Недействующий

АДМИНИСТРАЦИЯ КУРСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 18 декабря 2009 г. N 447



ОБ УТВЕРЖДЕНИИ ОБЛАСТНОЙ ЦЕЛЕВОЙ ПРОГРАММЫ
"РАЗВИТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КУРСКОЙ ОБЛАСТИ
(2010 - 2014 ГОДЫ)"

(с изменениями на 11 ноября 2013 года)
__________________________________________
Утратил силу на основании
постановления Администрации Курской области
от 24 октября 2013 года № 775-па
__________________________________________

__________________________________________
Документ с изменениями, внесёнными:
постановлением Администрации Курской области от 20 мая 2010 года № 213-па
постановлением Администрации Курской области от 30 ноября 2011 года № 639-па
постановлением Администрации Курской области от 15 августа 2012 года № 710-па
постановлением Администрации Курской области от 30 мая 2013 года № 350-па
постановлением Администрации Курской области от 11 ноября 2013 года № 801-па
__________________________________________


     (наименование постановления в ред., введенной в действие постановлением Администрации Курской области от 30 ноября 2011 года № 639-па, - см. предыдущую редакцию)

В соответствии со статьей 179 Бюджетного кодекса Российской Федерации, Порядком принятия решений о разработке долгосрочных областных целевых программ, их формирования и реализации, утвержденным постановлением Администрации Курской области от 10.10.2008 N 321, Администрация Курской области постановляет:

Утвердить прилагаемую областную целевую программу "Развитие системы защиты информации Курской области (2010 - 2014 годы)".

(в ред., введенной в действие постановлением Администрации Курской области от 30 ноября 2011 года № 639-па, - см. предыдущую редакцию)

Губернатор
Курской области
А.Н.МИХАЙЛОВ

     



Утверждена
постановлением
Администрации Курской области
от 18 декабря 2009 г. N 447
(в ред., введенной в действие
постановлением Администрации Курской области
от 11 ноября 2013 года № 801-па, -
см. предыдущую редакцию)

     ОБЛАСТНАЯ ЦЕЛЕВАЯ ПРОГРАММА
«РАЗВИТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КУРСКОЙ ОБЛАСТИ
(2010 - 2014 ГОДЫ)»


ПАСПОРТ
ОБЛАСТНОЙ ЦЕЛЕВОЙ ПРОГРАММЫ «РАЗВИТИЕ СИСТЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ КУРСКОЙ ОБЛАСТИ (2010 - 2014 ГОДЫ)»

Наименование программы

-

областная целевая программа «Развитие системы защиты информации Курской области (2010-2014 годы)» (далее – Программа)

Основания для разработки Программы

-

Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 21 июля 1993 года № 5485-1 «О государственной тайне»;
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
Закон Курской области от 11 ноября 2008 года № 88-ЗКО «Об информационных системах Курской области»

Государственный заказчик

-

департамент информационно-коммуникационных технологий и безопасности информации Курской области

Основной разработчик Программы

-

департамент информационно-коммуникационных технологий и безопасности информации Курской области

Цели и задачи Программы

-

целью Программы является обеспечение безопасности информационных систем органов исполнительной власти Курской области в соответствии с требованиями действующего законодательства.
Основными задачами, направленными на достижение поставленной цели, являются:
реализация государственной политики и требований законодательных и иных нормативных правовых актов в сфере обеспечения безопасности информации;
обеспечение прав и свобод граждан при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну в части обеспечения защиты персональных данных, обрабатываемых в информационных системах Курской области

Важнейшие целевые индикаторы и показатели Программы

-

доля автоматизированных рабочих мест (далее - АРМ) органов исполнительной власти Курской области, обрабатывающих сведения, составляющие государственную тайну или персональные данные, от количества АРМ подлежащих аттестации на момент разработки Программы, аттестованных в соответствии с требованиями действующего законодательства в сфере защиты информации;
доля аттестованных АРМ органов исполнительной власти Курской области, оснащенных сертифицированными средствами защиты информации;
количество специалистов органов исполнительной власти Курской области и их подведомственных учреждений, осуществивших обучение, повышение квалификации, профессиональную переподготовку в сфере защиты информации
     (в ред., введенной в действие постановлением Администрации Курской области от 30 мая 2013 года № 350-па, - см. предыдущую редакцию)

