Постановление Администрации города Лабытнанги от 10.12.2013 N 758 "Об утверждении Концепции информационной безопасности в муниципальном образовании город Лабытнанги"
АДМИНИСТРАЦИЯ ГОРОДА ЛАБЫТНАНГИ
ПОСТАНОВЛЕНИЕ
от 10 декабря 2013 г. № 758
ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В МУНИЦИПАЛЬНОМ ОБРАЗОВАНИИ ГОРОД ЛАБЫТНАНГИ
В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Ямало-Ненецкого автономного округа от 24.11.2011 № 847-П "О Концепции информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа", в целях единого подхода к обеспечению информационной безопасности муниципальных учреждений муниципального образования город Лабытнанги, руководствуясь ст. 33 Устава Администрации города Лабытнанги, Администрация города Лабытнанги постановляет:
1. Утвердить прилагаемую Концепцию информационной безопасности в муниципальном образовании город Лабытнанги (далее - Концепция).
2. Муниципальным учреждениям и муниципальным предприятиям при планировании и осуществлении мероприятий в области информационной безопасности руководствоваться положениями Концепции.
3. Определить Администрацию города Лабытнанги органом, осуществляющим координацию работ по построению системы информационной безопасности в муниципальном образовании.
4. Рекомендовать Городской Думе муниципального образования город Лабытнанги и Контрольно-счетной палате муниципального образования город Лабытнанги при планировании и осуществлении мероприятий в области информационной безопасности руководствоваться положениями Концепции.
5. Признать утратившим силу постановление Администрации города Лабытнанги от 03.06.2013 № 359 "Об утверждении Концепции информационной безопасности в муниципальных учреждениях муниципального образования город Лабытнанги".
6. Разместить настоящее постановление на официальном сайте Администрации города Лабытнанги.
7. Контроль за исполнением настоящего постановления возложить на первого заместителя главы Администрации города Лабытнанги Касимова Р.Ф.
Первый заместитель главы Администрации
Р.Ф.КАСИМОВ
Утверждена
постановлением Администрации
города Лабытнанги
от 10 декабря 2013 г. № 758
КОНЦЕПЦИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В МУНИЦИПАЛЬНОМ ОБРАЗОВАНИИ
ГОРОД ЛАБЫТНАНГИ
В Концепции на основе выборочного анализа современного состояния определены цели, задачи и ключевые проблемы обеспечения информационной безопасности. Рассмотрены объекты, угрозы информационной безопасности, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения информационной безопасности в различных сферах деятельности органов местного самоуправления, муниципальных учреждений и предприятий муниципального образования город Лабытнанги (далее - учреждения). Также в Концепции излагаются основные положения государственной политики обеспечения информационной безопасности в учреждениях, организационная структура и принципы построения информационной безопасности. Концепция служит методологической основой разработки комплекса правовых актов и организационно-методических документов, регламентирующих деятельность в области информационной безопасности учреждений.
I. Общие положения
Концепция представляет собой принятую систему взглядов на проблему обеспечения информационной безопасности, методы и средства защиты жизненно важных интересов личности, общества, государства в информационной сфере и служит методологической основой изложенных направлений обеспечения информационной безопасности в муниципальном образовании город Лабытнанги (далее - муниципальное образование):
разработка стратегии, направленной на обеспечение информационной безопасности муниципального образования, включающей в себя цели, задачи и комплекс основных мер по ее практической реализации, формирования и проведения политики муниципального образования в области обеспечения информационной безопасности;
обеспечение единого понимания всеми участниками процесса информатизации муниципального образования проблем информационной безопасности;
определение уровней информационной безопасности объектов информатизации муниципального образования;
разработка единых подходов к построению программно-технических систем защиты объектов информатизации муниципального образования;
обеспечение условий гармонизации информационной инфраструктуры муниципального образования с глобальными сетями и системами.
Система информационной безопасности муниципального образования должна обеспечивать безопасное использование информационных ресурсов муниципального образования и получение информационных услуг.
Концепция служит методологической основой:
формирования и проведения единой политики муниципального образования в области обеспечения информационной безопасности;
разработки муниципальных программ по обеспечению защиты информационных систем и ресурсов телекоммуникаций;
разработки и внедрения технологий информационной безопасности в системах распределенных ситуационных центров муниципального образования;
подготовки предложений по совершенствованию правового, организационного, технического и программного обеспечения информационной безопасности в муниципальном образовании.
Положения Концепции должны учитываться при создании информационных ресурсов и систем, развитии информационных технологий, создании и развитии единого информационного пространства муниципального образования город Лабытнанги.
Правовую основу Концепции составляют Конституция Российской Федерации, Указ Президента Российской Федерации от 12.05.2009 № 537 "О Стратегии национальной безопасности Российской Федерации до 2020 года", Указ Президента Российской Федерации от 17.03.2008 № 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", Доктрина информационной безопасности Российской Федерации, утвержденная приказом Президента Российской Федерации от 09.09.2000 № Пр-1895, Федеральный закон от 28.12.2010 № 390-ФЗ "О безопасности", Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральный закон от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи", Федеральный закон от 06.04.2011 № 63-ФЗ "Об электронной подписи", постановление Правительства Ямало-Ненецкого автономного округа от 24.11.2011 № 847-П "О Концепции информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа" и иные правовые акты.
В настоящей Концепции используются следующие основные понятия:
информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
информационные ресурсы - отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация - сведения (сообщения, данные) независимо от формы их представления.
II. Цели и задачи обеспечения информационной безопасности
Целью построения системы информационной безопасности учреждений является защита объектов информационной безопасности от наиболее распространенных угроз информационной безопасности, вызванных неэффективностью процедур контроля, технологических сбоев, несанкционированных действий персонала или иных форм незаконного вмешательства в информационные ресурсы и информационные системы.
