Защита информации

Департамент цифрового развития Смоленской области

Интернет-приёмная
214008, г. Смоленск, площадь им. Ленина, 1
29-20-72 its@admin-smolensk.ru
Версия для слабовидящих

Концепция защиты информации на территории Смоленской области на 2022 – 2030 годы

Введение

Концепция защиты информации на территории Смоленской области на 2022‑2030 годы (далее ‑ Концепция) представляет собой задачи, принципы, основные направления развития и совершенствования системы защиты информации в органах государственной власти.

Правовую основу Концепции составляют: Конституция Российской Федерации, федеральные законы и иные нормативные правовые акты Российской Федерации в сфере защиты информации, а также международные договоры и соглашения, заключенные или признанные Российской Федерацией, определяющие права, обязанности и ответственность граждан, общества и государства в информационной сфере.

Настоящая Концепция детализирует Доктрину информационной безопасности Российской Федерации, утвержденную Указом Президента Российской Федерации от 5 декабря 2016 года № 646, и Стратегию национальной безопасности Российской Федерации, утвержденную Указом Президента Российской Федерации от 02 июля 2021 года № 400, применительно к деятельности исполнительных органов государственной власти Смоленской области, а также направлена на реализацию в Смоленской области национальной программы «Цифровая экономика Российской Федерации», утвержденной протоколом заседания президиума Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам от 4 июня 2019 г. № 7, применительно к организации защиты информации на территории Смоленской области.

 

1. Термины и понятия, используемые в настоящей Концепции

Для целей настоящей Концепции используются следующие термины и понятия:

- информация - сведения (сообщения, данные) независимо от формы их представления;

- документированная информация (документ) - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

- информация с ограниченным доступом - документированная информация, которая по условиям правового режима подразделяется на отнесенную к государственной тайне информацию и конфиденциальную информацию;

- государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

- информационные ресурсы - отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

- защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;

- защищаемая информация - информация, подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми обладателем информации;

- защищаемый объект информатизации (объект информатизации) - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров;

- безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами;

- система защиты информации - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованных и функционирующих по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации;

- объект защиты - объект, имеющий охраняемые сведения, и (или) объект, на котором осуществляются работы с защищаемой информацией;

- техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации;

- средство защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации;

- средство контроля эффективности защиты информации - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для контроля эффективности защиты информации;

- технический канал утечки информации (технический канал) - совокупность объекта защиты, физической среды и средства технической разведки, которыми добывается защищаемая информация;

- утечка информации по техническим каналам - неконтролируемое распространение защищаемой информации по техническим каналам в результате несанкционированного доступа к информации и получения защищаемой информации разведками;

- несанкционированный доступ к информации - получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

 

2. Общие положения

Быстрое развитие информационно-коммуникационных технологий сопровождается повышением вероятности возникновения угроз безопасности граждан, общества и государства. Расширяется использование информационно-коммуникационных технологий для вмешательства во внутренние дела государств, подрыва их суверенитета и нарушения территориальной целостности, что представляет угрозу международному миру и безопасности.

 Увеличивается количество компьютерных атак на российские информационные ресурсы. Большая часть таких атак осуществляется с территорий иностранных государств. Инициативы Российской Федерации в области обеспечения международной информационной безопасности встречают противодействие со стороны иностранных государств, стремящихся доминировать в глобальном информационном пространстве.

Активизируется деятельность специальных служб иностранных государств по проведению разведывательных и иных операций в российском информационном пространстве. Вооруженные силы таких государств отрабатывают действия по выведению из строя объектов критической информационной инфраструктуры Российской Федерации.

В целях дестабилизации общественно-политической ситуации в Российской Федерации распространяется недостоверная информация, в том числе заведомо ложные сообщения об угрозе совершения террористических актов. В информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") размещаются материалы террористических и экстремистских организаций, призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка, совершению самоубийства, осуществляется пропаганда криминального образа жизни, потребления наркотических средств и психотропных веществ, размещается иная противоправная информация. Основным объектом такого деструктивного воздействия является молодежь.

