Региональное
Законодательство
Калмыкии

Приказ министерства социальной политики Нижегородской области от 30.01.2015 N 35 "Об утверждении Концепции информационной безопасности автоматизированной информационной системы"

МИНИСТЕРСТВО СОЦИАЛЬНОЙ ПОЛИТИКИ НИЖЕГОРОДСКОЙ ОБЛАСТИ

ПРИКАЗ
от 30 января 2015 г. № 35

ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ


В соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и защите информации", Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", Федеральным законом Российской Федерации от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи", Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", приказом ФСТЭК России от 18 февраля 2013 года № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", приказом ФСБ Российской Федерации от 10 июля 2014 года № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", а также документами Федеральной службы по техническому и экспортному контролю Российской Федерации, регулирующими вопросы обеспечения безопасности информации, и в целях выполнения мероприятий по защите информации в министерстве социальной защиты Нижегородской области приказываю:
1. Утвердить прилагаемую Концепцию безопасности информации автоматизированной информационной системы министерства социальной политики Нижегородской области.
2. Признать утратившим силу приказ министерства социальной политики Нижегородской области от 16 апреля 2013 года № 378 "Об утверждении Концепции безопасности информации автоматизированной информационной системы, Инструкции по организации защиты информации автоматизированной информационной системы и Инструкции по организации криптографической защиты информации автоматизированной информационной системы".

Министр
А.А.КАВИНОВ





Утверждено
приказом
министерства социальной политики
Нижегородской области
от 30.01.2015 № 35

КОНЦЕПЦИЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЫ МИНИСТЕРСТВА СОЦИАЛЬНОЙ ПОЛИТИКИ
НИЖЕГОРОДСКОЙ ОБЛАСТИ

I. Назначение и правовая основа концепции безопасности
информации автоматизированной информационной системы
министерства социальной политики Нижегородской области

Концепция безопасности информации автоматизированной информационной системы министерства социальной политики Нижегородской области (далее - Концепция) определяет систему взглядов министерства социальной политики Нижегородской области (далее - Министерства), подведомственных Министерству государственных учреждений (далее - Учреждений) на обеспечение безопасности информации автоматизированных информационных систем (далее - АИС) Министерства и Учреждений.
Под безопасностью информации АИС Министерства понимается состояние ее защищенности от внешних и внутренних угроз, характеризуемое способностью персонала, технических средств и информационных технологий обеспечить конфиденциальность, доступность, целостность и аутентичность информации при ее обработке.
Концепция является методологической основой для:
- совершенствования нормативно-правовой базы, технических и организационных мер по обеспечению безопасности информации АИС, форм и методов их реализации;
- принятия управленческих решений по обеспечению безопасности информации АИС;
- координации деятельности Учреждений и подразделений Министерства по обеспечению безопасности информации при создании, развитии (модернизации) и эксплуатации АИС.
Нормативно-правовую основу настоящей Концепции составляют федеральные законы, нормативные правовые акты Президента Российской Федерации и Правительства Российской Федерации, а также документы Федеральной службы по техническому и экспортному контролю России (ФСТЭК), Федеральной службы безопасности Российской Федерации (ФСБ РФ) и Координационного Совета по защите информации при полномочном представителе Президента Российской Федерации в Приволжском федеральном округе, регулирующие вопросы обеспечения безопасности информации.
Концепция исходит из наличия различных угроз безопасности информации АИС: внешних и внутренних, антропогенного, техногенного и природного характера, а также из современного состояния и ближайшей перспективы развития АИС, ее целей, задач, правовых основ применения, особенностей реализации и функционирования.

II. Цель и стратегия достижения безопасности информации АИС

Целью достижения безопасности информации АИС является обеспечение безусловного выполнения основных задач и функций Министерства и Учреждений и защита участников информационных отношений от причинения им какого-либо ущерба по причине несанкционированного (случайного или преднамеренного) вмешательства в процесс функционирования АИС или доступа к циркулирующей в ней информации.
Стратегия достижения безопасности информации АИС заключается в применении при создании и эксплуатации элементов АИС технологий, обеспечивающих высокую живучесть этих элементов, а также в совершенствовании созданной системы защиты информации, обеспечивающей защиту АИС необходимого уровня защищенности.

