(с изменениями на 26 апреля 2021 года)
(в ред. Постановлений Правительства Астраханской области от 29.12.2014 N 647-П, от 13.10.2016 N 363-П, Распоряжения Правительства Астраханской области от 26.04.2021 N 129-Пр)
В целях совершенствования контроля информационной безопасности в информационно-телекоммуникационных системах исполнительных органов государственной власти Астраханской области:
1. Утвердить концепцию информационной безопасности исполнительных органов государственной власти Астраханской области (далее -концепция).
2. Исполнительным органам государственной власти Астраханской области при организации работы по обеспечению информационной безопасности руководствоваться положениями концепции.
3. Агентству связи и массовых коммуникаций Астраханской области (Зайцева М.А.) опубликовать настоящее Распоряжение в средствах массовой информации.
Губернатор Астраханской области
А.А.ЖИЛКИН
КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСПОЛНИТЕЛЬНЫХ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ АСТРАХАНСКОЙ ОБЛАСТИ
(в ред. Распоряжения Правительства Астраханской области от 26.04.2021 N 129-Пр)
1.1. Концепция информационной безопасности исполнительных органов государственной власти Астраханской области (далее - концепция) определяет цель, задачи, принципы обеспечения информационной безопасности, объекты информационной безопасности, основные угрозы, меры, методы и средства обеспечения информационной безопасности в исполнительных органах государственной власти Астраханской области.
1.2. Концепция является методологической основой для:
- формирования и проведения единой политики в области обеспечения информационной безопасности в исполнительных органах государственной власти Астраханской области;
- принятия управленческих решений и разработки практических мер по реализации политики информационной безопасности и выработки комплекса согласованных мер нормативно-правового и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
- разработки предложений по совершенствованию правового, методического, технического и организационного обеспечения информационной безопасности в исполнительных органах государственной власти Астраханской области.
1.3. Правовую основу концепции составляют Конституция Российской Федерации, указы Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", от 31.12.2015 N 683 "О Стратегии национальной безопасности Российской Федерации", от 05.12.2016 N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации", федеральные законы от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", от 28.12.2010 N 390-ФЗ "О безопасности", от 06.04.2011 N 63-ФЗ "Об электронной подписи" и иные правовые акты.
1.4. Положения концепции не распространяются на сведения, составляющие государственную тайну.
2.1. Целью обеспечения информационной безопасности является защита объектов информационной безопасности от угроз, указанных в разделе 5 настоящей концепции, вызванных неэффективностью процедур контроля, технологических сбоев, несанкционированных действий персонала или иных форм несанкционированного доступа к ним.
2.2. Задачами обеспечения информационной безопасности являются:
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, обрабатываемых в информационных системах;
- соблюдение требований законодательства Российской Федерации в области информационной безопасности;
- реализация государственной политики в области обеспечения информационной безопасности;
- организация и координация работ по защите информации;
- обеспечение защиты информации от несанкционированного доступа на всех этапах ее жизненного цикла;
- обеспечение непрерывного функционирования информационных систем и систем обеспечения информационной безопасности;
- своевременное прогнозирование, выявление и нейтрализация угроз информационной безопасности;
- обеспечение эффективной работы механизмов оперативного реагирования на угрозы информационной безопасности;
- организация повышения квалификации сотрудников исполнительных органов государственной власти Астраханской области в сфере информационной безопасности;
- своевременное выявление и расследование инцидентов нарушения информационной безопасности, восстановление актуального состояния информации, информационных систем и информационной инфраструктуры;
- мониторинг состояния защищенности информации.
Обеспечение информационной безопасности осуществляется на основе следующих принципов:
- законности - осуществления защитных мероприятий и разработки системы обеспечения информационной безопасности в соответствии с законодательством Российской Федерации;
- комплексности - всестороннего обеспечения информационной безопасности, то есть использования всех доступных законных программно-технических, организационных, правовых и других мер обеспечения информационной безопасности;
- своевременности - упреждающего характера мер защиты информации, достигающегося параллельной разработкой и развитием мер защиты информации, а также реагирования на инциденты нарушения информационной безопасности в кратчайшие сроки адекватно степени опасности инцидента;
- системности - подхода к построению системы обеспечения информационной безопасности с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, имеющих существенное значение для понимания и решения проблем обеспечения информационной безопасности, включающего фазы планирования, реализации, контроля и совершенствования;
- непрерывности - постоянного поддержания работоспособности и развития системы обеспечения информационной безопасности;
- персональной ответственности - ответственности в пределах должностных обязанностей за несоблюдение требований по защите информации;
- минимизации полномочий - предоставления прав доступа сотрудникам исполнительных органов государственной власти Астраханской области к информационным ресурсам в объеме, достаточном для выполнения их должностных обязанностей;
- унифицированности - унификации принципов, правил, процедур, требований и технических решений по обеспечению информационной безопасности;
- простоты - понятности порядка действий и процесса использования средств обеспечения информационной безопасности и защиты информации.
К объектам информационной безопасности в исполнительных органах государственной власти Астраханской области относятся:
- информационные ресурсы, содержащие конфиденциальную информацию (служебную тайну, коммерческую тайну, персональные данные и прочую информацию ограниченного доступа), а также открытую (общедоступную) информацию;
- информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе информационные системы и средства защиты информации.
5.1. Угроза информационной безопасности - совокупность факторов и условий, создающих опасность нарушения информационной безопасности.
5.2. Источники угроз информационной безопасности разделяются на угрозы, источник которых расположен вне контролируемой зоны (внешние), и угрозы, источник которых расположен в пределах контролируемой зоны (внутренние).
5.3. К внешним угрозам информационной безопасности относятся:
- деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных систем и информационной инфраструктуры;
- перехват и утечка информации по техническим каналам;
- неконтролируемое самопроизвольное распространение компьютерных вирусов и иных вредоносных программ;
- стихийные бедствия, катастрофы, пожары и аварии.
5.4. К внутренним угрозам информационной безопасности относятся:
- невыполнение требований законодательства Российской Федерации и несвоевременное принятие необходимых правовых актов, регламентирующих деятельность в сфере информационной безопасности;
- нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, создающие предпосылки к утечке либо разглашению сведений конфиденциального характера;
- внедрение несовершенных или устаревших информационных технологий и средств информатизации;