Пояснительная записка к концепции защиты информации, создаваемой, обрабатываемой и хранимой средствами вычислительной техники, в Рыбинском муниципальном округе Определение места администрации рмо в системе защиты информации яо
| Вид материала | Пояснительная записка |
- Программа дисциплины по кафедре Вычислительной техники методы и средства защиты информации, 193.22kb.
- Ии повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность, 77.16kb.
- 1988 году американская Ассоциация компьютерного оборудования объявила 30 ноября Международным, 216.56kb.
- Модуль Актуальность проблемы обеспечения безопасности информации, 963.32kb.
- Учебная программа курса «методы и средства защиты компьютерной информации» Модуль, 132.53kb.
- Вопросы к зачету по курсу “Методы и средства защиты информации” для специальностей, 72.21kb.
- Основы защиты компьютерной информации, 51.61kb.
- Комплекс средств защиты нсд, 275.7kb.
- Принципы защиты информации, 434.66kb.
- Программные средства защиты информации, 22.33kb.
Пояснительная записка к
концепции защиты информации, создаваемой, обрабатываемой и хранимой средствами вычислительной техники, в Рыбинском муниципальном округе
Определение места администрации РМО в системе защиты информации ЯО.
Прежде всего выполним обзор нормативных документов в сфере защиты информации относительно к полномочиям администрации РМО.
1.По Конституции органы местного самоуправления не относятся к органам государственной власти.
2.В Концепции национальной безопасности поставлены задачи: - реализации прав и свобод граждан РФ в сфере информационной деятельности, - совершенствование и защита отечественной информационной инфраструктуры.
3.Свою детализацию эти задачи получают в Доктрине информационной безопасности РФ, которая выделяет правовые, организационные, технические и экономические методы обеспечения ИБ РФ.
Прописаны особенности обеспечения ИБ РФ в сфере экономики; внутренней и внешней политики; науки и техники; духовной жизни; в общегосударственных информационных и телекоммуникационных системах; в сфере обороны; в правоохранительной и судебной сферах; в условиях чрезвычайных ситуаций.
Реализация этих задач возложена на соответствующие федеральные вертикальные ведомственные органы, на органы власти федерации и на органы власти субъектов федерации.
4.В концепции защиты информации в ЯО определена организационная структура системы защиты информации в ЯО, которую на уровне субъекта федерации образуют:
- Комиссия по информационной безопасности при Губернаторе Ярославской области;
- органы управления Ярославской области, их коллегиальные органы, структурные подразделения (штатные специалисты) по защите информации;
- территориальные органы Минобороны России, ФСБ России, МВД России и других федеральных органов исполнительной власти уровня области, их коллегиальные органы, структурные подразделения (штатные специалисты) по защите информации;
- организации, подведомственные органам государственной власти Российской Федерации, находящихся в пределах Ярославской области, выполняющие работы и оказывающие услуги в области защиты информации;
- учебные заведения, осуществляющие подготовку, профессиональную переподготовку и повышение квалификации специалистов в области защиты информации, подведомственные органам государственной власти субъектов Российской Федерации, органам местного самоуправления, находящимся в пределах Ярославской области
- органы аттестации объектов информатизации по требованиям безопасности информации;
- организации, оказывающие услуги в области защиты информации.
А на уровне организаций (системы защиты информации организаций):
- организации, выполняющие работы по оборонной тематике и другие работы с использованием сведений, составляющих государственную и (или) служебную тайну;
- организации, подведомственные органам государственной власти Ярославской области, органам местного самоуправления, находящимся в пределах Ярославской области, а также организации, не имеющие ведомственной принадлежности, размещенные на территории Ярославской области и проводящие работы с использованием информации с ограниченным доступом;
- организации-лицензиаты Государственной технической комиссии при Президенте Российской Федерации;
- организации-лицензиаты ФСБ России.
Как видим, в системе защиты информации ЯО вообще не просматривается уровень муниципальных органов управления. После некоторой озадаченности приходится признать последовательность федеральных органов власти и органов власти субъекта федерации (ЯО). Мы местное самоуправление. Хозяйствующий субъект? И по Доктрине информационной безопасности должны всего лишь обеспечивать соблюдение законодательства РФ в области информационной безопасности.
Поэтому мы создаём подборку нормативных документов и начинаем выстраивать информационную безопасность округа.
Отнесение информации к категориям доступа
Информация может быть отнесена к категории информации ограниченного доступа. Информация ограниченного доступа подразделяется на конфиденциальную информацию и информацию, содержащую государственную тайну.
