Постановление Губернатора Мурманской области от 14.05.2012 № 84-ПГ

О Концепции защиты информации в Мурманской области

  
                                ГУБЕРНАТОР
                            МУРМАНСКОЙ ОБЛАСТИ
                               ПОСТАНОВЛЕНИЕ
       от 14.05.2012                                           N 84-ПГ
                                 Мурманск
            О Концепции защиты информации в Мурманской области
       В  целях  реализации  на  территории  Мурманской  области  единойгосударственной  политики  в   сфере   региональной   системы   защитыинформации  и  во  исполнение  Стратегии   национальной   безопасностиРоссийской Федерации до  2020  года,  утвержденной  Указом  ПрезидентаРоссийской Федерации от 12.05.2009 N 537, п о с т а н о в л я ю:
       1. Утвердить прилагаемую Концепцию защиты информации в Мурманскойобласти.
       2. Определить   Аппарат    Правительства    Мурманской    областиуполномоченным   органом,   ответственным   за    проведение    единойгосударственной  политики  в  сфере  защиты  информации  в  Мурманскойобласти.
        Губернатор
        Мурманской области          М. Ковтун
   
                                                              Утверждена
                                              постановлением Губернатора
                                                      Мурманской области
                                                   от 14.05.2012 N 84-ПГ
       Одобрена решением Региональной      
       комиссии по защите информации в     
       Мурманской области            
       N ____ от __. __.2012 года        
           
           КОНЦЕПЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В МУРМАНСКОЙ ОБЛАСТИ
                                   2012
                                 Введение
       Концепция  защиты  информации  в  Мурманской  области  (далее   -Концепция) представляет собой систему взглядов на содержание  проблемызащиты информации в Мурманской  области,  а  также  на  цели,  задачи,принципы и основные направления формирования и развития системы защитыинформации в Мурманской области (далее - СЗИМО).
       Концепция  предназначена  для  использования   в   исполнительныхорганах государственной власти Мурманской  области,  органах  местногосамоуправления  Мурманской  области  (далее  -  органы   власти),   наподведомственных им предприятиях.
       В настоящей Концепции используются следующие основные понятия.
       Государственная  тайна  -  защищаемые  государством  сведения   вобласти    его     военной,     внешнеполитической,     экономической,разведывательной,   контрразведывательной    и    оперативно-разыскнойдеятельности, распространение которых может нанести ущерб безопасностиРоссийской Федерации.
       Информация -  сведения  о  лицах,  предметах,  фактах,  событиях,явлениях и процессах независимо от формы их предоставления.
       Информационная    система    -    организационно    упорядоченнаясовокупность  документов  (массивов   документов)   и   информационныхтехнологий,  в  том  числе  с  использованием  средств  вычислительнойтехники и связи, реализующих информационные процессы.
       Информационные  ресурсы   -   отдельные   документы   и   массивыдокументов, отдельные документы и массивы документов в  информационныхсистемах  (библиотеках,  архивах,  фондах,   банках   данных,   другихинформационных системах).
       Информация   с   ограниченным   доступом   -    документированнаяинформация, которая по условиям ее правового режима подразделяется  наинформацию, отнесенную к государственной тайне, и конфиденциальную.
       Конфиденциальная  информация  -   документированная   информация,доступ к которой ограничивается  в  соответствии  с  законодательствомРоссийской Федерации.
       Защищаемая информация - хранящаяся, передаваемая,  обрабатываемаяна  объектах  информатизации  или   циркулирующая   в   речевом   видеинформация,  содержащая  сведения,  составляющие  государственную  илислужебную тайну.
       Защищаемый  объект  информатизации  (объект   информатизации)   -совокупность  предназначенных  для  обработки  и  передачи  защищаемойинформации средств и систем различного  уровня  и  назначения,  системсвязи, отображения и размножения документов  вместе  с  помещением,  вкотором они установлены,  а  также  специально  выделенное  помещение,предназначенное для ведения закрытых переговоров.