III. Основные направления достижения
безопасности информации в АИС

Основными направлениями достижения безопасности информации в АИС являются:
- обеспечение живучести и адаптивности АИС, организационной и информационной совместимости ее подсистем и элементов;
- комплексная комбинированная защита конфиденциальности, целостности, доступности и аутентичности информационных ресурсов системы.
Реализация живучести и адаптивности АИС, организационной и информационной совместимости ее подсистем и элементов, организация защиты информации и контроль состояния ее безопасности возлагается на подразделение, обеспечивающее информационную безопасность (в том числе защиту персональных данных, за исключением сведений, составляющих государственную тайну) в Министерстве и Учреждениях, назначенное приказом Министерства.
Выполнение требований по защите информации обязательно для каждого сотрудника Министерства и Учреждений в пределах его полномочий и должностных обязанностей.
Оборудование зданий и помещений техническими системами безопасности и жизнеобеспечения АИС возлагается на подразделения Министерства и Учреждений, отвечающие за административно-хозяйственную работу.
Защите подлежит вся циркулирующая в АИС информация. Методы и меры защиты ресурсов АИС определяются дифференцированно, исходя из их важности, особенностей реализации и использования.
Для общедоступной информации обеспечивается целостность и доступность.
Перечень информации АИС, конфиденциальность которой требуется обеспечить, разрабатывается на основании требований законодательства Российской Федерации и утверждается приказом Министерства.
Система защиты информации АИС реализуется как комплекс обоснованных, взаимно согласованных нормативных, организационных и технических (программных и аппаратных) мер на всех этапах процесса обработки и хранения информации, при передаче ее по каналам связи и иными способами.
Порядок организации защиты информации АИС определяется соответствующей инструкцией, утверждаемой приказом Министерства.
К применению в АИС допускаются только сертифицированные на соответствие требованиям безопасности компетентными государственными органами средства защиты информации (далее - СЗИ).
Обработка информации ограниченного доступа средствами вычислительной техники допускается только после их оснащения СЗИ и проверки их функционирования.
Для обеспечения безопасности информации при использовании информационно-телекоммуникационных сетей ее передача осуществляется с использованием сертифицированных компетентным государственным органом средств криптографической защиты. Выбор средств криптозащиты при обмене информацией со сторонними организациями осуществляется исходя из взаимных интересов Министерства и взаимодействующих организаций.