Категории доступа для информации, содержащей государственную тайну, устанавливаются законом РФ “О государственной тайне” от 21 июля 1993г. №5485-1, который устанавливает три степени секретности и соответствующие им грифы секретности: - “особой важности”; - “совершенно секретно”; - “секретно”. Использование перечисленных грифов секретности для других категорий информации не допускается. “Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности” утверждены постановлением правительства РФ от 4 сентября 1995г. №870.
В этом же законе приводится обобщённый перечень сведений, отнесённых к государственной тайне, и перечень организаций, которым предоставлено право разработки развёрнутых перечней, засекречивания и рассекречивания сведений.
Допуск организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, осуществляется путём получения ими лицензий на проведение работ соответствующей степени секретности.
Информация ограниченного доступа, не содержащая государственной тайны, называется конфиденциальной информацией и подразделяется на “служебную тайну” и “коммерческую тайну”. Порядок отнесения информации к данным категориям устанавливается статьёй 139 “Гражданского кодекса” и Указом Президента РФ от 6 марта 1997г. №188 “Об утверждении перечня сведений конфиденциального характера”.
“ Служебная тайна” – тайна личная, семейная, врачебная, следствия, судопроизводства, нотариальная, адвокатская, переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и другое. На документах, отнесённых к данной категории проставляется пометка “Для служебного пользования”.
“ Коммерческая тайна” - а)информация имеет действительную или потенциальную коммерческую ценность, б)информация неизвестна третьим лицам, в)к ней нет свободного доступа, г)обладатель информации охраняет её конфиденциальность.
Решение об отнесении информации к категории конфиденциальной принимают должностные лица. Они же несут ответственность как за неправомерное отнесение информации к категории ограниченного доступа, так и за нарушения режима защиты, обработки и порядка использования этой информации.
Правом доступа к сведениям, являющимся служебной или коммерческой тайной, обладают следующие категории лиц: а) физические лица, связанные с владельцем тайны трудовыми отношениями; б) органы государственной власти, управления, судебные органы и их должностные лица в силу служебных полномочий; в) лица, которые выступают одной из сторон сделок, заключаемых с владельцем тайны.
Названные лица, нарушившие служебные обязанности и предоставившие сведения, не подлежащие оглашению, третьим лицам, обязаны возместить причиненные убытки. Гражданско-правовая ответственность наступает и для лиц, незаконными методами получивших информацию, которая составляет служебную или коммерческую тайну.
Информация, которая не отнесена к категориям ограниченного доступа, является “открытой”.
В законе о государственной тайне запрещено засекречивать информацию:
о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, преступности;
о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
о фактах нарушения прав и свобод человека и гражданина;
о размерах золотого запаса и государственных валютных резервах Российской Федерации;
о состоянии здоровья высших должностных лиц Российской Федерации;
о фактах нарушения законности органами государственной власти и их должностными лицами.
Должностные лица, принявшие решение о засекречивании перечисленных сведений несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба.
Постановлением Правительства РСФСР от 5 декабря 1991г. №35 “О перечне сведений, которые не могут составлять коммерческую тайну” запрещено относить к коммерческой тайне:
-учредительные документы;
-документы, дающие право заниматься предпринимательской деятельностью;
-сведения по установленным формам отчётности;
-документы о платёжеспособности;
-сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных мест;
-документы об уплате налогов и обязательных платежах;
-сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РСФСР и размерах причиненного при этом ущерба;
-сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
Тем же постановлением запрещено государственным и муниципальным предприятиям до и в процессе их приватизации относить к коммерческой тайне данные:
-о размерах имущества предприятия и его денежных средствах;
-о вложении средств в доходные активы (ценные бумаги) других предприятий, в процентные облигации и займы, в уставные фонды совместных предприятий;
-о кредитных, торговых и иных обязательствах предприятия, вытекающих из законодательства РСФСР и заключенных им договоров;
-о договорах с кооперативами, иными негосударственными предприятиями, творческими и временными трудовыми коллективами, а также отдельными гражданами.
Предприятия и лица, занимающиеся предпринимательской деятельностью, руководители государственных и муниципальных предприятий обязаны представлять вышеперечисленные сведения по требованию органов власти, управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством РСФСР, а также трудового коллектива предприятия.
Подводя итог, определим следующие категории доступа к информации и сокращённые наименования этих категорий:
-государственная тайна степени “особой важности” “особой важности”;
-государственная тайна степени “совершенно секретно” “совершенно секретно”;
-государственная тайна степени “секретно” “секретно”;
-конфиденциальная, категории “служебная тайна” “служебная тайна”;
-конфиденциальная, категории “коммерческая тайна” “коммерческая тайна”;
-открытая информация “открытая”.