       Несанкционированный доступ к информации  -  доступ  к  защищаемойинформации  с  нарушением  установленных  прав  или  правил   доступа,приводящий  к   получению   субъектом   возможности   ознакомления   синформацией и/или воздействия на нее.
       Охраняемые от технических разведок сведения (охраняемые сведения)-  составляющие  государственную  или  служебную  тайну  сведения   обобъектах защиты, в отношении которых принято решение об  их  защите  иосуществляется защита от технических разведок.
       Объект  защиты  -  объект,  имеющий  охраняемые  сведения,  и/илиобъект, на котором осуществляются работы с защищаемой информацией.
       Специальное   воздействие   на   информацию   -    преднамеренноевоздействие  на  информацию  с  нарушением  установленных  прав  и/илиправил, приводящее к  ее  уничтожению,  искажению  и/или  блокированиюдоступа к ней для законных пользователей.
       Техническая разведка - деятельность,  направленная  на  добываниеразведывательной информации с помощью технических средств.
       Технический  канал  утечки  информации  -  совокупность   объектазащиты, физической среды  и  средства  технической  разведки,  которымдобывается защищаемая информация.
       Техническая защита информации (ТЗИ) - деятельность,  направленнаяна ограничение или исключение возможностей иностранных государств  илииных заинтересованных сторон для получения, уничтожения, искажения илиблокирования  защищаемой  информации  в  результате   ее   утечки   потехническим каналам, несанкционированного доступа к этой информации  испециальных воздействий на нее.
       Утечка  информации  по  техническим  каналам  -  неконтролируемоераспространение защищаемой информации по техническим каналам.
                            1. Общие положения
       1.1. Защищаемая информация
       Защите подлежит  информация,  циркулирующая  в  информационных  иинформационно-телекоммуникационных   системах   органов    власти    иорганизаций, которая содержит:
       - сведения, составляющие государственную тайну;
       - сведения,  составляющие  служебную  тайну,  профессиональную  идругие  виды  тайн,  доступ  к  которым  ограничен  в  соответствии  сФедеральным   законом   от   27.07.2006    N 149-ФЗ    "Об информации,информационных технологиях  и  о  защите  информации",  постановлениемПравительства    Российской    Федерации    от    03.11.1994    N 1233"Об утверждении Положения о порядке обращения со служебной информациейограниченного распространения  в  федеральных  органах  исполнительнойвласти";
       - сведения о частной жизни граждан (персональные данные),  доступк которым ограничен в соответствии с Федеральным законом от 27.07.2006N 152-ФЗ "О персональных данных";
       - общедоступную  информацию,   в   том   числе   размещаемую   наофициальных   интернет-сайтах   органов   власти   и   организаций   всоответствии со статьей 16 Федерального закона от 27.07.2006  N 149-ФЗ"Об информации, информационных технологиях и о защите информации".
       1.2. Объекты  защиты  органов   власти   Мурманской   области   иподведомственных им организаций
       Основными объектами защиты для органов власти и  подведомственныхим организаций являются:
       - средства  и  системы  информатизации  (средства  вычислительнойтехники,        автоматизированные        системы        (подсистемы),информационно-вычислительные комплексы, сети, средства изготовления  иразмножения документов, средства и системы связи и передачи данных);
       - помещения, в которых  обрабатывается  информация  ограниченногодоступа, вспомогательные технические средства,  установленные  в  этихпомещениях;
       - информация,     обрабатываемая     в      информационных      иинформационно-телекоммуникационных системах органов власти  Мурманскойобласти и подведомственных им организациях;
       - общесистемные и прикладные программные  средства  (операционныесистемы, системы управления  базами  данных,  другое  общесистемное  иприкладное программное обеспечение);
       - средства защиты информации;
       - средства контроля эффективности защиты информации.
       1.3. Угрозы  и  источники   угроз   безопасности   информации   винформационных  и   телекоммуникационных   системах   органов   властиМурманской области и подведомственных им организациях
       В соответствии с требованиями Федерального закона от 27.07.2006 N149-ФЗ  "Об информации,  информационных   технологиях   и   о   защитеинформации" информация  ограниченного  доступа,  открытая  информация,обрабатываемая в информационных  и  информационно-телекоммуникационныхсистемах,  должна  быть  защищена   от   воздействия   объективных   исубъективных, внешних и внутренних, случайных и преднамеренных угроз.