IV. Принципы реализации и функционирования СЗИ

Реализация, функционирование СЗИ АИС Министерства и ее развитие осуществляется в соответствии со следующими основными принципами:
- законность;
- системность;
- комплексность;
- достаточность;
- непрерывность;
- своевременность;
- гибкость;
- простота применения;
- обоснованность и реализуемость;
- специализация и профессионализм;
- преемственность и совершенствование;
- персональная ответственность;
- минимизация полномочий;
- взаимодействие и сотрудничество;
- контролируемость.
Законность предполагает осуществление защитных мероприятий и совершенствование системы безопасности информации АИС в соответствии с действующим в сфере защиты информации законодательством, с применением разрешенных методов и средств воспрепятствования (обнаружения и пресечения) правонарушениям при работе с информацией, финансирование мероприятий защиты в достаточном для соблюдения этого принципа объеме.
Системность предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для решения проблемы безопасности информации АИС. Система защиты должна развиваться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых угроз безопасности.
Комплексность предполагает согласованное применение в Министерстве различных средств при развитии целостной системы обеспечения безопасности информации, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно, обеспечиваться техническими, организационными и правовыми мерами.
Достаточность мер защиты учитывает принципиальную невозможность создания абсолютной системы защиты и предполагает приемлемый уровень обеспечения безопасности: соответствие уровня затрат на обеспечение безопасности информации величине возможного ущерба от ее нарушения.
Непрерывность защиты предполагает принятие соответствующих мер на всех этапах жизненного цикла АИС, начиная с ранних стадий проектирования. Перерыв в функционировании системы защиты информации АИС и ее средств недопустим.
Своевременность предполагает упреждающий характер мер обеспечения безопасности информации в АИС, то есть постановку задач по комплексному обеспечению устойчивости системы, реализацию необходимых мер обеспечения безопасности информации на ранних стадиях разработки АИС в целом и ее системы защиты информации в частности.
Разработка систем защиты должна вестись параллельно с разработкой и развитием самих защищаемых систем и учитываться при финансовом обеспечении этих мероприятий.
Гибкость защиты проявляется в возможности изменения степени защищенности в соответствии с изменившимися требованиями к безопасности информации, а также в предпочтительном использования мер и средств защиты, обеспечивающих широкие возможности по настройке и совместимости с применяемым оборудованием и программным обеспечением.
Простота применения средств обеспечения безопасности информации подразумевает, что механизмы безопасности должны быть интуитивно понятны и просты в использовании. Применение средств обеспечения безопасности при обычной работе авторизованных пользователей не должно быть связано с приобретением сложных навыков, знанием иностранных языков или с выполнением действий, требующих значительных дополнительных трудозатрат. Применение этих средств должно сводить к минимуму выполнение пользователем рутинных малопонятных ему операций и не вызывать психологического неприятия у персонала.
Используемые в Министерстве и Учреждениях меры и средства обеспечения безопасности информационных ресурсов должны иметь минимально возможное отрицательное влияние на эргономичность объектов защиты.
Обоснованность и техническая реализуемость предполагает реализацию информационных технологий, средств и мер защиты информации на современном уровне развития науки и техники, обоснование необходимости и возможности достижения заданного уровня безопасности информации, соответствие используемых при реализации АИС технологий, средств и мер защиты требованиям нормативно-правовых документов.
Специализация и профессионализм предполагает привлечение к разработке и реализации элементов АИС и мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в данной области. Эксплуатация АИС и средств защиты информации должна осуществляться профессионально подготовленными специалистами Министерства и Учреждений и предусматривать меры по поддержанию необходимого уровня их профессионализма.
Преемственность и совершенствование предполагают постоянное совершенствование АИС, мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АИС и системы защиты ее информации с учетом изменений в методах и средствах перехвата информации, правовых (нормативных) требований по защите, достигнутого опыта в этой области деятельности.
Персональная ответственность предполагает возложение ответственности за обеспечение безопасности информации АИС на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей работников строится таким образом, чтобы в случае любого нарушения круг виновников был выявляем и/или сводим к минимуму.
Минимизация полномочий означает предоставление пользователям минимально необходимых в соответствии с производственной необходимостью прав доступа к информации.
Взаимодействие и сотрудничество предполагают создание благоприятной атмосферы в трудовых коллективах Министерства и Учреждений в целях обеспечения осознанного соблюдения сотрудниками установленных правил и оказания содействия специалистам по защите информации.
Контролируемость предполагает обязательность и своевременность выявления и пресечения попыток нарушения мер обеспечения безопасности информации при совершенствовании критериев и методов оценки их эффективности.
Контроль действий пользователей, состояния средств защиты и объектов защиты должен осуществляться на основе применения средств оперативного контроля и регистрации. Он должен охватывать как несанкционированные, так и санкционированные действия пользователей, а также реакцию системы на эти действия.

V. Объекты защиты

Основными объектами защиты при обеспечении безопасности информации АИС являются:
- информационные ресурсы, представленные в виде носителей информации на различной физической основе и информационных массивов;
- средства обработки информации;
- информационно-телекоммуникационные сети Министерства и Учреждений;
- помещения, в которых размещаются носители или средства обработки информации;
- все технические средства и системы, размещенные в помещениях, где обрабатывается (циркулирует) информация ограниченного доступа;
- система защиты информации.

