• Текст документа
  • Статус
Действующий


ПРАВИТЕЛЬСТВО НИЖЕГОРОДСКОЙ ОБЛАСТИ


ПОСТАНОВЛЕНИЕ


от 31 декабря 2015 года № 920


Об утверждении Концепции
информационной безопасности
Нижегородской области



В целях обеспечения необходимого уровня информационной безопасности в Нижегородской области Правительство Нижегородской области постановляет:

1. Утвердить прилагаемую Концепцию информационной безопасности Нижегородской области (далее - Концепция).

2. Органам исполнительной власти Нижегородской области и подведомственным им организациям при планировании, организации и реализации мероприятий по обеспечению информационной безопасности (защиты информации) учитывать положения, предусмотренные Концепцией.

3. Рекомендовать органам местного самоуправления муниципальных районов (городских округов) Нижегородской области и подведомственным им организациям при планировании, организации и реализации мероприятий по обеспечению информационной безопасности (защиты информации) руководствоваться положениями, предусмотренными Концепцией.

4. Рекомендовать организациям, в уставном (складочном) капитале которых доля (вклад) Нижегородской области и (или) муниципальных образований Нижегородской области составляет 50% (пятьдесят процентов) и более, и расположенным на территории Нижегородской области, при планировании, организации и реализации мероприятий по обеспечению информационной безопасности (защиты информации) руководствоваться положениями, предусмотренными Концепцией.

5. Рекомендовать органам и организациям, указанным в пунктах 2 - 4 настоящего постановления, привести акты, определяющие организацию и функционирование их внутренней системы информационной безопасности (защиты информации), в соответствие с Концепцией.



Губернатор В.П.Шанцев

Концепция информационной безопасности Нижегородской области




УТВЕРЖДЕНА
постановлением Правительства
Нижегородской области
от 31 декабря 2015 года № 920


(далее - Концепция)

I. Основные положения

1.1. Введение

1.1.1. Настоящая Концепция представляет собой единую систему взглядов на проблемы информационной безопасности, построение (развитие) системы информационной безопасности Нижегородской области, направленные на согласованное исполнение органами исполнительной власти и местного самоуправления муниципальных образований Нижегородской области, организациями Нижегородской области, в том числе подведомственными органам исполнительной власти и органам местного самоуправления муниципальных образований Нижегородской области (далее - Субъекты), требований по обеспечению информационной безопасности (защиты информации), установленных на федеральном и областном уровнях.

1.1.2. Положения настоящей Концепции детализируют Доктрину информационной безопасности Российской Федерации, утвержденную Президентом Российской Федерации от 9 сентября 2000 года № Пр-1895, применительно к сфере информационной безопасности Нижегородской области, а также Стратегию национальной безопасности Российской Федерации до 2020 года, утвержденную Указом Президента Российской Федерации от 12 мая 2009 года № 537, применительно к информационной сфере Нижегородской области.

1.1.3. Настоящая Концепция разработана на основе анализа текущего состояния системы информационной безопасности Нижегородской области во избежание причинения ущерба Нижегородской области и субъектам правоотношений вследствие реализации информационных рисков и угроз информационной безопасности, и определяет:
1) проблемные области обеспечения информационной безопасности Нижегородской области (Субъектов, их объектов защиты), требующие решения на современном этапе развития;
2) актуальные направления, задачи и принципы развития текущей системы информационной безопасности Нижегородской области.

1.1.4. Настоящая Концепция служит основой для:
1) создания государственных программ, а также планов Субъектов по информационной безопасности (защите информации);
2) уточнения содержания иных связанных с ней программ, планов, правовых и организационно-распорядительных документов, находящихся в стадии выполнения или разработки;
3) проведения единой согласованной политики в сфере обеспечения информационной безопасности Нижегородской области;
4) подготовки предложений по совершенствованию правового, научно-технического и организационного обеспечения информационной безопасности Нижегородской области.

1.1.5. Положения настоящей Концепции разработаны на основе:
1) основных направлений государственной политики в области информационной безопасности, сформулированных в Концепции региональной информатизации, утвержденной распоряжением Правительства Российской Федерации от 29 декабря 2014 года № 2769-р;
2) решений, методических рекомендаций Совета Безопасности Российской Федерации, Координационного Совета по защите информации при полномочном представителе Президента Российской Федерации в ПФО (далее - Координационный Совет), управления Федеральной службы по техническому и экспортному контролю Российской Федерации (далее - ФСТЭК России) по Приволжскому федеральному округу (далее - ПФО), управления Федеральной службы безопасности Российской Федерации (далее - ФСБ России) по Нижегородской области по организации системы информационной безопасности (защиты информации) в субъектах Российской Федерации;
3) Основ организации защиты информации в ПФО, одобренных решением Координационного Совета от 12 ноября 2009 года;
4) иных нормативных правовых актов, методических рекомендаций федеральных органов исполнительной власти, регулирующих отношения и вопросы в области информации, информационных технологий и информационной безопасности (защиты информации) в Российской Федерации.

1.1.6. В настоящей Концепции используются понятия, определения и сокращения, установленные Федеральными законами от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 года № 152-ФЗ "О персональных данных", Законом Российской Федерации от 21 июля 1993 года № 5485-1 "О государственной тайне", ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации", ГОСТ Р 51188-98 "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30 августа 2002 года № 282, Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008 года, а также следующие понятия, определения и сокращения:
"ИС" - информационная система;
"ИР" - информационный ресурс;
"ОМСУ" - орган (ы) местного самоуправления муниципальных образований Нижегородской области, в том числе муниципальных районов и (или) городских округов Нижегородской области;
"ОИВ" - орган (ы) исполнительной власти Нижегородской области;
"Органы" - ОИВ и ОМСУ;
"Организации" - организации, в уставном (складочном) капитале которых доля (вклад) Нижегородской области и (или) муниципальных образований Нижегородской области составляет 50% (пятьдесят процентов) и более, и расположенные на территории Нижегородской области;
"Подведомственные организации" - организации, подведомственные Органам;
"Субъекты" - Органы, Организации и Подведомственные организации;
"специалист по ИБ" - специалист по информационной безопасности и (или) защите (технической) информации, не отнесенной к государственной тайне, и (или) защите (технической) информации, содержащей сведения, составляющие государственную тайну;
"мероприятия по обеспечению ИБ" - мероприятия по обеспечению информационной безопасности, в том числе по защите (технической) информации, проводимые Субъектами;
"НО" - Нижегородская область;
"ИБ" - информационная безопасность как состояние защищенности Субъектов и (или) их объектов защиты;
"ИБ НО" - ИБ (защита информации) Нижегородской области, Субъектов и их объектов защиты;
"головное подразделение по защите информации" - ОИВ, обеспечивающие реализацию государственной политики, организацию координации и межведомственного взаимодействия, а также контроль в области обеспечения безопасности информации по вопросам технической защиты информации, составляющей государственную тайну, информации ограниченного доступа, не отнесенной к государственной тайне; противодействие иностранным техническим разведкам; обеспечение безопасности информации в ключевых системах информационной инфраструктуры и в открытых информационных системах.

1.2. Объекты защиты

1.2.1. В рамках реализации функций Субъектов защите подлежат следующие основные объекты (далее - объекты защиты Субъектов):

1.2.1.1. Информация ограниченного доступа и открытая (общедоступная) информация, содержащаяся в ИС и ИР Субъектов.

1.2.1.2. Информационные технологии, используемые Субъектами.

1.2.1.3. Информационные системы, содержащие защищаемую информацию и автоматизирующие исполнение государственных и (или) муниципальных функций, функций Субъектов, предоставление государственных и (или) муниципальных услуг населению:
1) справочно-правовые (информационно-правовые), содержащие тексты законов, указов, постановлений иных нормативных правовых актов, решений различных государственных органов и т.п., консультации специалистов по праву, бухгалтерскому и налоговому учёту, судебные решения, типовые формы деловых документов и другие (например, "Гарант", "Консультант" и т.п.);
2) информационно-справочные, используемые для официального доведения любой информации до определенного или неопределенного круга лиц, при этом факт доведения такой информации не порождает правовых последствий, однако может являться обязательным в силу действующего законодательства (например, официальные порталы (сайты) Субъектов, закрытые порталы для нескольких групп участников, интернет-портал государственных и муниципальных услуг Нижегородской области и т.п.);
3) сегментные, представляющие собой сегменты федеральных ИС, создаваемые и эксплуатируемые на уровне Нижегородской области на основании предоставляемых с федерального уровня рекомендаций (правовых, организационных, технических) и используемые для сбора, обработки, свода данных на уровне Нижегородской области и передачи их на уровень федеральный, и наоборот, при этом цели и задачи создания (модернизации), эксплуатации данных ИС определяются на федеральном уровне (например, "Региональный сегмент Единой Государственной Информационной Системы в сфере Здравоохранения Нижегородской области", "Информационная система персональных данных отдела социально-правовой защиты детей министерства образования Нижегородской области, обеспечивающая автоматизацию процессов получения, обработки, хранения и передачи информации о детях, оставшихся без попечения родителей, и граждан, желающих принять ребенка на опеку (попечительство) и усыновление", "АИСТ" (автоматизированная информационная система трансфузиологии, обеспечивающая информационное взаимодействие с единым информационным центром и ведение единой информационной базы данных службы крови России) и т.п.);
4) внутриобластные, создаваемые и эксплуатируемые по решению органов государственной власти Нижегородской области (ОМСУ) или Субъекта в интересах нескольких Субъектов, при этом цели и задачи создания (модернизации), эксплуатации данных ИС, а также требования к ним определяются на уровне Нижегородской области (муниципальных образований области) или Субъекта, соответственно (например, "ЕСЭДД", "РСМЭВ", "АИС МФЦ", "НЭТИС" и т.п.);
5) ведомственные, создаваемые (эксплуатируемые) по решению Субъекта в интересах Субъекта и группы подведомственных ему организаций, цели и задачи создания (модернизации), эксплуатации которых определяются Субъектом (например, "1С: Свод отчетов" и т.п.);
6) служебные, создаваемые (эксплуатируемые) по решению Субъекта и в его интересах, цели и задачи создания (модернизации), эксплуатации которых определяются Субъектом, и используемые для автоматизации определённой области деятельности или типовой деятельности, неспецифичной относительно полномочий конкретного Субъекта (например, "Управление персоналом (кадрами)", "Продукты Microsoft Office" и т.п.);
7) межрегиональные, используемые группой субъектов Российской Федерации и создаваемые (эксплуатируемые) в интересах Субъектов, при этом инициатором создания таких ИС и их оператором является один из субъектов Российской Федерации.

1.2.1.4. Информационные ресурсы (файлы, базы данных, электронные и бумажные документы (носители) и т.д., содержащие защищаемую информацию и подразделяемые:
1) по категориям доступа на:
- внешние (открытые (общедоступные)), доступные всем пользователям услуг Субъектов, и обеспечивающие их взаимодействие с гражданами и юридическими лицами;
- внешние с разграничением доступа, доступ к которым предоставлен гражданами и юридическими лицами, но ограничен в соответствии с правилами разграничения доступа;
- внутренние (с ограниченным доступом), доступные определенным группам сотрудников Субъектов и взаимодействующих органов власти, организаций, Субъектов;
2) как объекты права собственности на:
- федеральные;
- находящиеся в совместном ведении Российской Федерации и Нижегородской области как субъекта Российской Федерации;
- принадлежащие Нижегородской области как субъекту Российской Федерации;
- принадлежащие ОИВ;
- принадлежащие ОМСУ;
- принадлежащие другим Субъектам;
- принадлежащие другим субъектам Российской Федерации;
- принадлежащие иностранным юридическим и физическим лицам.

1.2.1.5. Информационно-телекоммуникационные сети, предназначенные для передачи по линиям связи защищаемой информации.

1.2.1.6. ИТ-инфраструктура - информационно-телекоммуникационная инфраструктура, включающая в себя: информационную инфраструктуру, представленную серверным оборудованием, оборудованием для консолидированного хранения данных, автоматизированными рабочими местами пользователей и т.д., техническим (аппаратным), программным и информационным обеспечением для их управления, и обеспечивающую основные функции - обработку и хранение защищаемой информации; телекоммуникационную инфраструктуру, обеспечивающую взаимосвязь элементов информационной инфраструктуры, а также передачу данных между информационной инфраструктурой и пользователями.

1.2.1.7. Инженерная инфраструктура, представленная техническими средствами и системами, не используемыми в ходе обработки и передачи информации, но размещенными в помещениях, где она обрабатывается и хранится, и обеспечивающая оптимальное функционирование основных систем ИТ-инфраструктуры, в том числе в целях нейтрализации утечек защищаемой информации (кондиционирование для поддержания температуры и уровня влажности в заданных параметрах, бесперебойное электроснабжение для автономной работы ИС в случаях отключения центральных источников электроэнергии, средства пожаротушения, система управления питанием и т.д.).

1.2.1.8. Помещения, где располагается вышеуказанная инфраструктура, в том числе:
1) помещения, в которых находятся вычислительные центры обработки данных, серверными помещениями;
2) помещения, где располагаются автоматизированные рабочие места, на которых осуществляется обработка защищаемой информации, устройства ввода (вывода) и хранилища носителей защищаемой информации;
3) специальные помещения, предназначенные для регулярного проведения собраний, совещаний и других мероприятий закрытого характера (за исключением обсуждения сведений, составляющих государственную тайну).

1.2.1.9. Носители защищаемой информации.

1.2.1.10. Объекты, содержащие носители защищаемой информации, не отнесенные к вышеуказанным объектам защиты Субъектов.

1.2.2. Детализированный перечень объектов защиты, актуальный для конкретного Субъекта (далее - объекты защиты, объекты защиты Субъекта), определяется, исходя из объектов защиты Субъектов, и закрепляется каждым Субъектом самостоятельно в своем внутреннем акте, который может содержать перечень защищаемой информации, названия ИС (подсистем), автоматизированных рабочих мест, баз данных, информационных массивов, пакетов прикладных программ, обладателей информации, помещений, инфраструктур и прочего, подлежащего защите конкретным Субъектом. При необходимости указанный перечень согласовывается с вышестоящими организациями по подведомственности (в случае их наличия).

1.2.3. Перечни объектов защиты Субъектов подлежат централизованному своду, а указанные в них объекты защиты - обязательному учету и защите конкретным Субъектом. Порядок сбора и анализа сводных данных устанавливается актом головного подразделения по защите информации.

1.3. Интересы Нижегородской области
в сфере информационной безопасности

1.3.1. Основополагающими интересами Нижегородской области в сфере ИБ являются:
1) своевременное количественное и качественное обеспечение ИБ Субъектов, их объектов защиты, как уже созданных (эксплуатируемых), так и создаваемых на территории Нижегородской области;
2) соблюдение конституционных прав и свобод человека (гражданина) в области получения информации и пользования ею, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала Нижегородской области при использовании объектов защиты Субъектов;
3) информационное обеспечение политики Нижегородской области (Субъектов), связанное с доведением до нижегородской и российской общественности достоверной информации об официальной позиции Нижегородской области (Субъектов) по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым ИС, ИР Нижегородской области (Субъектов).

1.3.2. Интересы Нижегородской области в сфере ИБ достигаются путем эффективного использования Субъектами имеющихся ресурсов.

II. Виды, перечень, источники и возможные последствия воздействия угроз информационной безопасности

2.1. Угрозы информационной безопасности и их источники

2.1.1. Деятельность Субъектов, а также условия областной и международной информатизации способствуют значительному расширению использования ИС и ИР для целей оперативного управления и, одновременно с этим, повышению уровня информационных рисков, таких как утечка информации, ее несанкционированное уничтожение, искажение, недоступность хранимой, обрабатываемой и передаваемой информации. В существенной степени возникновению и реализации информационных рисков способствуют:
1) рост автоматизации деловых процессов в Субъектах и в целом по Нижегородской области;
2) увеличение объема обрабатываемой, передаваемой и хранимой Субъектами информации;
3) сосредоточение в базах данных Субъектов информации различного уровня важности, конфиденциальности и доступа;
4) расширение круга пользователей, имеющих доступ к ИС и ИР Нижегородской области, в том числе в связи с расширением сотрудничества Субъектов с другими субъектами Российской Федерации и иными партнерами;
5) увеличение числа удаленных рабочих мест пользователей, появление мобильных рабочих мест;
6) широкое использование Субъектами информационно-телекоммуникационной сети "Интернет" и различных каналов связи;
7) рост деловой и инвестиционной активности в Нижегородской области, который требует соответствующей динамики развития системы управления Нижегородской областью, которая, в свою очередь, требует развития ИТ-инфраструктуры;
8) рост компьютерных преступлений и прочих видов угроз ИБ;
9) присутствие на территории Нижегородской области совместных предприятий (в том числе с иностранным участием);
10) возрастание опасности угроз, возникающих в непосредственной близости от защищаемых объектов Субъектов;
11) неспособность отдельных организаций Нижегородской области самостоятельно обеспечить эффективную внутреннюю систему защиты.

2.1.2. Для каждого объекта защиты в том или ином исполнении характерны свои угрозы, последствия реализации угроз, источники угроз, методы, способы и средства защиты от угроз, подходы к оценке эффективности реализуемых мероприятий по обеспечению ИБ.

2.1.3. Исходя из интересов Нижегородской области в сфере ИБ, современного этапа развития и условий информатизации Нижегородской области, а также тенденций развития Российской Федерации и зарубежных стран, влияющих на развитие Нижегородской области, а также ввиду разнородности объектов защиты Субъектов, архитектуры их исполнения основными угрозами ИБ по своей общей направленности являются:
1) угрозы безопасности объектов защиты Субъектов, как уже созданных (эксплуатируемых), так и создаваемых Субъектами на территории Нижегородской области;
2) угрозы конституционным правам и свободам человека (гражданина) в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию при использовании объектов защиты Субъектов;
3) угрозы информационному обеспечению политики Нижегородской области (Субъектов).

2.1.4. Для каждого из направлений угроз, указанных в пункте 2.1.3 настоящего раздела, характерны естественные (объективные) и искусственные (субъективные) классы угроз.

2.1.4.1. Естественные - это угрозы, вызванные воздействиями на объект защиты и его элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

2.1.4.2. Искусственные - это угрозы, вызванные деятельностью человека. Таким образом, в качестве источников угроз ИБ Нижегородской области (Субъектов) могут выступать как физическое лицо - лицо, которое в результате умышленных или неумышленных действий может нанести ущерб объектам защиты и всей Нижегородской области, так и объективные проявления, независящие от человека.
Среди искусственных классов угроз, исходя из мотивации действий, можно выделить:
1) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании объектов защиты и их элементов, ошибками в программном обеспечении, ошибками в действиях человека и т.п.;
2) преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей.

2.1.5. Источники естественных и искусственных классов угроз по отношению к объектам защиты могут быть внешними или внутренними, то есть находиться как внутри объекта защиты - внутренние, так и вне его - внешние.

2.1.5.1. Внешние угрозы исходят от природных явлений, а также от субъектов, не входящих в круг пользователей и обслуживающего персонала объектов защиты, разработчиков объектов защиты - ИС, и субъектов, не имеющих непосредственного контакта с объектами защиты. К основным внешним источникам следует отнести:
1) деятельность иностранных политических, экономических, разведывательных и информационных структур на территории Нижегородской области, направленная против интересов Российской Федерации в информационной сфере;
2) деятельность международных террористических организаций;
3) стремление ряда стран к доминированию и ущемлению интересов Нижегородской области (равно как и всей страны) в мировом информационном пространстве, вытеснению ее с информационного рынка;
4) обострение конкуренции за обладание информационными технологиями и ресурсами;
5) увеличение технологического отрыва ряда стран и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
6) деятельность космических и наземных технических и иных средств (видов) разведки иностранных государств;
7) разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы Нижегородской области (всей страны в целом), нарушение нормального функционирования информационно-телекоммуникационных сетей (средств, систем), сохранности ИР, получение несанкционированного доступа к ним.