       Общими  угрозами  безопасности  информации  при  ее  обработке  винформационных и информационно-телекоммуникационных системах являются:
       - нарушение конфиденциальности информации  ограниченного  доступапутем перехвата техническими средствами, хищения или копирования;
       - уничтожение информации;
       - модификация (искажение) информации;
       - нарушение адресности при передаче информации по каналам связи;
       - отрицание подлинности информации;
       - навязывание ложной информации;
       - блокирование общедоступной информации.
       Источниками вышеперечисленных угроз безопасности информации могутявляться:
       - стихийные бедствия (пожары и т.п.);
       - технические аварии (отказы оборудования,  внезапное  отключениеэлектропитания, протечки и т.п.);
       - субъекты  (нарушители),  осуществляющие  умышленные  незаконныедействия в отношении информации,  обрабатываемой  в  информационных  иинформационно-телекоммуникационных системах;
       - субъекты  (нарушители),   создающие   непреднамеренные   угрозыбезопасности   информации,   обрабатываемой   в    информационных    иинформационно-телекоммуникационных системах.
       Угрозы, связанные с возможностью целенаправленного  осуществлениянезаконных действий в отношении информационных ресурсов,  содержащихсяв информационных и информационно-телекоммуникационных системах,  могутбыть реализованы нарушителями следующими способами:
       - путем  несанкционированного  получения  средств  аутентификациипользователей с последующим несанкционированным доступом к  конкретнымресурсам системы;
       - путем внедрения программ, обеспечивающих получение контроля надинформационными потоками и (или) ресурсами системы;
       - путем физического вывода из строя технических средств,  хищенияносителей  информации,  визуального  съема  информации   с   мониторовперсональных компьютеров;
       - с  помощью  технических  средств,  позволяющих   контролироватьсетевой трафик;
       - путем перехвата техническими средствами побочных  информативныхэлектромагнитных  полей  и  электрических  сигналов,  возникающих  приобработке информации техническими средствами по каналам ПЭМИН;
       - путем   перехвата   акустической   (речевой)    информации    сиспользованием    аппаратуры,    регистрирующей     акустические     ивиброакустические   волны,   а   также   электромагнитные   излучения,оптические  и  электрические  сигналы,  модулированные   информативнымакустическим  сигналом,   возникающие   за   счет   преобразований   втехнических средствах обработки;
       - путем  внедрения  технических  и  программных   средств   съемаинформации в рабочие станции,  средства  связи  и  другие  техническиеустройства информационных и информационно-телекоммуникационных систем,в которых обрабатывается защищаемая информация;
       - путем  обхода  механизмов  разграничения  доступа,   возможноговследствие  несовершенства  общесистемных   компонентов   программногообеспечения (операционных систем, систем управления  базами  данных  идругих причин);
       - путем  модификации   используемого   программного   обеспеченияинформационных   и   информационно-телекоммуникационных   систем   дляполучения  возможности  несанкционированного  доступа   к   защищаемойинформации.
       Субъекты,  которым  предоставлены  официальные  права  доступа  кинформации,       обрабатываемой       в       информационных        иинформационно-телекоммуникационных  системах,  могут  создать   угрозыбезопасности  информации   умышленно   или   неумышленно   (ошибочнымидействиями):
       - при нарушении технологии обработки и передачи информации;
       - при нарушении  правил  обращения  с  информацией  ограниченногодоступа.
       Умышленные  действия  субъектов  (нарушителей),  направленные  нанарушение конфиденциальности, целостности  и  доступности  информации,представляют   наибольшую    угрозу    безопасности    информации    винформационных  и  телекоммуникационных  системах  органов  власти   иорганизаций.
