественная политика иностранных государств в областиинформационного мониторинга, распространения информации и новыхинформационных технологий; - деятельность иностранных разведывательных и специальных служб; - деятельность иностранных экономических структур, направленнаяпротив интересов области в частности и Российской Федерации в целом; - преступные действия международных групп, формирований иотдельных лиц; - стихийные бедствия и катастрофы. К внутренним источникам относятся: - противозаконная деятельность политических и экономическихструктур и отдельных лиц в области формирования, распространения ииспользования информации; - неправомерные действия государственных структур, приводящие кнарушению законных прав граждан и организаций в информационной сфере; - нарушения установленных регламентов сбора, обработки и передачиинформации; - преднамеренные действия и непреднамеренные ошибки персоналаинформационных систем, приводящие к утечке, уничтожению, искажению,подделке, блокированию, задержке, несанкционированному копированиюинформации; - отказы технических средств и сбои программного обеспечения винформационных и телекоммуникационных системах; - каналы побочных электромагнитных излучений средстввычислительной техники. 7. Способы воздействия угроз на объекты информационнойбезопасности. Способы воздействия угроз на объекты информационной безопасностиподразделяются на информационные, аппаратно-программные, физические,радиоэлектронные и организационно-правовые. К информационным способам относятся: - нарушения адресности и своевременности информационного обмена; - несанкционированный доступ к информационным ресурсам; - незаконное копирование данных в информационных системах; - хищение информации из банков и баз данных; - нарушения технологии обработки информации. К аппаратно-программным способам относятся: - программно-математические воздействия; - установка программных и аппаратных закладных устройств; - уничтожение или модификация данных в информационных системах. К физическим способам относятся: - уничтожение или разрушение средств обработки информации исвязи; - уничтожение, разрушение или хищение машинных или другихоригиналов носителей информации; - хищение аппаратных или программных ключей и средствкриптографической защиты информации; - воздействие на персонал; - поставка "зараженных" компонентов информационных систем. К радиоэлектронным способам относятся: - перехват информации в технических каналах ее утечки; - внедрение электронных устройств перехвата информации втехнических средствах и помещениях; - перехват, дешифрование и внедрение ложной информации в сетяхпередачи данных и линиях связи; - воздействие на парольно-ключевые системы; - радиоэлектронное подавление линий связи и систем управления. К организационно-правовым способам относятся: - закупка несовершенных или устаревших информационных технологийи компьютерных средств; - невыполнение требований законодательства и задержки в принятиинеобходимых нормативных правовых положений в информационной сфере. 8. Мероприятия и методы по защите информации. В целях предотвращения и нейтрализации угроз информационнойбезопасности применяются правовые, аппаратно-программные методы иорганизационно-технические мероприятия. Правовые методы предусматривают разработку комплекса нормативныхправовых актов и положений в области защиты информации.Аппаратно-программные методы включают: - предотвращение утечки обрабатываемой информации за счетпобочных электромагнитных излучений и наводок, создаваемыхфункционирующими средствами, а также за счет электроакустическихпреобразований; - исключение или существенное затруднение несанкционированногодоступа к обрабатываемой или хранящейся в технических средствахинформации; - предотвращение специальных программно-математическихвоздействий, вызывающих разрушение, уничтожение, искажение информацииили сбои в работе средств вычислительной техники; - выявление возможно внедренных в импортные технические средстваспециальных устройств съема (ретрансляции) или разрушения информации(закладных устройств). Организационно-технические мероприятия предусматривают: - формирование и обеспечение функционирования систем защитыинформации ограниченного доступа; - сертификацию этих систем по требованиям информационнойбезопасности; - лицензирование деятельности в области защиты информации; - стандартизацию способов и средств защиты информации; - контроль за действием персонала в защищенных информационныхсистемах; - физическую защиту от внешних воздействующих факторов, вызванныхявлениями природы, а также преднамеренной или непреднамереннойдеятельностью людей. Защите также подлежат технические средства, не обрабатывающиеинформацию, но размещенные в помещениях, где информацияобрабатывается. К ним относятся системы и средства радиотрансляции,пожарные и охранные сигнализации, часофикации и другие. Требуется выполнение комплексного исследования деятельностиперсонала информационных систем, в том числе методов повышениямотивации, морально-психологической устойчивости и социальнойзащищенности людей, работающих с информацией ограниченного доступа. 9. Контроль состояния информационной безопасности. Контроль за состоянием информационной безопасности осуществляетсяс целью своевременного выявления и предотвращения утечки информации потехническим каналами, несанкционированного доступа, преднамеренныхпрограммно-математических воздействий на информацию, оценкиэффективности ее защиты заключается в проверке выполнения нормативныхправовых документов по вопросам обеспечения защиты информации. Приложение N 3 к постановлению главы администрации Рязанской области от 3I.07.02 N 50I ПОЛОЖЕНИЕ о комиссии по защите информации в компьютерных и телекоммуникационных системах администрации Рязанской области при главе администрации области 1. Основные положения. 