АДМИНИСТРАЦИЯ КУРСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 18 декабря 2009 г. N 447
ОБ УТВЕРЖДЕНИИ ОБЛАСТНОЙ ЦЕЛЕВОЙ ПРОГРАММЫ
"РАЗВИТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КУРСКОЙ ОБЛАСТИ
(2010 - 2014 ГОДЫ)"
(с изменениями на 11 ноября 2013 года)
__________________________________________
Утратил силу на основании
постановления Администрации Курской области
от 24 октября 2013 года № 775-па
__________________________________________
__________________________________________
Документ с изменениями, внесёнными:
постановлением Администрации Курской области от 20 мая 2010 года № 213-па
постановлением Администрации Курской области от 30 ноября 2011 года № 639-па
постановлением Администрации Курской области от 15 августа 2012 года № 710-па
постановлением Администрации Курской области от 30 мая 2013 года № 350-па
постановлением Администрации Курской области от 11 ноября 2013 года № 801-па
__________________________________________
(наименование постановления в ред., введенной в действие постановлением Администрации Курской области от 30 ноября 2011 года № 639-па, - см. предыдущую редакцию)
В соответствии со статьей 179 Бюджетного кодекса Российской Федерации, Порядком принятия решений о разработке долгосрочных областных целевых программ, их формирования и реализации, утвержденным постановлением Администрации Курской области от 10.10.2008 N 321, Администрация Курской области постановляет:
Утвердить прилагаемую областную целевую программу "Развитие системы защиты информации Курской области (2010 - 2014 годы)".
(в ред., введенной в действие постановлением Администрации Курской области от 30 ноября 2011 года № 639-па, - см. предыдущую редакцию)
Губернатор
Курской области
А.Н.МИХАЙЛОВ
Утверждена
постановлением
Администрации Курской области
от 18 декабря 2009 г. N 447
(в ред., введенной в действие
постановлением Администрации Курской области
от 11 ноября 2013 года № 801-па, -
см. предыдущую редакцию)
ОБЛАСТНАЯ ЦЕЛЕВАЯ ПРОГРАММА
«РАЗВИТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КУРСКОЙ ОБЛАСТИ
(2010 - 2014 ГОДЫ)»
ПАСПОРТ
ОБЛАСТНОЙ ЦЕЛЕВОЙ ПРОГРАММЫ «РАЗВИТИЕ СИСТЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ КУРСКОЙ ОБЛАСТИ (2010 - 2014 ГОДЫ)»
Наименование программы | - | областная целевая программа «Развитие системы защиты информации Курской области (2010-2014 годы)» (далее – Программа) |
Основания для разработки Программы | - | Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; |
Государственный заказчик | - | департамент информационно-коммуникационных технологий и безопасности информации Курской области |
Основной разработчик Программы | - | департамент информационно-коммуникационных технологий и безопасности информации Курской области |
Цели и задачи Программы | - | целью Программы является обеспечение безопасности информационных систем органов исполнительной власти Курской области в соответствии с требованиями действующего законодательства. |
Важнейшие целевые индикаторы и показатели Программы | - | доля автоматизированных рабочих мест (далее - АРМ) органов исполнительной власти Курской области, обрабатывающих сведения, составляющие государственную тайну или персональные данные, от количества АРМ подлежащих аттестации на момент разработки Программы, аттестованных в соответствии с требованиями действующего законодательства в сфере защиты информации; |
Сроки реализации | - | 2010-2014 годы |
Перечень основных | - | проведение первичных мероприятий по защите информации (спецпроверок и специсследований, проектные работы и другие услуги, оказываемые в сфере разработки систем защиты информации), аттестационных испытаний объектов информатизации органов исполнительной власти Курской области в соответствии с действующим законодательством и мероприятий по контролю защищенности объектов информатизации, обрабатывающих сведения, составляющие государственную тайну; (абзац в ред., введенной в действие постановлением Администрации Курской области от 30 мая 2013 года № 350-па, - см. предыдущую редакцию) создание информационной системы «Реестр информационных систем Курской области», включающее в себя передачу неисключительных прав на ПО «Реестр информационных систем», оказание консультационных услуг по функционированию ПО «Реестр информационных систем»; |
Исполнители основных | - | департамент информационно – коммуникационных технологий и безопасности информации Курской области; |
Объемы и источники | - | источником финансирования Программы является областной бюджет. |
Система организации | - | общий контроль за ходом реализации Программы осуществляется Администрацией Курской области, текущий контроль – департаментом |
Ожидаемые конечные | - | обеспечение безопасности информационных систем органов исполнительной власти Курской области и их подведомственных учреждений в соответствии с требованиями действующего законодательства; |
I. Характеристика проблемы, на решение которой
направлена Программа
В условиях, когда основной объем информации во всех сферах деятельности государства обрабатывается и передается с использованием информационных технологий, значительно возрастает угроза утечки информации по техническим каналам в результате несанкционированного доступа к информационным системам разведок и спецслужб иностранных государств, недобросовестных предпринимателей и злоумышленников.