       1.4. Возможные последствия в случае реализации угроз безопасностиинформации  в  информационных   и   информационно-телекоммуникационныхсистемах
       Нарушения   конфиденциальности,   целостности    и    доступностиинформации,  циркулирующей  в  информационных  и  телекоммуникационныхсистемах, могут вызвать негативные последствия  для  граждан,  органоввласти и организаций, в том числе:
       - нарушения конституционных прав граждан;
       - ухудшение качества  функционирования  системы  государственногоуправления;
       - сбои  в  работе  систем  жизнеобеспечения  объектов  Мурманскойобласти;
       - экономический (финансовый) ущерб  обладателям  и  пользователямгосударственных и муниципальных информационных ресурсов органов властиМурманской области;
       - снижение авторитета и степени доверия граждан к  действующим  вМурманской области институтам власти;
       - предпосылки к нарушению социальной стабильности.
       2. Цели, задачи и принципы развития системы защиты информации
       2.1. Целями системы защиты информации являются:
       - предотвращение или существенное  снижение  ущерба  безопасностиРоссийской Федерации, ее граждан, органов власти  Мурманской  области,подведомственных им предприятий с  использованием  методов  и  средствтехнической защиты информации;
       - обеспечение   условий,   способствующих   реализации   политикиРоссийской Федерации в сфере информационной безопасности в  Мурманскойобласти;
       - содействие   экономическому,   научно-техническому    прогрессуМурманской  области,  обеспечению  ее   безопасности   и   устойчивомуразвитию;
       - реализация   единой   государственной   технической   политики,организация и координация работ по технической  защите  информации  натерритории Мурманской области.
       2.2. Основными задачами СЗИМО являются:
       - проведение  единой  государственной  политики  по   техническойзащите информации;
       - методическое и информационное обеспечение работ по  техническойзащите информации;
       - исключение или существенное  затруднение  добывания  информациисредствами технической разведки путем предотвращения утечки информациипо  техническим   каналам,   несанкционированного   доступа   к   ней,специальных  воздействий  на  информацию  с  целью   ее   уничтожения,искажения и блокирования;
       - подготовка   предложений   по   совершенствованию    правового,нормативного, методического,  научно-технического  и  организационногообеспечения технической защиты информации на объектах  органов  властиМурманской области;
       - принятие в пределах  компетенции  нормативных  правовых  актов,регулирующих отношения в области технической защиты информации;
       - анализ   состояния   и   прогнозирование    источников    угрозбезопасности информации в Мурманской области;
       - разработка целевых программ технической  защиты  информационныхресурсов  и  средств  информатизации  на   объектах   органов   властиМурманской области;
       - формирование и организация деятельности органов по  техническойзащите информации на объектах органов власти Мурманской области;
       - определение и учет информационных ресурсов,  систем  и  средствформирования,  передачи,   хранения,   обработки   и   распространенияинформации, подлежащей защите;
       - контроль и анализ состояния  технической  защиты  информации  ворганах   власти   Мурманской   области,   на   подведомственных    импредприятиях, в учреждениях и организациях;
       - выявление ключевых проблем Мурманской области в области  защитыинформации, определение приоритетных направлений развития СЗИМО;
       - проведение практических мероприятий по созданию СЗИМО;
       - совершенствование и развитие  системы  подготовки  специалистовдля СЗИМО.
       Основными принципами развития СЗИМО являются:
       - соответствие  уровня   развития   СЗИМО   задачам   обеспечениянациональной безопасности России, безопасности и устойчивого  развитияМурманской области с учетом ее экономических возможностей;
       - обеспечение своевременной и адекватной реакции на возникающие ипрогнозируемые угрозы ведения технической разведки, утечки  информациипо техническим каналам, несанкционированного доступа  к  информации  испециальных воздействий на нее;
       - формирование  единой  технической  политики  в  области  защитыинформации;
       - использование коллегиальных  методов  руководства  СЗИМО  и  ееразвития;
       - программно-целевое планирование развития СЗИМО.