2.1.5.2. Внутренние угрозы исходят от пользователей, администраторов ИС и обслуживающего персонала объектов защиты, разработчиков объектов защиты, ИС, других лиц, вовлеченных в информационные процессы, и имеющих непосредственный контакт с объектами защиты, как допущенных, так и не допущенных к секретным (конфиденциальным) сведениям. К основным внутренним источникам следует отнести:
1) недостаточно конкурентоспособное состояние нижегородских (российских) отраслей промышленности, оказывающих влияние на сферу информации, информатизации и ИБ;
2) неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к информации ограниченного доступа, усиления влияния организованной преступности на жизнь общества;
3) недостаточная координация деятельности Субъектов по формированию и реализации единой политики в области обеспечения ИБ Нижегородской области;
4) недостаточная разработанность правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
5) недостаточное финансирование мероприятий по обеспечению ИБ Нижегородской области;
6) недостаточное количество квалифицированных кадров в области обеспечения ИБ;
7) недостаточная активность Субъектов в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых ИР и развитии системы доступа к ним граждан;
8) отставание Нижегородской области от ведущих субъектов Российской Федерации и стран по уровню информатизации Субъектов и в иных сферах;
9) действия сотрудников Субъектов в отношении объектов защиты Субъектов, порождающие реализацию угроз безопасности информации.

2.1.6. Основные угрозы ИБ могут реализовываться информационными, программно-математическими, физическими, радиоэлектронными, организационно-правовыми способами.

2.2. Угрозы безопасности объектов защиты

2.2.1. В настоящем подразделе представлены угрозы безопасности объектов защиты Субъектов, как уже созданных (эксплуатируемых), так и создаваемых Субъектами на территории Нижегородской области.

2.2.2. Основными способами реализации воздействия непреднамеренных угроз (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) могут являться:
1) неумышленные действия, приводящие к частичному или полному отказу ИС, или разрушению аппаратных, программных ИС (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
2) неправомерное отключение оборудования, программного обеспечения, средств защиты или изменение режимов работы устройств и программ;
3) неумышленная порча носителей информации;
4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности ИС (зависания или зацикливания) или осуществляющих необратимые изменения в ИС (форматирование или реструктуризацию носителей информации, удаление данных и т.п.;
5) нелегальное внедрение и использование неучтённых программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
6) заражение автоматизированных рабочих мест компьютерными вирусами;
7) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
8) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
9) проектирование архитектуры ИС, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности ИС и безопасности информации;
10) игнорирование организационных ограничений (установленных правил) при работе в ИС;
11) вход в ИС в обход средств защиты (загрузка посторонней операционной системы со сменных носителей и т.п.);
12) некомпетентное использование, настройка или неправомерное отключение средств защиты работниками служб безопасности;
13) пересылка данных по ошибочному адресу абонента (устройства);
14) ввод ошибочных данных;
15) неумышленное повреждение каналов связи;
16) закупки несовершенных, устаревших или неперспективных информационных технологий и средств информатизации;
17) использование несертифицированных российских и зарубежных информационных технологий, средств защиты, средств информатизации, телекоммуникации и связи при создании и развитии информационно-телекоммуникационных сетей, инженерной и ИТ-инфраструктуры Субъектов;
18) использование нелицензионного программного обеспечения;
19) невыполнение требований действующего законодательства и задержки в разработке и принятии необходимых правовых и технических документов в сфере информации, информатизации и ИБ;
20) неумышленное неправомерное ограничение доступа к документам (источникам), содержащим важную для граждан и организаций информацию (нарушение законных ограничений на распространение информации);
21) иные способы.

2.2.3. Основными способами реализации воздействия угроз умышленной дезорганизации работы, в том числе всей Нижегородской области (Субъектов), вывода ИС из строя, проникновения в ИС и несанкционированного доступа к информации могут являться:
1) физическое разрушение ИС (ИТ-инфраструктуры) (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации и т.п.);
2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);
3) несанкционированное уничтожение, повреждение, разрушение или хищение машинных (магнитных дисков, лент, микросхем памяти, запоминающих устройств) или других оригиналов носителей информации;
4) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж людей, постановка мощных активных радиопомех на частотах работы устройств и т.п.);
5) внедрение агентов в число доверенных лиц (в том числе, возможно, и в административную группу, отвечающую за безопасность);
6) вербовка (путем подкупа, шантажа и т.п.) людей или отдельных пользователей, имеющих определенные полномочия в сфере ИБ;
7) воздействие на персонал и пользователей ИС с целью создания благоприятных условий для реализации угроз ИБ НО;
8) манипулирование информацией (дезинформация, сокрытие или искажение информации);
9) угрозы виртуальной инфраструктуры;
10) угрозы, реализуемые в ходе и после загрузки ИС;
11) нарушение адресности и своевременности (оперативности) информационного обмена, противозаконный сбор, распространение и использование информации;
12) применение подслушивающих устройств, дистанционной фото- и видеосъемки и т.п.;
13) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.); перехват информации за счет её утечки по техническим каналам;
14) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в ИС; перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи; вскрытие шифров криптозащиты информации;
15) несанкционированные (незаконные): доступ к ИР, к информации, находящейся в банках и базах данных; копирование носителей информации; копирование данных и программ; уничтожение информации; уничтожение или модификация данных в ИС; хищение информации из библиотек, архивов, банков и баз данных; хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.); чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств; чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки многозадачных операционных систем и систем программирования; использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.; получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя;
16) воздействие на парольно-ключевые системы автоматизированных систем обработки и передачи информации;
17) компрометация ключей и средств криптографической защиты информации; хищение программных или аппаратных ключей средств защиты и средств криптографической защиты информации;
18) внедрение (установка) на стадии проектирования, внедрения или эксплуатации систем программных и аппаратных закладочных устройств, компьютерных вирусов, то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования ИС, а также приводящие к компрометации систем защиты (внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на такие изделия);
19) внедрение электронных устройств перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи и в помещения Субъектов (в том числе серверные);
20) разработка и распространение программ, нарушающих стабильное функционирование информационно-телекоммуникационных сетей (средств, систем), в том числе систем защиты;
21) поставка "зараженных" компонентов ИС;
22) внедрение компьютерных вирусов;
23) несанкционированное уничтожение, разрушение или хищение средств обработки и защиты, средств связи и целенаправленное внесение в них неисправностей;
24) незаконное подключение к линиям связи с целью: работы "между строк", с использование пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений; прямой подмены законного пользователя путем его физического отключения после входа в ИС и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений;
25) радиоэлектронное подавление линий связи и систем управления;
26) нарушение технологии обработки информации, данных и информационного обмена;
27) реализация угроз, не являющихся атаками;
28) диверсионные действия по отношению к объектам защиты Субъектов;
29) использование средств массовой информации Нижегородской области с позиций, противоречащих интересам граждан, организаций и Нижегородской области (равно как и всей страны);
30) противодействие доступу Субъектов к новейшим информационным технологиям (разработкам) в сфере защиты информации, создание условий для усиления технологической зависимости Нижегородской области в области современных информационных технологий;
31) иные способы.

2.2.4. Ряд вышеуказанных основных возможных путей умышленной дезорганизации работы, вывода ИС из строя, проникновения в ИС и несанкционированного доступа к информации при определенных обстоятельствах (условиях) может носить непреднамеренный характер, и наоборот.

2.3. Угрозы конституционным правам и свободам человека (гражданина)

2.3.1. В настоящем подразделе представлены угрозы конституционным правам и свободам человека (гражданина) в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному обновлению Нижегородской области при использовании объектов защиты Субъектов.

2.3.2. Основными способами реализации воздействия угроз могут являться:
1) принятие на уровне Нижегородской области и Субъектов решений, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности;
2) создание монополий на формирование, получение и распространение информации в Нижегородской области, в том числе с использованием телекоммуникационных систем;
3) противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
4) неправомерное ограничение доступа к общественно необходимой информации;
5) противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание;
6) неисполнение Субъектами требований действующего законодательства, регулирующего отношения в информационной сфере и сфере ИБ;
7) неправомерное ограничение доступа граждан к открытым ИР (ИС) Нижегородской области, к открытым архивным материалам и социально значимой информации;
8) дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы;
9) нарушение конституционных прав и свобод человека (гражданина) в области массовой информации;
10) вытеснение нижегородских информационных агентств, средств массовой информации с нижегородского (внутреннего) информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни Нижегородской области от зарубежных информационных структур;
11) девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе;
12) снижение духовного и нравственного потенциала населения Нижегородской области, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования информационных технологий;
13) манипулирование информацией (дезинформация, сокрытие или искажение информации).

2.4. Угрозы информационному обеспечению

2.4.1. В настоящем подразделе представлены угрозы информационному обеспечению политики Нижегородской области (Субъектов).

2.4.2. Основными способами реализации воздействия угроз информационному обеспечению политики Нижегородской области (Субъектов) могут являться:
1) монополизация информационного рынка Нижегородской области, его отдельных секторов зарубежными информационными структурами;
2) блокирование деятельности нижегородских средств массовой информации и ИС;
3) недостаточность информационного обеспечения политики Нижегородской области (Субъектов) вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации информационной политики.

2.5. Последствия реализации угроз информационной безопасности


Основными последствиями реализации угроз ИБ являются:
1) причинение материального ущерба Субъектам и (или) физического и (или) морального ущерба личности:
- от любых неправомерных действий с объектами защиты;
- от нарушения конституционных прав и свобод личности;
- от необходимости восстановления нарушенных прав и объектов защиты;
- от дезорганизации их деятельности;
- от уничтожения (утраты) объектов защиты и средств их обработки;
2) причинение ущерба жизненно важным интересам Нижегородской области;
3) нарушение доступности информации и работоспособности ИС (блокирование данных и ИС, разрушение элементов ИС, компрометация системы зашиты информации и т.д.);
4) нарушение секретности (конфиденциальности) информации (разглашение, утрата, хищение, утечка, перехват и т.д.);
5) нарушение целостности защищаемой информации (несанкционированное уничтожение, искажение и т.д.);
6) подрывание деловой репутации Субъектов, Нижегородской области на российской и международной аренах;
7) создание атмосферы напряженности и политической нестабильности на территории Нижегородской области;
8) антисоциальное и криминальное поведение групп людей или отдельных лиц, противоречащее принятым в российском обществе нормам (правилам) поведения, негативное влияние на процессы формирования личности;
9) провокация социальных, национальных и религиозных конфликтов;
10) нарушение функционирования системы государственного управления, объектов повышенного стратегического значения Нижегородской области;
11) затруднение принятия важнейших политических, экономических и других решений;
12) создание препятствия на пути равноправного сотрудничества Нижегородской области с развитыми субъектами Российской Федерации, странами (государствами);
13) снижение темпов научно-технического развития Нижегородской области;
14) нарушение баланса интересов личности, общества и Нижегородской области;
15) утрата культурного наследия, проявление бездуховности и безнравственности.


III. Система информационной безопасности Нижегородской области

3.1. Понятие системы информационной
безопасности Нижегородской области

3.1.1. Объекты защиты Субъектов, интересы Нижегородской области в сфере ИБ, наличие угроз ИБ (безопасности информации) и уровень последствий реализации угроз являются основаниями формирования и существования системы ИБ Нижегородской области.

3.1.2.Система ИБ Нижегородской области - это: совокупность правил, определяющих суть и формы отношений, направленных на обеспечение ИБ Субъектов, их объектов защиты, а также лиц, участвующих в этих отношениях; совокупность мер правового, организационного и технического характера, направленных на обеспечение безопасности объектов защиты Субъектов от угроз ИБ (безопасности информации).

3.1.3.Система ИБ Нижегородской области представляет собой часть общей системы обеспечения ИБ Российской Федерации, обеспечения национальной безопасности страны, организационно входит в систему защиты информации в ПФО и ориентируется в своей деятельности на государственную политику обеспечения безопасности Российской Федерации.

3.1.4.Система ИБ Нижегородской области объединяет два самостоятельных уровня: системы ИБ (защиты информации) Субъектов (первый уровень) и системы защиты объектов защиты (второй уровень), и определяет единые направления и принципы их организации.

3.1.5. Основными функциями системы ИБ Нижегородской области являются:
1) разработка и реализация единой стратегии (политики) обеспечения ИБ Нижегородской области (Субъектов, их объектов защиты);
2) оценка состояния ИБ Нижегородской области, выявление источников внутренних и внешних угроз ИБ, определение направлений предотвращения и нейтрализации угроз;
3) координация и контроль деятельности отдельных субъектов системы ИБ Нижегородской области;
4) организация разработки государственных программ по информационной безопасности (защите информации), а также планов Субъектов в сфере ИБ (защиты информации) и координация работ по их реализации;
5) проведение единой технической политики в области обеспечения ИБ Нижегородской области;
6) организация исследований в области ИБ Нижегородской области;
7) обеспечение контроля за созданием и применением средств защиты информации, систем защиты в Нижегородской области;
8) реализация прав граждан на получение, распространение и использование информации;
9) реализация мероприятий по обеспечению ИБ в Нижегородской области;
10) представление интересов Нижегородской области в сфере ИБ (защиты информации);
11) осуществление мероприятий по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения ИБ (защиты информации) Нижегородской области;
12) внесение предложений по совершенствованию системы обеспечения ИБ Российской Федерации;
13) взаимодействие с федеральными органами исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, по вопросам исполнения действующего законодательства, решений Президента Российской Федерации, Правительства Российской Федерации и Совета Безопасности Российской Федерации в области обеспечения ИБ (защиты информации) Российской Федерации, а также по вопросам реализации государственных программ в этой сфере.

3.1.6. Реализация единой политики в области ИБ в Нижегородской области, а также обеспечение выполнения требований нормативных, методических документов по ИБ в Нижегородской области достигаются с помощью системы ИБ Нижегородской области.

3.2. Структурные элементы системы
информационной безопасности Нижегородской области

3.2.1. Действующая система ИБ Нижегородской области создает определенную вертикаль в организации и реализации мероприятий по обеспечению ИБ:

Схема 1

Об утверждении Концепции информационной безопасности Нижегородской области

3.2.2. Действующая система ИБ Нижегородской области представлена внутренними и внешними субъектами. В основу ее организационной структуры положен принцип разделения прав, обязанностей, полномочий и функций с сочетанием самостоятельности и персональной ответственности при решении вопросов ИБ. Возможные и реализуемые связи субъектов системы ИБ Нижегородской области представлены на схеме 1настоящего подраздела.

3.2.3. Субъекты системы ИБ Нижегородской области взаимодействуют друг с другом напрямую или косвенно, что помогает обеспечивать реализацию интересов Нижегородской области в сфере ИБ. При этом достижение указанных интересов зависит как от механизма взаимодействия структурных элементов, составляющих систему ИБ Нижегородской области, и степени его проработанности, так и от организации работы каждого элемента в отдельности.

3.2.4. Субъектами правоотношений в процессе обеспечения ИБ (защиты информации) помимо субъектов системы ИБ Нижегородской области являются юридические лица независимо от организационно-правовой формы, места нахождения и любое физическое лицо, в том числе индивидуальный предприниматель, сведения о которых накапливаются в ИС, ИР Нижегородской области (Субъектов).

3.3. Внутренние субъекты системы
информационной безопасности Нижегородской области

3.3.1. Внутренними субъектами системы ИБ Нижегородской области являются:

3.3.1.1. Должностные лица и органы, осуществляющие управление в данной сфере:
1) Губернатор Нижегородской области, Председатель Правительства;
2) коллегиальные совещательные органы областного и муниципального уровней, обеспечивающие решение актуальных вопросов ИБ (защиты информации):
- межведомственный технический совет по защите информации Нижегородской области (далее - Совет Нижегородской области);
- межведомственный технический совет по защите информации муниципального образования Нижегородской области (далее - Совет муниципального образования) (в случае его наличия);
3) постоянно действующие технические комиссии по защите государственной тайны в ОИВ (далее - ПДТК);
4) головные подразделения по защите информации:
- головное подразделение ОИВ по технической защите информации, не отнесённой к государственной тайне (далее - Головное подразделение по ТЗИ);
- головное подразделение по защите государственной тайны ОИВ (далее - Головное подразделение по защите ГТ).

3.3.1.2. Объекты управления:
1) Субъекты;
2) структурные подразделения (специалисты) по ИБ Субъектов.

3.3.2. Губернатор Нижегородской области, Председатель Правительства.
Губернатор Нижегородской области, Председатель Правительства возглавляет систему ИБ Нижегородской области. Непосредственное руководство системой ИБ Нижегородской области осуществляет заместитель Губернатора, заместитель Председателя Правительства Нижегородской области, к блоку которого относятся головные подразделения по защите информации.

3.3.3. Совет Нижегородской области.

3.3.3.1. Совет Нижегородской области возглавляет Губернатор Нижегородской области, Председатель Правительства.

3.3.3.2. Совет Нижегородской области является коллегиальным органом, обеспечивающим взаимодействие с территориальными органами федеральных органов исполнительной власти, а также с акционерными обществами с долей участия Правительства Нижегородской области, и осуществляющим в рамках своей компетенции координацию деятельности ОИВ и ОМСУ по защите информации.

3.3.3.3. Совет Нижегородской области осуществляет деятельность на плановой основе и рассматривает актуальные для Нижегородской области (Субъектов) вопросы ИБ (защиты информации ограниченного доступа).

3.3.3.4. Решения Совета Нижегородской области доводятся до ОИВ в части их касающейся и являются обязательными для исполнения.

3.3.3.5. Состав Совета Нижегородской области, порядок его функционирования и полномочия, связанные с защитой информации ограниченного доступа, установлены распоряжением Губернатора Нижегородской области от 6 сентября 2014 года № 1477-р "О создании межведомственного технического совета по защите информации Нижегородской области".

3.3.4. Совет муниципального образования.

3.3.4.1. Совет муниципального образования (в случае его наличия) возглавляет руководитель муниципального образования Нижегородской области.

3.3.4.2. Совет муниципального образования может быть создан по решению руководителя муниципального образования Нижегородской области.

3.3.4.3. Совет муниципального образования представляет собой коллегиальный, постоянно действующий совещательный и консультативный орган, координирующий деятельность ОМСУ конкретного муниципального образования Нижегородской области, подведомственных им организаций по реализации действующего законодательства по вопросам ИБ (защиты информации).

3.3.4.4. Совет муниципального образования осуществляет деятельность на плановой основе и рассматривает актуальные для конкретного муниципального образования Нижегородской области вопросы ИБ (защиты информации ограниченного доступа).

3.3.4.5. Основными задачами деятельности Совета муниципального образования могут являться:
1) организация исполнения решений Координационного Совета;
2) организация исполнения решений Совета Нижегородской области;
3) совершенствование системы ИБ конкретного муниципального образования Нижегородской области.

3.3.4.6. Решения Совета муниципального образования доводятся до соответствующих ОМСУ в части их касающейся и являются обязательными для исполнения на своем уровне.

3.3.5. ПДТК.

3.3.5.1. ПДТК возглавляет лицо из числа руководителей соответствующего ОИВ, при этом ПДТК подотчетна Правительству Нижегородской области.

3.3.5.2. ПДТК представляет собой коллегиальный, постоянно действующий совещательный и консультативный орган, координирующий деятельность ОИВ по реализации действующего законодательства в сфере защиты государственной тайны на территории Нижегородской области. Члены ПДТК имеют допуск к государственной тайне по установленной форме.

3.3.5.3. ПДТК осуществляет деятельность на плановой основе и рассматривает актуальные для ОИВ вопросы защиты государственной тайны. Основными направлениями работы ПДТК являются:
1) надежное и эффективное управление системой защиты государственной тайны в ОИВ;
2) своевременное выявление и закрытие возможных каналов неправомерного распространения сведений, составляющих государственную тайну;
3) организация и координация работ по противодействию иностранным техническим разведкам и технической защите информации;
4) совершенствование систем физической и технической защиты информации.

3.3.5.4. Состав, порядок функционирования ПДТК и полномочия, связанные с защитой государственной тайны, устанавливаются Правительством Нижегородской области.

3.3.6. Головные подразделения по защите информации.