Основные задачи обеспечения информационной безопасности учреждений:
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся и обрабатываемых в информационных системах;
обеспечение соблюдения требований законодательства Российской Федерации в области информационной безопасности;
формирование и проведение единой политики в обеспечении информационной безопасности;
организация и координация работ по информационной безопасности в различных сферах деятельности;
возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого участника в пределах его полномочий;
пересмотр и улучшение применяемых защитных мер, требований, норм и правил информационной безопасности с учетом изменения информационной среды и условий;
осознание необходимости обеспечения информационной безопасности как неотъемлемой части культуры;
постоянный контроль выполнения требований правовых актов, регламентирующих деятельность в области информационной безопасности;
создание системы непрерывного обучения, тренировки и проверки осведомленности персонала по вопросам обеспечения информационной безопасности;
осуществление деятельности по обеспечению доверия к информационной безопасности;
обеспечение защиты информации от несанкционированного доступа на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
предотвращение утраты, искажения или уничтожения информации на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
обеспечение непрерывного функционирования информационных систем и системы обеспечения информационной безопасности;
своевременное прогнозирование, выявление и нейтрализация угроз информационной безопасности;
обеспечение эффективной работы механизмов оперативного реагирования на угрозы информационной безопасности;
мониторинг состояния защищенности информации.
Достижение намеченной цели зависит от качественного решения основных задач в вопросе обеспечения информационной безопасности учреждений.
III. Объекты информационной безопасности
К объектам информационной безопасности учреждений относятся:
1) информационные ресурсы учреждений: информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну (служебная тайна, коммерческая тайна, персональные данные и прочая информация ограниченного распространения), а также открытая (общедоступная) информация;
2) системы формирования, распространения и использования информационных ресурсов, включающие в себя информационные системы различного класса и назначения, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;
3) информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации.
Информационная безопасность всех вышеуказанных объектов создает условия надежного функционирования учреждений.
IV. Основные угрозы информационной безопасности
Угроза информационной безопасности - совокупность факторов и условий, создающих опасность для нормального функционирования информационной инфраструктуры.
Источники угроз информационной безопасности учреждений разделяются на внешние и внутренние.
К внешним угрозам относятся:
деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных систем;
перехват и утечка информации по техническим каналам;
неконтролируемое самопроизвольное распространение компьютерных вирусов и иных вредоносных программ;
стихийные бедствия, катастрофы, пожары и аварии.
Внутренними источниками угроз являются:
невыполнение требований законодательства и несвоевременное принятие необходимых правовых актов, регламентирующих деятельность в сфере информационной безопасности;
нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, создающие предпосылки к утечке либо разглашению сведений, составляющих государственную, служебную и иную тайну;
внедрение несовершенных или устаревших информационных технологий и средств информатизации;
умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;
отказы, сбои, неисправности, несогласованности инженерно-технических, программных и системно-прикладных средств защиты информационных и телекоммуникационных систем;
использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты и контроля информации;
привлечение к работам по созданию, развитию и защите информационных систем сторонних организаций, не имеющих прав на осуществление соответствующих видов деятельности.
Приведенная выше классификация угроз носит условный характер, не является окончательной и не ранжирована по степени приоритетности. В объективной реальности угрозы, как правило, носят комбинированный характер.
Непрерывный процесс прогнозирования, выявления, идентификации, конкретизации, анализа и выработки мер по локализации угроз является неотъемлемой задачей текущей деятельности в построении системы информационной безопасности учреждений.
V. Основные направления деятельности
по обеспечению информационной безопасности
Деятельность по обеспечению информационной безопасности призвана способствовать снижению рисков от угроз в информационной сфере, повышению эффективности и устойчивости в управлении информационными ресурсами и системами.
Основные направления обеспечения информационной безопасности:
1) правовое обеспечение информационной безопасности - деятельность в этой области направлена на создание и поддержание в актуальном состоянии системы локальных нормативных актов, регламентирующих деятельность по обеспечению информационной безопасности;
2) организация деятельности по обеспечению информационной безопасности - деятельность в этой области направлена на создание документированных процессов обеспечения информационной безопасности, скоординированных между учреждениями;
3) обеспечение информационной безопасности при управлении информационными ресурсами - деятельность в этой области направлена на идентификацию, классификацию информационных ресурсов и их владельцев, формирование и поддержание необходимого уровня информационной безопасности информационных ресурсов;
4) обеспечение информационной безопасности, связанное с персоналом, - деятельность в этой области направлена на минимизацию рисков, вызванных действиями работников в отношении информационных ресурсов, путем создания системы непрерывного обучения, тренировки и проверки осведомленности всех работников по вопросам обеспечения информационной безопасности;
5) физическая безопасность информационных ресурсов - деятельность в этой области направлена на минимизацию и предотвращение ущерба, вызванного физическим воздействием на информационные ресурсы;
6) обеспечение информационной безопасности на этапах жизненного цикла информации в информационной инфраструктуре - деятельность в этой области направлена на минимизацию рисков, возникающих в процессе создания, обработки, обмена и уничтожения информации в информационной инфраструктуре;
7) управление доступом к информационным ресурсам - деятельность в этой области направлена на создание порядка доступа к информационным ресурсам, контроль и мониторинг доступа;
8) управление инцидентами информационной безопасности - деятельность в этой области направлена на создание процесса по своевременному выявлению и реагированию на инциденты информационной безопасности;
9) соответствие требованиям - деятельность в этой области направлена на соответствие требованиям законодательства, локальных нормативных актов по обеспечению информационной безопасности.
