___________________________
Утратило силу на основании
Постановления Губернатора Хабаровского края
от 20 апреля 2002 года N 236
___________________________
В целях обеспечения единого подхода к вопросам защиты информационных ресурсов Хабаровского края, выработки методической и организационной основы информационной безопасности края и в соответствии с законодательными и нормативно-правовыми актами Российской Федерации по вопросам информатизации
постановляю:
1. Утвердить Концепцию информационной безопасности Хабаровского края (прилагается).
2. Утвердить Положение о системе информационной безопасности администрации Хабаровского края (прилагается).
3. Утвердить Положение о порядке обращения со служебной информацией в органах исполнительной власти и местного самоуправления Хабаровского края (прилагается).
4. Контроль за проведением организационных мероприятий согласно утвержденным выше документам возложить на заместителя главы администрации края, председателя совета по информационной безопасности А.Б.Левинталя.
5. Настоящее постановление вступает в силу со дня его подписания.
Глава администрации
В.И. Ишаев
Концепция информационной безопасности
Хабаровского края
Концепция информационной безопасности Хабаровского края представляет собой официально принятую систему взглядов на проблему обеспечения информационной безопасности края и служит методологической основой для:
- проведения государственной политики Российской Федерации в области обеспечения информационной безопасности края;
- разработки стратегии информационной безопасности края, включая цели, задачи и комплекс мер по ее практической реализации;
- подготовки предложений по совершенствованию правового, нормативно-методического, научно-технического и организационного обеспечения информационной безопасности;
- разработки программ защиты информационных ресурсов края и средств информатизации.
2. Система информационной безопасности
Хабаровского края
Система информационной безопасности края является частью Государственной системы защиты информации и состоит из:
- совета по информационной безопасности при главе администрации края;
- управлений по краю Федеральной службы безопасности, Министерства внутренних дел, Министерства обороны, Федерального агентства правительственной связи и информации, Гостехкомиссии и их органов по информационной безопасности;
- структурных подразделений по обеспечению информационной безопасности в органах государственной власти края и местного самоуправления;
- предприятий, специализирующихся на проведении работ в области информационной безопасности (осуществляющие лицензирование деятельности, аттестование объектов, сертификацию средств защиты информации, оказание услуг в области защиты информации);
- структурных подразделений, обеспечивающих информационную безопасность предприятий, учреждений и организаций, проводящих работы с использованием сведений ограниченного доступа;
- головных и ведущих научно-исследовательских, научно-технических, проектных и конструкторских организаций;
- высших учебных заведений и институтов повышения квалификации в области информационной безопасности.
3. Система информационной безопасности
администрации Хабаровского края
В основу организационной структуры системы информационной безопасности администрации края положен принцип разделения прав и обязанностей между субъектами обеспечения защиты информационных ресурсов, такими как:
- глава администрации края;
- совет по информационной безопасности при главе администрации края;
- структурное подразделение по информационной безопасности;
- уполномоченные по вопросам информационной безопасности в структурных подразделениях администрации края;
- службы режима и секретного делопроизводства.
Глава администрации края осуществляет общее руководство организацией и состоянием системы информационной безопасности.
Совет по информационной безопасности занимается рассмотрением вопросов, связанных с защитой информации, осуществляет координацию и контроль за выполнением работ по вопросам обеспечения информационной безопасности администрации края.
Структурное подразделение по информационной безопасности осуществляет свою работу в соответствии с функциями, определенными положением о подразделении информационной безопасности.
Ответственность за обеспечение информационной безопасности при проведении работ, связанных с хранением, обработкой и передачей информации в структурных подразделениях администрации края возлагается на руководителей соответствующих управлений, комитетов, департаментов и отделов.
4. Цели и задачи информационной безопасности
Основные цели информационной безопасности определяются на базе устойчивых приоритетов национальной безопасности, отвечающих долговременным задачам общественного развития.