       Основными задачами  развития  СЗИМО,  обеспечивающими  достижениецелей развития, являются:
       - формирование  и  совершенствование  организационной   структурыСЗИМО, развитие ее научно-технического и кадрового потенциала;
       - создание необходимых и достаточных  правовых,  организационных,экономических  и  научно-технических  условий   на   уровне   субъектаРоссийской Федерации для обеспечения деятельности СЗИМО;
       - обеспечение  эффективной  технической  защиты   информации   наобъектах органов  власти  Мурманской  области  и  на  предприятиях,  вучреждениях и организациях, находящихся в их ведении.
    3. Основные направления и содержание работ по совершенствованию
     региональной системы защиты информации, основные требования к
                организации работ по защите информации
       С учетом состояния системы защиты  информации  в  Северо-Западномфедеральном округе, изменений условий ее функционирования, а также дляпреодоления   негативных   тенденций   и   повышения    динамики    еесовершенствования в число приоритетных направлений выдвигается  работав региональной системе защиты информации.  При  этом  основные  усилиясосредоточиваются на следующих направлениях:
       - повышение эффективности управления системой защиты информации вцелом (общесистемные меры);
       - совершенствование организации  проведения  контроля   состояниярегиональной системы защиты информации;
       - разработка конкретных организационно-технических мероприятий поуровням системы защиты информации и определение порядка их реализации.
       3.1. Общесистемные меры
       Имеют целью повышение эффективности  управления  системой  защитыинформации  в  Северо-Западном  федеральном  округе  в  целом   и   ееэлементами, реализуются Управлением ФСТЭК России  по  Северо-Западномуфедеральному  округу,  руководством  органов  власти,   включаются   вежегодные методические указания  для  органов  власти  и  организаций,планируются  в  соответствующих  годовых,  других   планах   работ   инаправлены на:
       - повышение  качества  контроля  эффективности  принятых  мер  пообеспечению безопасности региональной системы защиты информации;
       - анализ и оценку выполнения операторами информационных систем  иобладателями информации законодательно определенных обязанностей по ихзащищенности;
       - повышение ответственности за нарушение  требований  нормативныхправовых актов и методических документов в области защиты информации;
       - создание  и  внедрение  удобной  для  практического  применениямодели оценки состояния  систем  защиты  органа  власти,  организации,региона и т.п.;
       - подготовку типовых образцов основных  документов,  определяющихсодержание работ по защите информации;
       - расширение практики поощрения сотрудников, проявивших старание,инициативу  и  настойчивость  при  решении  задач  технической  защитыинформации;
       - назначение на должности специалистов по защите информации  лиц,уровень квалификации которых соответствует требованиям,  установленнымЕдиным   квалификационным   справочником   должностей   руководителей,специалистов и служащих, утвержденным приказом Минздравсоцразвития  РФот 22.04.2009 N 205, а также повышение их квалификации.
       3.2. Меры в рамках региональной системы защиты  информации  и  ееэлементов
       3.2.1. Правовые меры
       Проводятся  в  рамках  региональной  системы  защиты   информацииМурманской области под руководством председателя Региональной комиссиипо   защите   информации   в   Мурманской   области.    Имеют    цельюсовершенствование методов и средств защиты информации. Основываются нафедеральных законах и принимаемых в соответствии с ними законах и иныхнормативных  правовых  актах,  которые  реализуются  органами  власти,наделенными соответствующими полномочиями.
       К основным правовым мерам относятся:
       - определение перечня     государственных     и     муниципальныхинформационных систем,  информационных  ресурсов  Мурманской  области,соответствующих обладателей  информации  и  операторов  информационныхсистем;
       - определение условий  доступа  к   информационным   ресурсам   исервисам   государственных   и    муниципальных    информационных    иинформационно-телекоммуникационных систем;
       - определение условий  соблюдения   безопасности   информации   винформационных и информационно-телекоммуникационных системах;
       - определение условий  объединения  (интеграции)  информационных,информационно-телекоммуникационных  систем   с   позиций   обеспечениябезопасности информации;
       - распределение ответственности  за  безопасность  информации   иинформационных ресурсов региональной системы защиты  информации  междуорганизатором региональной системы  защиты  информации  и  операторамиинформационных   и   информационно-телекоммуникационных    систем    -субъектами информационного взаимодействия;
       - определение порядка  управления  региональной  системой  защитыинформации,  а  также  содержания  и   регламента   контроля   за   ееэффективностью;
       - создание резервов и  возможностей  для  ликвидации  последствийнарушения  политики  безопасности  и  восстановления  системы   защитыинформации.