VI. Принципы формирования системы информационной
безопасности
Реализация основных концептуальных направлений информационной безопасности учреждений осуществляется на основе следующих принципов:
1) централизация управления - предполагает, что деятельность по обеспечению информационной безопасности должна быть встроена в управленческие процессы учреждений, подчиняться понятным руководителям закономерностям и оцениваться с позиций эффективности, для этого процессы обеспечения информационной безопасности должны быть организованы, управляемы и оцениваемы подобно другим процессам и согласованы с ними;
2) законность - предполагает осуществление защитных мероприятий и разработку системы информационной безопасности в соответствии с действующим законодательством в области информационных технологий и защиты информации;
3) персональная ответственность - предполагает персональную ответственность в пределах должностных полномочий за несоблюдение регламентирующих документов в области информационной безопасности;
4) минимизация полномочий - предполагает предоставление прав доступа сотрудникам учреждений к информационным ресурсам в объеме, достаточном для качественного выполнения своих должностных (функциональных) обязанностей;
5) своевременность - предполагает своевременность выявления проблем, связанных с обеспечением информационной безопасности, и обнаружение угроз, потенциально способных нанести ущерб;
6) системность - системный подход к построению системы информационной безопасности предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, имеющих существенное значение для понимания и решения проблемы обеспечения информационной безопасности, включающих фазы планирования, реализации, контроля и совершенствования системы информационной безопасности;
7) комплексный подход - предполагает всестороннее обеспечение информационной безопасности и предусматривает использование взаимоувязанных программно-технических, организационных, правовых, нормативно-методических и других мер обеспечения информационной безопасности на единой концептуальной основе;
8) непрерывность - предполагает непрерывный, целенаправленный процесс по выявлению угроз информационной безопасности и принятию адекватных мер защиты;
9) унифицированность - предполагает, что принципы, правила, процедуры, требования и технические решения по обеспечению информационной безопасности должны быть унифицированы;
10) простота - предполагает, что порядок действий и процесс использования средств защиты информации должны быть понятны пользователю.
VII. Распределение полномочий по обеспечению информационной
безопасности в муниципальном образовании
В муниципальном образовании реализуется единый подход к построению системы информационной безопасности, не противоречащий выбранной политике информационной безопасности в Ямало-Ненецком автономном округе. Определен орган, осуществляющий координацию работ по построению системы информационной безопасности в муниципальном образовании, который наделяется следующими полномочиями:
разработка типовых документов в области информационной безопасности;
определение принципов и схем организации локально-вычислительной сети в учреждении и выбора средств защиты информации;
настройка и управление средств защиты информации, используемых для защиты каналов передачи данных между учреждениями в муниципальном образовании;
администрирование оборудования, обеспечивающего доступ в региональную межведомственную телекоммуникационную сеть;
координация разработки (доработки) систем информационной безопасности в учреждениях;
проведение контрольно-проверочных мероприятий по информационной безопасности в учреждениях.
В каждом учреждении назначается ответственный за организацию работ по обеспечению информационной безопасности, а также определяется подразделение (сотрудник), в чьи должностные обязанности входит обеспечение информационной безопасности учреждения.
Ответственным за организацию работ по обеспечению информационной безопасности является руководитель (заместитель руководителя) учреждения.
Подразделение (сотрудник), ответственное за обеспечение информационной безопасности в учреждении, наделяется следующими полномочиями и обязанностями:
разработка локальных правовых актов в области информационной безопасности для учреждения, в соответствии с федеральными законами, настоящей Концепцией;
управление системой информационной безопасности учреждения;
проведение проверочных мероприятий по информационной безопасности в учреждении;
контроль системы защиты каналов передачи данных, используемых в учреждении;
разработка (доработка) и внедрение системы информационной безопасности учреждения.
В каждом учреждении должна быть реализована система информационной безопасности, проведена аттестация информационной системы учреждения, внедрена система мониторинга стояния информационной безопасности учреждения. Контроль за обеспечением информационной безопасности в учреждениях осуществляет специалист по защите информации Администрации города Лабытнанги.
Изменение в организации локально-вычислительной сети, выбор технических мер по защите информации, а также разработанные в учреждениях локальные правовые акты в области информационной безопасности должны быть согласованы с сотрудником, осуществляющим контроль за обеспечением информационной безопасности в учреждениях.
VIII. Модель взаимодействия участников информационной
системы
Моделирование информационной системы необходимо для описания процессов информационного взаимодействия в информационной системе и определения зон ответственности.
Участник информационной системы - физическое или юридическое лицо, непосредственно взаимодействующее с информационной системой.
Участники информационной системы подразделяются на 4 группы:
1) Владельцы информационной системы.
Зона ответственности:
разработка (доработка) информационной системы;
поддержание работоспособности информационной системы;
защита информации в информационной системе;
определение круга пользователей информации.
2) Оператор информационной системы.
Зона ответственности:
эксплуатация информационной системы, обработка информации.
3) Поставщик (владелец) информации.
Зона ответственности:
достоверность и своевременность предоставляемой информации;
наделение пользователей информации правами на получение информации из информационной системы.
4) Пользователь информации.
Зона ответственности:
соблюдение правил и прав на получение информации из информационной системы;
сохранение конфиденциальности полученных из информационной системы сведений.
Участник информационной системы может одновременно находиться в нескольких группах.
Владелец информационной системы при разработке (доработке) информационной системы взаимодействует с сотрудником, которым осуществляется контроль по обеспечению информационной безопасности в учреждениях, в том числе:
1) представляет документацию на информационную систему;
2) согласует документацию на разработку (доработку) информационной системы;
3) информирует о ходе проведения работ по обеспечению информационной безопасности информационной системы.
Оператор информационной системы взаимодействует с владельцем информационной системы и сотрудником, которым осуществляется контроль по обеспечению информационной безопасности в учреждениях, в том числе:
1) представляет документы, регламентирующие правила получения информации из информационной системы;
2) представляет документы, регламентирующие права пользователей на информацию;
3) представляет документы, регламентирующие правила приема информации в информационную систему.
IX. Меры, методы и средства обеспечения безопасности
информационных систем
Анализ технических, структурных, эксплуатационных и иных особенностей информационных систем имеет важное значение для организации и внедрения надежной системы информационной безопасности.