3.3.6.1. Головные подразделения по защите информации определяются распоряжением Губернатора Нижегородской области.

3.3.6.2. Головные подразделения по защите информации имеют в своем составе структурные подразделения по ИБ, которые занимаются вопросами защиты информации, не отнесенной к государственной тайне, и (или) защиты информации, содержащей сведения, составляющие государственную тайну.

3.3.6.3. Назначение на должности руководителей структурных подразделений по ИБ головных подразделений по защите информации осуществляется по согласованию с управлением ФСТЭК России по ПФО путем направления представлений и материалов на кандидатов.

3.3.6.4. Головные подразделения по защите информации наделены полномочиями по:
1) координации в рамках своей компетенции деятельности ОИВ, ОМСУ и подведомственных им организаций по обеспечению безопасности общедоступной информации, а также информации ограниченного доступа, не отнесенной к государственной тайне, в том числе координации деятельности по обеспечению безопасности персональных данных ОИВ;
2) контролю в рамках своей компетенции за выполнением мероприятий по обеспечению ИБ в ОИВ и подведомственных им организациях;
3) контролю в рамках своей компетенции в области обеспечения безопасности информации по следующим вопросам:
- техническая защита информации, составляющей государственную тайну;
- техническая защита информации ограниченного доступа, не отнесенной к государственной тайне, в том числе обеспечение безопасности персональных данных;
- обеспечение защиты информации в открытых ИС;
- противодействие иностранным техническим разведкам;
- обеспечение безопасности информации в ключевых системах информационной инфраструктуры;
- защита государственной тайны при ведении секретного делопроизводства.

3.3.6.5. Головные подразделения по защите информации при исполнении своих полномочий, функций руководствуются поручениями председателя Совета Нижегородской области.

3.3.6.6. Головные подразделения по защите информации в своей деятельности взаимодействуют с территориальными органами (управлениями) федеральных органов исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, по вопросам реализации действующего законодательства в области ИБ (защиты информации).

3.3.7. Субъекты.

3.3.7.1. В соответствии с действующим законодательством:
1) мероприятия по обеспечению ИБ (защите информации) являются составной частью управленческой, научной и производственной деятельности органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций;
2) Субъекты осуществляют правомочия обладателя информации, в соответствии с которыми обязаны принимать меры по ее защите. Субъекты обязаны обеспечивать защиту эксплуатируемых ими объектов защиты путем создания их систем защиты. Для этого они обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для поддержания необходимого уровня безопасности объектов защиты. При этом при выборе тех или иных мер защиты они должны руководствоваться требованиями действующего законодательства по ИБ (защите информации). Принятие указанного комплекса мер должно основываться на определении:
- источников угроз ИБ, вероятности реализации угроз ИБ на конкретных объектах (от кого защищать);
- перечней объектов защиты (что защищать);
- средств и методов защиты (как защищать).

3.3.7.2. Каждый Субъект формирует свою внутреннюю систему ИБ, в соответствии с которой выступает на стороне спроса в необходимости обеспечения ИБ и сочетает в себе три функции:
1) общественного представителя, наделенного полномочиями выражать потребность в проведении тех или иных мероприятий по обеспечению ИБ;
2) закупщика, организатора по сделкам на рынке ИБ (защиты информации);
3) потребителя и (или) контролера результатов мероприятий по обеспечению ИБ.

3.3.7.3. Систему ИБ Субъекта возглавляет его руководитель. Непосредственное руководство деятельностью системы осуществляет руководитель или один из заместителей руководителя, или руководитель структурного подразделения по ИБ Субъекта, или назначенный специалист по ИБ Субъекта (при отсутствии структурного подразделения по ИБ). Указанные полномочия на него возлагаются соответствующим организационно-распорядительным документом Субъекта.

3.3.7.4. Для организации и реализации мероприятий по обеспечению ИБ Субъекты могут привлекать на договорной основе лицензиатов ФСТЭК России и ФСБ России, посреднические и специализированные организации (децентрализованная форма обеспечения ИБ), а также создавать внутренние совещательные комиссии, советы.

3.3.7.5. Каждый Субъект координирует деятельность подведомственных ему организаций (при их наличии) в области ИБ в отношении в рамках своей компетенции.

3.3.8. Структурные подразделения (специалисты) по ИБ Субъектов.

3.3.8.1. Непосредственная организация работ по обеспечению ИБ в конкретном Субъекте осуществляется его руководителем или одним из заместителей руководителя через структурное подразделение по ИБ данного Субъекта или назначенного специалиста по ИБ Субъекта.

3.3.8.2. Ответственность за состояние обеспечения ИБ в конкретном Субъекте возлагается на его руководителя. Ответственность за своевременность и качество проведения мероприятий по обеспечению ИБ возлагается на руководителя структурного подразделения по ИБ данного Субъекта (при его отсутствии - на назначенных специалистов по ИБ Субъекта).

3.3.8.3. Структурное подразделение по ИБ (при наличии) является самостоятельным структурным подразделением Субъекта и напрямую подчиняется руководителю Субъекта.

3.3.8.4. В зависимости от объема работ с использованием защищаемой информации, а также при наличии иных условий и обстоятельств руководителями Субъектов создаются структурные подразделения по ИБ либо только назначаются специалисты по ИБ. Допустима также ситуация, при которой специалист по ИБ конкретного Субъекта выполняет свой функционал применительно к ряду иных Субъектов, которые находятся на материальном обеспечении у такого Субъекта. Перечень таких условий и обстоятельств определяется на основании действующего законодательства, методических рекомендаций федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, методических рекомендаций, одобренных решением Координационного Совета, и головного подразделения по защите информации (в случае их дополнительной разработки).

3.3.8.5. Наличие структурного подразделения по ИБ и количество специалистов по ИБ в конкретном Субъекте устанавливается на основании федеральных законов и (или) методических рекомендаций уполномоченных государственных органов власти, методических рекомендаций, одобренных решением Координационного Совета, и головного подразделения по защите информации (в случае их дополнительной разработки).

3.3.8.6. Среди специалистов по ИБ определяются ответственные за планирование, организацию и реализацию мероприятий по обеспечению ИБ, в том числе ответственные за правовые, организационные и технические мероприятия. Также среди указанных специалистов по ИБ выделяются штатные и нештатные специалисты. Разделение на штатных и нештатных специалистов осуществляется головными подразделениями по защите информации в целях ведения учета таких специалистов и проведения процедур согласования назначения их на должности. Назначение на должности специалистов по ИБ и руководителей структурных подразделений по ИБ Субъектов согласовывается с головными подразделениями по защите информации по соответствующему профилю деятельности путем направления представлений и материалов на кандидатов. Подробный порядок согласования кандидатов устанавливается актами головных подразделений по защите информации.

3.3.8.6.1. Штатным считается специалист:
1) имеющий высшее профильное образование по направлению ИБ (защиты информации) и (или) образование в области информационных технологий и повышение квалификации и (или) переподготовку по указанному направлению деятельности;
2) работающий в Субъекте по указанному направлению деятельности в структурном подразделении по ИБ Субъекта (при наличии) или вне его (при отсутствии структурного подразделения по ИБ), и не совмещающий деятельность по ИБ с иным основным для него функционалом в Субъекте, например, бухгалтерия, юриспруденция и т.п.;
3) занимающий выделенную должность специалиста по ИБ, предусмотренную штатным расписанием (при наличии должности в штатном расписании).

3.3.8.6.2. Нештатным считается специалист:
1) не имеющий профильного образования по направлению ИБ (защиты информации) и (или) образования в области информационных технологий и повышения квалификации, и (или) переподготовки по указанному направлению деятельности;
2) работающий в Субъекте по указанному направлению деятельности в структурном подразделении по ИБ Субъекта (при наличии) или вне его (при отсутствии структурного подразделения по ИБ);
3) совмещающий деятельность по ИБ с иным основным для него функционалом в Субъекте, например, бухгалтерия, юриспруденция и т.п.

3.3.8.6.3. Случаи отнесения специалистов к категориям штатных и нештатных могут дополнительно определяться (разъясняться) головными подразделениями по защите информации и закрепляться в соответствующем документе.

3.3.8.7. Структурные подразделения (специалисты) по ИБ осуществляют свою деятельность во взаимодействии (под методическим и координационным руководством) с головными подразделениями по защите информации: в случае защиты информации, не отнесенной к государственной тайне, - с Головным подразделением по ТЗИ; в случае защиты информации, содержащей сведения, составляющие государственную тайну, - с Головным подразделением по защите ГТ.

3.3.8.8. Функции, права, полномочия и обязанности структурных подразделений по ИБ закрепляются в соответствующих положениях о структурных подразделениях по ИБ конкретного Субъекта. Функции, права, полномочия и обязанности специалистов по ИБ указаны в пункте 3.6.2 подраздела 3.6 раздела III настоящей Концепции и отражаются в их должностных регламентах (инструкциях), и обязательно включают в себя проведение координирующей и контрольной политики (работ) в области ИБ в отношении подведомственных организаций (при их наличии) в рамках их компетенции.

3.4. Внешние субъекты системы
информационной безопасности Нижегородской области

3.4.1. Внешними субъектами системы ИБ Нижегородской области являются:

3.4.1.1. Орган управления: Координационный совет.
Координационный совет представляет собой коллегиальный орган, определяющий направления деятельности субъектов Российской Федерации, входящих в ПФО, по реализации действующего законодательства в сфере ИБ (защиты информации) на территории ПФО. Координационный Совет обеспечивает взаимодействие с федеральными органами исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, с органами государственной власти субъектов Российской Федерации.
Координационный совет осуществляет деятельность на плановой основе и рассматривает актуальные для ПФО вопросы ИБ (защиты информации ограниченного доступа). Основными задачами деятельности Координационного совета являются:
1) оказание содействия субъектам Российской Федерации, входящим в ПФО, в решении вопросов ИБ;
2) совершенствование системы ИБ в ПФО;
3) рассмотрение вопросов и выработка рекомендаций по управлению системой защиты информации в ПФО, ее функционированию и совершенствованию; организации и координации работ по защите информации ограниченного доступа в ПФО; выявлению и закрытию возможных каналов неправомерного доступа к информации ограниченного доступа.

3.4.1.2. Органы контроля: территориальные органы (управления) федеральных органов исполнительной власти, уполномоченные в вопросах обеспечения безопасности и (или) противодействия иностранным техническим разведками (или)защиты информации:
1) управление ФСБ России по Нижегородской области (далее - УФСБ России по НО);
2) управление ФСТЭК России по ПФО (далее - УФСТЭК России по ПФО);
3) управление специальной связи и информации Федеральной службы охраны Российской Федерации в ПФО (далее - УССИ ФСО России в ПФО);
4) управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по ПФО (далее - Управление Роскомнадзора по ПФО).

3.4.1.2.1. УФСБ России по НО.
УФСБ России по НО является территориальным органом (управлением) ФСБ России - федерального органа исполнительной власти, осуществляющего специальные и контрольные функции в области государственной безопасности по вопросам, установленным Положением о ФСБ России, утвержденным Указом Президента Российской Федерации от 11 августа 2003 года № 960, и осуществляет свои полномочия применительно к Нижегородской области.

3.4.1.2.2. УФСТЭК России по ПФО.
УФСТЭК России по ПФО является территориальным органом (управлением) ФСТЭК России - федерального органа исполнительной власти, осуществляющего специальные и контрольные функции в области государственной безопасности по вопросам, установленным Положением о ФСТЭК России, утвержденным Указом Президента Российской Федерации от 16 августа 2004 года №1085, и осуществляет свои полномочия применительно к ПФО.

3.4.1.2.3. УССИ ФСО России в ПФО.
УССИ ФСО России в ПФО является территориальным органом(управлением) ФСО России - федерального органа исполнительной власти, осуществляющего специальные и контрольные функции в области государственной охраны, связи для нужд органов государственной власти, функции по информационно-технологическому и информационно-аналитическому обеспечению деятельности Президента Российской Федерации, Правительства Российской Федерации, иных государственных органов по вопросам, установленным Положением о ФСО России, утвержденным Указом Президента Российской Федерации от 7 августа 2004 года № 1013, и осуществляет свои полномочия применительно к ПФО.

3.4.1.2.4. Управление Роскомнадзора по ПФО.
Управление Роскомнадзора по ПФО является территориальным органом (управлением) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций - федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям действующего законодательства в области персональных данных (уполномоченного по защите прав субъектов персональных данных), в соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства Российской Федерации от 16 марта 2009 года № 228, и осуществляет свои полномочия применительно к ПФО.

3.4.1.3. Органы и организации, обеспечивающие ИБ:
1) аттестационные центры ФСБ России;
2) органы по аттестации объектов информатизации по требованиям безопасности информации, находящиеся на территории Нижегородской области (далее - Органы по аттестации);
3) лицензиаты ФСТЭК России и ФСБ России, а также посреднические организации, научно-исследовательские, научно-технические, проектные и конструкторские организации, находящиеся на территории Нижегородской области;
4) организации (учебные заведения), расположенные на территории Нижегородской области и осуществляющие обучение кадров для работы в системе ИБ Нижегородской области;
5) специализированные организации.

3.4.1.3.1.Аттестационные центры ФСБ России.
Аттестационные центры ФСБ России решают задачи проведения специальных экспертиз организаций для получения лицензий на проведение работ, связанных с использованием сведений, составляющих государственную тайну, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны.

3.4.1.3.2.Органы по аттестации.
Аттестация объектов информатизации включает в себя проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых оценивается и подтверждается соответствие применяемой системы защиты требованиям правовых актов Российской Федерации, руководящих документов ФСТЭК России, ФСБ России, регламентирующих вопросы ИБ (защиты информации). Для реализации данного мероприятия создается специальный орган по аттестации, основными задачами которого являются:
1) организация и проведение аттестации объектов информатизации по требованиям безопасности информации;
2) контроль за состоянием и эксплуатацией аттестованных объектов информатизации.
Деятельность органа по аттестации, аккредитованного соответствующим государственным органом по сертификации и аттестации, осуществляется на основе лицензии на определенные виды деятельности и аттестата аккредитации, выданных ему на право проведения аттестации объектов информатизации.

3.4.1.3.3. Лицензиаты ФСТЭК России и ФСБ России, а также посреднические организации, научно-исследовательские, научно-технические, проектные и конструкторские организации, находящиеся на территории Нижегородской области.
Спрос в необходимости обеспечения ИБ (защиты информации) со стороны Субъектов должен удовлетворяться предложением. Наличие предложения обеспечивают посреднические организации и лицензиаты-юридические лица независимо от организационно-правовой формы, места нахождения или любое физическое лицо, в том числе индивидуальный предприниматель (если допустимо по требованиям действующего законодательства), которые готовы обеспечить ИБ (защиту информации) Субъектов, объектов защиты, имеют для этого необходимые собственные или приобретенные ресурсы (разработки программные, информационно-технические, организационно-методические) и претендуют на получение права обеспечения ИБ (защиты информации), то есть являются потенциальными поставщиками (исполнителями, подрядчиками), обладающими возможностями (законными правами) удовлетворить спрос Субъектов.
Вышеуказанные группы субъектов осуществляют деятельность по непосредственному выполнению мероприятий для Субъектов в области ИБ (защиты информации) и (или) по созданию средств защиты информации, а также программных продуктов в соответствии с требованиями действующего законодательства.
Посреднические организации не обладают лицензиями на право оказания определенных видов деятельности по ИБ (защите информации) в отличие от лицензиатов, поэтому могут принимать участие только в реализации правовых и организационных мероприятий по обеспечению ИБ, или поставлять оборудование для ИТ-инфраструктуры Субъектов при соблюдении требований действующего законодательства.

3.4.1.3.4. Организации (учебные заведения), расположенные на территории Нижегородской области и осуществляющие обучение кадров для работы в системе ИБ Нижегородской области.
Указанные организации (учебные заведения) осуществляют по направлениям "ИБ" и (или)"защита государственной тайны"и (или)"техническая защита информации, не отнесенная к государственной тайне" и т.д.:
1) первичную подготовку специалистов по ИБ (комплексной защите информации);
2) переподготовку и повышение квалификации специалистов по ИБ Субъектов, и иных субъектов системы ИБ Нижегородской области;
3) усовершенствование знаний руководителей Субъектов.
Данные организации (учебные заведения) имеют лицензию на образовательную деятельность и реализуют соответствующие образовательные программы в сфере ИБ (защиты информации), согласованные ФСТЭК России и (или) ФСБ России.
Субъекты системы ИБ Нижегородской области с целью подготовки, переподготовки и повышения квалификации своих специалистов по ИБ осуществляют взаимодействие с такими организациями (учебными заведениями).

3.4.1.3.5. Специализированная организация.
Специализированная организация - юридическое лицо, привлекаемое Субъектом на основе контракта (договора) для осуществления им ряда функций ИБ (защиты информации) для этого Субъекта и для создания ИТ-базы для функционирования его ИС в защищенном исполнении. При этом привлекающий Субъект обладает рядом исключительных функций, которые свойственно выполнять только ему, и передача которых специализированной организации не допускается, так же как распределение прав и ответственности.

3.5. правовая основа функционирования системы
информационной безопасности Нижегородской области


Правовую основу функционирования системы ИБ Нижегородской области составляют:
1) Конституция Российской Федерации;
2) международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права и ответственность граждан, общества и государства в информационной сфере;
3) федеральные законы, регламентирующие сферу ИБ (защиты информации), информации и информатизации;
3) акты Президента и Правительства Российской Федерации, относящиеся к сфере ИБ (защиты информации), информации, информатизации, безопасности;
4) решения Совета Безопасности Российской Федерации, Координационного Совета, федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, Совета Нижегородской области;
5) законы Нижегородской области, регламентирующие сферу ИБ (защиты информации), информации и информатизации;
6) акты Губернатора Нижегородской области и Правительства Нижегородской области, относящиеся к сфере ИБ (защиты информации), информации, информатизации, безопасности;
7) иные правовые акты, методические документы федерального, окружного и областного (муниципального) уровней, регулирующие отношения и вопросы в области ИБ (защиты информации), информации, информатизации, безопасности, информационных технологий.

3.6. Мероприятия по обеспечению информационной безопасности

3.6.1. Мероприятия, проводимые головными подразделениями по защите информации

3.6.1.1. Головными подразделениями по защите информации в рамках текущих подходов к построению и развитию системы ИБ Нижегородской области реализуются следующие группы мероприятий по обеспечению ИБ.

3.6.1.1.1. Головным подразделением по ТЗИ создана и ежегодно поддерживается в работоспособном состоянии защищённая корпоративная информационно-телекоммуникационная сеть ОИВ (далее - КСПД).
КСПД объединяет все ОИВ и ОМСУ. Подключение узлов организовано по волоконно-оптическим линиям, линии арендуются у провайдера услуг связи. КСПД используется для централизации каналов связи.
КСПД позволяет обеспечить безопасность конфиденциальной информации при ее передаче между участниками КСПД по выделенным каналам связи в соответствии с требованиями ФСБ России к средствам криптографической защиты, и существенно снизить расходы на использование каналов связи, в том числе за счет организованного унифицированного подключения к информационно-телекоммуникационной сети "Интернет" через единую точку доступа.
Назначение КСПД, подробная структура, состав, участники, функции КСПД определены Положением о КСПД, утвержденным постановлением Правительства Нижегородской области от 29 августа 2008 года № 365 "О корпоративной информационно-телекоммуникационной сети органов исполнительной власти Нижегородской области".

3.6.1.1.2. В рамках функционирования КСПД Головным подразделением по ТЗИ создан и ежегодно поддерживается (обеспечивается бесперебойное функционирование) в работоспособном состоянии центр обработки данных (далее - ЦОД) Головного подразделения по ТЗИ. ЦОД построен с применением технологий отказоустойчивости как на программном, так и на аппаратном уровне, а также аттестован по требованиям безопасности информации, что позволяет на его базе размещать любые ИС Субъектов до 1 (высшего) класса защищенности включительно и не создавать отдельные ЦОД каждым Субъектом, а также не арендовать их у коммерческих организаций.
ЦОД объединяет важные по своей социальной направленности государственные информационные системы Нижегородской области. Большинство данных ИС функционируют с применением облачных технологий.
В сочетании с КСПД ЦОД позволяет организовать гарантированное защищенное информационное взаимодействие участников КСПД между собой и с федеральными ИР, ИС.