Утечка информации, а также специальные воздействия на информацию в целях её уничтожения, искажения или блокирования могут привести к снижению эффективности деятельности государственных органов власти и их подведомственных учреждений в различных сферах деятельности, значительным материальным потерям, созданию социальной нестабильности, ущемлению прав и свобод граждан и другим негативным последствиям.
Следует отметить, что с развитием информационных технологий, развитием информационного общества, формированием механизмов «электронного правительства» все большее количество управленческих решений принимается на основании автоматизированной обработки информации, содержащейся в информационных системах органов власти и подведомственных органам исполнительной власти учреждений и, следовательно, все большее значение приобретает обеспечение защиты данной информации от несанкционированного доступа и иных вредоносных воздействий. Это обуславливает необходимость принятия адекватных мер по защите информации.
Защита информации является неотъемлемой составной частью основной деятельности органов власти, направленной на повышение эффективности их деятельности, обеспечение прав и свобод граждан, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, на получение достоверной информации о деятельности органов власти. С этой целью необходимо обеспечить выполнение всех требований действующего законодательства в сфере защиты информации.
В течение последних лет основой в процессе организации защиты информации с ограниченным доступом в органах исполнительной власти Курской области служила Концепция защиты информации в Курской области, утвержденная постановлением Губернатора Курской области от 05.07.2005 г. № 489 (далее – Концепция). Данная Концепция была создана на основе следующих основных документов, регламентировавших деятельность по обеспечению безопасности информации, с ограниченным доступом:
Федеральный закон от 20 февраля 1995 года № 24-ФЗ "Об информации, информатизации и защите информации" (в настоящее время утратил силу);
Федеральный закон от 21 июля 1993 года № 5485-1 «О государственной тайне»;
Федеральный закон от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне»;
Концепция защиты информации в Центральном федеральном округе, утвержденная полномочным представителем Президента Российской Федерации в Центральном федеральном округе 7 июня 2004 года.
Таким образом, на момент утверждения Концепции защиты информации в Курской области, и фактически до 2007 года отсутствовали законодательные документы, регулирующие процесс обращения с конфиденциальной информацией, за исключением информации, составляющей коммерческую тайну, и практически отсутствующей в государственных органах власти. Порядок защиты конфиденциальной информации определялся только руководящими документами Гостехкомиссии России (в настоящее время ФСТЭК России), которые, хотя и имеют статус документов, обязательных к исполнению в органах государственной власти, но не определяют как четких сроков приведения в соответствие со своими требованиями процесса обработки конфиденциальной информации, так и последствий, которые могут наступить при невыполнении указанных требований.
В связи с указанными обстоятельствами, а также учитывая значительные сложности выделения финансовых средств на проведение мероприятий по обеспечению безопасности информации с ограниченным доступом, в органах исполнительной власти Курской области системно и на относительно достаточном уровне финансировались только мероприятия по технической защите объектов информатизации, обрабатывающих сведения, составляющие государственную тайну.
В связи с небольшим количеством указанных объектов информатизации, простотой структуры (как правило, это автономные рабочие места), для проведения мероприятий по технической защите требовались небольшие объемы финансовых средств и небольшое количество специалистов, необходимых для организации защиты информации в соответствии с действующим законодательством.
Однако, рассматривая систему защиты сведений, составляющих государственную тайну, следует отметить следующее:
хотя на проведение мероприятий по технической защите объектов информатизации, обрабатывающих сведения, составляющие государственную тайну, выделялись необходимые финансовые средства, обучение и повышение квалификации специалистов по вопросам защиты информации за счет средств органов исполнительной власти Курской области фактически не осуществлялось;
в настоящее время в некоторых органах исполнительной власти Курской области, несмотря на необходимость использования в своей работе сведений, составляющих государственную тайну, не предусмотрено финансирование проведения мероприятий по созданию собственных автоматизированных рабочих мест, соответствующих требованиям действующего законодательства в сфере защиты информации;
построение единой системы защиты информации федерального округа и региона, как составной части государственной системы защиты информации является одной из основных задач Концепции защиты информации в Центральном федеральном округе и Курской области, решение которой невозможно без централизации проводимых мероприятий.
Таким образом, можно сделать вывод о наличии проблем в системе финансирования мероприятий по защите сведений, составляющих государственную тайну. Еще более значительные проблемы существуют в ресурсном обеспечении работ по созданию системы защиты конфиденциальной информации в целом и персональных данных в частности.
В настоящее время произошло существенное изменение законодательной базы по вопросам обеспечения безопасности информации. Федеральный закон от 20 февраля 1995 года № 24-ФЗ "Об информации, информатизации и защите информации" утратил силу. Приняты следующие федеральные законы:
от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
Согласно части 4 статьи 6 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», обладатель информации обязан принимать меры по защите информации и ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
В настоящее время одним из основных федеральных законов, обязывающих ограничить доступ к информации, для органов власти Курской области является Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон). В соответствии со статьей 7 Федерального закона операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.
В соответствии с существующими требованиями необходимо периодическое проведение повторных организационных и технических мероприятий по анализу и поддержанию в актуальном состоянии системы защиты информации с ограниченным доступом в информационных системах Курской области.