Сроки реализации
Программы

-

2010-2014 годы

Перечень основных
мероприятий Программы

-

проведение первичных мероприятий по защите информации (спецпроверок и специсследований, проектные работы и другие услуги, оказываемые в сфере разработки систем защиты информации), аттестационных испытаний объектов информатизации органов исполнительной власти Курской области в соответствии с действующим законодательством и мероприятий по контролю защищенности объектов информатизации, обрабатывающих сведения, составляющие государственную тайну;
оснащение объектов информатизации, обрабатывающих информацию с ограниченным доступом, органов исполнительной власти Курской области сертифицированными программными и аппаратными средствами защиты информации, а также средствами обработки информации с ограниченным доступом;
проведение аудита информационных систем персональных данных учреждений, подведомственных органам исполнительной власти Курской области, с целью уточнения их класса и выработки мероприятий по приведению в соответствие с требованиями действующего законодательства по вопросам обеспечения защиты информации;
проведение первичных мероприятий по защите информации (проектные работы и другие услуги, оказываемые в сфере разработки систем защиты информации, аттестационных испытаний объектов информатизации, обрабатывающих персональные данные, учреждений, подведомственных органам исполнительной власти Курской области;
оснащение объектов информатизации, обрабатывающих персональные данные, учреждений, подведомственных органам исполнительной власти Курской области, сертифицированными программными и аппаратными средствами защиты информации, а также средствами обработки информации с ограниченным доступом;
осуществление мероприятий по обучению, повышению квалификации, профессиональной переподготовке специалистов органов исполнительной власти Курской области и их подведомственных учреждений в сфере защиты информации;

(абзац в ред., введенной в действие постановлением Администрации Курской области от 30 мая 2013 года № 350-па, - см. предыдущую редакцию)

создание информационной системы «Реестр информационных систем Курской области», включающее в себя передачу неисключительных прав на ПО «Реестр информационных систем», оказание консультационных услуг по функционированию ПО «Реестр информационных систем»;
совершенствование законодательной и действующей нормативной правовой базы Курской области в сфере обеспечения безопасности информации;
проведение мероприятий по анализу состояния систем обработки информации с ограниченным доступом в органах исполнительной власти Курской области, их подведомственных учреждениях и предоставлению информации в департамент информационно-коммуникационных технологий и безопасности информации Курской области об их составе и структуре в случае изменения;
проведение мероприятий по контролю за состоянием защиты информации с ограниченным доступом

Исполнители основных
мероприятий

-

департамент информационно – коммуникационных технологий и безопасности информации Курской области;
органы исполнительной власти Курской области и их подведомственные учреждения

Объемы и источники
финансирования
Программы

-

источником финансирования Программы является областной бюджет.
Общий объем финансирования – 40150,6 тыс. рублей

Система организации
контроля за исполнением
Программы

-

общий контроль за ходом реализации Программы осуществляется Администрацией Курской области, текущий контроль – департаментом
информационно-коммуникационных технологий и безопасности информации Курской
     (в ред., введенной в действие постановлением Администрации Курской области от 30 мая 2013 года № 350-па, - см. предыдущую редакцию)

Ожидаемые конечные
результаты реализации
Программы и показатели
эффективности реализации Программы