При выборе и использовании комплекса методов, способов и средств защиты информации, необходимых для обеспечения безопасности информации в конкретных информационных системах, должны учитываться такие факторы, как:
наличие информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (персональные данные, служебная тайна и т.д.);
условия размещения и эксплуатации технических средств;
способы обработки данных в системе;
особенности обработки и пересылки информации в электронном виде;
количество пользователей и способы организации их работы с информационной системой;
способы хранения информации;
единый подход к построению системы информационной безопасности в муниципальном образовании.
Проблема обеспечения информационной безопасности может быть решена в результате комплексного применения всех мер защиты, включающих в себя:
правовые (законодательные);
организационные;
технические.
Правовые (законодательные) меры обеспечения безопасности
информационных систем
К правовым (законодательным) мерам обеспечения безопасности информационных систем относятся действующие в Российской Федерации правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения принятых в них правил.
Правовые (законодательные) меры обеспечения безопасности информационных систем выделяют правовую область, в пределах которой допускается использовать информационные ресурсы различных субъектов информационных отношений.
Организационные меры обеспечения
безопасности информационных систем
Организационные меры обеспечения безопасности информационных систем безопасности - меры организационного характера, регламентирующие процессы функционирования информационных систем, использование их ресурсов, деятельность обслуживающего персонала, а также порядок обращения пользователей информации с информационными системами таким образом, чтобы в наибольшей степени затруднить либо исключить возможность реализации угроз информационной безопасности, снизить размер потерь в случае реализации угроз.
Технические меры обеспечения
безопасности информационных систем
Технические меры обеспечения безопасности информационных систем должны быть основаны на использовании единых программных и технических средств, входящих в состав информационных систем и выполняющих самостоятельно или в комплексе с другими средствами функции защиты.
При учете всех требований и принципов обеспечения безопасности информации в информационной системе в состав системы включают следующие технические и программные средства:
идентификации пользователей;
аутентификации пользователей (потребителей) информации и информационных объектов (терминалов, программных алгоритмов, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
разграничения доступа к данным;
управления информационными потоками;
информационная безопасность в линиях передачи данных, в хранилищах информации;
обеспечения и контроля целостности программных и информационных ресурсов;
регистрации и контроля обращений к информации, подлежащей защите;
реагирования на попытки реализации несанкционированного доступа;
активные и пассивные средства защиты информации, обрабатываемой техническими средствами информационных систем и циркулирующей в помещениях объекта от утечки по техническим каналам.
X. Порядок организации работ при разработке и эксплуатации
информационных систем и системы информационной безопасности
в учреждении
Разработка любой прикладной информационной системы требует обязательной доработки системы информационной безопасности, в связи с чем данные рабочие процессы должны протекать параллельно, без отрыва друг от друга.
Процессу разработки, модернизации информационной системы должен предшествовать процесс определения перечня информации, которую в будущем будут обрабатывать в данной системе, и присвоения категорий защищаемой информации.
Этапу ввода в эксплуатацию прикладной информационной системы должен предшествовать этап ввода в эксплуатацию разработанной (доработанной) системы информационной безопасности. Разработанная (доработанная) система информационной безопасности должна предусматривать:
назначение уровня полномочий и должностных лиц, ответственных за присвоение категории обрабатываемой информации (служебная тайна, персональные данные, открытая информация общего пользования и т.д.);
назначение уровня полномочий и должностных лиц, имеющих право распоряжаться информацией, - применительно к каждой категории защищаемой информации;
условия и порядок допуска пользователей информации к работе с информацией - применительно к каждой категории защищаемой информации;
определение объема информации, необходимой и достаточной для эффективного выполнения работниками организации своих прямых должностных обязанностей;
определение границ применения информации пользователями информации;
разработку необходимого пакета документов, регламентирующих работу в информационной системе.
Стадия ввода в действие прикладной информационной системы завершается аттестацией объекта информатизации, в состав которого вводится данная система.
XI. Порядок управления системой
информационной безопасности в учреждении
Управление системой информационной безопасности учреждений представляет собой целенаправленное воздействие на ее компоненты, обеспечивающее защищенность информации, обрабатываемой в информационных системах.
Цель процесса управления системой информационной безопасности - обеспечение надежной защиты информации в процессе ее сбора, обработки, хранения и предоставления (передачи) конечному пользователю информации.
Управление системой информационной безопасности учреждений должно осуществляться на всех этапах существования информационной системы, с момента проведения научно-технических изысканий, предшествующих проектным работам по созданию новой информационной системы до момента вывода этой системы из технической эксплуатации по причине ее морального устаревания.
Управление системой информационной безопасности в учреждении осуществляет подразделение (сотрудник), отвечающий за обеспечение информационной безопасности в учреждении.
XII. Контроль состояния информационной безопасности
Контроль состояния информационной безопасности осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Основная решаемая задача - получение объективных оценок текущего состояния защиты информации ограниченного распространения, оценка эффективности применяемых мер и технических решений для обеспечения информационной безопасности муниципального образования город Лабытнанги, оказание методической помощи по обеспечению режима защиты информации, организация работы по обеспечению информационной безопасности.
Под постоянным контролем находятся:
дисциплина выполнения правовых, организационно-распорядительных и нормативных документов учреждений;
действующие меры обеспечения информационной безопасности;
обоснованность и эффективность применения мер обеспечения информационной безопасности.
С целью получения объективного заключения о состоянии информационной безопасности учреждений сотрудник, который осуществляет контроль за обеспечением информационной безопасности в учреждениях, может привлекать к выполнению оперативного контроля и аудита состояния безопасности информации специалистов других учреждений, участвующих в поддержании и эксплуатации прикладных информационных систем, а также организации, обладающие соответствующими лицензиями на осуществление деятельности в области защиты информации.