3.6.1.1.3. Головными подразделениями по защите информации в соответствии с Положением о головных подразделениях по защите информации ОИВ, утвержденным распоряжением Губернатора Нижегородской области от 29 июля 2011 года № 1148-р, выполняются функции головных подразделений по защите информации по отношению к Субъектам, в ходе которых осуществляются выездные контрольные проверки подотчетных организаций, оказываются консультации по применению норм действующего законодательства в области ИБ (информации, информационных технологий и защиты информации, в том числе персональных данных) и т.д.

3.6.1.1.4. Головным подразделением по ТЗИ ежегодно организуется для назначенных специалистов по ИБ проведение обучающих курсов по ИБ (защите информации), не отнесенной к государственной тайне, по программам, согласованным ФСТЭК России, а также семинары на областных мероприятиях с участием представителей территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации.

3.6.1.1.5. Головным подразделением по ТЗИ периодически (при необходимости) проводятся совещания с УФСТЭК России по ПФО по вопросам применения действующего законодательства в области защиты информации, а также реализации решений Координационного Совета.
Заместитель Губернатора, заместитель Председателя Правительства Нижегородской области, к блоку которого относятся головные подразделения по защите информации при участии Головного подразделения по ТЗИ ежегодно принимает участие:
- в заседаниях Координационного Совета;
- в окружных сборах со специалистами структурных подразделений органов государственной власти субъектов Российской Федерации, являющихся головными по защите информации в субъектах Российской Федерации, в рамках которого субъекты Российской Федерации обмениваются опытом применения решений по обеспечению ИБ (защите информации).
В рамках крупных всероссийских форумов в области информационных и коммуникационных технологий представители Нижегородской области обмениваются опытом соблюдения требований к защите информации при эксплуатации важных ИС.

3.6.1.1.6. В целях максимального соблюдения требований действующего законодательства в сфере ИБ (защиты информации) Головным подразделением по ТЗИ осуществляется согласование технических заданий и проектов на создание (модернизацию) ИС ОИВ в части выполнения ими мероприятий по обеспечению ИБ в соответствии с распоряжением Губернатора Нижегородской области от 30 декабря 2011 года № 2036-р "Об утверждении регламента согласования технических заданий и проектов на создание информационных систем".
При этом такая процедура не исключает в установленных случаях необходимости проведения согласовательных процедур с федеральными органами исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации (в том числе территориальными). В случае предварительного отнесения ИС к категории ключевых, техническое задание на ее разработку (модернизацию) направляется в УФСТЭК России по ПФО на согласование в части соблюдения требований по безопасности информации, предъявляемых к ключевым системам информационной инфраструктуры.

3.6.1.1.7. Головным подразделением по ТЗИ с участием представителей ряда территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, и ОМСУ муниципальных образований Нижегородской области обеспечивается работа Совета Нижегородской области в соответствии с Положением о межведомственном техническом совете по защите информации Нижегородской области, утвержденным распоряжением Губернатора Нижегородской области от 6 февраля 2012 года № 140-р.

3.6.1.1.8. Головным подразделением по защите ГТ с участием ОИВ ведется работа ПДТК в соответствии с Положением о постоянно действующей технической комиссии (ПДТК) по защите государственной тайны в ОИВ, утвержденным распоряжением Правительства Нижегородской области от 17 августа 2006 года № 613-р "Об утверждении Положения о постоянно действующей технической комиссии по защите государственной тайны в органах исполнительной власти Нижегородской области".

3.6.1.1.9. Разработка правовой базы, определяющей порядок и правила функционирования системы ИБ Нижегородской области.
Разработана правовая база Нижегородской области, регулирующая следующие вопросы ИБ (защиты информации):
1) назначения сотрудников Органов на должности специалистов по технической защите информации;
2) особенности подключения государственных ИС Нижегородской области к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, устанавливающие "Требования по обеспечению целостности, устойчивости функционирования и безопасности ИС общего пользования" и "Требования о защите информации, содержащейся в ИС общего пользования";
3) правила использования электронной почты в ОИВ, утвержденные приказом министерства информационных технологий, связи и средств массовой информации от 26 февраля 2015 года №13-од, рекомендуемые для использования в ОМСУ, подведомственных Органам организациях, и устанавливающие правила защищенной передачи информации;
4) иные вопросы.

3.6.1.2. Выполняемые головными подразделениями по защите информации группы мероприятий представляет собой правовые, организационные и технические меры, направленные на создание, поддержание и развитие системы ИБ Нижегородской области. Указанные мероприятия проводятся в соответствии с требованиями действующего законодательства в сфере ИБ (информации, информационных технологий и защиты информации), решениями Совета Безопасности Российской Федерации и Координационного Совета.

3.6.2. Мероприятия, проводимые назначенными специалистами по ИБ

3.6.2.1. В целях обеспечения ИБ объектов защиты Субъектов назначенными специалистами по ИБ реализуется комплекс базовых мероприятий, определенных:
1) единым квалификационным справочником должностей руководителей, специалистов и служащих (раздел "Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации"), утвержденным приказом Минздравсоцразвития России от 22 апреля 2009 года №205 (для специалистов по защите информации, в том числе технической);
2) профессиональным стандартом "Специалист информационной безопасности" (для специалистов по ИБ и защите информации);
3) Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 года № 912-51 (для специалистов по технической защите информации);
4) иным действующим законодательством в сфере ИБ (информации, информационных технологий и защиты информации).

3.6.2.2. Дополнительно назначенными специалистами в зависимости от специфики работы Субъекта, использования объектов защиты и их объема выполняется комплекс иных мероприятий, необходимых для организации системы защиты в конкретном Субъекте.

3.6.2.3. Выполняемый назначенными специалистами комплекс мероприятий представляет собой правовые, организационные и технические меры, направленные на создание, поддержание и развитие системы ИБ каждого Субъекта. Указанные мероприятия проводятся в соответствии с требованиями действующего законодательства в сфере ИБ (информации, информационных технологий и защиты информации, в том числе персональных данных) однократно, периодически, по мере необходимости и (или) постоянно.

IV. Анализ состояния системы информационной безопасности Нижегородской области

4.1. Стадии обеспечения информационной безопасности


Анализ состояния системы ИБ Нижегородской области показывает степень успешности проводимых мероприятий по обеспечению ИБ при текущей системе ИБ Нижегородской области и выявляет проблемные области, требующие решения на современном этапе развития. Проблемные области представлены в настоящей Концепции в виде их проявления на следующих типичных для Субъектов стадиях обеспечения ИБ (далее - Стадии обеспечения ИБ, Стадии):

Стадия 1:

Планирование (подготовка) мероприятия по обеспечению ИБ;

Стадия 2:

Организация (проведение) процедур, направленных на:
- самостоятельную реализацию Субъектами мероприятий по обеспечению ИБ
или
- реализацию мероприятий по обеспечению ИБ посредством привлечения к их исполнению сторонних лиц: лицензиатов ФСТЭК России и (или) ФСБ России, посреднических и специализированных организаций для реализации мероприятий по обеспечению ИБ;

Стадия 3:

Реализация мероприятий по обеспечению ИБ


4.2. Проблемы, характерные для всех стадий
обеспечения информационной безопасности


4.2.1. Отсутствие должностей штатных специалистов по ИБ.

4.2.1.1. В большинстве Субъектов отсутствуют выделенные должности штатных специалистов по ИБ, организационно-штатная структура Субъектов не предусматривает наличие в штатном расписании отдельной должности специалиста по ИБ.

4.2.1.2. Основные причины существования проблемы:
1) отсутствие достаточного количества кандидатов, готовых работать в сфере ИБ (защиты информации) за предлагаемое вознаграждение в Субъекте;
2) наличие высоких требований к уровню образования специалистов по ИБ, а также к качеству их работы и уровнем ответственности за ее неисполнение (не качественное исполнение).

4.2.1.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.2. Назначение на должности нештатных специалистов по ИБ сотрудников иных профилей деятельности.

4.2.2.1. В структуре большинства Субъектов наблюдается назначение на должности специалистов по ИБ сотрудников иных профилей деятельности, не имеющих необходимо уровня образования для реализации Стадий обеспечения ИБ.

4.2.2.2. Основные причины существования проблемы:
1) отсутствие достаточного количества кандидатов, готовых работать в сфере ИБ (защиты информации) за предлагаемое вознаграждение в Субъектах;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.2.3. Следствия проблемы:
1) необходимость проведения обучения назначенных специалистов вопросам ИБ (защиты информации);
2) сложность в совмещении профильных и непрофильных обязанностей;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.3. Частая ротация назначенных специалистов по ИБ.

4.2.3.1. В структуре большинства Субъектов наблюдается частая ротация назначенных специалистов по ИБ.

4.2.3.2. Основные причины существования проблемы:
1) сложность для сотрудника иного профиля деятельности совмещать профильные обязанности и функции специалиста по ИБ в соответствии с требованиями к качеству его работы и уровнем ответственности за ее неисполнение (не качественное исполнение) (в случае возложения соответствующих непрофильных обязанностей);
2) неудовлетворенность своей работой, стресс: дополнительные обязанности не сопровождаются дополнительными выплатами (в случае возложения соответствующих непрофильных обязанностей);
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.3.3. Следствия проблемы:
1) затрачивание ресурсов на поиск (привлечение) нового сотрудника;
2) необходимость пересмотра внутренней системы ИБ Субъекта;
3) увеличение рисков при внедрении сложных ресурсоемких систем, нарушение преемственности технических и системных решений, а также принципов обеспечения ИБ;
4) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
5) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.4. Недостаточная квалификация назначенных специалистов по ИБ.

4.2.4.1. В большинстве Субъектов назначенные специалисты по ИБ не обладают достаточным уровнем квалификации (знания, навыки, опыт) в соответствии с требованиями действующего законодательства для исполнения возложенных на них обязанностей, что осложняет работу всей системы ИБ Нижегородской области.

4.2.4.2. Основные причины существования проблемы:
1) сложность в обеспечении назначенных специалистов необходимыми навыками и знаниями для реализации всех Стадий обеспечения ИБ ввиду недостаточного количества финансовых ресурсов, которые необходимо затратить на обучение указанных сотрудников, в том числе по причине высокой стоимости курсов обучения по необходимому направлению деятельности;
2) сложность в освоении программы обучения по направлению ИБ (защиты информации) сотрудниками иных профилей деятельности, на которых возложены узкоспециализированные функции, в случае направления их на обучение;
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.4.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.5. Недостаточная образовательная база в Нижегородской области.

4.2.5.1. На территории Нижегородской области недостаточно развита образовательная база по направлению "ИБ (защита информации)", что проявляется в следующем:
1) присутствуют единичные образовательные центры, способные осуществлять качественную подготовку и повышение квалификации специалистов данного профиля на территории Нижегородской области (г. Нижнего Новгорода) по указанному направлению по программам обучения, согласованным ФСТЭК России и (или) ФСБ России;
2) отсутствует возможность проведения переподготовки по указанному направлению по программам обучения, согласованным ФСТЭК России и (или) ФСБ России, на территории Нижегородской области.

4.2.5.2. Основные причины существования проблемы:
1) недостаточное внимание развитию направления информационной безопасности;
2) высокая стоимость обучения по указанному направлению деятельности.

4.2.5.3. Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.6. Формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ.

4.2.6.1. В деятельности ряда Субъектов наблюдается недостаточно активное участие назначенных специалистов по ИБ при реализации Стадий обеспечения ИБ. Наблюдается формальное отношение указанных специалистов и руководства Субъектов к вопросам ИБ.

4.2.6.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.6.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.7. Отсутствие единого ИТ-центра реализации Стадий обеспечения ИБ.

4.2.7.1. Текущей системой ИБ Нижегородской области не предусмотрено функционирование единого ИТ-центра. ИТ-центр для целей применения положений настоящей Концепции - это центр, позволяющий увязать в защищенной информационной сети (системе) все Стадии обеспечения ИБ и обеспечить единое организационно-методическое, оперативное консультационное, информационное, аналитическое, техническое обеспечение и цельный мониторинг состояния системы ИБ Нижегородской области.

4.2.7.2. Основная причина существования проблемы: отсутствие необходимых бюджетных ресурсов для организации и поддержания единого защищенного пространства, используемого в указанных целях.

4.2.7.3. Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.8. Отсутствие контроля всех Стадий обеспечения ИБ.

4.2.8.1. Отсутствует действенный контроль реализации Стадий обеспечения ИБ как со стороны головных подразделений по защите информации, так и со стороны Субъектов: практически посредством проверок осуществляется контроль только одной 3 Стадии, а для ряда Субъектов- только 2 Стадии.

4.2.8.2. Основные причины существования проблемы:
1) недостаточное количество трудовых ресурсов головных подразделений по защите информации, способных осуществлять действенный контроль за всеми Стадиями обеспечения ИБ;
2) отсутствие достаточных областных и федеральных правовых инструментов, позволяющих реализовать качественный контроль всех Стадий обеспечения ИБ (в частности, единой методики оценки эффективности проведения мероприятий по ИБ, затрагивающей качественные (социальные) аспекты, а не только показатель экономии финансовых ресурсов, и наоборот);
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.8.3. Следствие проблемы: проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.9. Отсутствие отчетности по всем Стадиям обеспечения ИБ.

4.2.9.1. В деятельности большинства Субъектов наблюдается сложность в оперативном и своевременном предоставлении отчетности головным подразделениям по защите информации, контрольно-надзорным органам, в том числе в ее предоставлении в электронном виде с применением электронной подписи в соответствии с требованиями Федерального закона от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи". Отсутствует сбор отчетности по 1 и 2 Стадиям обеспечения ИБ, поскольку на практике собирается отчетность только одной 3 Стадии.

4.2.9.2. Основные причины существования проблемы:
1) недостаточное ведение внутриведомственной отчетности;
2) отсутствие понятных правил и норм сбора конкретной отчетности;
3) отсутствие понятной формы (системы) сбора отчетности;
4) закрепление двойной (электронная и бумажная) работы по сбору отчетности;
5) появление новых форм сбора отчетности, под которые сложно адаптировать автоматизированные системы сбора отчетности;
6) отсутствие достаточных полномочий для сбора необходимой отчетности;
7) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.9.3. Следствия проблемы:
1) сложность в отслеживании фактического состояния системы ИБ Нижегородской области и каждой организации в отдельности, в том числе сложность в анализе и оценке результативности использования бюджетных средств на мероприятия по обеспечению ИБ, соблюдения правовой базы, достижения промежуточных и итоговых результатов, качества реализации мероприятий, а также в выработке предложений по принятию мер управляющего воздействия;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.10. Отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ.

4.2.10.1. В деятельности ряда Субъектов наблюдается отсутствие четкой и (или) присутствие слабой структуры организации процесса обеспечения ИБ (защиты информации) (отсутствует понимание, какой сотрудник за какие функции, направления, задачи и мероприятия отвечает, какие средства защиты применяются и где, и т.д.), а принимаемые решения выстраиваются с несоблюдением политики ИБ. Отсутствует и (или) присутствует недостаточное внутриведомственное взаимодействие между назначенными специалистами по ИБ и локальными администраторами, специалистами, ответственными за направление информатизации в Субъекте (при наличии), а также сотрудниками, ответственными за иные узкопрофильные направления деятельности Субъекта и использующими объекты защиты Субъекта.

4.2.10.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.2.10.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3. Проблемы, характерные для разных стадий
обеспечения информационной безопасности


СТАДИЯ 1:

4.3.1. Динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации).

4.3.1.1. Субъекты в основном эксплуатируют зарубежные средства защиты информации, компоненты ИС, программное обеспечение, технологии, программные продукты ввиду отсутствия аналогов на российском рынке. Поэтому они сталкиваются с проблемой ценообразования на проведение мероприятий по обеспечению ИБ, которая заключается в сложности планирования таких мероприятий с их стороны при нестабильной ситуации на ценовом рынке ИБ (защиты информации), в том числе в связи с динамикой курса мировых валют.

4.3.1.2. Основная причина существования проблемы: экономические, финансовые предпосылки, а также иные внешние искусственные факторы.

4.3.1.3. Следствия проблемы:
1) увеличение стоимости владения ИТ-инфраструктурой и ИС;
2) вероятность нарушения требований действующего законодательства по ИБ (защите информации) ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защите информации);
3) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защите информации);
4) неэффективное использование бюджетных ресурсов ввиду завышения Субъектами стоимости мероприятий по обеспечению ИБ при планировании в целях гарантированного удовлетворения своих потребностей;
5) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.2. Отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ.

4.3.2.1. В деятельности ряда Субъектов наблюдается отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ, в ходе которых определяются потребность в финансовых ресурсах и результаты их использования. Отсутствует стратегическое планирование мероприятий по обеспечению ИБ с учетом приоритетных направлений информатизации, задач модернизации и инновационного развития Нижегородской области и каждой организации в отдельности.

4.3.2.2. Основные причины существования проблемы:
1) поиск новых решений обеспечения ИБ в связи с появлением новых угроз ИБ;
2) общее отсутствие в деятельности Субъектов выработанного единого эффективного и действенного (налаженного) механизма регулирования текущей Стадии обеспечения ИБ (указанная Стадия регламентируется исключительно внутренними локальными актами (в том числе планами-графиками закупок), не имеющими зачастую единой стратегической цели для общей безопасности Нижегородской области), планирование и прогнозирование мероприятий по обеспечению ИБ осуществляется без участия головных подразделений по защите информации;
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.2.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) отсутствие возможности грамотно спланировать (подготовить) мероприятия по обеспечению ИБ и качественно реализовать все Стадии обеспечения ИБ;
3) ошибки в определении реальных потребностей в тех или иных мерах, средствах, системах защиты и, как следствие, неэффективное использование бюджетных средств: закупается зачастую не та продукция, которая действительно нужна, не в том объеме, который действительно необходим, осуществляются не те работы, которые действительно нужны в целях обеспечения ИБ Нижегородской области (Субъектов, их объектов защиты);
4) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.3. Сложность применения регулирующих норм назначенными специалистами по ИБ.

4.3.3.1. Назначенные специалисты по ИБ в большинстве Субъектов не имеют возможности четко ориентироваться в действующем законодательстве, регламентирующем сферу ИБ, что снижает уровень защищенности Субъектов и их объектов защиты, и значит, не способствует получению оптимальных результатов проводимых мероприятий по обеспечению ИБ и ведет к неэффективности (неработоспособности) всей системы ИБ Нижегородской области.

4.3.3.2. Основные причины существования проблемы:
1) периодическая доработка и изменение правовой базы сферы ИБ, в том числе в целях приведения законодательства Нижегородской области в соответствие с федеральным законодательством;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.3.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защите информации);
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.4. Несогласованность разработки актов в сфере ИБ (защиты информации).

4.3.4.1. В деятельности большинства Субъектов наблюдается несогласованность разработки актов в сфере ИБ (защиты информации) на областном уровне и на уровне Субъектов.

4.3.4.2. Основные причины существования проблемы:
1) отстаивание федеральных интересов, интересов Нижегородской области и интересов отдельных Субъектов;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.4.3. Следствия проблемы:
1) несоблюдение сроков согласований, затягивание принятия необходимых актов, регламентирующих сферу ИБ (защиты информации) в Нижегородской области;
2) сложность для выработки единой стратегии развития ИБ Нижегородской области, в том числе по ряду ключевых вопросов;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.
СТАДИЯ 2:

4.3.5. Подготовка некорректных документов для реализации мероприятий по обеспечению ИБ.

4.3.5.1. В большинстве случаев Субъекты формируют некорректные документы на мероприятия по обеспечению ИБ, содержащие:
1) ошибочные технические спецификации;
2) двусмысленные формулировки;
3) избыточные или недостаточные требования;
4) требования, установленные с нарушениями действующего законодательства;
5) требования, установленные без соблюдения действующих стандартов и т.д.

