Краевая целевая программа «Электронное Прикамье на 2008-2010 годы» Разработана по заказу Аппарата Правительства Пермского края
Вид материала | Программа |
- Краевая долгосрочная целевая программа "развитие пищевой и перерабатывающей промышленности, 277.41kb.
- Краевая долгосрочная целевая программа "развитие мясного скотоводства в забайкальском, 446.64kb.
- Долгосрочная целевая программа «Энергосбережение и повышение энергетической эффективности, 2232.67kb.
- Постановлений Правительства Пермского края от 01. 05. 2011 n 236-п, от 01. 07. 2011, 1504.11kb.
- Правила юридико-технического оформления правовых актов правительства пермского края, 443.17kb.
- Краевая целевая программа "развитие сельскохозяйственного производства в приморском, 1009.87kb.
- О бюджетной политике в Пермском крае на 2007-2009 годы, 63.52kb.
- Краевая целевая программа "Развитие материально-технической базы лечебно-профилактических, 237.32kb.
- Правительства Российской Федерации от 03 декабря 2002 г. №858 далее программа, 158.35kb.
- Постановления Правительства Пермского края от 10. 05. 2011 n 261-п Вцелях реализации, 2348.07kb.
МЕРОПРИЯТИЕ 6.2. РАЗРАБОТКА КРИТЕРИЕВ ОТНЕСЕНИЯ ИНФОРМАЦИОННЫХ ОБЪЕКТОВ (ИНФОРМАЦИОННЫХ СИСТЕМ) К СИСТЕМАМ, ТРЕБУЮЩИМ ЗАЩИТЫ, И ПЕРЕЧЕНЬ НЕОБХОДИМЫХ МЕР ПО ОБЕСПЕЧЕНИЮ ИХ ЗАЩИТЫ
Постановка проблемы
Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.
Критерии отнесения объектов и ИС к системам, требующим защиты, разрабатываются на основании требований нормативных документа, регламентирующего меры по обеспечению защиты информации - Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ,
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
2) использовать информацию, в том числе распространять ее, по своему усмотрению;
3) передавать информацию другим лицам по договору или на ином установленном законом основании;
4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
5) осуществлять иные действия с информацией или разрешать осуществление таких действий.
Обладатель информации при осуществлении своих прав обязан:
1) соблюдать права и законные интересы иных лиц;
2) принимать меры по защите информации;
3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
Государственные органы, органы местного самоуправления в соответствии со своими полномочиями:
1) участвуют в разработке и реализации целевых программ применения информационных технологий;
2) создают информационные системы и обеспечивают доступ к содержащейся в них информации на русском языке и государственном языке соответствующей республики в составе Российской Федерации.
Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализацию права на доступ к информации.
Информационная безопасность – это механизм защиты, обеспечивающий конфиденциальность, целостность и доступность. (ГОСТ Р ИСО/МЭК 17799-2005, Национальный стандарт Российской Федерации, «Информационная технология. Практические правила управления информационной безопасностью»)
Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками безопасности, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.
Информационная безопасность: Защита конфиденциальности, целостности и доступности информации.
1 конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
2 целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
3 доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Подробно комплекс мер по обеспечению информационной безопасности для каждого класса автоматизированных систем изложен в Руководящем документе «Автоматизированные системы. Защита от несанкционированного доступа (НСД) к информации Классификация автоматизированных систем и требования по защите информации» (Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г).
Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:
- управления доступом;
- регистрации и учета;
- криптографической;
- обеспечения целостности.
Основные задачи
Основной целью подпрограммы является повышение уровня защищенности населения, предприятий, органов власти и управления Пермского края от преступлений и актов терроризма, совершаемых с использованием ИКТ.
Задачами подпрограммы являются:
- Разработка критериев отнесения информационных объектов и информационных систем к системам, требующим защиты;
- Разработка перечня необходимых мер по обеспечению защиты информационных объектов и информационных систем.
- Определение перечня информационных объектов (информационных систем, баз данных и т.д.), содержащих или обрабатывающих информацию, являющуюся жизненно важной для существования Пермского края.
- Определение перечня потенциальных пользователей указанных информационных объектов.
- Остальные мероприятия подпрограммы продолжают и частично выполняются на их основе.
- Определение перечня информации, циркулирующей в автоматизированных системах органов государственной власти Пермского края, подразделение выявленной информации на общедоступную и информацию с ограничением доступа.
Последующие задачи относятся только к информации ограниченного доступа, не отнесенной к категории секретной.
- Документальное оформление перечня выявленной конфиденциальной информации в виде перечня сведений, подлежащих защите.
- Определение списка возможных субъектов доступа к конфиденциальной информации.
- Установление и оформление правил разграничения доступа, т.е. совокупности правил, определяющих права доступа субъектов к конфиденциальной информации.
- Ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации и получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации.
- Обеспечение охраны объекта, на котором расположена защищаемая АС, (территория, здания, помещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи.
- Выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности (на основе нормативных документов Гостехкомиссии).
- Организация службы безопасности информации (ответственные лица, администратор АС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;
- Разработка СЗИ НСД, включая соответствующую организационно-распорядительную и эксплуатационную документацию.
Ожидаемые результаты
Главными ожидаемыми результатами и последствиями реализации подпрограммы является снижение уровня угроз информационной безопасности населения и органам власти и управления Пермского края.
Ресурсное обеспечение
Основой реализации подпрограммы является бюджетное финансирование, внебюджетные и благотворительные фонды, средства негосударственного предпринимательского сектора.
Организационное обеспечение и контроль
Организацию выполнения подпрограммы и функции государственного заказчика возлагается на уполномоченный орган по управлению информатизации Пермского края и уполномоченный орган по безопасности Пермского края.