Оценка эффективности мер информационной безопасности проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
------------------------------------------------------------------
АДМИНИСТРАЦИЯ ГОРОДА ЛАБЫТНАНГИ
ПОСТАНОВЛЕНИЕ
от 10 декабря 2013 г. № 758
ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В МУНИЦИПАЛЬНОМ ОБРАЗОВАНИИ ГОРОД ЛАБЫТНАНГИ
В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Ямало-Ненецкого автономного округа от 24.11.2011 № 847-П "О Концепции информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа", в целях единого подхода к обеспечению информационной безопасности муниципальных учреждений муниципального образования город Лабытнанги, руководствуясь ст. 33 Устава Администрации города Лабытнанги, Администрация города Лабытнанги постановляет:
1. Утвердить прилагаемую Концепцию информационной безопасности в муниципальном образовании город Лабытнанги (далее - Концепция).
2. Муниципальным учреждениям и муниципальным предприятиям при планировании и осуществлении мероприятий в области информационной безопасности руководствоваться положениями Концепции.
3. Определить Администрацию города Лабытнанги органом, осуществляющим координацию работ по построению системы информационной безопасности в муниципальном образовании.
4. Рекомендовать Городской Думе муниципального образования город Лабытнанги и Контрольно-счетной палате муниципального образования город Лабытнанги при планировании и осуществлении мероприятий в области информационной безопасности руководствоваться положениями Концепции.
5. Признать утратившим силу постановление Администрации города Лабытнанги от 03.06.2013 № 359 "Об утверждении Концепции информационной безопасности в муниципальных учреждениях муниципального образования город Лабытнанги".
6. Разместить настоящее постановление на официальном сайте Администрации города Лабытнанги.
7. Контроль за исполнением настоящего постановления возложить на первого заместителя главы Администрации города Лабытнанги Касимова Р.Ф.
Первый заместитель главы Администрации
Р.Ф.КАСИМОВ
Утверждена
постановлением Администрации
города Лабытнанги
от 10 декабря 2013 г. № 758
КОНЦЕПЦИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В МУНИЦИПАЛЬНОМ ОБРАЗОВАНИИ
ГОРОД ЛАБЫТНАНГИ
В Концепции на основе выборочного анализа современного состояния определены цели, задачи и ключевые проблемы обеспечения информационной безопасности. Рассмотрены объекты, угрозы информационной безопасности, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения информационной безопасности в различных сферах деятельности органов местного самоуправления, муниципальных учреждений и предприятий муниципального образования город Лабытнанги (далее - учреждения). Также в Концепции излагаются основные положения государственной политики обеспечения информационной безопасности в учреждениях, организационная структура и принципы построения информационной безопасности. Концепция служит методологической основой разработки комплекса правовых актов и организационно-методических документов, регламентирующих деятельность в области информационной безопасности учреждений.
I. Общие положения
Концепция представляет собой принятую систему взглядов на проблему обеспечения информационной безопасности, методы и средства защиты жизненно важных интересов личности, общества, государства в информационной сфере и служит методологической основой изложенных направлений обеспечения информационной безопасности в муниципальном образовании город Лабытнанги (далее - муниципальное образование):
разработка стратегии, направленной на обеспечение информационной безопасности муниципального образования, включающей в себя цели, задачи и комплекс основных мер по ее практической реализации, формирования и проведения политики муниципального образования в области обеспечения информационной безопасности;
обеспечение единого понимания всеми участниками процесса информатизации муниципального образования проблем информационной безопасности;
определение уровней информационной безопасности объектов информатизации муниципального образования;
разработка единых подходов к построению программно-технических систем защиты объектов информатизации муниципального образования;
обеспечение условий гармонизации информационной инфраструктуры муниципального образования с глобальными сетями и системами.
Система информационной безопасности муниципального образования должна обеспечивать безопасное использование информационных ресурсов муниципального образования и получение информационных услуг.
Концепция служит методологической основой:
формирования и проведения единой политики муниципального образования в области обеспечения информационной безопасности;
разработки муниципальных программ по обеспечению защиты информационных систем и ресурсов телекоммуникаций;
разработки и внедрения технологий информационной безопасности в системах распределенных ситуационных центров муниципального образования;
подготовки предложений по совершенствованию правового, организационного, технического и программного обеспечения информационной безопасности в муниципальном образовании.
Положения Концепции должны учитываться при создании информационных ресурсов и систем, развитии информационных технологий, создании и развитии единого информационного пространства муниципального образования город Лабытнанги.
Правовую основу Концепции составляют Конституция Российской Федерации, Указ Президента Российской Федерации от 12.05.2009 № 537 "О Стратегии национальной безопасности Российской Федерации до 2020 года", Указ Президента Российской Федерации от 17.03.2008 № 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", Доктрина информационной безопасности Российской Федерации, утвержденная приказом Президента Российской Федерации от 09.09.2000 № Пр-1895, Федеральный закон от 28.12.2010 № 390-ФЗ "О безопасности", Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральный закон от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи", Федеральный закон от 06.04.2011 № 63-ФЗ "Об электронной подписи", постановление Правительства Ямало-Ненецкого автономного округа от 24.11.2011 № 847-П "О Концепции информационной безопасности исполнительных органов государственной власти Ямало-Ненецкого автономного округа" и иные правовые акты.
В настоящей Концепции используются следующие основные понятия:
информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
информационные ресурсы - отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация - сведения (сообщения, данные) независимо от формы их представления.
II. Цели и задачи обеспечения информационной безопасности
Целью построения системы информационной безопасности учреждений является защита объектов информационной безопасности от наиболее распространенных угроз информационной безопасности, вызванных неэффективностью процедур контроля, технологических сбоев, несанкционированных действий персонала или иных форм незаконного вмешательства в информационные ресурсы и информационные системы.