 Стремление транснациональных корпораций закрепить свое монопольное положение в сети "Интернет" и контролировать все информационные ресурсы сопровождается введением такими корпорациями (при отсутствии законных оснований и вопреки нормам международного права) цензуры и блокировкой альтернативных интернет-платформ. По политическим причинам пользователям сети "Интернет" навязывается искаженный взгляд на исторические факты, а также на события, происходящие в Российской Федерации и в мире.

Анонимность, которая обеспечивается за счет использования информационно-коммуникационных технологий, облегчает совершение преступлений, расширяет возможности для легализации доходов, полученных преступным путем, и финансирования терроризма, распространения наркотических средств и психотропных веществ.

 Использование в Российской Федерации иностранных информационных технологий и телекоммуникационного оборудования повышает уязвимость российских информационных ресурсов, включая объекты критической информационной инфраструктуры Российской Федерации, к воздействию из-за рубежа.

Развитие информационных технологий и их широкое применение во всех сферах деятельности государства и общества способствует не только значительному повышению их интенсивности и качества, но и возникновению угроз национальной безопасности в информационной сфере, связанных с расширением возможностей утечки информации и воздействия на нее в результате усилий спецслужб иностранных государств, деятельности преступных сообществ, недобросовестных конкурентов и отдельных злоумышленников. При этом, существенно расширился спектр угроз безопасности информации, связанных с:

- несанкционированным доступом к информации, обрабатываемой в информационных системах, построенных с использованием суперкомпьютерных технологий, грид-технологий, технологий виртуализации и облачных вычислений, путем использования вредоносного программного обеспечения, эксплуатирующего уязвимость данных технологий;

- удалением, блокировкой и модификацией информации путем использования новейшего вредоносного программного обеспечения (типа Eternal Blue (WannaCry), CryptoWall,  Stuxnet, Duqu, Flame), являющегося, по сути, информационным оружием;

- проведением компьютерных атак как на информационные системы в целом, так и на отдельные средства вычислительной техники (в том числе принтеры, коммуникаторы, коммутаторы), имеющие широкополосное подключение в информационно-телекоммуникационную сеть «Интернет», за счет использования вредоносного программного обеспечения;

- перехватом информации в беспроводных вычислительных сетях;

- использованием недекларированных возможностей (в том числе «программных закладок») программного и аппаратного обеспечения зарубежного производства;

- утечкой информации ограниченного доступа путем ее размещения в информационно-телекоммуникационной сети «Интернет»;

- перехватом информации с современных мобильных и стационарных устройств, использующих различные технологии обработки информации (удаленное управление и вычисление, распознавание речи, новые интерфейсы передачи данных) и отображения (LED, OLED-технологии, электронные чернила, трехмерное изображение);

- перехватом побочных электромагнитных излучений и наводок различных объектов (в том числе лазерных систем, суперкомпьютеров, видеосистем на основе жидких кристаллов) в широком диапазоне частот;

- утечкой акустической речевой информации по техническим каналам.

Защита информации является неотъемлемой составной частью основной деятельности органов государственной власти, органов местного самоуправления и организаций, достигаемой путем проведения комплекса правовых, организационных, технических и методических мероприятий, направленных на предотвращение, нейтрализацию угроз безопасности информации в зависимости от условий деятельности и решаемых задач по обеспечению безопасности информации.

Проведение указанного комплекса мероприятий по защите информации должно основываться на определении:

- угроз безопасности информации на конкретных объектах информатизации;

- перечней объектов защиты и защищаемых сведений;

- средств и методов защиты информации.

Актуальность проблемы защиты информации на территории Смоленской области обусловлена:

- приграничным расположением, наличием на территории Смоленской области совместных предприятий (в том числе с участием стран дальнего зарубежья);

- размещением на территории Смоленской области дипломатических и консульских учреждений, международных организаций и их представительств;

- реструктуризацией систем управления хозяйственной деятельностью организаций, повышение их самостоятельности;

- возрастанием зависимости результатов деятельности органов государственной власти, органов местного самоуправления, организаций от достоверности, используемой ими информации, своевременности ее получения, эффективности принятых мер по ее защите;

- приданием информации статуса объекта собственности, формирование государственных информационных ресурсов Смоленской области, информационных ресурсов организаций и граждан, необходимостью защиты этих ресурсов от противоправных действий;