-

обеспечение безопасности информационных систем органов исполнительной власти Курской области и их подведомственных учреждений в соответствии с требованиями действующего законодательства;
обеспечение прав и свобод граждан при обработке их персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личной и семейной тайны в части обеспечения защиты персональных данных, обрабатываемых в информационных системах Курской области;
минимизация рисков финансовых потерь и социальной нестабильности, которые могут наступить за счет несанкционированного доступа к информационным системам Курской области, искажения или уничтожения обрабатываемых в них информационных ресурсов;
обеспечение стабильной работы информационных систем Курской области, что в свою очередь позволит органам исполнительной власти Курской области и их подведомственным учреждениям оказывать услуги населению на необходимом уровне;
достижение следующих целевых индикаторов:
доля АРМ органов исполнительной власти Курской области, обрабатывающих сведения, составляющие государственную тайну или персональные данные, от количества АРМ, подлежащих аттестации, на момент разработки Программы, аттестованных в соответствии с требованиями действующего законодательства в сфере защиты информации, увеличится на 12%;
доля аттестованных АРМ органов исполнительной власти Курской области, оснащенных сертифицированными средствами защиты информации, увеличится на 84%;
количество специалистов органов исполнительной власти Курской области и их подведомственных учреждений, осуществивших обучение, повышение квалификации, профессиональную переподготовку в сфере защиты информации, увеличится на 192 человека
     (абзац в ред., введенной в действие постановлением Администрации Курской области от 30 мая 2013 года № 350-па, - см. предыдущую редакцию)

I. Характеристика проблемы, на решение которой
направлена Программа

     

В условиях, когда основной объем информации во всех сферах деятельности государства обрабатывается и передается с использованием информационных технологий, значительно возрастает угроза утечки информации по техническим каналам в результате несанкционированного доступа к информационным системам разведок и спецслужб иностранных государств, недобросовестных предпринимателей и злоумышленников.

Утечка информации, а также специальные воздействия на информацию в целях её уничтожения, искажения или блокирования могут привести к снижению эффективности деятельности государственных органов власти и их подведомственных учреждений в различных сферах деятельности, значительным материальным потерям, созданию социальной нестабильности, ущемлению прав и свобод граждан и другим негативным последствиям.

Следует отметить, что с развитием информационных технологий, развитием информационного общества, формированием механизмов «электронного правительства» все большее количество управленческих решений принимается на основании автоматизированной обработки информации, содержащейся в информационных системах органов власти и подведомственных органам исполнительной власти учреждений и, следовательно, все большее значение приобретает обеспечение защиты данной информации от несанкционированного доступа и иных вредоносных воздействий. Это обуславливает необходимость принятия адекватных мер по защите информации.

Защита информации является неотъемлемой составной частью основной деятельности органов власти, направленной на повышение эффективности их деятельности, обеспечение прав и свобод граждан, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, на получение достоверной информации о деятельности органов власти. С этой целью необходимо обеспечить выполнение всех требований действующего законодательства в сфере защиты информации.

В течение последних лет основой в процессе организации защиты информации с ограниченным доступом в органах исполнительной власти Курской области служила Концепция защиты информации в Курской области, утвержденная постановлением Губернатора Курской области от 05.07.2005 г. № 489 (далее – Концепция). Данная Концепция была создана на основе следующих основных документов, регламентировавших деятельность по обеспечению безопасности информации, с ограниченным доступом:

Федеральный закон от 20 февраля 1995 года № 24-ФЗ "Об информации, информатизации и защите информации" (в настоящее время утратил силу);

Федеральный закон от 21 июля 1993 года № 5485-1 «О государственной тайне»;

Федеральный закон от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне»;

Концепция защиты информации в Центральном федеральном округе, утвержденная полномочным представителем Президента Российской Федерации в Центральном федеральном округе 7 июня 2004 года.

Таким образом, на момент утверждения Концепции защиты информации в Курской области, и фактически до 2007 года отсутствовали законодательные документы, регулирующие процесс обращения с конфиденциальной информацией, за исключением информации, составляющей коммерческую тайну, и практически отсутствующей в государственных органах власти. Порядок защиты конфиденциальной информации определялся только руководящими документами Гостехкомиссии России (в настоящее время ФСТЭК России), которые, хотя и имеют статус документов, обязательных к исполнению в органах государственной власти, но не определяют как четких сроков приведения в соответствие со своими требованиями процесса обработки конфиденциальной информации, так и последствий, которые могут наступить при невыполнении указанных требований.