Основные задачи обеспечения информационной безопасности учреждений:
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся и обрабатываемых в информационных системах;
обеспечение соблюдения требований законодательства Российской Федерации в области информационной безопасности;
формирование и проведение единой политики в обеспечении информационной безопасности;
организация и координация работ по информационной безопасности в различных сферах деятельности;
возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого участника в пределах его полномочий;
пересмотр и улучшение применяемых защитных мер, требований, норм и правил информационной безопасности с учетом изменения информационной среды и условий;
осознание необходимости обеспечения информационной безопасности как неотъемлемой части культуры;
постоянный контроль выполнения требований правовых актов, регламентирующих деятельность в области информационной безопасности;
создание системы непрерывного обучения, тренировки и проверки осведомленности персонала по вопросам обеспечения информационной безопасности;
осуществление деятельности по обеспечению доверия к информационной безопасности;
обеспечение защиты информации от несанкционированного доступа на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
предотвращение утраты, искажения или уничтожения информации на этапах сбора, обработки, хранения и предоставления конечному потребителю информации;
обеспечение непрерывного функционирования информационных систем и системы обеспечения информационной безопасности;
своевременное прогнозирование, выявление и нейтрализация угроз информационной безопасности;
обеспечение эффективной работы механизмов оперативного реагирования на угрозы информационной безопасности;
мониторинг состояния защищенности информации.
Достижение намеченной цели зависит от качественного решения основных задач в вопросе обеспечения информационной безопасности учреждений.
III. Объекты информационной безопасности
К объектам информационной безопасности учреждений относятся:
1) информационные ресурсы учреждений: информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну (служебная тайна, коммерческая тайна, персональные данные и прочая информация ограниченного распространения), а также открытая (общедоступная) информация;
2) системы формирования, распространения и использования информационных ресурсов, включающие в себя информационные системы различного класса и назначения, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;
3) информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации.
Информационная безопасность всех вышеуказанных объектов создает условия надежного функционирования учреждений.
IV. Основные угрозы информационной безопасности
Угроза информационной безопасности - совокупность факторов и условий, создающих опасность для нормального функционирования информационной инфраструктуры.
Источники угроз информационной безопасности учреждений разделяются на внешние и внутренние.
К внешним угрозам относятся:
деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных систем;
перехват и утечка информации по техническим каналам;
неконтролируемое самопроизвольное распространение компьютерных вирусов и иных вредоносных программ;
стихийные бедствия, катастрофы, пожары и аварии.
Внутренними источниками угроз являются:
невыполнение требований законодательства и несвоевременное принятие необходимых правовых актов, регламентирующих деятельность в сфере информационной безопасности;
нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, создающие предпосылки к утечке либо разглашению сведений, составляющих государственную, служебную и иную тайну;
внедрение несовершенных или устаревших информационных технологий и средств информатизации;
умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;
отказы, сбои, неисправности, несогласованности инженерно-технических, программных и системно-прикладных средств защиты информационных и телекоммуникационных систем;
использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты и контроля информации;
привлечение к работам по созданию, развитию и защите информационных систем сторонних организаций, не имеющих прав на осуществление соответствующих видов деятельности.
Приведенная выше классификация угроз носит условный характер, не является окончательной и не ранжирована по степени приоритетности. В объективной реальности угрозы, как правило, носят комбинированный характер.
Непрерывный процесс прогнозирования, выявления, идентификации, конкретизации, анализа и выработки мер по локализации угроз является неотъемлемой задачей текущей деятельности в построении системы информационной безопасности учреждений.
V. Основные направления деятельности
по обеспечению информационной безопасности
Деятельность по обеспечению информационной безопасности призвана способствовать снижению рисков от угроз в информационной сфере, повышению эффективности и устойчивости в управлении информационными ресурсами и системами.
Основные направления обеспечения информационной безопасности:
1) правовое обеспечение информационной безопасности - деятельность в этой области направлена на создание и поддержание в актуальном состоянии системы локальных нормативных актов, регламентирующих деятельность по обеспечению информационной безопасности;
2) организация деятельности по обеспечению информационной безопасности - деятельность в этой области направлена на создание документированных процессов обеспечения информационной безопасности, скоординированных между учреждениями;
3) обеспечение информационной безопасности при управлении информационными ресурсами - деятельность в этой области направлена на идентификацию, классификацию информационных ресурсов и их владельцев, формирование и поддержание необходимого уровня информационной безопасности информационных ресурсов;
4) обеспечение информационной безопасности, связанное с персоналом, - деятельность в этой области направлена на минимизацию рисков, вызванных действиями работников в отношении информационных ресурсов, путем создания системы непрерывного обучения, тренировки и проверки осведомленности всех работников по вопросам обеспечения информационной безопасности;
5) физическая безопасность информационных ресурсов - деятельность в этой области направлена на минимизацию и предотвращение ущерба, вызванного физическим воздействием на информационные ресурсы;
6) обеспечение информационной безопасности на этапах жизненного цикла информации в информационной инфраструктуре - деятельность в этой области направлена на минимизацию рисков, возникающих в процессе создания, обработки, обмена и уничтожения информации в информационной инфраструктуре;
7) управление доступом к информационным ресурсам - деятельность в этой области направлена на создание порядка доступа к информационным ресурсам, контроль и мониторинг доступа;
8) управление инцидентами информационной безопасности - деятельность в этой области направлена на создание процесса по своевременному выявлению и реагированию на инциденты информационной безопасности;
9) соответствие требованиям - деятельность в этой области направлена на соответствие требованиям законодательства, локальных нормативных актов по обеспечению информационной безопасности.
