ПРАВИТЕЛЬСТВО НИЖЕГОРОДСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 31 декабря 2015 года № 920

Об утверждении Концепции
информационной безопасности
Нижегородской области

____________________________________________________________________
Утратил силу на основании постановления Правительства НО от 04.02.2020 N 90, вступившего в силу 04.02.2020.
____________________________________________________________________

В целях обеспечения необходимого уровня информационной безопасности в Нижегородской области Правительство Нижегородской области постановляет:

1. Утвердить прилагаемую Концепцию информационной безопасности Нижегородской области (далее - Концепция).

2. Органам исполнительной власти Нижегородской области и подведомственным им организациям при планировании, организации и реализации мероприятий по обеспечению информационной безопасности (защиты информации) учитывать положения, предусмотренные Концепцией.

3. Рекомендовать органам местного самоуправления муниципальных районов (городских округов) Нижегородской области и подведомственным им организациям при планировании, организации и реализации мероприятий по обеспечению информационной безопасности (защиты информации) руководствоваться положениями, предусмотренными Концепцией.

4. Рекомендовать организациям, в уставном (складочном) капитале которых доля (вклад) Нижегородской области и (или) муниципальных образований Нижегородской области составляет 50% (пятьдесят процентов) и более, и расположенным на территории Нижегородской области, при планировании, организации и реализации мероприятий по обеспечению информационной безопасности (защиты информации) руководствоваться положениями, предусмотренными Концепцией.

5. Рекомендовать органам и организациям, указанным в пунктах 2 - 4 настоящего постановления, привести  акты, определяющие организацию и функционирование их внутренней системы информационной безопасности (защиты информации), в соответствие с Концепцией.

Губернатор                                                                 В.П.Шанцев

     


     УТВЕРЖДЕНА
     постановлением Правительства
     Нижегородской области
     от 31 декабря 2015 года № 920

Концепция
информационной безопасности
Нижегородской области

     (далее - Концепция)  

  
     I. Основные положения
     

    1.1. Введение

1.1.1. Настоящая Концепция представляет собой единую систему взглядов на проблемы информационной безопасности, построение (развитие) системы информационной безопасности Нижегородской области, направленные на согласованное исполнение органами исполнительной власти и местного самоуправления муниципальных образований Нижегородской области, организациями Нижегородской области, в том числе подведомственными органам исполнительной власти и органам местного самоуправления муниципальных образований Нижегородской области (далее - Субъекты), требований по обеспечению информационной безопасности (защиты информации), установленных на федеральном и областном уровнях.  

1.1.2. Положения настоящей Концепции детализируют Доктрину информационной безопасности Российской Федерации, утвержденную Президентом Российской Федерации от 9 сентября  2000 года № Пр-1895, применительно к сфере информационной безопасности Нижегородской области, а также Стратегию национальной безопасности Российской Федерации до 2020 года, утвержденную Указом Президента Российской Федерации от 12 мая 2009 года № 537, применительно к информационной сфере Нижегородской области.

1.1.3. Настоящая Концепция разработана на основе анализа текущего состояния системы информационной безопасности Нижегородской области во избежание причинения ущерба Нижегородской области и субъектам правоотношений вследствие реализации информационных рисков и угроз информационной безопасности, и определяет:

1) проблемные области обеспечения информационной безопасности Нижегородской области (Субъектов, их объектов защиты), требующие решения на современном этапе развития;

2) актуальные направления, задачи и принципы развития текущей системы информационной безопасности Нижегородской области.  

1.1.4. Настоящая Концепция служит основой для:

1) создания государственных программ, а также планов Субъектов по информационной безопасности (защите информации);

2) уточнения содержания иных связанных с ней программ, планов, правовых и организационно-распорядительных документов, находящихся в стадии выполнения или разработки;

3) проведения единой согласованной политики в сфере обеспечения информационной безопасности Нижегородской области;

4) подготовки предложений по совершенствованию правового, научно-технического и организационного обеспечения информационной безопасности Нижегородской области.

1.1.5. Положения настоящей Концепции разработаны на основе:

1) основных направлений государственной политики в области информационной безопасности, сформулированных в Концепции региональной информатизации, утвержденной распоряжением Правительства Российской Федерации от 29 декабря 2014 года № 2769-р;

2) решений, методических рекомендаций Совета Безопасности Российской Федерации, Координационного Совета по защите информации при полномочном представителе Президента Российской Федерации в ПФО (далее - Координационный Совет), управления Федеральной службы по техническому и экспортному контролю Российской Федерации (далее - ФСТЭК России) по Приволжскому федеральному округу (далее - ПФО), управления Федеральной службы безопасности Российской Федерации (далее - ФСБ России) по Нижегородской области по организации системы информационной безопасности (защиты информации) в субъектах Российской Федерации;

3) Основ организации защиты информации в ПФО, одобренных решением Координационного Совета от 12 ноября 2009 года;

4) иных нормативных правовых актов, методических рекомендаций федеральных органов исполнительной власти, регулирующих отношения и вопросы в области информации, информационных технологий и информационной безопасности (защиты информации) в Российской Федерации.