- использованием в органах государственной власти, органах местного самоуправления, организациях межрегиональных и глобальных информационных систем, накапливающих и передающих большие объемы информации, потенциально уязвимых для несанкционированного доступа к информации, возрастанием опасности несанкционированных и непреднамеренных воздействий на информацию в этих системах;

- расширением спектра источников угроз безопасности информации, возникающих в отношении органов государственной власти, органов местного самоуправления, организаций;

- ростом числа преступлений в сфере информационных технологий;

- использованием в органах государственной власти, органах местного самоуправления, организациях технических и программных средств, обеспечивающих сбор, хранение, обработку и передачу информации, не сертифицированных по требованиям безопасности информации;

- возрастанием опасности информационных угроз, возникающих в непосредственной близости от защищаемых объектов Смоленской области или на них самих;

- неспособность отдельных организаций самостоятельно обеспечить эффективную защиту информации.

- непредсказуемыми экономическими и социальными последствиями возникновения чрезвычайных ситуаций, связанных с нарушением безопасности информации;

- постоянным развитием рынка информационных технологий, используемых для обработки, передачи и хранения информации, и внедрением их в информационные системы исполнительных органов государственной власти Смоленской области;

- обработкой и передачей информации в интересах органов исполнительной власти Смоленской области и органов местного самоуправления муниципальных образований Смоленской области в рамках единой территориально распределенной информационно-телекоммуникационной сети;

- возникновением принципиально новых технологий обработки информации (грид-технологий, суперкомпьютерных технологий, технологий облачных вычислений, виртуализации, конвергенции различных приложений на базе как локальных, корпоративных, так и глобальных компьютерных сетей и др.);

- существенным возрастанием производительности компьютерных систем, плотности хранения информации и пропускной способности каналов передачи данных;

- организацией широкополосного доступа из защищаемых информационных систем в информационно-телекоммуникационную сеть «Интернет»;

- повышением внимания государства к вопросам защиты персональных данных граждан Российской Федерации.

Перечисленные факторы выдвигают в число приоритетных задач развития системы защиты информации, а устранение указанных проблем в области защиты информации является общей задачей реализации государственной политики в сфере построения региональной системы защиты информации.

Угрозы безопасности информации включают в себя внешние и внутренние факторы.

К внешним факторам относятся:

- деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная на нанесение ущерба государственным интересам в информационной сфере;

- стремление ряда стран к доминированию и ущемлению национальных интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

- обострение международной конкуренции за обладание информационными технологиями и ресурсами;

- деятельность международных террористических организаций;

- увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию создания конкурентоспособных российских информационных технологий;

- разработка рядом государств концепций информационных войн, предусматривающих создание средств вредоносного воздействия на информационные сферы других стран мира, нарушение функционирования информационных систем и информационно-телекоммуникационных сетей.

К внутренним факторам относятся:

- глобализация информационно-телекоммуникационных сетей, внедрение телекоммуникационных и информационных технологий, реализуемых преимущественно на аппаратно-программных средствах зарубежного производства, что существенно обостряет проблему защиты информации;

- увеличение объемов хранимой и передаваемой информации, а также территориальная распределенность информационно-телекоммуникационных сетей;

- усложнение применяемых технологий и процессов функционирования информационно-телекоммуникационных сетей, что может привести к появлению ошибок и недекларированных возможностей в аппаратно-программных средствах;

- недостаточность правовой базы, регулирующей отношения в информационной сфере;

- дефицит квалифицированных кадров по защите информации;

- недостаточное финансирование мероприятий по защите информации;

- использование несертифицированных по требованиям безопасности информации отечественных и зарубежных информационных технологий, зарубежных средств аппаратного и программного обеспечения для информационных систем различного назначения, не прошедших специальную проверку и специальные исследования.

Основными способами реализации угроз безопасности информации на территории Смоленской области могут быть: информационные, аппаратно-программные, физические, радиоэлектронные, а также способы, связанные с нарушениями норм и требований.

К информационным способам реализации угроз безопасности информации относятся:

- несанкционированный доступ к информационным ресурсам;

- противоправный сбор, распространение и использование информации;

- манипулирование информацией (сокрытие или искажение информации, навязывание ложной информации);

- нарушение технологии обработки информации;

- незаконное уничтожение информации.