4.3.5.2. Основные причины существования проблемы:
1) недостаточная проработанность единого эффективного и действенного (налаженного) механизма регулирования текущей Стадии обеспечения ИБ (в частности подготовка технических заданий на мероприятия по созданию систем защиты осуществляется зачастую без участия головных подразделений по защите информации, а экспертиза технических заданий на указанные мероприятия проводится ими только для ОИВ);
2) игнорирование замечаний и рекомендаций Головного подразделения по ТЗИ при подготовке ОИВ мероприятий по обеспечению ИБ;
3) недостаточное информирование субъектов Российской Федерации федеральными органами исполнительной власти, внедряющими сегменты ИС в субъектах Российской Федерации, об архитектуре внедряемых ИС и требованиях к их защите, не предоставление необходимых документов на ИС для качественной реализации Стадий обеспечения ИБ и т.д.;
4) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.5.3. Следствия проблемы:
1) затруднение реализации особенно сложных и длительных проектов создания и внедрения средств, систем защиты, ИС, требующих концентрации и рационального использования ресурсов;
2) неэффективное использование выделенных бюджетных ресурсов, их несвоевременное освоение;
3) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
4) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.6. Отсутствие централизованного подхода при проведении однотипных мероприятий по обеспечению ИБ.

4.3.6.1. Для текущей системы ИБ Нижегородской области характерно, что каждый Субъект самостоятельно планирует и организует (реализует) однотипные мероприятия по обеспечению ИБ, в частности:
1) закупка однотипных средств защиты информации;
2) закупка однотипных аппаратных решений, программного обеспечения;
3) проведение однотипных правовых и организационных мероприятий.
Это требует отвлечения значительных временных, а зачастую и финансовых ресурсов, а качество реализации мероприятий по обеспечению ИБ в ряде Субъектов не соответствует минимально установленным действующим законодательством требованиям.

4.3.6.2. Основная причина существования проблемы: недостаточная проработанность единого эффективного и действенного (налаженного) механизма регулирования текущей Стадии обеспечения ИБ (в частности, не осуществляются централизованные закупки однотипных средств защиты информации, аппаратных решений, программного обеспечения и пр.).

4.3.6.3. Следствия проблемы:
1) излишнее неоправданное отвлечение временных ресурсов на разработку требований к однотипным мероприятиям по обеспечению ИБ;
2) неэффективное использование бюджетных ресурсов ввиду отсутствия централизованного подхода к проведению мероприятий по обеспечению ИБ;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.7. Корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ.

4.3.7.1. В Головное подразделение по ТЗИ поступают от ОИВ на рассмотрение документы на мероприятия по обеспечению ИБ. В ходе экспертизы технических заданий и (или) проектов на создание (модернизацию) ИС в части соблюдения требований по ИБ (защите информации) для каждого рассматриваемого документа Головным подразделением по ТЗИ выдаются замечания и рекомендации, подразумевающие его существенную корректировку в целях соблюдения действующего законодательства в сфере ИБ. В указанных целях экспертиза и корректировка проводится также в отношении документов, регламентирующих правовые мероприятия по обеспечению ИБ.

4.3.7.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.7.3. Следствия проблемы:
1) выявление Головным подразделением по ТЗИ фактов вероятного нарушения требований действующего законодательства, в ряде случаев - неэффективного расходования бюджетных ресурсов и заведомо не реализуемой, реализуемой не качественно последующей Стадии обеспечения ИБ;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.8. Не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ.

4.3.8.1. Отдельными ОИВ не соблюдается процедура согласования и экспертизы технических заданий и проектов на создание (модернизацию) ИС в части соблюдения ими требований по ИБ (защите информации), проводимая Головным подразделением по ТЗИ.

4.3.8.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.8.3. Следствие проблемы: проявление иных проблем, указанных на Схеме 2 раздела IV настоящей Концепции.

4.3.9. Не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством.

4.3.9.1. Большинством Субъектов в ходе создания (модернизации) объектов защиты Субъектов не предусматривается проведение мероприятий по обеспечению ИБ, обязательных к исполнению в соответствии с действующим законодательством.

4.3.9.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.9.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящее Концепции.
СТАДИЯ 3:

4.3.10. Отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ.

4.3.10.1. В деятельности ряда Субъектов наблюдается:
1) отсутствие (несвоевременное приобретение) средств защиты, необходимость установки (эксплуатации) которых в конкретных случаях определена действующим законодательством;
2) отсутствие необходимых документов по ИБ (защите информации) на объекты защиты Субъектов и внутренние системы ИБ Субъектов;
3) недостаточная оснащенность средствами и аппаратурой контроля эффективности защиты информации, правовыми и методическими документами в области защиты информации, а также сертифицированными средствами защиты информации;
4) реализация иных проблем, указанных на схеме 2 раздела IVнастоящей Концепции.

4.3.10.2. Основные причины существования проблемы:
1) недостаточная развитость рынка разработок (в том числе российских) в сфере информационных технологий, отсутствие достаточного количества надежных российских разработок средств защиты информации при курсе Правительства Российской Федерации на их использование, которые смогли бы ликвидировать (минимизировать) угрозы ИБ при тех или иных условиях эксплуатации объектов защиты Субъектов;
2) реализация иных проблем, указанных на схеме 2 раздела IVнастоящей Концепции.

4.3.10.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IVнастоящей Концепции.

4.3.11. Приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества.

4.3.11.1. В деятельности отдельных Субъектов наблюдается:
1) установка дублирующих по своему функционалу средств защиты информации и (или) ошибочных средств защиты информации;
2) преждевременное проведение работ, оказание (получение) услуг по ИБ (защите информации).

4.3.11.2. Основные причины существования проблемы:
1) недостаточное информирование субъектов Российской Федерации федеральными органами исполнительной власти, внедряющими сегменты ИС в субъектах Российской Федерации, об архитектуре внедряемых ИС и требованиях к их защите, не предоставление необходимых документов на ИС для качественной реализации Стадий обеспечения ИБ и т.д.;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.11.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба, в том числе из-за "закрытия" только одной и (или) нескольких из ряда возможных угроз;
2) неэффективное использование бюджетных ресурсов;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.12. Закупка однотипных средств защиты информации и ИТ-услуг по различным ценам.

4.3.12.1. При реализации мероприятий по обеспечению ИБ Субъектов приобретаются однотипные средства защиты информации и ИТ-услуги по различным ценам.

4.3.12.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.12.3. Следствия проблемы:
1) приобретение зачастую некачественной продукции;
2) зачастую неэффективное использование бюджетных и временных ресурсов;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.13. Недостаточная квалификация специализированных организаций, лицензиатов, посреднических организаций, реализующих мероприятия по обеспечению ИБ.

4.3.13.1. При реализации мероприятий по обеспечению ИБ в Субъектах к исполнению приступают недостаточно квалифицированные специализированные организации, лицензиаты, разработчики, посреднические организации.

4.3.13.2.Основные причины существования проблемы:
1) недостаточное наполнение российского трудового рынка квалифицированными специалистами в области ИБ (защиты информации), работающими на стороне предложения;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.13.3.Следствия проблемы:
1) зачастую неэффективное использование бюджетных ресурсов;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.14. Невыполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

4.3.14.1. НекоторымиСубъектами не выполняются мероприятия по обеспечению ИБ или несвоевременно и некачественно исполняются.

4.3.14.2. Основные причины существования проблемы:
1) затягивание предыдущих Стадий обеспечения ИБ;
2) непрогнозируемые причины внешнего характера, которые невозможно предвидеть заранее;
3) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.14.3. Следствия проблемы:
1) неэффективное использование бюджетных ресурсов;
2) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
3) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.15. Отсутствие должного внутреннего контроля.

4.3.15.1.Со стороны большинства Субъектов наблюдается отсутствие контроля за выполнением мероприятий по обеспечению ИБ, реализуемых специализированными организациями, лицензиатами, разработчиками, посредническими организациями.

4.3.15.2.Основные причины существования проблемы:
1) недостаточное количество специалистов по ИБ, способных одновременно контролировать выполнение мероприятий по обеспечению ИБ и выполнять иные функции;
2) реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.15.3.Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
2) проявление иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.16. Низкая эффективность внутренней системы ИБ Субъектов.

4.3.16.1. В ряде Субъектов наблюдается недостаточная мощь текущей внутренней системы ИБ, в том числе отсутствие четкой структуры организации процесса обеспечения ИБ (защиты информации).

4.3.16.2. Основная причина существования проблемы: реализация иных проблем, указанных на схеме 2 раздела IV настоящей Концепции.

4.3.16.3. Следствие проблемы: высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба.

4.4. Проблемы ит-инфраструктуры

4.4.1. Устаревшее ИТ-оборудование, программное обеспечение.

4.4.1.1. В ряде Субъектов эксплуатируемое ИТ-оборудование и программное обеспечение является физически и морально устаревшим, и требует замены, что подрывает ИБ Нижегородской области (Субъектов) и оказывает негативное влияние на качественную реализацию Стадий обеспечения ИБ.

4.4.1.2. Основные причины существования проблемы:
1) отсутствие необходимых бюджетных ресурсов на приобретение современного ИТ-оборудования и программного обеспечения;
2) последствия планирования информатизации Нижегородской области (Субъектов);
3) отсутствие назначенных в ряде Субъектов специалистов, занимающихся вопросами информатизации, в том числе разработки и внедрения ИС.

4.4.1.3. Следствия проблемы:
1) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
3) низкая работоспособность, высокая стоимость обслуживания, невозможность эксплуатации на базе текущего ИТ-оборудования и программного обеспечения ИС различного уровня сложности и классов защищенности;
3) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.

4.4.2. Разнородная аппаратно-программная среда.

4.4.2.1. В деятельности большинства Субъектов наблюдается разнородная аппаратно-программная среда, которая характеризуется разнородностью используемых, в том числе для функционирования ИС, технических средств, базовых программных средств, средств разработки и средств защиты информации, наличием разных версий программного обеспечения (программных продуктов), отсутствием компонентов интеграции и т.д.

4.4.2.2. Основные причины существования проблемы:
1) применяются решения, необходимые для реализации функций конкретного Органа, что является неприменимым или избыточным для другого Органа;
2) разный масштаб финансирования для разных организаций на мероприятия информатизации и обеспечения ИБ;
3) общее отсутствие в деятельности Нижегородской области (Субъектов) выработанного единого эффективного и действенного (налаженного) механизма регулирования вопроса построения единообразной аппаратно-программной среды;
4) действующее законодательство, которое не запрещает применять различные аппаратно-программные решения;
5) непрогнозируемые причины внешнего характера, которые невозможно предвидеть заранее;
6) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.

4.4.2.3. Следствия проблемы:
1) неоправданность инвестиций в ряде случаев;
2) повышенные требования к кадровому обеспечению в части обеспечения беспроблемного функционирования аппаратно-программной среды;
3) увеличение стоимости владения ИТ-инфраструктурой в каждой отдельной организации;
4) сложности проведения единой стратегии (политики) ИБ и централизации функций по ИБ (защите информации);
5) сложность в развитии комплексного подхода к автоматизации в защищенном исполнении деловых процессов;
6) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.

4.4.3. Программные продукты с закрытым кодом.

4.4.3.1. Большинством Субъектов внедряются программные продукты (например, ИС и их составляющие) с закрытым кодом.

4.4.3.2. Основные причины существования проблемы:
1) недостаточное внутриведомственное взаимодействие между назначенным специалистом по ИБ, локальным администратором и сотрудником, занимающимся вопросами информатизации в конкретном Субъекте;
2) требования разработчиков программных продуктов;
3) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.

4.4.3.3. Следствия проблемы:
1) увеличение стоимости владения ИТ-инфраструктурой в каждой отдельной организации;
2) снижение уровня ИБ и высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
3) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ.

4.4.4. Отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД).

4.4.4.1. В деятельности большинства Субъектов наблюдается отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД).

4.4.4.2. Основные причины существования проблемы:
1) отсутствие необходимых бюджетных ресурсов;
2) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.

4.4.4.3. Следствия проблемы:
1) самостоятельная техническая поддержка и обслуживание вычислительного комплекса каждого отдельного Субъекта;
2) увеличение риска потери информации, нарушения ее целостности и доступности;
3) снижение общих показателей надежности и безопасности ИС;
4) высокая вероятность реализации угроз ИБ и, как следствие, причинение ущерба;
5) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.

4.4.5. Ограниченные возможности развития ИТ-инфраструктуры.

4.4.5.1. Текущее состояние ИТ-инфраструктуры ряда Субъектов не позволяет в необходимой степени развить вычислительные комплексы (в том числе разместить ИС с новой архитектурой и функциональными возможностями) и "гибко" применять механизмы ИБ (защиты информации).

4.4.5.2. Основные причины существования проблемы:
1) отсутствие необходимых бюджетных ресурсов;
2) недостаточность кадровых ресурсов с необходимым уровнем квалификации для создания необходимой ИТ-инфраструктуры в Нижегородской области (Субъектах);
3) степень развития рынка ИТ-продукции и ИТ-услуг на момент создания ИТ-инфраструктуры;
4) не применение перспективного планирования и прогнозирования;
5) текущие проблемы ИТ-инфраструктуры Нижегородской области;
6) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.

4.4.5.3. Следствия проблемы:
1) сложность применения комплексных решений ИБ (защиты информации) в Субъектах;
2) вероятность нарушения требований действующего законодательства по ИБ (защите информации) ввиду не исполнения (несвоевременного исполнения) требований по ИБ (защите информации) из-за необходимости модернизации ИТ-инфраструктуры;
3) дополнительные инвестиции в перестройку действующих ИС и их систем ИБ (защиты информации) и, как следствие, проведение повторного цикла Стадий обеспечения ИБ с необходимостью выделения дополнительных финансовых ресурсов;
4) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области.

4.4.6. Отсутствие централизованного обслуживания и управления.

4.4.6.1. В деятельности Субъектов на областном и муниципальном уровнях не применяются механизмы обслуживания и управления из единого центра, которые бы позволили осуществлять контроль и мониторинг за безопасным функционированием ИС Субъектов, применением мер ИБ (защиты информации).

4.4.6.2. Основные причины существования проблемы:
1) недостаточное финансирование расходов на поддержание мощного ресурса централизованного обслуживания и управления на областном и муниципальном уровнях;
2) недостаточность кадровых ресурсов с необходимым уровнем квалификации для осуществления обслуживания и управления из единого центра;
3) текущие проблемы ИТ-инфраструктуры Нижегородской области;
4) рассогласованность межведомственных интересов;
5) последствия некачественного планирования, организации и реализации информатизации Субъектов и Стадий обеспечения ИБ.

4.4.6.3. Следствия проблемы:
1) снижение эффективности работы ИТ-подразделений (структурных подразделений по ИБ) Субъектов и всей системы ИБ Нижегородской области;
2) увеличение совокупной стоимости владения ИТ-инфраструктурой.

4.5. Оценка проблем обеспечения информационной безопасности

4.5.1. В Таблице 1 подраздела 4.5 раздела IV настоящей Концепции приведена общая оценка вышеуказанных проблем по их степени значимости (критичности) для системы ИБ Нижегородской области. Применена следующая система оценки по возрастанию степени значимости (критичности) проблем для системы ИБ Нижегородской области:

1 балл:

Существование данной проблемы в наименьшей степени оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области

2 балла:

Существование данной проблемы оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области, но может в быстрой степени перекрываться проведением дополнительных мероприятий

3 балла:

Существование данной проблемы в средней степени оказывает влияние на уровень ИБ Нижегородской области и на успешное развитие системы ИБ Нижегородской области и может быть исключено проведением дополнительных мероприятий

4 балла:

Существование данной проблемы приближает уровень ИБ Нижегородской области к критическому значению и сопровождается негативным и последствиями в степени выше среднего

5 баллов:

Существование данной проблемы указывает на максимальный уровень критичности (значимости), сильно сказывается на уровне ИБ Нижегородской области и на успешном развитии системы ИБ Нижегородской области, а также может привести к значительному ущербу при реализации угроз ИБ




Таблица 1

Наименование проблем

Оценка в баллах

1

2

3

4

5

ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ ВСЕХ СТАДИЙ

Отсутствие должностей штатных специалистов по ИБ

V

Назначение на должности нештатных специалистов по ИБ сотрудников иных профилей деятельности

V

Частая ротация назначенных специалистов по ИБ

V

Недостаточная квалификация назначенных специалистов по ИБ

V

Недостаточная образовательная база в Нижегородской области

V

Формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ

V

Отсутствие единого ИТ-центра реализации Стадий обеспечения ИБ

V

Отсутствие контроля всех Стадий обеспечения ИБ

V

Отсутствие достаточной отчетности

V

Отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ

V

ПРОБЛЕМЫ, ХАРАКТЕРНЫЕ ДЛЯ РАЗНЫХ СТАДИЙ

1 Стадия:

Динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации)

V

Отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ

V

Сложность применения регулирующих норм назначенными специалистами по ИБ

V

Несогласованность разработки правовых актов в сфере ИБ (защиты информации)

V

2 Стадия:

Подготовка некорректных документов для реализации мероприятий по обеспечению ИБ

V

Отсутствие централизованного подхода при проведении однотипных мероприятий по обеспечению ИБ

V

Корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ

V

Не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ

V

Не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством

V

3 Стадия:

Отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ

V

Приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества

V

Закупка однотипных средств защиты информации и ИТ-услуг по различным ценам

V

Недостаточная квалификация специализированных организаций, лицензиатов, посреднических организаций, реализующих мероприятия по обеспечению ИБ

V

Не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение

V

Отсутствие должного внутреннего контроля

V

Низкая эффективность внутренней системы ИБ Субъектов

V

ПРОБЛЕМЫ ИТ-ИНФРАСТРУКТУРЫ

Устаревшее ИТ-оборудование, программное обеспечение

V

Разнородная аппаратно-программная среда

V

Программные продукты с закрытым кодом

V

Отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД)

V

Ограниченные возможности развития ИТ-инфраструктуры

V

Отсутствие централизованного обслуживания и управления

V


4.5.2. Проблемы Стадий обеспечения ИБ создают барьеры, в том числе искусственные, не только для функционирования самих Субъектов и выполнения ими мероприятий по обеспечению ИБ, но и для развития отношений с субъектами сферы ИБ Нижегородской области, а их существование свидетельствует о необходимости совершенствования действующей в Нижегородской области правовой и технической баз и развития системы ИБ Нижегородской области.

Схема 2



Об утверждении Концепции информационной безопасности Нижегородской области



V. Содержание развития системы информационной безопасности Нижегородской области

V. Содержание развития системы
информационной безопасности Нижегородской области

5.1.Общие положения

5.1.1. Анализ текущих проблем (недостатков), описание структурных элементов системы ИБ Нижегородской области показывают, что текущая система на сегодняшний день использует свой потенциал не в полную силу и требует развития.

5.1.2. Основной идеей развития является создание условий более высокого уровня для функционирования системы ИБ Нижегородской области, а именно: совокупности норм, процедур и правил, обеспечивающих единый цикл организации мероприятий по обеспечению ИБ и регулирующих отношения на разных Стадиях обеспечения ИБ. Целью является исполнение Субъектами на необходимом в соответствии с действующим законодательством уровне требований по ИБ (защите информации), нейтрализация угроз ИБ (защиты информации) и общее повышение качества обеспечения ИБ за счет реализации системного подхода к мероприятиям по обеспечению ИБ.

5.1.3. Общая идея системного подхода заключается в необходимости реализации субъектами системы ИБ Нижегородской области каждой Стадии обеспечения ИБ сообщав целях обеспечения ими минимизации риска приобретения некачественной и (или) незащищенной продукции (средств защиты информации, ИС и пр.) и обслуживания, и его отрицательного воздействия, получения максимальной выгоды (качества, результата) от реализации мероприятий по обеспечению ИБ при удовлетворении потребностей структур обеспечения системы ИБ Нижегородской области в части получения ими выгоды от реализации продукции (средств защиты информации, ИС и пр.), расширения рынка сбыта (оказания услуг, выполнения работ), повышения престижа и доверия. Субъектам необходимо исключить формальный подход к вопросам ИБ.