II. Основные цели и задачи Программы, сроки и этапы
ее реализации, а также целевые индикаторы и показатели, характеризующие эффективность реализации Программы
Целью Программы является обеспечение безопасности информационных систем органов исполнительной власти Курской области в соответствии с требованиями действующего законодательства.
Для достижения указанной цели необходимо решить следующие задачи:
обеспечить в полном объеме реализацию государственной политики и требований законодательных и иных нормативных правовых актов в сфере обеспечения безопасности информации;
обеспечить права и свободы граждан при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну в части обеспечения защиты персональных данных, обрабатываемых в информационных системах Курской области.
Программа рассчитана на 5 лет, реализуется в один этап с 2010 по 2014 гг. Однако, представленные в ней мероприятия не могут быть ограничены рассматриваемым периодом. Следует отметить, что указанный период потребуется на создание комплексной системы безопасности персональных данных (в том числе системы технической защиты) в информационных системах Курской области, однако в соответствии с существующими требованиями необходимо периодическое проведение повторных организационных и технических мероприятий по анализу и поддержании в актуальном состоянии системы защиты информации с ограниченным доступом в информационных системах Курской области.
Проведение указанных мероприятий будет предусмотрено в рамках последующих областных целевых программ по развитию системы защиты информации органов исполнительной власти Курской области.
Целевыми индикаторами и показателями Программы являются:
доля автоматизированных рабочих мест (далее – АРМ) органов исполнительной власти Курской области, обрабатывающих сведения, составляющие государственную тайну или персональные данные, от количества АРМ, подлежащих аттестации на момент разработки Программы, аттестованных в соответствии с требованиями действующего законодательства в сфере защиты информации;
доля аттестованных АРМ органов исполнительной власти Курской области, оснащенных сертифицированными средствами защиты информации;
количество специалистов органов исполнительной власти Курской области и их подведомственных учреждений, осуществивших обучение, повышение квалификации, профессиональную переподготовку в сфере защиты информации.
(абзац в ред., введенной в действие постановлением Администрации Курской области от 30 мая 2013 года № 350-па, - см. предыдущую редакцию)
Прогнозируемые значения целевых индикаторов и показателей Программы приведены в приложении № 1 к настоящей Программе.
III. Перечень программных мероприятий, сроки их реализации и объемы финансирования
Перечень программных мероприятий включает в себя следующие приоритетные направления:
1) проведение первичных мероприятий по защите информации (спецпроверок и специсследований, проектные работы и другие услуги, оказываемые в сфере разработки систем защиты информации), аттестационных испытаний объектов информатизации органов исполнительной власти Курской области в соответствии с действующим законодательством и мероприятий по контролю защищенности объектов информатизации обрабатывающих сведения, составляющие государственную тайну;
2) оснащение объектов информатизации, обрабатывающих информацию с ограниченным доступом, органов исполнительной власти Курской области сертифицированными программными и аппаратными средствами защиты информации, а также средствами обработки информации с ограниченным доступом;
3) осуществление мероприятий по обучению, повышению квалификации, профессиональной переподготовке специалистов органов исполнительной власти Курской области и их подведомственных учреждений в сфере защиты информации;
(абзац в ред., введенной в действие постановлением Администрации Курской области от 30 мая 2013 года № 350-па, - см. предыдущую редакцию)
4) создание информационной системы «Реестр информационных систем Курской области», включающее в себя передачу неисключительных прав на ПО «Реестр информационных систем», оказание консультационных услуг по функционированию ПО «Реестр информационных систем»;
5) совершенствование законодательной и действующей нормативной правовой базы Курской области сфере обеспечения безопасности информации;
6) проведение аудита информационных систем персональных данных учреждений, подведомственных органам исполнительной власти Курской области, с целью уточнения их класса и выработки мероприятий по приведению в соответствие с требованиями действующего законодательства по вопросам обеспечения защиты информации;
7) проведение первичных мероприятий по защите информации (проектные работы и другие услуги, оказываемые в сфере разработки систем защиты информации), аттестационных испытаний объектов информатизации, обрабатывающих персональные данные, учреждений, подведомственных органам исполнительной власти Курской области;
8) оснащение объектов информатизации, обрабатывающих персональные данные, учреждений, подведомственных органам исполнительной власти Курской области сертифицированными программными и аппаратными средствами защиты информации, а также средствами обработки информации с ограниченным доступом;
9) проведение мероприятий по анализу состояния систем обработки информации с ограниченным доступом в органах исполнительной власти Курской области, их подведомственных учреждениях и предоставлению информации в департамент информационно-коммуникационных технологий и безопасности информации Курской области об их составе и структуре в случае изменения;
10) проведение мероприятий по контролю за состоянием защиты информации с ограниченным доступом.
Перечень мероприятий Программы, а также информация о необходимых для реализации каждого мероприятия ресурсах, сроках и объемах финансирования приведены в приложении № 2 к настоящей Программе.
IV. Ресурсное обеспечение Программы
Финансирование программных мероприятий осуществляется за счет средств областного бюджета.