1.1. Комиссия по защите информации в компьютерных ителекоммуникационных системах администрации Рязанской области приглаве администрации области (далее комиссия) создана на основании: - Положения о государственной системе защиты информации вРоссийской Федерации от иностранных технических разведок и от ееутечки по техническим каналам, утвержденного постановлениемПравительства Российской Федерации от 15.09.93г. N 912-51; - решений Гостехкомиссии при Президенте Российской Федерации от21.11.93г. N 6 "О состоянии защиты информации и мерах по еесовершенствованию в органах федеральной и региональной государственнойвласти", от 16.06.96 г. N 48 "Об организации работ по защитеинформации от технических разведок и ее утечки по техническим каналамв регионах Российской Федерации". 1.2. Комиссия является постоянно действующим органом при главеадминистрации области и занимается рассмотрением вопросов, связанных сзащитой информации, осуществляет координацию и контроль выполненияработ по вопросам обеспечения защиты информации. 1.3. Комиссия осуществляет свою деятельность в соответствии сКонституцией Российской Федерации, федеральными нормативно-правовымиактами, Положением о государственной системе защиты информации вРоссийской Федерации от иностранных технических разведок и от ееутечки по техническим каналам, утвержденным постановлениемПравительства Российской Федерации от 15.09.93г. N 912-51, решениямифедеральных органов информационной безопасности и защиты информации,областными нормативными правовыми актами в области защиты информации,настоящим Положением, а также иными документами по вопросам защитыинформации. 1.4. Состав комиссии утверждается главой администрации области.Председатель комиссии, на которого возлагается руководствоорганизационной работой по обеспечению защиты информации, назначаетсяиз числа заместителей главы администрации области. 1.5. При необходимости для реализации решений комиссии еепредседатель в установленном порядке вносит предложения о подготовкепроектов областных нормативных правовых актов. 1.6. Комиссия осуществляет свои функции во взаимодействии сСоветом безопасности Российской Федерации, федеральными ирегиональными органами Федеральной службы безопасности Федеральногоагентства правительственной связи и информации при ПрезидентеРоссийской Федерации, Гостехкомиссии при Президенте РоссийскойФедерации, Министерства внутренних дел Российской Федерации,Министерства обороны Российской Федерации, а также органамигосударственной власти области. 2. Функции комиссии. 2.1. Основными функциями комиссии являются: - определение концептуальных подходов к обеспечению защитыинформации в компьютерных и телекомммуникационных системахадминистрации области; - разработка предложений по формированию областной системы защитыинформации в компьютерных и телекоммуникационных системахадминистрации области; - определение приоритетных направлений работы по вопросам защитыинформации в областных органах государственного управления; - выработка рекомендаций по совершенствованию действующей системызащиты информации в компьютерных и телекоммуникационных системахадминистрации области на основе обобщения и анализа информации орезультатах ее деятельности; - выработка предложений по выполнению требований нормативныхактов по обеспечению защиты информации организациями на территорииобласти; - рассмотрение результатов контроля эффективности принятых мерзащиты информации в органах государственного управления, принятиярешений по организации или совершенствованию защиты информации; - рассмотрение вопросов повышения эффективности работы органовзащиты информации в компьютерных и телекоммуникационных системахадминистрации области, их материально-технического и финансовогообеспечения; - разработка предложений по организации подготовки кадров дляэффективного функционирования системы защиты информации в компьютерныхи телекоммуникационных системах администрации области; - разработка проектов постановлений и распоряжений администрацииобласти по вопросам защиты информации; 2.2. По решению председателя комиссии могут рассматриваться идругие вопросы, возникающие в ходе работы по организации и обеспечениюзащиты информации на территории области. 3. Деятельность комиссии. 3.1. Работа членов комиссии осуществляется на безвозмезднойоснове. 3.2. Периодичность созыва комиссий определяется ее председателем. 3.3. Председатель комиссии имеет право: - запрашивать и получать в установленном порядке от органовгосударственного управления и организаций независимо от формсобственности необходимые для осуществления деятельности комиссииинформацию, документы и материалы; - привлекать в установленном порядке для выполнения аналитическихи экспертных работ на договорной основе организации и специалистов; - организовывать подготовку обобщенной информации по вопросам,отнесенным к компетенции комиссии и представлять ее главеадминистрации области; - формировать повестку дня и список лиц, приглашаемых назаседания комиссии. 3.4. Члены комиссии обладают равными правами при обсуждениипроектов решений. В случае несогласия с принятым решением каждый членкомиссии вправе изложить письменно свое мнение, которое подлежитобязательному приобщению к протоколу заседания комиссии. 3.5. Решения комиссии принимаются открытым голосованием исчитаются принятыми, если они поддержаны простым большинством голосовприсутствующих членов комиссии. При равенстве голосов решающимявляется голос председателя комиссии. Решения комиссии являютсяправомочными, если на заседании комиссии присутствовало не менее 2/3ее членов. Решение подписывается председателем и секретарем комиссии,рассылается членам комиссии, доводится до исполнителей и другихзаинтересованных организаций в части, их касающейся. 3.6. Организационно-техническое информационное обеспечениедеятельности комиссии осуществляет управление делами администрацииобласти.