VI. Принципы формирования системы информационной
безопасности
Реализация основных концептуальных направлений информационной безопасности учреждений осуществляется на основе следующих принципов:
1) централизация управления - предполагает, что деятельность по обеспечению информационной безопасности должна быть встроена в управленческие процессы учреждений, подчиняться понятным руководителям закономерностям и оцениваться с позиций эффективности, для этого процессы обеспечения информационной безопасности должны быть организованы, управляемы и оцениваемы подобно другим процессам и согласованы с ними;
2) законность - предполагает осуществление защитных мероприятий и разработку системы информационной безопасности в соответствии с действующим законодательством в области информационных технологий и защиты информации;
3) персональная ответственность - предполагает персональную ответственность в пределах должностных полномочий за несоблюдение регламентирующих документов в области информационной безопасности;
4) минимизация полномочий - предполагает предоставление прав доступа сотрудникам учреждений к информационным ресурсам в объеме, достаточном для качественного выполнения своих должностных (функциональных) обязанностей;
5) своевременность - предполагает своевременность выявления проблем, связанных с обеспечением информационной безопасности, и обнаружение угроз, потенциально способных нанести ущерб;
6) системность - системный подход к построению системы информационной безопасности предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, имеющих существенное значение для понимания и решения проблемы обеспечения информационной безопасности, включающих фазы планирования, реализации, контроля и совершенствования системы информационной безопасности;
7) комплексный подход - предполагает всестороннее обеспечение информационной безопасности и предусматривает использование взаимоувязанных программно-технических, организационных, правовых, нормативно-методических и других мер обеспечения информационной безопасности на единой концептуальной основе;
8) непрерывность - предполагает непрерывный, целенаправленный процесс по выявлению угроз информационной безопасности и принятию адекватных мер защиты;
9) унифицированность - предполагает, что принципы, правила, процедуры, требования и технические решения по обеспечению информационной безопасности должны быть унифицированы;
10) простота - предполагает, что порядок действий и процесс использования средств защиты информации должны быть понятны пользователю.
VII. Распределение полномочий по обеспечению информационной
безопасности в муниципальном образовании
В муниципальном образовании реализуется единый подход к построению системы информационной безопасности, не противоречащий выбранной политике информационной безопасности в Ямало-Ненецком автономном округе. Определен орган, осуществляющий координацию работ по построению системы информационной безопасности в муниципальном образовании, который наделяется следующими полномочиями:
разработка типовых документов в области информационной безопасности;
определение принципов и схем организации локально-вычислительной сети в учреждении и выбора средств защиты информации;
настройка и управление средств защиты информации, используемых для защиты каналов передачи данных между учреждениями в муниципальном образовании;
администрирование оборудования, обеспечивающего доступ в региональную межведомственную телекоммуникационную сеть;
координация разработки (доработки) систем информационной безопасности в учреждениях;
проведение контрольно-проверочных мероприятий по информационной безопасности в учреждениях.
В каждом учреждении назначается ответственный за организацию работ по обеспечению информационной безопасности, а также определяется подразделение (сотрудник), в чьи должностные обязанности входит обеспечение информационной безопасности учреждения.
Ответственным за организацию работ по обеспечению информационной безопасности является руководитель (заместитель руководителя) учреждения.
Подразделение (сотрудник), ответственное за обеспечение информационной безопасности в учреждении, наделяется следующими полномочиями и обязанностями:
разработка локальных правовых актов в области информационной безопасности для учреждения, в соответствии с федеральными законами, настоящей Концепцией;
управление системой информационной безопасности учреждения;
проведение проверочных мероприятий по информационной безопасности в учреждении;
контроль системы защиты каналов передачи данных, используемых в учреждении;
разработка (доработка) и внедрение системы информационной безопасности учреждения.
В каждом учреждении должна быть реализована система информационной безопасности, проведена аттестация информационной системы учреждения, внедрена система мониторинга стояния информационной безопасности учреждения. Контроль за обеспечением информационной безопасности в учреждениях осуществляет специалист по защите информации Администрации города Лабытнанги.
Изменение в организации локально-вычислительной сети, выбор технических мер по защите информации, а также разработанные в учреждениях локальные правовые акты в области информационной безопасности должны быть согласованы с сотрудником, осуществляющим контроль за обеспечением информационной безопасности в учреждениях.
VIII. Модель взаимодействия участников информационной
системы
Моделирование информационной системы необходимо для описания процессов информационного взаимодействия в информационной системе и определения зон ответственности.
Участник информационной системы - физическое или юридическое лицо, непосредственно взаимодействующее с информационной системой.
Участники информационной системы подразделяются на 4 группы:
1) Владельцы информационной системы.
Зона ответственности:
разработка (доработка) информационной системы;
поддержание работоспособности информационной системы;
защита информации в информационной системе;
определение круга пользователей информации.
2) Оператор информационной системы.
Зона ответственности:
эксплуатация информационной системы, обработка информации.
3) Поставщик (владелец) информации.
Зона ответственности:
достоверность и своевременность предоставляемой информации;
наделение пользователей информации правами на получение информации из информационной системы.
4) Пользователь информации.
Зона ответственности:
соблюдение правил и прав на получение информации из информационной системы;
сохранение конфиденциальности полученных из информационной системы сведений.
Участник информационной системы может одновременно находиться в нескольких группах.
Владелец информационной системы при разработке (доработке) информационной системы взаимодействует с сотрудником, которым осуществляется контроль по обеспечению информационной безопасности в учреждениях, в том числе:
1) представляет документацию на информационную систему;
2) согласует документацию на разработку (доработку) информационной системы;
3) информирует о ходе проведения работ по обеспечению информационной безопасности информационной системы.
Оператор информационной системы взаимодействует с владельцем информационной системы и сотрудником, которым осуществляется контроль по обеспечению информационной безопасности в учреждениях, в том числе:
1) представляет документы, регламентирующие правила получения информации из информационной системы;
2) представляет документы, регламентирующие права пользователей на информацию;
3) представляет документы, регламентирующие правила приема информации в информационную систему.
IX. Меры, методы и средства обеспечения безопасности
информационных систем
Анализ технических, структурных, эксплуатационных и иных особенностей информационных систем имеет важное значение для организации и внедрения надежной системы информационной безопасности.