       3.2.2. Организационные меры
       Проводятся в рамках региональной системы  защиты  информации  подруководством подразделения по защите информации Аппарата ПравительстваМурманской области.
       Имеют целью сформировать и поддерживать  в  надлежащем  состояниикадровые структуры региональной системы защиты информации,  определитьсодержание их работы, а также обеспечить все уровни  и  элементы  этихсистем  основными  организационно-распорядительными  и   методическимидокументами по защите информации.
       Указанные меры включают в себя:
       1. Оценку объема работы на каждом  объекте  защиты  для  принятиярешения о назначении специалистов (штатных, нештатных), планирование ипроведение   их   обучения   в   соответствии   с    квалификационнымитребованиями.
       2. Разработку, утверждение  и  внедрение  в  практику  работы  позащите   информации   основных    организационно-распорядительных    иметодических документов по перечню, включающему в себя в том числе:
       - системы  защиты  информации   (политики)   в   органах   властиМурманской области  и  подведомственных  им  организациях,  в  которыхзакрепляется организационная  структура  региональной  системы  защитыинформации;
       - рекомендации для   органов   власти   и   подведомственных   иморганизаций по организации работ по защите информации (разрабатываютсяотделом по защите информации или организацией-лицензиатом ФСТЭК Россиии ФСБ России);
       - руководства по защите информации от технических разведок  и  отее утечки по техническим  каналам  (для  каждого  объекта  защиты,  накотором обрабатываются сведения, содержащие государственную тайну);
       - инструкции по обеспечению  режима  секретности  при  работе  насредствах вычислительной  техники  (для  каждого  объекта  защиты,  накотором обрабатываются сведения, содержащие государственную тайну);
       - модели угроз безопасности информации  (модели  нарушителя)  длякаждой информационной системы (объекта защиты);
       - положения по защите информации конфиденциального характера (длякаждого   органа   власти   и   подведомственной   организации,    гдеобрабатывается такая информация), другие документы в  соответствии  соСпециальными требованиями и рекомендациями по защите  конфиденциальнойинформации (СТР-К);
       - документы в   соответствии   с    требованиями    постановленияПравительства Российской Федерации от 17.11.2007 N 781 "Об утвержденииПоложения об  обеспечении  безопасности  персональных  данных  при  ихобработке в информационных системах персональных данных";
       - положения о подразделении (специалисте)  по  защите  информацииоргана власти (организации);
       - организационно-распорядительные документы, определяющие условиядопуска в помещения и доступа к защищаемым информационным ресурсам;
       - типовые инструкции  администратора   баз   данных;   инструкцииадминистратора   безопасности   информации,   должностные   инструкции(регламенты) сотрудников в части их обязанностей и ответственности  заобеспечение безопасности информации и другие.
       3. Приведение  организации   и   содержания   работ   по   защитеинформации, порядка обработки защищаемой информации в информационных иинформационно-телекоммуникационных системах органов власти  Мурманскойобласти и подведомственных им  организаций  в  соответствие  с  общимитребованиями  и  утвержденным  технологическим   процессом   обработкиинформации.
       4. Обучение пользователей мерам по защите информации  и  правиламэксплуатации информационных систем и средств защиты информации.
       5. Планирование и организацию  работ  по  проведению  контроля  иповышению персональной ответственности пользователей и должностных лицсубъектов  информационного  взаимодействия,  обладателей   информации,операторов информационных и информационно-телекоммуникационных  системза выполнение мер противодействия угрозам безопасности информации.