5.1.4. Содержание развития системы ИБ Нижегородской области определяется направлениями и задачами, направленными на достижение целей защиты и нейтрализации угроз ИБ (безопасности информации). Стратегические направления и текущие задачи формируются с учетом интересов Нижегородской области в сфере ИБ.

5.1.5. Приоритетные направления развития и задачи могут находить детальное отражение в актах Губернатора Нижегородской области и Правительства Нижегородской области, головных подразделений по защите информации и Субъектов, могут корректироваться и дополняться при необходимости и с учетом выявления изменений в угрозах ИБ.

5.2. Обеспечение безопасности объектов защиты

5.2.1. В части обеспечения безопасности объектов защиты Субъектов, как уже созданных (эксплуатируемых), так и создаваемых на территории Нижегородской области, определены следующие приоритетные направления и задачи развития.

5.2.2. Направление 1 - повышение уровня профессиональной подготовки.

5.2.2.1. Учитывая, что основной причиной недостатков в системе ИБ Нижегородской области является недостаточный уровень укомплектованности и подготовленности назначенных специалистов по ИБ, следует, что профессиональная компетентность таких специалистов позволяет повысить эффективность проведения мероприятий по обеспечению ИБ и уровень защищенности (ИБ) Нижегородской области, обеспечить четкое выполнение и соблюдение норм в сфере ИБ. Важно совершенствовать уровень подготовки специалистов по ИБ. Необходимо двигаться в направлении по исключению ошибок, источником которых является человеческий фактор.

5.2.2.2. Определены следующие основные задачи в рамках данного направления:
1) в качестве постоянной меры: осуществление централизованной подготовки назначенных специалистов по ИБ путем проведения для них специалистами головных подразделений по защите информации семинаров-консультаций по темам планирования, организации и реализации мероприятий по обеспечению ИБ (далее - семинары-консультации), в том числе через единую информационную систему по ИБ, создаваемую в соответствии с пунктом 5.2.9.3 подраздела 5.2 раздела V настоящей Концепции (далее - ИАС), в целях исключения ошибок данных групп Субъектов на всех Стадиях обеспечения ИБ;
2) в качестве периодической меры:

2.1) осуществление подготовки специалистов по ИБ по профильной учебной программе, согласованной ФСТЭК России и (или) ФСБ России, в рамках курсов повышения квалификации и (или) профессиональной переподготовки, а также с применением дистанционного формата обучения для специалистов ОМСУ, удаленных от Нижнего Новгорода;

2.2) привлечение территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, к участию в семинарах-консультациях;

2.3) привлечение специалистов других субъектов Российской Федерации к участию в семинарах-консультациях в целях обмена опытом по реализации мероприятий обеспечению ИБ;

2.4) разработка головными подразделениями по защите информации авторских обучающих курсов для специалистов по ИБ;
3) становление группы профессионалов в сфере ИБ: создание объединений специалистов в сфере ИБ (объединение в единую группу квалифицированных специалистов и специалистов, которым не хватает квалификации, реализация централизованного профессионального разрешения возникающих проблем с принятием единых решений и значительное повышение уровня правовой культуры назначенных специалистов), в том числе через ИАС;
4) развитие образовательной базы на территории Нижегородской области, реализующей разноуровневое обучение по направлению "ИБ (защита информации)" через проведение курсов повышения квалификации, переподготовки и получения высшего профессионально образования, в том числе через реализацию направления целевой контрактной подготовки.

5.2.2.3. Полностью или частично решаемые проблемы:
1) частая ротация назначенных специалистов по ИБ;
2) недостаточная квалификация назначенных специалистов по ИБ;
3) формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;
4) отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ;
5) недостаточная образовательная база в Нижегородской области;
6) несогласованность разработки актов в сфере ИБ (защиты информации);
7) подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;
8) корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;
9) не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ;
10) не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;
11) отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;
12) приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;
13) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;
14) отсутствие должного внутреннего контроля.

5.2.3. Направление 2 - развитие КСПД.

5.2.3.1. Ввиду успешного и выгодного использования ОИВ и рядом ОМСУ КСПД необходимо приобщать к ее ресурсам неподключенные ОМСУ, подведомственные Органам организации (при наличии необходимости).

5.2.3.2. Определены следующие основные задачи в рамках данного направления:
1) подключение к КСПД:
- неподключенных ОМСУ Нижегородской области;
- подведомственных Органам организаций (при наличии необходимости);
- организаций, содержащих экономически и стратегически важную информацию;
2) определение перечня подключаемых ОМСУ и Организаций. Подключение осуществляется через узлы доступа к КСПД Органов в случае подключения подведомственной им организации.

5.2.3.3. Реализуемые преимущества:
1) повышение безопасности ИС (сетей связи) ОМСУ и подведомственных Органам организаций, содержащих экономически и стратегически важную информацию;
2) безопасность ИС ОМСУ и подведомственных Органам организаций при осуществлении международного информационного обмена посредством ИС, сетей и сетей связи, включая информационно-телекоммуникационную сеть "Интернет";
3) создание цельного защищенного пространства при передаче информации ограниченного доступа среди бюджетных учреждений Нижегородской области, реализующих государственные функции;
4) обеспечение необходимого уровня защиты каналов связи при передаче информации между Субъектами.

5.2.4. Направление 3 - централизация мероприятий по обеспечению ИБ.

5.2.4.1. Соединение в одном Субъекте функций, исполняемых им в части ИБ, приводит к его функциональной перегрузке и снижает эффективность исполнения его профильных государственных (муниципальных) функций. А ввиду отсутствия достаточного числа высококвалифицированных и опытных специалистов по ИБ на сегодняшний день в Нижегородской области, и слабой возможности сосредоточить в каждом Субъекте профессионалов в сфере ИБ (защиты информации), необходимо проводить мероприятия по выстраиванию механизма централизации реализации Стадий обеспечения ИБ на базе существующих головных подразделений по защите информации.

5.2.4.2. Определены следующие основные задачи в рамках данного направления:
1) выстраивание полноценной централизованной организационно-функциональной структуры в соответствии с пунктом 5.2.4.3 подраздела 5.2 раздела V настоящей Концепции;
2) централизация ИТ-инфраструктуры в соответствии с пунктом 5.2.4.4 подраздела 5.2 раздела V настоящей Концепции;
3) лицензирование организации в соответствии с пунктом 5.2.4.5 подраздела 5.2 раздела V настоящей Концепции.

5.2.4.3. Задача 1 - выстраивание полноценной централизованной организационно-функциональной структуры.

5.2.4.3.1. Масштабность, сложность и разнообразие функций системы ИБ Нижегородской области требуют упрочнения иерархической организационной структуры, обеспечивающей должное функционирование ряда составляющих системы ИБ Нижегородской области. Вопрос организации внутренней организационно-функциональной структуры Субъектов и повышение качества работы их отдельных структурных подразделений (специалистов, задействованных в процессах использования объектов защиты и обеспечения их безопасности) является актуальным.

5.2.4.3.2. В рамках данного направления определена необходимость усиления системы ИБ Нижегородской области за счет развития текущей системы ИБ Нижегородской области путем реализации следующих основных подзадач в рамках данной задачи:
1) придание головным подразделениям по защите информации и ряду Органов роли уполномоченного органа (далее - Уполномоченный орган). Уполномоченный орган - это ОИВ или ОМСУ, уполномоченный на осуществление части функций по обеспечению ИБ и (или) построению ИТ-инфраструктуры для других Субъектов своего уровня власти и подчиненности, передаваемых по соответствующему соглашению и (или) правовому акту, не противоречащих действующему законодательству (централизованная форма обеспечения ИБ), и включающих в себя правовые, организационные и (или) технические мероприятия в рамках планирования, организации и (или) реализации мероприятий по обеспечению ИБ (далее - Уполномоченный орган областного уровня (для ОИВ), Уполномоченный орган муниципального уровня (для ОМСУ));
2) усиление позиции Головного подразделения по ТЗИ как Уполномоченного органа (специализированной структуры) в части наделения его следующими дополнительными полномочиями по отношению к Субъектам (областного и муниципального уровней (по согласованию)), а именно:

2.1) в части планирования и прогнозирования:
- комплексное (стратегическое и оперативное) управление системой (мероприятиями) ИБ Нижегородской области;
- формирование и периодическая актуализация сводных перечней объектов защиты каждого Субъекта в целях определения наиболее важных и уязвимых объектов защиты Субъектов;
- комплексное прогнозирование мероприятий по обеспечению ИБ и расходов на их реализацию;
- согласование планов мероприятий по обеспечению ИБ с установленными приоритетами и стратегическими планами развития нижегородской (российской) технологической базы, с программами развития Нижегородской области;
- определение приоритетов обеспечения ИБ Нижегородской области, включающих перечень мероприятий, которые должны быть проведены в первую очередь и для реализации каких функций в определенных прикладных сферах деятельности;

2.2) в части организации:
- обеспечение взаимодействия разных субъектов системы ИБ Нижегородской области между собой, в том числе, в целях стабилизации и инновационного развития Нижегородской области;
- обобщение информации об однотипном спросе, формируемом разными Субъектами как заказчиками мероприятий по обеспечению ИБ в части закупки продукции (средств защиты информации), работ и услуг по обеспечению ИБ (защите информации);
- оказание помощи Органам в разработке технических заданий (проектов) на системы защиты создаваемых (модернизируемых) ИС, системы защиты иных объектов защиты Субъектов до направления их на экспертизу и согласование в установленном порядке;

2.3) в части реализации:
- управление рисками при осуществлении мероприятий по обеспечению ИБ;
- централизованный мониторинг и контроль обеспечения ИБ в соответствии с пунктом 5.2.9.4 подраздела 5.2 раздела V настоящей Концепции;
- контроль в рамках своей компетенции за централизацией мероприятий по обеспечению ИБ, выполнением Стадий обеспечения ИБ;
- участие в качестве членов комиссий в контрольных проверках подведомственных Органам организаций совместно с Органами;
- участие в качестве членов комиссий, создаваемых Субъектами, для реализации мероприятий по обеспечению ИБ;
- осуществление необходимых мер по защите Субъектов от проникновения к ним некачественных информационных продуктов и средств защиты информации в рамках своей компетенции;
4) организационное выделение деятельности по ИБ (защите информации) в самостоятельную службу (отдел, подразделение) Субъекта или выделение соответствующих штатных должностей (штатных единиц) по ИБ (защите информации) в Субъекте вместо вынужденного наделения соответствующими полномочиями (с одновременным закреплением ответственности за их реализацию) сотрудника или группы сотрудников, которые отвечали бы за действия по ИБ (защите информации) в дополнение к своим прямым обязанностям иного профиля;
5) назначение в Субъектах специалистов, ответственных за направление информатизации, в дополнение к должности локальных (системных) администраторов и специалистов по ИБ в целях комплексного проведения работ по обеспечению ИБ (защите информации) и согласованности действий каждой из указанных групп специалистов, а также согласование специалистами по ИБ технических заданий и проектов на создание (модернизацию) ИС и иных объектов защиты Субъекта в случае их разработки специалистом по информатизации и (или) локальным (системным) администратором;
6) разделение функций по защите информации, не отнесенной к государственной тайне, и по защите информации, содержащей сведения, составляющие государственную тайну, между разными специалистами по ИБ Субъекта;
7) систематическое привлечение специалистами по ИБ Субъектов к участию в мероприятиях по обеспечению ИБ своих сотрудников, задействованных в процессах по использованию (созданию) объектов защиты, в целях комплексного проведения работ по обеспечению ИБ (защите информации) и согласованности действий каждой из указанных групп специалистов;
8) проведение мероприятий (создание мотивационных рычагов влияния), направленных на привлечение и удержание специалистов по ИБ в Субъектах;
9) усиление координирующей, методической, контрольной роли структурных подразделений (специалистов) по ИБ Органов по вопросам обеспечения ИБ (защиты информации) в отношении подведомственных им организаций.

5.2.4.3.3. Полностью или частично решаемые проблемы:
1) отсутствие должностей штатных специалистов по ИБ;
2) назначение на должности специалистов по ИБ сотрудников иных профилей деятельности;
3) частая ротация назначенных специалистов по ИБ;
4) отсутствие контроля всех Стадий обеспечения ИБ;
5) отсутствие достаточной отчетности;
6) отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ;
7) отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ;
8) подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;
9) корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;
10) не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ;
11) не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;
12) отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;
13) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;
14) отсутствие должного внутреннего контроля;
15) закупка однотипных средств защиты информации и ИТ-услуг по различным ценам;
16) устаревшее ИТ-оборудование, программное обеспечение;
17) разнородная аппаратно-программная среда;
18) программные продукты с закрытым кодом;
19) ограниченные возможности развития ИТ-инфраструктуры.

5.2.4.4. Задача 2 - централизация ИТ-инфраструктуры.

5.2.4.4.1. Ввиду распределенного размещения ИС Нижегородской области в ряде случаев на разном по своим техническим и функциональным параметрам оборудовании без необходимых защитных мер при эксплуатации необходимо двигаться в направлении по своевременному решению вопроса повышения централизованной управляемости ИС и применения единого механизма обеспечения защиты информации.

5.2.4.4.2. Определены следующие основные подзадачи в рамках данной задачи:
1) совершенствование инфраструктуры единого защищенного информационного пространства Нижегородской области путем построения (развития) защищенного центра обработки данных Правительства Нижегородской области на базе ЦОД Головного подразделения по ТЗИ и (или) ЦОД иных ОИВ в целях обеспечения накопления, сохранности и эффективного использования объектов защиты;
2) включение локальных и совместно используемых средств вычислительной техники - центров обработки данных (серверных помещений), в единую ИТ-инфраструктуру хранения и обработки данных. Формирование централизованной ИТ-инфраструктуры, исходя из критерия совокупного сокращения бюджетных расходов Субъектов на закупки и аренду аппаратного оборудования. Учет особенностей территориального расположения Субъектов и уровень проникновения каналов связи, пригодных для использования удаленного центра обработки данных. Развитие интегрированной вычислительной и сетевой среды, совместно используемой Субъектами;
3) выстраивание механизма безопасного функционирования ИС Субъектов на базе центра обработки данных Правительства Нижегородской области;
4) обеспечение Головного подразделения по ТЗИ необходимыми трудовыми и финансовыми ресурсами для поддержания бесперебойного функционирования центра обработки данных Правительства Нижегородской области;
5) предоставление ресурсов центра обработки данных Правительства Нижегородской области для размещения ИС Субъектов, не подразумевающее под собой абсолютный перенос всех ИС и ИР Субъектов в ЦОД Головного подразделения по ТЗИ. Стоит проводить разумную грань при принятии тех или иных решений, оценивая риски и угрозы ИБ для каждого конкретного случая.

5.2.4.4.3. Реализуемые преимущества:
1) достаточно гибкая и мощная ИТ-инфраструктура центра обработки данных Правительства Нижегородской области в сравнении с ИТ-инфраструктурой каждого отдельного Субъекта, что дает дополнительные преимущества:
- обеспечивается консолидация и эффективное использование вычислительных ресурсов и данных, входящих в состав информационного обеспечения ИС;
- обеспечивается решение конкретных текущих и перспективных задач, порождаемых изменяющимися и возникающими административными процессами;
- упрощается решение задач по обеспечению безопасности, достоверности и целостности данных;
2) консолидация ресурсов для создания полноценной защищенной ИТ-инфраструктуры в целях проведения мероприятий по обеспечению ИБ, в том числе размещения ИС Субъектов;
3) унификация информационного (программного, технического) обеспечения;
4) оперативное управление ИР, ИС Субъектов;
5) проведение единой политики в сфере ИБ Нижегородской области при разработке, внедрении, эксплуатации и совершенствовании ИС Субъектов;
6) обеспечение в соответствии с требованиями действующего законодательства необходимого уровня ИБ;
7) построение объединенных хранилищ данных (централизация данных в пределах единой ИТ-инфраструктуры центра обработки данных Правительства Нижегородской области).

5.2.4.4.4. Полностью или частично решаемые проблемы:
1) частая ротация назначенных специалистов по ИБ;
2) отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;
3) приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;
4) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;
5) разнородная аппаратно-программная среда;
6) отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД);
7) ограниченные возможности развития ИТ-инфраструктуры;
8) отсутствие централизованного обслуживания и управления.

5.2.4.5. Задача 3 - лицензирование организации, осуществляющей комплекс работ по обеспечению ИБ (защиты информации, не отнесенной к государственной тайне) для Субъектов.

5.2.4.5.1. Необходимо создание (поддержание) государственной бюджетной организации или организации, в уставном (складочном) капитале которой доля (вклад) Нижегородской области составляет 50% (пятьдесят процентов) и более, и расположенной на территории Нижегородской области, которая на основании лицензий ФСТЭК России (ФСБ России) будет осуществлять комплекс работ по обеспечению ИБ (защиты информации, не отнесенной к государственной тайне) для Субъектов, на осуществление которых требуется специальное право (лицензия).

5.2.4.5.2. Преимущества:
1) контроль указанной организации и ее ресурсов со стороны Правительства Нижегородской области, головных подразделений по защите информации;
2) быстрое (упрощенное, своевременное) взаимодействие указанной организации с ОИВ и государственными бюджетными учреждениями Нижегородской области в процессе обеспечения ИБ;
3) сосредоточение единых ресурсов для обеспечения ИБ в Субъектах в одной указанной организации;
4) возврат вложенных в указанную организацию бюджетных средств за счет поступления налогов от деятельности указанной организации в областной бюджет.

5.2.4.5.3. Полностью или частично решаемые проблемы:
1) динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации);
2) недостаточная квалификация специализированных организаций, лицензиатов, посреднических организаций, реализующих мероприятия по обеспечению ИБ;
3) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.2.5. Направление 4 - использование в деятельности Субъектов продуктов и услуг российских ИТ-компаний и облачных технологий.

5.2.5.1. В рамках данного направления необходимо осуществлять переход на использование в деятельности Субъектов продуктов и услуг только российских компаний, на базе которых обеспечивать внедрение разнопрофильных программ и ИС Нижегородской области, а также на приоритетное использование российских облачных технологий при эксплуатации ИС, ИР. Необходимо стремится к отказу в использовании Субъектами зарубежных средств защиты информации и информатизации по мере создания конкурентоспособных нижегородских (российских) средств защиты информации, средств информатизации.

5.2.5.2. Определены следующие основные задачи в рамках данного направления:
1) развитие нижегородского производства аппаратных и программных средств защиты информации в соответствии с пунктом 5.2.5.4 подраздела

5.2 раздела V настоящей Концепции;
2) защита нижегородских разработчиков и исполнителей в соответствии с пунктом 5.2.5.5 подраздела 5.2 раздела V настоящей Концепции;
3) при соблюдении норм действующего законодательства в сфере закупок и защиты конкуренции, а также с учетом материалов и информации, предоставленных федеральным уровнем, рассмотрение вопроса о возможности разработки и издания на областном уровне правовых актов (программ, планов), направленных на переход на использование в деятельности Субъектов продуктов и услуг только российских ИТ-компаний;
4) в случае использования облачных технологий необходимо обращать внимание на оказание услуг облачных вычислений российскими юридическими лицами, облачная инфраструктура которых находится на территории Российской Федерации, и преимущественно Нижегородской области, на наличие законных прав у таких лиц для оказания данных услуг, а также на обязательность соблюдения и обеспечения при оказании данных услуг законодательно установленных требований по ИБ.

5.2.5.3. Полностью или частично решаемые проблемы: вероятные угрозы при использовании иностранных разработок, содержащих элементы, подрывающие ИБ Нижегородской области (Субъектов, их объектов защиты).

5.2.5.4. Задача 1 - развитие нижегородского производства аппаратных и программных средств защиты информации.

5.2.5.4.1. Необходимо развивать нижегородское производство аппаратных и программных средств защиты информации в целях решения угроз безопасности информации, которые могут возникнуть при переходе на полноценное использование центра обработки данных Правительства Нижегородской области, и не перекроются существующими российскими или иностранными разработками.