В связи с указанными обстоятельствами, а также учитывая значительные сложности выделения финансовых средств на проведение мероприятий по обеспечению безопасности информации с ограниченным доступом, в органах исполнительной власти Курской области системно и на относительно достаточном уровне финансировались только мероприятия по технической защите объектов информатизации, обрабатывающих сведения, составляющие государственную тайну.

В связи с небольшим количеством указанных объектов информатизации, простотой структуры (как правило, это автономные рабочие места), для проведения мероприятий по технической защите требовались небольшие объемы финансовых средств и небольшое количество специалистов, необходимых для организации защиты информации в соответствии с действующим законодательством.

Однако, рассматривая систему защиты сведений, составляющих государственную тайну, следует отметить следующее:

хотя на проведение мероприятий по технической защите объектов информатизации, обрабатывающих сведения, составляющие государственную тайну, выделялись необходимые финансовые средства, обучение и повышение квалификации специалистов по вопросам защиты информации за счет средств органов исполнительной власти Курской области фактически не осуществлялось;

в настоящее время в некоторых органах исполнительной власти Курской области, несмотря на необходимость использования в своей работе сведений, составляющих государственную тайну, не предусмотрено финансирование проведения мероприятий по созданию собственных автоматизированных рабочих мест, соответствующих требованиям действующего законодательства в сфере защиты информации;

построение единой системы защиты информации федерального округа и региона, как составной части государственной системы защиты информации является одной из основных задач Концепции защиты информации в Центральном федеральном округе и Курской области, решение которой невозможно без централизации проводимых мероприятий.

Таким образом, можно сделать вывод о наличии проблем в системе финансирования мероприятий по защите сведений, составляющих государственную тайну. Еще более значительные проблемы существуют в ресурсном обеспечении работ по созданию системы защиты конфиденциальной информации в целом и персональных данных в частности.

В настоящее время произошло существенное изменение законодательной базы по вопросам обеспечения безопасности информации. Федеральный закон от 20 февраля 1995 года № 24-ФЗ "Об информации, информатизации и защите информации" утратил силу. Приняты следующие федеральные законы:

от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

Согласно части 4 статьи 6 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», обладатель информации обязан принимать меры по защите информации и ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

В настоящее время одним из основных федеральных законов, обязывающих ограничить доступ к информации, для органов власти Курской области является Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон). В соответствии со статьей 7 Федерального закона операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.

В соответствии с существующими требованиями необходимо периодическое проведение повторных организационных и технических мероприятий по анализу и поддержанию в актуальном состоянии системы защиты информации с ограниченным доступом в информационных системах Курской области.

II. Основные цели и задачи Программы, сроки и этапы
ее реализации, а также целевые индикаторы и показатели, характеризующие эффективность реализации Программы


Целью Программы является обеспечение безопасности информационных систем органов исполнительной власти Курской области в соответствии с требованиями действующего законодательства.

Для достижения указанной цели необходимо решить следующие задачи:

обеспечить в полном объеме реализацию государственной политики и требований законодательных и иных нормативных правовых актов в сфере обеспечения безопасности информации;

обеспечить права и свободы граждан при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну в части обеспечения защиты персональных данных, обрабатываемых в информационных системах Курской области.

Программа рассчитана на 5 лет, реализуется в один этап с 2010 по 2014 гг. Однако, представленные в ней мероприятия не могут быть ограничены рассматриваемым периодом. Следует отметить, что указанный период потребуется на создание комплексной системы безопасности персональных данных (в том числе системы технической защиты) в информационных системах Курской области, однако в соответствии с существующими требованиями необходимо периодическое проведение повторных организационных и технических мероприятий по анализу и поддержании в актуальном состоянии системы защиты информации с ограниченным доступом в информационных системах Курской области.