       3.3. Технические меры включают в себя:
       - применение сертифицированных средств защиты информации;
       - антивирусную защиту;
       - резервное копирование программ и данных;
       - использование выделенных каналов связи;
       - диверсификацию доступа к коммуникационным средам;
       - резервирование выделенных линий связи;
       - применение аппаратных платформ с повышенной надежностью;
       - использование источников гарантированного электропитания;
       - использование средств гарантированного уничтожения информации;
       - аттестацию объектов информатизации по требованиям  безопасностиинформации.
       Наибольшая  эффективность  этих  мер  достигается   при   условиипредварительного выполнения всех  организационных  мер,  а  также  присоблюдении следующих принципов:
       - возможности технических средств защиты  информации,  основанныена  тех  или  иных  информационных  технологиях,  должны   максимальноиспользоваться  для  целей  защиты  информации  в   информационных   иинформационно-телекоммуникационных   системах   органов    власти    иорганизаций;
       - средства защиты информации субъектов информационного  обмена  врегиональной  системе  защиты  информации  не  дублируют,  но  взаимнодополняют  возможности   по   противодействию   угрозам   безопасностиинформации  в  информационных   и   информационно-телекоммуникационныхсистемах;
       - в корпоративных     (интегрированных)     информационных      иинформационно-телекоммуникационных   системах   безопасность   каждогокомпонента  (сегмента)  подтверждается  их   операторами   выполнениемтребований  федерального  органа  исполнительной  власти   в   областиобеспечения безопасности и федерального органа исполнительной  власти,уполномоченного в  области  противодействия  техническим  разведкам  итехнической защиты информации,  в  пределах  их  полномочий,  а  такжевыданными этими федеральными органами  сертификатами  на  используемыесредства защиты информации или путем декларирования этой безопасности;
       - аттестация информационных систем  по  требованиям  безопасностиинформации при наличии в них информации ограниченного доступа являетсянеобходимым условием функционирования их в  составе  информационных  иинформационно-телекоммуникационных систем Мурманской области.
     4. Перечень основных мероприятий по совершенствованию системы
             защиты информации и пути реализации Концепции
       Уточняется состав  Региональной  комиссии  по  защите  информацииМурманской области.
       Вносятся дополнения в положения о  подразделениях  (специалистах)по защите информации, определенные требованиями нормативных документовпо  обеспечению  безопасности  информации  в   ключевых   системах   ибезопасности персональных данных при  их  обработке  в  информационныхсистемах.
       Проводятся    учет     и     регистрация     информационных     ителекоммуникационных систем региона.
       Формируется           Реестр           информационных           иинформационно-телекоммуникационных систем Мурманской области. ОператорРеестра-  исполнительный  орган  государственной   власти   Мурманскойобласти,  осуществляющий  работы  в  сфере  информационных  технологийМурманской области.
       Проводится   анализ    обрабатываемой    в    информационных    иинформационно-телекоммуникационных  системах,  а  также  в  помещенияхорганов власти и подведомственных им организаций информации на предметее отнесения к информации с ограниченным доступом. Результаты  анализаоформляются актами операторов информационных систем. Акты утверждаютсяруководителями органов власти, организаций.
       Разрабатываются   и   утверждаются   типовые   перечни   сведенийконфиденциального характера для органов власти и  подведомственных  иморганизаций с учетом требований нормативных  актов  в  области  защитыинформации.
       Проводится   классификация   (уточнение   класса    защищенности)информационных систем  с  учетом  категорий  информации,  определеннойранее, полученные результаты отражаются в  актах  классификации.  Актыутверждаются руководителями органов власти, организаций.
       Проводится ознакомление исполнителей с упомянутыми выше перечнямив части, их касающейся. Устанавливается разрешительная система доступаисполнителей к документам и сведениям ограниченного  доступа  (матрицыдоступа,  другие  документы,  отражающие  полномочия   пользователей),допуска  в  помещения,  где  обрабатывается  информация  ограниченногодоступа.