5.2.5.4.2. Определены следующие основные подзадачи в рамках данной задачи:
1) взаимодействие головных подразделений по защите информации по вопросам разработки и производства аппаратных и программных средств защиты информации с УФСБ России по НО и УФСТЭК России по ПФО, научно-исследовательскими институтами (разработчиками) и иными органами и организациями федерального уровня при необходимости;
2) обеспечение государственной поддержки нижегородских разработок в сфере защиты информации;
3) приоритетная опытная эксплуатация Нижегородской областью новейших разработок, созданных по заказу Нижегородской области, в рамках пилотных проектов.

5.2.5.4.3. Полностью или частично решаемые проблемы:
1) динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации);
2) отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;
3) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.2.5.5. Задача 2 - защита нижегородских разработчиков и исполнителей.

5.2.5.5.1. Необходимо развивать систему ИБ Нижегородской области как инструмент проведения политики по защите нижегородских разработчиков и исполнителей как участников рынка.
При соблюдении норм действующего законодательства в сфере закупок и защиты конкуренции необходимо рассмотреть возможность разработки и издания на областном уровне правовых актов, определяющих меры, направленные на развитие данного направления (решение вышеуказанных подзадач).

5.2.5.5.3. Преимущества:
1) стимулирование развития территории Нижегородской области в разных направлениях и создание новых рабочих мест;
2) оправданные финансовые показатели за счет перераспределения отчислений в бюджет: прибыль, получаемая нижегородскими (российскими) разработчиками и исполнителями в рамках реализации мероприятий по обеспечению ИБ, возвращается в виде налоговых поступлений, а финансирование зарубежных разработок представляет собой инвестиции в экономику других стран, поскольку свободный доступ иностранных разработок на нижегородский (российский) рынок ведет к снижению национального дохода и налогооблагаемой базы нижегородских (российских) компаний;
3) своевременное реагирование исполнителей на проблемы Субъектов как заказчиков мероприятий по обеспечению ИБ.

5.2.5.5.4. Полностью или частично решаемые проблемы:
1) динамика курса мировых валют и стоимости товаров, работ, услуг в сфере ИБ (защиты информации);
2) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.2.6. Направление 5 - развитие технологической и материально-технической баз.

5.2.6.1. В целях предотвращения и нейтрализации угроз ИБ, а также проблем обеспечения ИБ в рамках данного направления необходимо решать следующие основные задачи:
1) модернизация системной инфраструктуры в соответствии с пунктом 5.2.6.3 подраздела 5.2 раздела V настоящей Концепции;
2) модернизация базовой программно-технологической инфраструктуры в соответствии с пунктом 5.2.6.4 подраздела 5.2 раздела V настоящей Концепции;
3) модернизация прикладной программно-технологической инфраструктуры в соответствии с пунктом 5.2.6.5 подраздела 5.2 раздела V настоящей Концепции;
4) обязательное оснащение объектов защиты Субъектов в законодательно предусмотренных случаях современными (обновленными) сертифицированными средствами защиты информации (в том числе средствами контроля эффективности защиты информации);
5) приоритетное использование сертифицированного общего и специального программного обеспечения при обработке защищаемой информации.

5.2.6.2. Полностью или частично решаемые проблемы:
1) устаревшее ИТ-оборудование, программное обеспечение;
2) разнородная аппаратно-программная среда;
3) программные продукты с закрытым кодом;
4) отсутствие средств централизованного управления серверным оборудованием и централизованных высоконадежных хранилищ данных (СХД);
5) ограниченные возможности развития ИТ-инфраструктуры;
6) отсутствие централизованного обслуживания и управления.

5.2.6.3. Задача 1 - модернизация системной инфраструктуры.
Определены следующие основные подзадачи в рамках данной задачи:
1) постепенная замена технически и морально устаревшей вычислительной техники Субъектов, используемой на рабочих местах пользователей ИС, при возможности соблюдения единообразных требований к ней;
2) исполнение подзадачи построения (развития) центра обработки данных Правительства Нижегородской области в рамках задачи пункта 5.2.4.4 подраздела 5.2 раздела V настоящей Концепции с рациональной стоимостью и потенциалом к масштабированию вычислительных ресурсов и хранилищ данных, а также последовательное расширение его конфигурации по мере модернизации прикладной и базовой программно-технологической инфраструктуры.

5.2.6.4. Задача 2 - модернизация базовой программно-технологической инфраструктуры.
Определены следующие основные подзадачи в рамках данной задачи:
1) замена компонентов рабочего окружения пользователей по мере переоборудования их рабочих мест, по мере модернизации прикладной программно-технологической инфраструктуры;
2) определение правил межсистемного защищенного взаимодействия для интеграции прикладных ИС.

5.2.6.5. Задача 3 - модернизация прикладной программно-технологической инфраструктуры.
Определена необходимость постепенного и поэтапного перевода существующих прикладных ИС на новые технологии функционирования при одновременном расширении области охвата деловых процессов, а также интеграции этих ИС. Для определения приоритетных направлений разработки следует использовать следующую схему качественных критериев:
1) область охвата: область охвата деловых процессов Субъектов с учетом их значимости и текущего уровня автоматизации;
2) универсальность: оценка возможности использования ИС другими Субъектами при ее минимальной адаптации;
3) уровень специализации: оценка возможности использования ИС или ее компонент для автоматизации других областей деятельности Субъектов(потенциал к расширению области действия ИС);
4) ресурсоемкость: оценка временных и финансовых ресурсов, необходимых для реализации и эксплуатации ИС;
5) актуальность: оценка длительности жизненного цикла ИС, исходя из динамики изменения структуры деловых процессов Субъектов, в том числе прогнозируемой в связи с внедрением других прикладных ИС.
При использовании данной схемы предпочтения должны отдаваться ИС с максимальными: охватом деловых процессов, универсальностью, актуальностью и минимальными: ресурсоемкостью и уровнем специализации, при этом должны соблюдаться принципы обеспечения ИБ (построения систем защиты), указанные в подразделе 5.5 раздела V настоящей Концепции, в части создания (модернизации) ИС в защищенном исполнении.

5.2.7. Направление 6 - развитие правовой и методической базы.

5.2.7.1. В рамках данного направления необходимо продолжать:
1) формировать актуальную правовую базу, регламентирующую права, обязанности и ответственность всех внутренних субъектов системы ИБ Нижегородской области, а также взаимодействие с внешними субъектами системы ИБ Нижегородской области при решении вопросов ИБ (защиты информации);
2) совершенствовать концептуальные и правовые основы функционирования систем защиты (ИБ) Нижегородской области, Субъектов и объектов защиты.

5.2.7.2. Определены следующие основные задачи в рамках данного направления:
1) формирование государственной программы Нижегородской области и планов ИБ (защиты информации) в соответствии с пунктом 5.2.7.3 подраздела 5.2 раздела V настоящей Концепции;
2) формирование типовых документов по ИБ (защите информации) в соответствии с пунктом 5.2.7.4 подраздела 5.2 раздела V настоящей Концепции;
3) приведение правовых актов Субъектов в соответствие с действующим законодательством и Концепцией:
- издание правовых актов и методических документов по ИБ (защите информации), конкретизирующих и дополняющих акты федерального уровня и Концепцию, и обеспечение ими Субъектов;
- отмена (изменение) документов по ИБ, содержащих не актуальные сведения.

5.2.7.3. Задача 1 - формирование государственной программы Нижегородской области и планов ИБ (защиты информации).

5.2.7.3.1. Необходимо централизовано закреплять мероприятия по обеспечению ИБ в документе, отражающем приоритетные направления в планировании, организации и реализации мероприятий по обеспечению ИБ. Документ позволит продолжить формирование единой политики в развитии цельной системы ИБ Нижегородской области и соблюдать требования действующего законодательства на высоком уровне.

5.2.7.3.2. Определены следующие основные подзадачи в рамках данной задачи:
1) разработка и утверждение государственной программы Нижегородской области в сфере ИБ (защиты информации), объединяющей усилия Субъектов и коммерческих структур в развитии цельной системы ИБ Нижегородской области (допустимо включение в существующие государственные программы информатизации);
2) разработка головными подразделениями по защите информации и представление на рассмотрение Губернатором Нижегородской области, Председателем Правительства сводных планов ИБ (защиты информации);
3) ежегодная актуализация (при необходимости) государственной программы ИБ (защиты информации) в части реализации приоритетных направлений и задач развития в соответствии с Концепцией.

5.2.7.3.3. Полностью или частично решаемые проблемы:
1) формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;
2) отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ;
3) не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;
4) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.2.7.4. Задача 2 -формирование типовых документов по ИБ (защите информации).

5.2.7.4.1. В связи с существованием проблем в системе ИБ Нижегородской области, связанных с человеческим фактором, и в целях оказания координационной, методической помощи специалистам по ИБ Субъектов необходимо осуществлять мероприятия по формированию комплектов (форм) типовых документов по ИБ (защите информации), необходимых в деятельности таких специалистов.

5.2.7.4.2. Определены следующие основные подзадачи в рамках данной задачи:
1) определение головными подразделениями по защите информации совместно с Субъектами потребности в разработке тех или иных видов типовых документов по ИБ (защите информации) для Субъектов;
2) разработка и утверждение в рамках своей компетенции головными подразделениями по защите информации совместно с территориальными органами (управлениями) федеральных органов исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, типовых документов по ИБ (защите информации) для Субъектов в целях повышения качества их самостоятельной работы по обеспечению ИБ (защите информации);
3) актуализация в рамках своей компетенции головными подразделениями по защите информации совместно с территориальными органами (управлениями) федеральных органов исполнительной власти, уполномоченными в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, и Субъектами типовых документов по ИБ (защите информации) при изменении существенных положений действующего законодательства в области ИБ (защиты информации).

5.2.7.4.3. Полностью или частично решаемые проблемы:
1) частая ротация назначенных специалистов по ИБ;
2) недостаточная квалификация назначенных специалистов по ИБ;
3) формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;
4) отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ;
5) несогласованность разработки правовых актов в сфере ИБ (защиты информации);
6) подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;
7) корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;
8) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.
5.2.8. Направление 7 - координация расходов и привлечение федеральных средств.
5.2.8.1. В рамках данного направления необходимо координировать расходы и привлекать средства федерального бюджета на проведение мероприятий по обеспечению ИБ в Нижегородской области.
5.2.8.2. Определены следующие основные задачи в рамках данного направления:
1) долгосрочное планирование расходов на мероприятия по обеспечению ИБ путем реализации пункта 5.2.9 подраздела 5.2 раздела V настоящей Концепции;
2) максимальная консолидация потребностей Субъектов и осуществление централизованных (совместных) закупок мероприятий по обеспечению ИБ путем реализации пункта 5.2.4 подраздела 5.2 раздела V настоящей Концепции;
3) привлечение средств федерального бюджета на приоритетные мероприятия по обеспечению ИБ в Нижегородской области в дополнении к средствам областного и местного бюджетов.
5.2.9. Направление 8 - создание гибкой системы управления системами защиты.
5.2.9.1. В рамках данного направления необходимо создать эффективную и гибкую систему управления системой ИБ Нижегородской области, системами ИБ (защиты информации) Субъектов и системами защиты объектов защиты, а также мероприятиями по обеспечению ИБ, реализуемыми в Нижегородской области.
5.2.9.2. Определены следующие основные задачи в рамках данного направления:
1) создание единой информационной системы по ИБ, оператором которой будет Головное подразделение по ТЗИ в соответствии с пунктом 5.2.9.3 подраздела 5.2 раздела V настоящей Концепции;
2) централизованный мониторинг и контроль обеспечения ИБ в соответствии с пунктом 5.2.9.4 подраздела 5.2 раздела V настоящее Концепции;
3) расширение сотрудничества в соответствии с пунктом 5.2.9.5 подраздела 5.2 раздела V настоящей Концепции;
4) систематическое проведение работ по выявлению и оценке угроз безопасности информации, прогнозированию их развития, разработке актуального перечня угроз безопасности информации для объектов защиты (осуществляется Субъектами).
5.2.9.3. Задача 1 - создание единой информационной системы по ИБ (ИАС).
5.2.9.3.1. Для продуктивной работы системы ИБ Нижегородской области необходимо создание и поддерживание ИС, функционирующей в защищенном пространстве КСПД и позволяющей осуществлять мониторинг состояния систем защиты разных уровней в интересах информационного обеспечения принятия решений по ИБ в Нижегородской области, в том числе в интересах планирования мероприятий по обеспечению ИБ.
5.2.9.3.2. Основные цели создания ИАС:
1) консолидация интересов Субъектов в сфере ИБ (защиты информации), координация законотворческих) инициатив, своевременная их трансляция федеральным органам исполнительной власти, уполномоченным в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации;
2) создание (расширение) зоны совместного участия внутренних и внешних субъектов системы ИБ Нижегородской области в целях решения вопросов обеспечения ИБ;
3) повышение оперативности, эффективности и качества управления сферой ИБ (защиты информации) в Нижегородской области;
4) соблюдение ИБ (защиты информации) при обработке информации ограниченного доступа;
5) создание предпосылок для интеграции ИР, ИС на уровне Нижегородской области;
6) повышение эффективности взаимодействия специалистов по ИБ Субъектов;
7) упрощение процедуры проведения выездных контрольных проверок головными подразделениями по защите информации;
8) анализ(согласование) планов информатизации (ИБ, защиты информации) Субъектов и отчетов об их выполнении;
9) проведение головными подразделениями по защите информации экспертной оценки документов, используемых в рамках планирования, создания и использования информационно-коммуникационных технологий, систем защиты в деятельности Субъектов;
10) подготовка и принятие решений о проведении Субъектами мероприятий по информатизации и обеспечению ИБ;
11) планирование бюджетных ассигнований в части проведения мероприятий по информатизации и обеспечению ИБ;
12) повышение грамотности специалистов по ИБ Субъекта в области обеспечения ИБ (защиты информации);
13) реализация возможностей совместной работы в защищенном пространстве;
14) возможность на базе ИАС создать единое защищённое информационное пространство для всех областей ПФО со значительной экономией бюджетных средств на решение задач ИБ;
15) возможность последующего использования ИАС в прикладных областях деятельности Органов со значительной экономией бюджетных средств;
16) мониторинг в режиме реального времени деятельности Субъектов в части обеспечения ИБ в создаваемых (модернизируемых) и эксплуатируемых ими ИС и в других объектах защиты;
17) в режиме реального времени сбор информации и анализ эффективности проводимых мероприятий по обеспечению ИБ в Субъектах;
18) снижение трудоемкости как на этапе первичного заполнения данных, так и на этапе обработки информации и формирования аналитических выводов;
19) увеличение качества информации и детализации статистических сведений за счет получения информации от первоисточника и ее дальнейшая актуализация;
20) сокращение расходов на заполнение бумажных форм отчетности.
5.2.9.3.3. Определены следующие основные подзадачи в рамках данной задачи:
1) ввод в защищенную эксплуатацию ИАС и подключение к ней первостепенно - всех ОИВ и ОМСУ, части Организаций; при апробированности ИАС - подключение территориальных органов (управлений) федеральных органов исполнительной власти, организаций, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, подведомственных Органам, иных Организаций;
2) посредством ИАС осуществление основных мероприятий по обеспечению ИБ, а также мероприятий, направленных на развитие системы ИБ Нижегородской области;
3) осуществление постоянной поддержки эксплуатации ИАС.
5.2.9.3.4. Полностью или частично решаемые проблемы:
1) частая ротация назначенных специалистов по ИБ;
2) недостаточная квалификация назначенных специалистов по ИБ;
3) формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;
4) отсутствие единого ИТ-центра реализации Стадий обеспечения ИБ;
5) отсутствие контроля всех Стадий обеспечения ИБ;
6) отсутствие достаточной отчетности;
7) отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ;
8) несогласованность разработки правовых актов в сфере ИБ (защиты информации);
9) подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;
10) корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;
11) не соблюдение процедур, направленных на выбор поставщика (исполнителя, подрядчика) для реализации мероприятий по обеспечению ИБ;
12) не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;
13) отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;
14) приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;
15) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;
16) отсутствие централизованного обслуживания и управления.
5.2.9.4. Задача 2 - централизованный мониторинг и контроль обеспечения ИБ.
5.2.9.4.1. Необходимо осуществлять постоянный мониторинг и контроль обеспечения ИБ. Под мониторингом обеспечения ИБ понимается поиск, отслеживание, накопление и систематизация сведений, относящихся к сфере ИБ, обеспечивающих взвешенный и объективный анализ обстановки, позволяющий прогнозировать развитие ситуации и принимать наиболее правильные и рациональные решения по укреплению сохранности стратегической экономической и политической информации, конфиденциальных сведений в Субъектах. Система мониторинга самостоятельно создается и поддерживается Субъектами и базируется на действующей правовой базе.
1) Целью мониторинга является обеспечение полной, своевременной, достоверной информацией для принятия обоснованных управленческих решений.
2) Задачами мониторинга определены:
- задание принципов осуществления мониторинга по его направлениям;
- распределение компонентов среды мониторинга между субъектами мониторинга (организациями, предприятиями, учреждениями);
- выбор методов получения и обработки информации;
- синтез и реализация полученной информации.
3) Основными принципами мониторинга определены:
- системный подход в осуществлении мониторинга;
- непрерывный и последовательный контроль угроз безопасности информации;
- самостоятельный подход в формировании структуры организации мониторинга (каждым Субъектом);
- максимальный охват всех параметров по всем направлениям осуществления мониторинга, отслеживание их во времени;
- самостоятельное определение субъектами мониторинга набора критериев (индикаторов) оценки состояния ИБ на своем направлении;
- регулируемость процесса мониторинга через оценку его результатов.
4) Мониторинг охватывает:
- динамику внешне- и внутриполитической ситуации, глобальные и локальные противоречия и конфликты, оказывающие непосредственное или опосредованное влияние на состояние ИБ в Нижегородской области;
- научно-технический прогресс в области средств и методов проникновения в объекты защиты и воздействия на ИТ-инфраструктуру, а также в области защиты информации;
- состояние федерального и областного законодательства в сфере обеспечения ИБ;
- состояние и эффективность систем защиты информации трех уровней;
- изучение собственных возможностей Нижегородской области по обеспечению консультационной, методической, технической, финансовой и практической поддержки мероприятий по ИБ Нижегородской области;
- организацию информационного взаимодействия в сфере защиты информации с другими субъектами Российской Федерации.

5.2.9.4.2. Координирующим органом в системе мониторинга ИБ являются головные подразделения по защите информации (каждый в своей части). Организация мониторинга осуществляется Субъектами. Информация по результатам предварительного анализа полученных данных периодически или по необходимости доводится и обсуждается на заседаниях Совета Нижегородской области. Оценка результатов мониторинга, данная на Совете Нижегородской области, является основанием для заинтересованных Субъектов, организующих соответствующее направление мониторинга, к изменению или сохранению критериев отбора и предварительной обработке информации, совершенствованию режимных мер по защите используемых объектов защиты.

5.2.9.4.3. Контроль за состоянием ИБ осуществляется с целью своевременного выявления угроз безопасности и предотвращения их реализации, оценки эффективности текущих систем защиты и заключается в проверке выполнения действующих актов и документов по вопросам обеспечения ИБ.

5.2.9.4.4. Результаты мониторинга и контроля доводятся Субъектами до сведения вышестоящих организаций по подведомственности, а последними - до головных подразделений по защите информации.

5.2.9.4.5. Полностью или частично решаемые проблемы:
1) формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;
2) отсутствие контроля всех Стадий обеспечения ИБ;
3) отсутствие достаточной отчетности;
4) отсутствие актуальной системы текущего и перспективного планирования, прогнозирования мероприятий по обеспечению ИБ;
5) отсутствие, недостаточная оснащенность и (или) несвоевременное приобретение необходимых средств защиты, документов по ИБ;
6) приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;
7) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение;
8) отсутствие централизованного обслуживания и управления.

5.2.9.5. Задача 3 - расширение сотрудничества.