Проведение указанных мероприятий будет предусмотрено в рамках последующих областных целевых программ по развитию системы защиты информации органов исполнительной власти Курской области.

Целевыми индикаторами и показателями Программы являются:

доля автоматизированных рабочих мест (далее – АРМ) органов исполнительной власти Курской области, обрабатывающих сведения, составляющие государственную тайну или персональные данные, от количества АРМ, подлежащих аттестации на момент разработки Программы, аттестованных в соответствии с требованиями действующего законодательства в сфере защиты информации;

доля аттестованных АРМ органов исполнительной власти Курской области, оснащенных сертифицированными средствами защиты информации;

количество специалистов органов исполнительной власти Курской области и их подведомственных учреждений, осуществивших обучение, повышение квалификации, профессиональную переподготовку в сфере защиты информации.

(абзац в ред., введенной в действие постановлением Администрации Курской области от 30 мая 2013 года № 350-па, - см. предыдущую редакцию)

Прогнозируемые значения целевых индикаторов и показателей Программы приведены в приложении № 1 к настоящей Программе.

III. Перечень программных мероприятий, сроки их реализации и объемы финансирования

 

Перечень программных мероприятий включает в себя следующие приоритетные направления:

1) проведение первичных мероприятий по защите информации (спецпроверок и специсследований, проектные работы и другие услуги, оказываемые в сфере разработки систем защиты информации), аттестационных испытаний объектов информатизации органов исполнительной власти Курской области в соответствии с действующим законодательством и мероприятий по контролю защищенности объектов информатизации обрабатывающих сведения, составляющие государственную тайну;

2) оснащение объектов информатизации, обрабатывающих информацию с ограниченным доступом, органов исполнительной власти Курской области сертифицированными программными и аппаратными средствами защиты информации, а также средствами обработки информации с ограниченным доступом;

3) осуществление мероприятий по обучению, повышению квалификации, профессиональной переподготовке специалистов органов исполнительной власти Курской области и их подведомственных учреждений в сфере защиты информации;

(абзац в ред., введенной в действие постановлением Администрации Курской области от 30 мая 2013 года № 350-па, - см. предыдущую редакцию)

4) создание информационной системы «Реестр информационных систем Курской области», включающее в себя передачу неисключительных прав на ПО «Реестр информационных систем», оказание консультационных услуг по функционированию ПО «Реестр информационных систем»;

5) совершенствование законодательной и действующей нормативной правовой базы Курской области сфере обеспечения безопасности информации;

6) проведение аудита информационных систем персональных данных учреждений, подведомственных органам исполнительной власти Курской области, с целью уточнения их класса и выработки мероприятий по приведению в соответствие с требованиями действующего законодательства по вопросам обеспечения защиты информации;

7) проведение первичных мероприятий по защите информации (проектные работы и другие услуги, оказываемые в сфере разработки систем защиты информации), аттестационных испытаний объектов информатизации, обрабатывающих персональные данные, учреждений, подведомственных органам исполнительной власти Курской области;

8) оснащение объектов информатизации, обрабатывающих персональные данные, учреждений, подведомственных органам исполнительной власти Курской области сертифицированными программными и аппаратными средствами защиты информации, а также средствами обработки информации с ограниченным доступом;

9) проведение мероприятий по анализу состояния систем обработки информации с ограниченным доступом в органах исполнительной власти Курской области, их подведомственных учреждениях и предоставлению информации в департамент информационно-коммуникационных технологий и безопасности информации Курской области об их составе и структуре в случае изменения;

10) проведение мероприятий по контролю за состоянием защиты информации с ограниченным доступом.

Перечень мероприятий Программы, а также информация о необходимых для реализации каждого мероприятия ресурсах, сроках и объемах финансирования приведены в приложении № 2 к настоящей Программе.

IV. Ресурсное обеспечение Программы

 

Финансирование программных мероприятий осуществляется за счет средств областного бюджета.

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»