VI. Меры обеспечения безопасности информации АИС

В целях обеспечения безопасности информации АИС принимаются меры правового, организационного, технического и морально-этического характера.
Создание нормативно-правовой базы защиты информации Министерства и Учреждений осуществляется путем принятия на основе действующего законодательства нормативных актов Министерства, регламентирующих правила обращения (выполнения операций) с информацией. Данные акты закрепляют права и обязанности участников информационных отношений, правила предоставления, порядок обработки информации, использования средств защиты, а также ответственность сотрудников Министерства и Учреждений за нарушение установленных правил, определяют требования по мерам защиты информации организационного и технического характера.
Организационные меры защиты - это меры административного, управленческого характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить реализацию угроз безопасности (минимизировать размер ущерба в случае их реализации).
Техническая защита информации АИС представляет собой процесс комплексного применения технических мер защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к ней, от непредусмотренных технологией обработки, в том числе умышленных, воздействий. В качестве средств технической защиты применяются также средства контроля эффективности защиты информации, средств и систем управления, предназначенных для обеспечения защиты информации.
В целях обеспечения безопасности информации АИС принимаются меры по предотвращению проникновения нарушителей на объекты защиты, по предотвращению потери информации и функциональности средств АИС в различных ситуациях.
К мерам морально-этического характера, призванным повысить эффективность защиты, относятся меры по привитию сотрудникам Министерства и Учреждений определенных нравственных норм. Соблюдение этих норм, в том числе и не утверждаемых нормативными актами, должно поощряться, повышать авторитет сотрудников и уважение к ним, быть престижным как для сотрудников, так и для трудовых коллективов. Морально-этические нормы могут быть и документально оформленными в виде устава, свода правил или кодекса профессиональной этики. Эти меры должны подкрепляться постоянной работой по созданию и поддержанию здорового морального климата в трудовых коллективах.

VII. Термины и определения

В целях настоящей Концепции используются следующие термины:
автоматизированная информационная система (АИС) - АИС, предназначенная для решения Министерством или Учреждениями задач в сфере социальной поддержки, социального обслуживания, трудовых отношений и занятости населения, организации альтернативной гражданской службы, а также повышения уровня и качества жизни граждан, а также возложенных на него иных разнородных задач;
адаптивность - способность АИС изменяться для сохранения своих эксплуатационных показателей в заданных пределах при изменениях условий;
авторизация - предоставление доступа к защищаемому ресурсу в соответствии с уровнем полномочий;
данные - информация, представленная в виде, пригодном для обработки автоматическими средствами при возможном участии человека;
доступ к информации - возможность получения информации и ее использования;
доступность информации - состояние информации, характеризуемое способностью автоматизированной системы обеспечить беспрепятственный доступ к информации субъектов, имеющих на это полномочия;
живучесть - свойство АИС, характеризуемое способностью выполнять установленный объем функций в условиях воздействий внешней среды и отказов компонентов системы в заданных пределах;
защита информации - принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении информации; обеспечение конфиденциальности информации ограниченного доступа и реализацию права на доступ к информации;
информация - сведения (сообщения, данные) независимо от формы их представления;
информационная совместимость - частная совместимость подсистем и элементов АИС, характеризуемая возможностью использования в них одних и тех же данных и обмена данными между ними;
конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя или без законных на то оснований;
организационная совместимость - частная совместимость подсистем и элементов АИС, характеризуемая согласованностью правил действия их персонала, регламентирующих взаимодействие этих подсистем и элементов;
пользователь - субъект доступа, обращающийся к информационной системе в целях получения информации и/или воздействия на нее;
угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее;
целостность информации - способность автоматизированной системы обеспечить сохранность и неизменность информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки и хранения.


------------------------------------------------------------------