Информационная безопасность округа.
Информация является таким же ресурсом, как деньги, люди и оборудование. В последнее время федеральные и областные структуры проводят политику выкачивания информационных ресурсов округа. Примеры: база налогоплатильщиков, база предприятий, база предпринимателей, база земельных участков. Чем-то подобным была и перепись населения.
Стандартными приёмами являются:
- договорная деятельность по формированию информационных ресурсов на территории округа за счёт средств федерального и областного бюджетов;
- требование от подразделений вертикальной подчинённости предоставления избыточной информации;
- внедрение в подразделениях вертикальной подчинённости программного обеспечения без функций подготовки отчётов.
За пределами округа создаются рабочие места, приобретается вычислительная техника и средства ввода-вывода информации, а предприятия округа и подразделения администрации зачастую сами предоставляют заведомо избыточную информацию, так как не имеют технической возможности выполнить подготовку запрашиваемых данных.
При этом на начальных этапах, используются муниципальные помещения, техника, специалисты и документация для сбора и уточнения информации, а затем муниципальные власти отстраняются от распоряжения информационным ресурсом. Всё это оформляется законами и подзаконными актами, подогнанными под задачи ведомств. Надо отдавать себе отчёт, что выкачанная из округа информация стоит гораздо дороже, чем затраченные на её упорядочивание средства.
В настоящее время делаются попытки выкачать базы: “Регистрация жителей”, “Технические характеристики зданий”, “Адресные схемы”, “Схемы инженерных коммуникаций”, “Картография”.
Необходимо:
- требовать согласования технических заданий на любые работы по формированию информационных ресурсов на территории округа с информационно-техническим отделом администрации (ИТО) или отделом геоинформационных систем архитектурно-градостроительного управления (О‘ГИС);
- закреплять исключительные или долевые права округа на информацию, создаваемую полностью или частично на средства округа, на территории округа, с участием специалистов округа;
- оговаривать перечень сведений для передачи из округа на областной и федеральный уровень по принципу минимальной достаточности;
- добиваться выделения средств из областного и федерального бюджетов на укрепление материальной базы округа.
При этом администрация должна:
а)отвечать за формирование, актуализацию и развитие Единой базы данных округа, за предоставление информации из единой базы данных округа путём заключения договоров об обмене информацией, с согласованием протоколов обмена информацией;
б)контролировать состав и объём предоставляемой за пределы округа информации путём обязательного согласования протоколов предоставления информации.
Представленный на обсуждение проект “Концепция защиты информации в Ярославской области” является очередным документом, в котором прослеживается попытка сконцентрировать информационные, людские, технические и, как следствие, финансовые ресурсы в областном центре.
В то же время рассматриваемые вопросы являются достаточно актуальными и заниматься защитой информации, конечно, необходимо, но делать это необходимо с учётом интересов округа.
Во-первых, необходимо добиться включения в Комиссию… представителя Рыбинского муниципального округа.
Во-вторых, организовать комиссию по информатизации в Рыбинском муниципальном округе, которая будет заниматься и вопросами информационной безопасности.
В-третьих, ввести в штат информационно-технического отдела специалиста по информационной безопасности и обеспечить его обучение
В-четвёртых, разработать программу информатизации Рыбинского муниципального округа, предусмотреть в ней долевое финансирование из областного бюджета и вынести на рассмотрение Думы ЯО.
Схема обмена информацией на территории округа должна выглядеть следующим образом:
| | Вышестоящее ведомство | | Вышестоящий департамент | | Администрация области | | | | | |
| |  | |  | |  | | | | | |
| | | | | | | | | | | |
| | Протокол Предоставления Информации | | Протокол Предоставления Информации | | Протокол Предоставления Информации | | Предприятия и организации | | Граждане | |
| | | | | | | |  | | | |
| | База данных структурного подразделения на территории округа | | База данных департамента на территории округа | | База данных Администрации округа | | Положение о предоставлении информации гражданам и организациям РМО | | ||
| |  | | | | | | | | | |
| | Протокол обмена информацией | | Протокол обмена информацией | | Протокол обмена информацией  | | Уполномоченная администрацией организация, выполняющая предоставление информации | | ||
| | | | | | | | | | | |
| | Единая база данных Рыбинского муниципального округа | |||||||||
| | | | | | | | | | | |