В соответствии с этими приоритетами основными целями информационной безопасности являются:
- обеспечение органов государственной власти и управления, предприятий и граждан достоверной, полной и своевременной информацией, необходимой для принятия решений, а также предотвращение нарушений целостности и незаконного использования информационных ресурсов;
- реализация прав граждан, организаций и государства на получение, распространение и использование информационных ресурсов.
Целью информационной безопасности края в широком смысле является обеспечение рационального использования информационных ресурсов края для достижения максимального эффекта во всех сферах государственной деятельности.
К основным задачам обеспечения информационной безопасности относится:
- выявление, оценка и прогнозирование источников угроз информационной безопасности, комплекса мероприятий и механизмов ее реализации; создание нормативно-правовой базы обеспечения информационной безопасности, координация деятельности органов государственной власти и управления, предприятий по обеспечению информационной безопасности;
- развитие системы обеспечения информационной безопасности и управления, совершенствование ее организации, форм, методов и средств предотвращения, парирования, нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения.
Объекты информационной безопасности - это компоненты информационной сферы, угрозы которым представляют опасность для интересов края в частности и национальных интересов страны в целом. Объектами информационной безопасности являются:
- информационные ресурсы, вне зависимости от форм хранения, содержащие информацию, составляющую государственную тайну, коммерческую тайну и другую конфиденциальную информацию, а также открытую информацию и знания;
- система формирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного класса и назначения, библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;
- информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;
- средства массовой информации;
- права граждан и юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности.
Источники угроз информационной безопасности подразделяются на внешние и внутренние.
К внешним источникам относятся:
- недружественная политика иностранных государств в области информационного мониторинга, распространения информации и новых информационных технологий;
- деятельность иностранных разведывательных и специальных служб;
- деятельность иностранных экономических структур, направленная против интересов края в частности и Российской Федерации в целом;
- преступные действия международных групп, формирований и отдельных лиц;
- стихийные бедствия и катастрофы.
Внутренними источниками являются:
- противозаконная деятельность политических и экономических структур и отдельных лиц в области формирования, распространения и использования информации;
- неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере;
- нарушения установленных регламентов сбора, обработки и передачи информации;
- преднамеренные действия и непреднамеренные ошибки персонала информационных систем, приводящие к утечке, уничтожению, искажению, подделке, блокированию, задержке, несанкционированному копированию информации;
- отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
- каналы побочных электромагнитных излучений средств вычислительной техники.
7. Способы воздействия угроз на объекты
информационной безопасности
Способы воздействия угроз на объекты информационной безопасности подразделяются на информационные, аппаратно-программные, физические, радиоэлектронные и организационно-правовые.
К информационным способам относятся:
- нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;
- несанкционированный доступ к информационным ресурсам;
- манипулирование информацией (дезинформация, сокрытие или искажение информации);
- незаконное копирование данных в информационных системах;
- использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государства;
- хищение информации из библиотек, архивов, банков и баз данных;
- нарушение технологии обработки информации.
Аппаратно-программные способы включают:
- программно-математические воздействия;
- установку программных и аппаратных закладных устройств;
- уничтожение или модификацию данных в информационных системах.
Физические способы включают:
- уничтожение или разрушение средств обработки информации и связи;
- уничтожение, разрушение или хищение машинных или других оригиналов носителей информации;
- хищение аппаратных или программных ключей и средств криптографической защиты информации;
- воздействие на персонал;
- поставка "зараженных" компонентов информационных систем.
Радиоэлектронными способами являются:
- перехват информации в технических каналах ее утечки;
- внедрение электронных устройств перехвата информации в технических средствах и помещениях;
- перехват, дешифрование и внедрение ложной информации в сетях передачи данных и линиях связи;
- воздействие на парольно-ключевые системы;
- радиоэлектронное подавление линий связи и систем управления.
Организационно-правовые способы включают:
- закупки несовершенных или устаревших информационных технологий и средств информатизации;
- невыполнение требований законодательства и задержки в принятии необходимых нормативно - правовых положений в информационной сфере;