При выборе и использовании комплекса методов, способов и средств защиты информации, необходимых для обеспечения безопасности информации в конкретных информационных системах, должны учитываться такие факторы, как:
наличие информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (персональные данные, служебная тайна и т.д.);
условия размещения и эксплуатации технических средств;
способы обработки данных в системе;
особенности обработки и пересылки информации в электронном виде;
количество пользователей и способы организации их работы с информационной системой;
способы хранения информации;
единый подход к построению системы информационной безопасности в муниципальном образовании.
Проблема обеспечения информационной безопасности может быть решена в результате комплексного применения всех мер защиты, включающих в себя:
правовые (законодательные);
организационные;
технические.
Правовые (законодательные) меры обеспечения безопасности
информационных систем
К правовым (законодательным) мерам обеспечения безопасности информационных систем относятся действующие в Российской Федерации правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения принятых в них правил.
Правовые (законодательные) меры обеспечения безопасности информационных систем выделяют правовую область, в пределах которой допускается использовать информационные ресурсы различных субъектов информационных отношений.
Организационные меры обеспечения
безопасности информационных систем
Организационные меры обеспечения безопасности информационных систем безопасности - меры организационного характера, регламентирующие процессы функционирования информационных систем, использование их ресурсов, деятельность обслуживающего персонала, а также порядок обращения пользователей информации с информационными системами таким образом, чтобы в наибольшей степени затруднить либо исключить возможность реализации угроз информационной безопасности, снизить размер потерь в случае реализации угроз.
Технические меры обеспечения
безопасности информационных систем
Технические меры обеспечения безопасности информационных систем должны быть основаны на использовании единых программных и технических средств, входящих в состав информационных систем и выполняющих самостоятельно или в комплексе с другими средствами функции защиты.
При учете всех требований и принципов обеспечения безопасности информации в информационной системе в состав системы включают следующие технические и программные средства:
идентификации пользователей;
аутентификации пользователей (потребителей) информации и информационных объектов (терминалов, программных алгоритмов, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
разграничения доступа к данным;
управления информационными потоками;
информационная безопасность в линиях передачи данных, в хранилищах информации;
обеспечения и контроля целостности программных и информационных ресурсов;
регистрации и контроля обращений к информации, подлежащей защите;
реагирования на попытки реализации несанкционированного доступа;
активные и пассивные средства защиты информации, обрабатываемой техническими средствами информационных систем и циркулирующей в помещениях объекта от утечки по техническим каналам.
X. Порядок организации работ при разработке и эксплуатации
информационных систем и системы информационной безопасности
в учреждении
Разработка любой прикладной информационной системы требует обязательной доработки системы информационной безопасности, в связи с чем данные рабочие процессы должны протекать параллельно, без отрыва друг от друга.
Процессу разработки, модернизации информационной системы должен предшествовать процесс определения перечня информации, которую в будущем будут обрабатывать в данной системе, и присвоения категорий защищаемой информации.
Этапу ввода в эксплуатацию прикладной информационной системы должен предшествовать этап ввода в эксплуатацию разработанной (доработанной) системы информационной безопасности. Разработанная (доработанная) система информационной безопасности должна предусматривать:
назначение уровня полномочий и должностных лиц, ответственных за присвоение категории обрабатываемой информации (служебная тайна, персональные данные, открытая информация общего пользования и т.д.);
назначение уровня полномочий и должностных лиц, имеющих право распоряжаться информацией, - применительно к каждой категории защищаемой информации;
условия и порядок допуска пользователей информации к работе с информацией - применительно к каждой категории защищаемой информации;
определение объема информации, необходимой и достаточной для эффективного выполнения работниками организации своих прямых должностных обязанностей;
определение границ применения информации пользователями информации;
разработку необходимого пакета документов, регламентирующих работу в информационной системе.
Стадия ввода в действие прикладной информационной системы завершается аттестацией объекта информатизации, в состав которого вводится данная система.
XI. Порядок управления системой
информационной безопасности в учреждении
Управление системой информационной безопасности учреждений представляет собой целенаправленное воздействие на ее компоненты, обеспечивающее защищенность информации, обрабатываемой в информационных системах.
Цель процесса управления системой информационной безопасности - обеспечение надежной защиты информации в процессе ее сбора, обработки, хранения и предоставления (передачи) конечному пользователю информации.
Управление системой информационной безопасности учреждений должно осуществляться на всех этапах существования информационной системы, с момента проведения научно-технических изысканий, предшествующих проектным работам по созданию новой информационной системы до момента вывода этой системы из технической эксплуатации по причине ее морального устаревания.
Управление системой информационной безопасности в учреждении осуществляет подразделение (сотрудник), отвечающий за обеспечение информационной безопасности в учреждении.
XII. Контроль состояния информационной безопасности
Контроль состояния информационной безопасности осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Основная решаемая задача - получение объективных оценок текущего состояния защиты информации ограниченного распространения, оценка эффективности применяемых мер и технических решений для обеспечения информационной безопасности муниципального образования город Лабытнанги, оказание методической помощи по обеспечению режима защиты информации, организация работы по обеспечению информационной безопасности.
Под постоянным контролем находятся:
дисциплина выполнения правовых, организационно-распорядительных и нормативных документов учреждений;
действующие меры обеспечения информационной безопасности;
обоснованность и эффективность применения мер обеспечения информационной безопасности.
С целью получения объективного заключения о состоянии информационной безопасности учреждений сотрудник, который осуществляет контроль за обеспечением информационной безопасности в учреждениях, может привлекать к выполнению оперативного контроля и аудита состояния безопасности информации специалистов других учреждений, участвующих в поддержании и эксплуатации прикладных информационных систем, а также организации, обладающие соответствующими лицензиями на осуществление деятельности в области защиты информации.
Оценка эффективности мер информационной безопасности проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
------------------------------------------------------------------