К аппаратно-программным способам реализации угроз безопасности информации относятся:

- внедрение вредоносных программ (компьютерных вирусов, сетевых червей, программных закладок и т.п.);

- несанкционированный доступ к информации с использованием возможностей межсетевого взаимодействия и уязвимости программного обеспечения с последующим ее копированием, уничтожением, модификацией, блокированием и т.п.;

- нарушение адресности и оперативности информационного обмена;

- нарушение технологии обработки данных и информационного обмена;

- использование или создание технических каналов утечки информации, в т.ч. установка программных и аппаратных закладных устройств.

К физическим способам реализации угроз безопасности информации относятся:

- уничтожение, хищение или разрушение средств обработки, защиты информации, средств контроля эффективности защиты информации, связи, целенаправленное нарушение их работоспособности;

- уничтожение, хищение или разрушение машинных и других носителей информации;

- хищение, целенаправленное нарушение работоспособности средств криптографической защиты информации, программных или аппаратных носителей информации, средств защиты информации от несанкционированного доступа.

К радиоэлектронным способам реализации угроз безопасности информации относятся:

- перехват информации в сетях передачи данных и линиях связи;

- внедрение электронных устройств перехвата информации в технические средства и помещения объектов информатизации;

- навязывание ложной информации по сетям передачи данных и линиям связи;

- радиоэлектронное подавление систем управления и сигналов, передаваемых по линиям связи.

К нарушениям норм и требований безопасности информации относятся:

- незаконная деятельность в области защиты информации;

- использование несертифицированных по требованиям безопасности информации средств защиты информации и средств контроля эффективности защиты информации, а также устаревших средств информатизации и информационных технологий;

- ошибки при разработке и реализации политики безопасности информации;

- ошибки при реализации организационных методов защиты информации;

- задержки разработки и принятия необходимых правовых и организационно-распорядительных документов в области защиты информации.

Результатами реализации угроз безопасности информации могут являться:

- нарушение конфиденциальности информации (разглашение, утрата, хищение, утечка, перехват и т.д.);

- нарушение целостности информации (искажение, уничтожение и т.д.);

- нарушение правил доступа к информации и работоспособности информационных систем (блокирование данных в информационных системах, разрушение элементов информационных систем, компрометация системы защиты информации и т.д.).

К мероприятиям по обеспечению эффективной защиты информации относятся:

- развитие и совершенствование системы защиты информации органов исполнительной власти Смоленской области и органов местного самоуправления муниципальных образований Смоленской области;

- координация деятельности органов исполнительной власти Смоленской области и органов местного самоуправления муниципальных образований Смоленской области в информационной сфере;

- разработка и реализация государственных программ Смоленской области, направленных на решение задач в сфере защиты информации;

- подготовка, профессиональная переподготовка и повышение квалификации специалистов по защите информации;

- разработка организационно-распорядительных документов в области защиты информации.

Целями защиты информации на территории Смоленской области являются:

- предотвращение угроз безопасности личности, общества, государства;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с требованиями федерального законодательства;

- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения;

- содействие экономическому, научно-техническому прогрессу Смоленской области, обеспечению ее безопасности и устойчивого развития.

Основными задачами защиты информации на территории Смоленской области являются:

- проведение единой государственной политики по защите информации в интересах укрепление суверенитета Российской Федерации в информационном пространстве;

- формирование безопасной среды оборота достоверной информации, повышение защищенности информационной инфраструктуры Смоленской области и устойчивости ее функционирования;

- развитие системы прогнозирования, выявления и предупреждения угроз информационной безопасности, определения их источников, оперативной ликвидации последствий реализации таких угроз;

-  предотвращение деструктивного информационно-технического воздействия на региональные информационные ресурсы, включая объекты критической информационной инфраструктуры;

- создание условий для эффективного предупреждения, выявления и пресечения преступлений и иных правонарушений, совершаемых с использованием информационно-коммуникационных технологий;

- повышение защищенности и устойчивости функционирования единой сети электросвязи, российского сегмента сети "Интернет", иных значимых объектов информационно-коммуникационной инфраструктуры, а также недопущение иностранного контроля за их функционированием;

-  снижение до минимально возможного уровня количества утечек информации ограниченного доступа и персональных данных, а также уменьшение количества нарушений, установленных российским законодательством требований по защите такой информации и персональных данных;