1.1.6. В настоящей  Концепции используются понятия, определения и сокращения, установленные Федеральными законами от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 года № 152-ФЗ "О персональных данных", Законом Российской Федерации от 21 июля 1993 года № 5485-1 "О  государственной тайне", ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации", ГОСТ Р 51188-98 "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от  30 августа 2002 года № 282,  Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008  года, а также следующие понятия, определения и сокращения:

"ИС" - информационная система;

"ИР" - информационный ресурс;  

"ОМСУ" - орган (ы) местного самоуправления муниципальных образований Нижегородской области, в том числе муниципальных районов и (или) городских округов Нижегородской области;

"ОИВ" - орган (ы) исполнительной власти Нижегородской области;

"Органы" - ОИВ и ОМСУ;

"Организации" - организации, в уставном (складочном) капитале которых доля (вклад) Нижегородской области и (или) муниципальных образований  Нижегородской области составляет 50% (пятьдесят процентов) и более, и расположенные на территории Нижегородской области;

"Подведомственные организации" - организации, подведомственные Органам;

"Субъекты" - Органы, Организации и Подведомственные организации;

"специалист по ИБ" - специалист по информационной безопасности и (или) защите (технической) информации,  не отнесенной к государственной тайне, и (или) защите (технической) информации, содержащей сведения, составляющие государственную тайну;

"мероприятия по обеспечению ИБ" - мероприятия по обеспечению информационной безопасности, в том числе по защите (технической) информации, проводимые Субъектами;

"НО" - Нижегородская область;

"ИБ" - информационная  безопасность как состояние защищенности Субъектов и (или) их объектов защиты;

"ИБ НО" - ИБ (защита информации) Нижегородской области, Субъектов и их объектов защиты;

"головное подразделение по защите информации" - ОИВ, обеспечивающие реализацию государственной политики, организацию координации и межведомственного взаимодействия, а также контроль в области обеспечения безопасности информации по вопросам технической защиты информации, составляющей государственную тайну, информации ограниченного доступа, не отнесенной  к государственной тайне; противодействие иностранным  техническим разведкам; обеспечение безопасности информации в ключевых системах информационной инфраструктуры и в открытых информационных системах.

     1.2. Объекты защиты

1.2.1. В рамках реализации функций Субъектов защите подлежат следующие основные объекты (далее - объекты защиты Субъектов):

1.2.1.1. Информация ограниченного доступа и открытая (общедоступная) информация, содержащаяся в ИС и ИР Субъектов.

1.2.1.2. Информационные технологии, используемые Субъектами.

1.2.1.3. Информационные системы, содержащие защищаемую информацию и автоматизирующие исполнение государственных и (или) муниципальных функций, функций Субъектов, предоставление государственных и (или) муниципальных услуг населению:

1) справочно-правовые (информационно-правовые), содержащие тексты законов, указов, постановлений иных нормативных правовых актов,  решений различных государственных органов и т.п., консультации специалистов по праву, бухгалтерскому и  налоговому учёту, судебные решения, типовые формы деловых  документов и другие (например, "Гарант", "Консультант" и т.п.);

2) информационно-справочные, используемые для официального доведения любой информации до определенного или неопределенного круга лиц, при этом факт доведения такой информации не порождает правовых последствий, однако может являться обязательным в силу действующего законодательства (например, официальные порталы  (сайты) Субъектов, закрытые порталы для нескольких групп участников, интернет-портал государственных и муниципальных услуг Нижегородской области и т.п.);

3) сегментные, представляющие собой сегменты федеральных  ИС, создаваемые и эксплуатируемые на уровне Нижегородской области на основании предоставляемых с федерального уровня рекомендаций (правовых, организационных, технических) и используемые для сбора, обработки, свода данных на уровне Нижегородской области и передачи их на уровень федеральный, и  наоборот, при этом цели и задачи создания (модернизации), эксплуатации данных ИС определяются на федеральном уровне (например, "Региональный сегмент Единой Государственной Информационной Системы в сфере Здравоохранения Нижегородской области", "Информационная система персональных данных отдела социально-правовой защиты детей министерства образования Нижегородской области, обеспечивающая автоматизацию процессов получения, обработки, хранения и передачи информации о детях, оставшихся без попечения родителей, и граждан, желающих принять ребенка на опеку (попечительство) и усыновление", "АИСТ" (автоматизированная информационная система трансфузиологии, обеспечивающая информационное взаимодействие с единым информационным центром и ведение единой информационной  базы данных службы крови России) и т.п.);

4) внутриобластные, создаваемые и эксплуатируемые по решению органов государственной власти Нижегородской области (ОМСУ) или Субъекта в интересах нескольких Субъектов, при этом цели и задачи создания (модернизации), эксплуатации данных ИС, а также требования к ним определяются на уровне Нижегородской области (муниципальных образований области) или Субъекта, соответственно (например, "ЕСЭДД", "РСМЭВ", "АИС МФЦ", "НЭТИС" и т.п.);