5.2.9.5.1. Необходимо расширять сотрудничество Нижегородской области в части развития и безопасного использования ИР, ИС, противодействия угрозе развязывания противоборства и войн в информационной сфере. Здесь важно соблюдать внутриобластное, межрегиональное и федеральное сотрудничество по вопросам обеспечения ИБ. Такое сотрудничество должно стать неотъемлемой составляющей политического, экономического, культурного и других видов взаимодействия Нижегородской области и других субъектов Российской Федерации и способствовать повышению ИБ Нижегородской области.

5.2.9.5.2. Определены следующие основные задачи в рамках данного направления:
1) в целях обмена опытом в области обеспечения ИБ и решения актуальных вопросов ИБ (защиты информации): участие Нижегородской области в федеральных и межрегиональных организациях (комиссиях, советах), действующих в области ИБ; расширение участия нижегородских специалистов по ИБ в международных, федеральных и межрегиональных конференциях, семинарах, форумах, выставках, сборах и т.п.;
2) в качестве механизма согласования интересов субъектов системы ИБ Нижегородской области и нахождения компромиссных решений формирование и организация на территории Нижегородской области эффективной работы различных советов, групп, комиссий с широким представительством специалистов Субъектов, головных подразделений по защите информации, территориальных органов (управлений) федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации, и иных заинтересованных лиц;
3) в целях определения необходимых мероприятий по решению возникающих проблем (при наличии): ввод в практику проведения при необходимости совещаний головных подразделений по защите информации с Субъектами и Субъектов между собой (в том числе в удаленном режиме);
4) при проведении областных выставок, конференций, совещаний с участием представителей других субъектов Российской Федерации, иностранных государств, при осуществлении международного информационного обмена, в том числе с использованием открытых ИС особенно важно следить за проведением мероприятий по обеспечению ИБ.

5.2.9.5.3. Полностью или частично решаемые проблемы:
1) частая ротация назначенных специалистов по ИБ;
2) недостаточная квалификация назначенных специалистов по ИБ;
3) формальное отношение к планированию, организации и реализации мероприятий по обеспечению ИБ;
4) отсутствие четкой и (или) наличие слабой структуры организации процесса обеспечения ИБ;
5) несогласованность разработки правовых актов в сфере ИБ (защиты информации);
6) подготовка некорректных документов для реализации мероприятий по обеспечению ИБ;
7) корректировка Головным подразделением по ТЗИ документов на мероприятия по обеспечению ИБ;
8) не соблюдение процедур обеспечения ИБ, регламентированных действующим законодательством;
9) приобретение ненужных средств защиты информации (работ, услуг) и (или) их избыточного количества;
10) не выполнение мероприятий по обеспечению ИБ или их несвоевременное и некачественное исполнение.

5.3. Соблюдение конституционных прав и свобод

В части соблюдения конституционных прав и свобод человека (гражданина) в области получения информации и пользования ею, сохранения и укрепления нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала Нижегородской области при использовании объектов защиты Субъектов требуется:
1) обеспечивать конституционные права и свободы человека (гражданина) свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию;
2) обеспечивать конституционные права и свободы человека (гражданина) на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
3) соблюдать запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен действующим законодательством;
4) усовершенствовать систему формирования, сохранения и рационального использования объектов защиты Субъектов, составляющих основу научно-технического и духовного потенциала Нижегородской области, в том числе за счет реализации направлений и задач, указанных в подразделе 5.2 раздела V настоящей Концепции;
5) повысить эффективность использования ИТ-инфраструктуры Нижегородской области (Субъектов) в интересах общественного развития, консолидации нижегородского общества, в том числе за счет реализации направлений и задач, указанных в подразделе 5.2 раздела V настоящей Концепции.

5.4. Информационное обеспечение политики
Нижегородской области (субъектов)


В части информационного обеспечения политики Нижегородской области (Субъектов), связанного с доведением до нижегородской и российской общественности достоверной информации об официальной позиции Нижегородской области (Субъектов) по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым ИС, ИР Нижегородской области (Субъектов) требуется:
1) укреплять открытые ИС, ИР нижегородских средств массовой информации, расширять их возможности по своевременному доведению достоверной информации до нижегородских (российских) и иностранных граждан;
2) формировать (развивать) открытые ИС, ИР Нижегородской области (Субъектов), повышать эффективность их использования;
3) законными средствами обеспечивать защиту нижегородской (российской) общественности от ложной, искаженной и недостоверной информации, поступающей через открытые ИС, ИР Нижегородской области (Субъектов), средств массовой информации.

5.5. Основные принципы обеспечения информационной
безопасности (построения систем защиты)

5.5.1. Принцип приоритетности и соответствия.
На территории Нижегородской области реализуется приоритетность реализации мероприятий по обеспечению ИБ, направленных на предотвращение ущерба безопасности и обороноспособности Российской Федерации. Мероприятия по обеспечению ИБ, планируемые и реализуемые на территории Нижегородской области, должны соответствовать политическим, оборонным, экономическим и социальным интересам Российской Федерации.

5.5.2. Принцип законности.
Построение (развитие) системы ИБ каждого Субъекта и объекта защиты, проведение мероприятий по обеспечению ИБ должно осуществляться в соответствии с действующим законодательством в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией. Реализация мероприятий по обеспечению ИБ и их результаты должны исключать причинение ущерба жизни и здоровью граждан, окружающей среде и интересам Нижегородской области в сфере ИБ. Создание, проведение испытаний и ввод в эксплуатацию объектов защиты должны осуществляться строго в соответствии с требованиями действующего законодательства.

5.5.3. Принцип разумных ограничений.
Ограничение доступа к информации (объектам защиты) есть исключение из общего принципа открытости информации (объектов защиты) и осуществляется только на основе действующего законодательства. Доступ к какой-либо информации (объектам защиты), а также вводимые ограничения доступа осуществляются с учетом определяемых действующим законодательством прав собственности на эту информацию (объект защиты).

5.5.4. Принцип максимальной прозрачности.
Меры по противодействию угрозам безопасности всегда налагают на пользователей ограничения организационного и технического характера. Поэтому принимаемые меры должны быть максимально совместимы с используемыми, например, операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей.

5.5.5. Принцип превентивности.
Меры по защите информации и внедряемые средства и системы защиты должны быть нацелены, прежде всего, на недопущение (пресечение) реализации угроз безопасности информации, а не на устранение последствий их проявления. Данный принцип подразумевает в том числе профилактику нарушений безопасности. В большинстве случаев экономически оправданным является принятие предупредительных мер по недопущению нарушений безопасности в отличие от мер по реагированию на инциденты, связанных с принятием рисков осуществления угроз ИБ. Однако, это не исключает необходимости принятия мер по реагированию на инциденты и восстановлению поврежденных ИР. Поэтому должен проводиться анализ рисков, опирающийся на модель угроз и нарушителя безопасности информации. Многие риски можно уменьшить путем принятия превентивных мер защиты. Должны быть предусмотрены средства раннего выявления нарушений ИБ, нештатной работы аппаратуры, программ и пользователей, что повысит управляемость, возможность сбора регистрационной информации обо всех компонентах и процессах, важных с точки зрения ИБ.

5.5.6. Принцип оптимальности и разумной разнородности.
Для сокращения расходов на создание систем защиты должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые, например, в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты.

5.5.7. Принцип экономической целесообразности (обоснованности).
Обеспечение соответствия ценности объектов защиты и величины возможного ущерба (от их разглашения, утраты, утечки, несанкционированного уничтожения и искажения) уровню затрат на обеспечение ИБ. Используемые меры и средства обеспечения безопасности объектов защиты не должны заметно ухудшать экономические показатели работы, например, ИС, в которых эта информация циркулирует.

5.5.8. Принцип адекватности и непрерывности.
Решения, реализуемые системами защиты, должны быть дифференцированы в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности. Должны применяться способы и меры ИБ, перекрывающие возможности угроз и нарушителей безопасности информации, и при этом не быть избыточными. Безопасность информации в ИС должна обеспечиваться непрерывно в течение всего жизненного цикла ИС. В соответствии с этим принципом должны приниматься меры по недопущению перехода ИС (объектов защиты) в незащищенное состояние. Поскольку перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты, после восстановления ее функционирования большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.).

5.5.9. Принцип своевременности.
Предполагает упреждающий характер мер обеспечения безопасности, то есть постановку задач по комплексной защите и реализацию мер обеспечения безопасности на ранних стадиях, например, разработки ИС в целом и ее системы защиты, в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой ИС (объекта защиты). Это позволит учесть требования безопасности при проектировании архитектуры и создать максимально эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

5.5.10. Принцип научной обоснованности и технической реализуемости.
Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности. Системы защиты должна быть ориентирована на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.

5.5.11. Принцип адаптивности и гибкости.
Системы защиты должны строиться с учетом возможного изменения, например, конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации. Поскольку применяемые меры и средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты, для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это является в тех случаях, когда установку средств защиты необходимо осуществлять на эксплуатируемую ИС, не нарушая процесса ее стабильного функционирования.

5.5.12. Принцип доказательности и обязательности контроля.
Должна обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности ИС (объектов защиты) и средств защиты. Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей. Должны реализовываться организационные меры внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Каждый Субъект в рамках своей компетенции осуществляет контроль за использованием им (подотчетными ему организациями) сертифицированных средств защиты информации и в целом средств защиты, обязательных к применению по требованиям действующего законодательства.

5.5.13. Принцип самозащиты и конфиденциальности самой системы защиты.
Защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Однако, это не означает, что информация о конкретной системе защиты должна быть общедоступна. Реализуется применением соответствующих средств защиты информации и неразглашением неуполномоченным третьим лицам информации о применяемых системах защиты.

5.5.14. Принцип системности.
Системный подход к построению системы защиты предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности, включающих стадии (этапы) планирования, проведения, реализации, контроля и её совершенствования. При создании системы защиты должны учитываться наиболее уязвимые места объекта защиты, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и несанкционированный доступ (НСД) к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности. Здесь важно соблюсти комплексный подход - всестороннее обеспечение ИБ, то есть сочетание программно-технических, организационных, правовых, методических и других специальных мер обеспечения ИБ.

5.5.15. Принцип многоуровневости и равнопрочности.
ИС должна реализовывать защиту информации на всех уровнях своей жизнедеятельности (обработки информации) - технологическом, пользовательском, локальном, сетевом. Должно предусматриваться комплексное использование методов и средств защиты: согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна иметь несколько последовательных рубежей таким образом, чтобы наиболее важная зона безопасности находилась внутри других зон. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Все рубежи защиты должны быть равнопрочными к возможности реализации угрозы. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному нарушителю требовались профессиональные навыки в нескольких невзаимосвязанных областях. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей должны быть средства криптографической защиты, используемые для создания виртуальных частных сетей. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.
Равнопрочность должна применяться по всем направлениям: должна осуществляться регламентация и документирование всех способов доступа к объектам защиты.

5.5.16. Принцип простоты применения и апробированности защиты.
Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями должно быть максимально простым, чтобы уменьшить риски, связанные с нарушением правил их использования. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). По той же причине целесообразно использовать средства защиты информации, допускающие возможность централизованного администрирования. Должна достигаться автоматизация максимального числа действий пользователей и администраторов. Должна применяться ориентация на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку. Например, при построении ИС необходимо учитывать, что она должна содержать лишь те компоненты и связи, которые необходимы для ее функционирования (с учетом требований надежности и перспективного развития), а также использовать минимальное число протоколов сетевого взаимодействия, быть простой в архитектуре, минимизировать и упрощать связи между компонентами.

5.5.17. Принцип преемственности и непрерывности совершенствования.
Система защиты должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования объекта защиты. Должно осуществляться постоянное совершенствование мер и средств защиты информации (ИТ-инфраструктуры) на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования объекта защиты и ее системы защиты с учетом изменений в методах и средствах перехвата информации, требований по ее защите, достигнутого отечественного и зарубежного опыта в этой сфере. При выборе программно-технических решений по обеспечению ИБ, предпочтение должно отдаваться решениям, удовлетворяющим следующим критериям:
- поддержка: международных, национальных, промышленных и Интернет стандартов; наибольшей степени интеграции с программно-аппаратными платформами Субъектов и используемыми средствами и системами защиты информации;
- унификация средств и интерфейсов управления подсистемами ИБ.

5.5.18. Принцип персональной ответственности и минимизации привилегий.
Принимаемые меры защиты должны определять права и ответственность каждого уполномоченного лица (в частности, в пределах должностных обязанности) за несоблюдение регламентирующих документов в области ИБ. В соответствии с этим принципом распределение прав и ответственности должно строиться таким образом, чтобы в случае любого нарушения круг виновных лиц был четко определен или сведен к минимуму. Ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется. Лица, обрабатывающие информацию ограниченного доступа, несут ответственность перед законом за ее сохранность и использование. Обеспечение ИБ должно быть предметом ответственности каждого Субъекта с учетом закрепленного разграничения предметов ведения и полномочий между ними. Например, пользователям ИС должны предоставляться минимальные права доступа к той или иной ИС в соответствии с производственной необходимостью и (или) в объеме, достаточном для качественного выполнения должностных обязанностей.

5.5.19. Принцип специализации и профессионализма.
Предполагает привлечение к разработке средств и реализации мер защиты информации организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению ИБ, имеющих опыт практической работы и лицензии на право оказания определенных видов услуг в этой сфере, а также квалифицированных в сфере ИБ специалистов Субъектов.

5.5.20. Принцип дружественного взаимодействия и сотрудничества.
Предполагает создание благоприятной атмосферы в структурных подразделениях по ИБ для снижения вероятности возникновения негативных действий, связанных с человеческим фактором. Субъекты, входящие в систему ИБ Нижегородской области, должны оказывать содействие друг другу в решении задач ИБ.

5.6. Методы и средства обеспечения информационной безопасности

5.6.1. Методы, способы и средства (в том числе средства защиты информации) обеспечения ИБ Субъектов и их объектов защиты, подходы к оценке эффективности реализуемых и планируемых мероприятий по обеспечению ИБ Субъекты выбирают самостоятельно исходя из необходимости соблюдения требований действующего законодательства в сфере ИБ применительно к конкретному объекту защиты, в том числе с учетом моделей угроз и моделей нарушителя безопасности информации, на основе классификаций (категорирования), частных технических заданий и технических проектов на системы защиты.

5.6.2. Губернатор Нижегородской области, Председатель Правительства, Правительство Нижегородской области, головные подразделения по защите информации в рамках своей компетенции вправе в соответствующих актах устанавливать (уточнять) необходимость применения тех или иных методов, способов и средств защиты (средств обеспечения ИБ), за исключением информационно-телекоммуникационных систем, сетей связи специального назначения и иных сетей связи, обеспечивающих передачу шифрованной информации.

5.6.3. Режим защиты и доступа к конфиденциальной информации определяет ее собственник, руководствуясь требованиями действующего законодательства. Режим защиты сведений, составляющих государственную тайну, порядок доступа и обращения с ними установлены их собственником - Российской Федерацией.

5.7. Основные принципы развития системы
информационной безопасности Нижегородской области

Основными принципами развития системы ИБ Нижегородской области определены:
1) соответствие уровня развития системы ИБ Нижегородской области задачам обеспечения национальной безопасности Российской Федерации, безопасности и устойчивого развития Нижегородской области с учетом ее ресурсных возможностей;
2) соответствие системы ИБ Нижегородской области требованиям действующего законодательства;
3) обеспечение на территории Нижегородской области своевременной и адекватной реакции на возникающие и прогнозируемые угрозы безопасности информации;
4) использование коллегиальных методов руководства системой ИБ Нижегородской области и ее развития;
5) программно-целевое планирование развития системы ИБ Нижегородской области;
6) исключение проблем (минимизация последствий реализации проблем), указанных в подразделах 4.2 - 4.4 раздела IV настоящей Концепции;
7) соблюдение основных принципов обеспечения ИБ (построения систем защиты), указанных в подразделе 5.5 раздела V настоящей Концепции.

5.8. Приоритеты в деятельности по обеспечению
информационной безопасности


Приоритетами Нижегородской области в деятельности по обеспечению ИБ остаются:
1) соблюдение интересов Нижегородской области в сфере ИБ;
2) реализация приоритетных направлений развития и задач, определенных подразделами 5.2 - 5.4 раздела V настоящей Концепции;
3) соблюдение основных принципов развития системы ИБ Нижегородской области, указанных в подразделе 5.7 раздела V настоящей Концепции;
4) определение наиболее важных и уязвимых объектов защиты Субъектов;
5) обеспечение эффективного регулирования деятельности по обеспечению ИБ на уровне Нижегородской области и муниципалитетов;
6) постоянный мониторинг эффективности функционирования системы ИБ Нижегородской области, системы ИБ (защиты информации) Субъектов и системы защиты объектов защиты;
7) организационно-режимное обеспечение защиты сведений, отнесенных к государственной тайне, и иной информации ограниченного доступа;
8) обеспечение ИБ на объектах, обеспечивающих жизнедеятельность и информированность граждан Нижегородской области;
9) обеспечение безопасности информации в критически важных (ключевых) системах информационной инфраструктуры, государственных и муниципальных ИС, информационных системах персональных данных.

5.9. Результаты реализации настоящей концепции

5.9.1. Основные положения настоящей Концепции реализуются в результате целенаправленной повседневной деятельности Субъектов путем выполнения программ ИБ (защиты информации) и программ информатизации.

5.9.2. В результате реализации основных положений настоящей Концепции в Нижегородской области должна быть создана система ИБ Нижегородской области, соответствующая задачам обеспечения национальной безопасности Российской Федерации и развития с учетом экономических, трудовых и финансовых возможностей Нижегородской области и адекватно реагирующая на угрозы ИБ.

5.9.3. При следовании положениям настоящей Концепции ожидается:
1) создание и поддержание эффективно действующей системы ИБ Нижегородской области за счет развития ресурсно-информационного центра, оснащенного современными технологиями и средствами вычислительной техники, координирующего все Стадии обеспечения ИБ и обеспечивающего концептуальное единство технических и управленческих решений;
2) сокращение затрат, ресурсов на реализацию мероприятий по обеспечению ИБ за счет централизации ряда функции по ИБ;
3) общая экономия для Субъектов времени на реализацию мероприятий по обеспечению ИБ;
4) высокое качество исполнения каждой Стадии обеспечения ИБ;
5) стабилизация кадрового обеспечения системы ИБ Нижегородской области;
6) высокие уровень грамотности среди внутренних субъектов системы ИБ Нижегородской области;
7) стабильное взаимодействие субъектов системы ИБ Нижегородской области между собой в целях реализации положений настоящей Концепции;
8) сравнительно низкая стоимость владения программно-аппаратными комплексами за счет использования программных продуктов с открытым кодом;
9) создание программных продуктов, ИС с системами защиты, соответствующими положениям настоящей Концепции и действующему законодательству в сфере ИБ;
10) достижение необходимого уровня защищенности Нижегородской области (Субъектов, их объектов защиты);
11) своевременное реагирование Субъектов на вновь возникающие угрозы ИБ и требования федеральных органов исполнительной власти, уполномоченных в вопросах обеспечения безопасности, противодействия иностранным техническим разведкам и защиты информации;
12) высокое качество исполнения государственных и (или) муниципальных функций, функций Субъектов, предоставление государственных и (или) муниципальных услуг населению в защищенном пространстве, использование защищенных ИС в работе Субъектов;
13) повышение уровня доверия общества к действиям Субъектов;
14) качественная реализация программ информатизации как областного, муниципального, так и федерального уровней власти;
15) повышение эффективности бюджетных расходов за счет сокращения малоэффективных контрактов (договоров), оперативного контроля исполнения, анализа и предупреждения контрактных (договорных) рисков, провоцирующих угрозы безопасности и, соответственно, ущерб интересам Нижегородской области.

Об утверждении Концепции информационной безопасности Нижегородской области

Название документа: Об утверждении Концепции информационной безопасности Нижегородской области

Номер документа: 920

Вид документа: Постановление Правительства Нижегородской области

Принявший орган: Правительство Нижегородской области

Статус: Действующий

Дата принятия: 31 декабря 2015

Дата начала действия: 31 декабря 2015