       Проводится оценка достаточности  и  соответствия  принятых  ранееорганизационных  и  технических  мер   в   каждой   информационной   иинформационно-телекоммуникационной  системе  требованиям   нормативныхправовых актов и методических документов. Разрабатываются планы  работпо формированию  систем  защиты  для  каждого  объекта  защиты.  Планыутверждаются    руководителем    соответствующего    органа    власти,организации.     В     наиболее      важных      информационных      иинформационно-телекоммуникационных  системах  планируется   проведениеаудита организациями, имеющими соответствующие лицензии.
       Проводятся   работы    по    анализу    состояния    защищенностиинформационных  и  информационно-телекоммуникационных  систем  органоввласти Мурманской  области,  оцениваются  общий  масштаб  и  стоимостьосновных  работ.  Проводятся  расчеты   по   обоснованию   затрат   наформирование и поддержание системы защиты информации  на  год.  Данныерасходы закладываются  в  бюджеты  соответствующих  органов  власти  иорганизаций.
       Осуществляется  планомерная  работа  по   отбору   и   назначениюспециалистов  (штатных,  нештатных),  подготовке,   переподготовке   иповышению  квалификации   данных   специалистов   в   области   защитыинформации, ведется учет специалистов и проводится  оценка  уровня  ихпрофессиональной  подготовки.  Создаются   подразделения   по   защитеинформации   (назначаются   специалисты)   в    органах    власти    иподведомственных им организациях. Подразделения по  защите  информациисобирают и передают в Управление ФСТЭК России по СЗФО данные в  реестрключевых систем  информационной  инфраструктуры  федерального  округа,формируют и ведут перечень ключевых систем в Мурманской области.
       Определяется перечень  общих  и  типовых  документов,  подлежащихцентрализованной    разработке.     Разрабатываются     первоочередныенормативные   правовые   акты,    организационно-распорядительные    иметодические документы для систем защиты информации.
       Информационные   и   информационно-телекоммуникационные   системыоцениваются  на  предмет  их  оснащения   лицензионными   программнымисредствами, а также сертифицированными средствами защиты информации.
       Определяются: общая организация, форма и  регламент  контроля  завыполнением  требований  нормативных  правовых  актов  и  методическихдокументов в области защиты информации (собственный контроль в органахвласти и организациях, контроль со  стороны  подразделения  по  защитеинформации),  организуется  контроль  состояния  защиты  информации  врегиональной системе защиты информации.
       Формируется база  данных  органов  власти  Мурманской  области  осостоянии региональной системы защиты информации.
       Мероприятия,  определенные  данным  документом,  проводятся   подконтролем Управления ФСТЭК  России  по  Северо-Западному  федеральномуокругу, при поддержке Межведомственного совета  по  защите  информациипри  полномочном  представителе  Президента  Российской  Федерации   вСеверо-Западном федеральном округе, отражаются в годовых планах  работс отчетами о проделанной работе в конце года
               5. Ожидаемые результаты реализации Концепции
       Реализация Концепции позволит:
       - улучшить   организационную   структуру   СЗИМО,   ее   кадровоеобеспечение;
       - улучшить обеспеченность органов  СЗИМО  документами  в  областитехнической защиты информации;
       - комплексно,  при  минимальных  затратах  и  в  короткие   срокипривести информационные и  информационно-телекоммуникационные  системыМурманской области в соответствие с требованиями нормативных  правовыхактов в области защиты информации;
       - завершить          оснащение          информационных          иинформационно-телекоммуникационных    систем    Мурманской     областивысокоэффективными средствами и технологиями защиты информации;
       - исключить необоснованное дублирование мер защиты информации;
       -повысить оперативность  и   качество   управления   региональнойсистемой защиты информации.
       Ожидаемый эффект от реализации Концепции состоит:
       - в  минимизации  ущерба  от  возможной   утечки   информации   испециальных       воздействий        на        информационные        иинформационно-телекоммуникационные системы органов  власти  Мурманскойобласти;
       - в рациональном использовании  средств  бюджета,  выделяемых  назащиту информации;
       - в  обеспечении  благоприятных  условий   для   эффективного   изаконного  использования  информационных   ресурсов   органов   властиМурманской области.