5) ведомственные, создаваемые (эксплуатируемые) по решению Субъекта в интересах Субъекта и группы подведомственных ему организаций, цели и задачи создания (модернизации), эксплуатации которых определяются Субъектом (например, "1С: Свод отчетов" и т.п.);

6) служебные, создаваемые (эксплуатируемые) по решению Субъекта и в его интересах, цели и задачи создания (модернизации), эксплуатации которых определяются Субъектом, и используемые для автоматизации определённой области деятельности или типовой деятельности, неспецифичной относительно полномочий конкретного Субъекта (например, "Управление персоналом (кадрами)", "Продукты Microsoft Office" и т.п.);

7)  межрегиональные, используемые группой субъектов Российской Федерации и создаваемые (эксплуатируемые) в интересах Субъектов, при этом инициатором создания таких ИС и их оператором является один из субъектов Российской Федерации.

1.2.1.4. Информационные  ресурсы (файлы, базы данных, электронные и бумажные документы (носители) и т.д., содержащие защищаемую информацию и подразделяемые:

1) по категориям доступа на:

- внешние (открытые (общедоступные)),  доступные всем пользователям услуг Субъектов, и обеспечивающие их взаимодействие с гражданами и юридическими лицами;

- внешние с разграничением  доступа, доступ к которым предоставлен гражданами и юридическими лицами, но ограничен в соответствии с правилами разграничения доступа;

- внутренние (с ограниченным доступом), доступные определенным группам сотрудников Субъектов и взаимодействующих органов власти, организаций, Субъектов;

2) как объекты права собственности на:

- федеральные;

- находящиеся в совместном ведении Российской Федерации и Нижегородской области как субъекта Российской Федерации;

- принадлежащие Нижегородской области как субъекту Российской Федерации;

- принадлежащие ОИВ;

- принадлежащие ОМСУ;

- принадлежащие другим Субъектам;

- принадлежащие  другим субъектам  Российской  Федерации;

- принадлежащие иностранным юридическим и физическим лицам.

1.2.1.5. Информационно-телекоммуникационные сети, предназначенные для передачи по линиям связи защищаемой информации.

1.2.1.6. ИТ-инфраструктура - информационно-телекоммуникационная  инфраструктура, включающая в себя: информационную инфраструктуру, представленную серверным оборудованием, оборудованием для консолидированного хранения данных, автоматизированными рабочими местами пользователей и т.д., техническим (аппаратным),  программным и информационным обеспечением для их управления, и обеспечивающую основные функции - обработку и хранение защищаемой информации; телекоммуникационную инфраструктуру, обеспечивающую взаимосвязь элементов информационной инфраструктуры, а также  передачу данных между информационной инфраструктурой и пользователями.

1.2.1.7. Инженерная  инфраструктура, представленная техническими средствами и системами, не используемыми в ходе обработки и передачи информации, но размещенными в помещениях, где она обрабатывается и хранится, и обеспечивающая оптимальное функционирование основных систем ИТ-инфраструктуры, в том числе в целях нейтрализации утечек защищаемой информации (кондиционирование для поддержания температуры и уровня влажности в заданных параметрах, бесперебойное электроснабжение для автономной работы ИС в случаях отключения центральных источников электроэнергии, средства пожаротушения, система управления питанием и т.д.).

1.2.1.8. Помещения, где располагается вышеуказанная инфраструктура, в том числе:

1) помещения, в которых находятся вычислительные центры обработки данных, серверными помещениями;

2) помещения, где располагаются автоматизированные рабочие места, на которых осуществляется обработка защищаемой информации, устройства ввода (вывода) и хранилища носителей защищаемой информации;

3) специальные помещения, предназначенные для регулярного проведения собраний, совещаний и других мероприятий закрытого характера (за исключением обсуждения сведений, составляющих государственную тайну).

1.2.1.9. Носители защищаемой информации.

1.2.1.10. Объекты, содержащие носители защищаемой информации, не отнесенные к вышеуказанным объектам защиты Субъектов.

1.2.2. Детализированный  перечень объектов  защиты, актуальный для конкретного Субъекта (далее - объекты защиты, объекты защиты Субъекта), определяется, исходя из объектов защиты Субъектов, и закрепляется каждым Субъектом самостоятельно в своем внутреннем акте, который может содержать перечень защищаемой информации, названия ИС (подсистем), автоматизированных рабочих  мест, баз данных, информационных массивов, пакетов прикладных программ, обладателей информации, помещений, инфраструктур и прочего, подлежащего защите конкретным Субъектом. При необходимости указанный перечень согласовывается с вышестоящими организациями по подведомственности (в случае их наличия).

1.2.3. Перечни объектов защиты Субъектов подлежат централизованному своду, а указанные в них объекты защиты - обязательному учету и защите конкретным Субъектом. Порядок сбора и анализа сводных данных устанавливается актом головного подразделения по защите информации.