- предотвращение и (или) минимизация ущерба региональной информационной инфраструктуре, связанного с осуществлением иностранными государствами технической разведки;

- обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных, в том числе с использованием информационных технологий;

- противодействие использованию информационной инфраструктуры Российской Федерации экстремистскими и террористическими организациями, специальными службами и пропагандистскими структурами иностранных государств для осуществления деструктивного информационного воздействия на граждан и общество;

- обеспечение приоритетного использования в информационной инфраструктуре Смоленской области российских информационных технологий и оборудования, отвечающих требованиям информационной безопасности, в том числе при реализации национальных проектов (программ) и решении задач в области цифровизации экономики и государственного управления;

- развитие взаимодействия органов власти, институтов гражданского общества и организаций при осуществлении деятельности в области обеспечения информационной безопасности Смоленской области.

- обеспечение конфиденциальности, целостности и доступности информации, обрабатываемой в информационных системах Смоленской области;

- определение и учет информационных ресурсов, систем и средств формирования, передачи, хранения, обработки и распространения информации, подлежащей защите;

- исключение или существенное затруднение добывания информации средствами технической разведки путем предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию с целью ее уничтожения, искажения и блокирования;

- подготовка предложений по совершенствованию правового, нормативного, методического, научно-технического и организационного обеспечения защиты информации на объектах Смоленской области;

- анализ состояния и прогнозирование источников угроз безопасности информации;

- включение в областные государственные программы мероприятий по защите информационных ресурсов и средств информатизации;

- выявление ключевых проблем и определение приоритетных направлений развития системы защиты информации на территории Смоленской области;

- проведение практических мероприятий по созданию и развитию системы защиты информации на территории Смоленской области;

- методическое и информационное обеспечение работ по защите информации;

- контроль и анализ состояния защиты информации в органах государственной власти, органах местного самоуправления и организациях;

- совершенствование и развитие системы подготовки специалистов по защите информации.

Основными объектами обеспечения защиты информации на территории Смоленской области являются:

- информационные ресурсы, содержащие информацию ограниченного доступа;

- средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;

- технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;

- помещения, предназначенные для ведения переговоров, в ходе которых оглашаются сведения ограниченного доступа;

- информация, обрабатываемая в критически важных объектах и системах информационной инфраструктуры;

- информация о критически важных объектах и системах информационной инфраструктуры и в первую очередь информация об их системах защиты информации;

- иные чувствительные по отношению к непреднамеренным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы (в том числе открытая информация, подлежащая защите), представленные в виде документов и массивов информации, независимо от формы и вида их представления, возможный ущерб от несанкционированного использования или модификации которой превышает стоимость затрат, связанных с мероприятиями по ее защите от этих угроз.

Совершенствование способов и средств технической разведки, повышение опасности угроз несанкционированного доступа к информации и специальных воздействий на нее в системах и средствах информатизации и связи, происходящие с течением времени изменения условий и приоритетов защиты объектов обусловливают необходимость развития системы защиты информации на территории Смоленской области. Планирование развития системы защиты информации на территории Смоленской области основывается на анализе ее состояния и выявлении ключевых проблем в развитии.

К основным проблемам, характеризующим современное состояние системы защиты информации на территории Смоленской области, относятся:

- нехватка учебных заведений высшего профессионального образования, осуществляющих подготовку, переподготовку и повышение квалификации кадров в области информационной безопасности на территории Смоленской области;

- нехватка квалифицированных специалистов в области защиты информации;

- отсутствие в штатном расписании органов государственной власти, органов местного самоуправления и организаций Смоленской области должностей сотрудников, ответственных за выполнение мероприятий по защите информации;

- слабая оснащенность подразделений по защите информации государственных и муниципальных органов, организаций средствами и аппаратурой контроля эффективности защиты информации, а также сертифицированными средствами защиты информации;

- слабое использование современных информационных технологий для обеспечения потребителей необходимыми документами, носящими открытый характер.

 

3. Цель, задачи и основные направления защиты информации на территории Смоленской области

Главной целью развития системы защиты информации на территории Смоленской области является предотвращение или существенное снижение величины ущерба, наносимого информационной сфере из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию, а также создание условий, способствующих защите интересов общества в политической, экономической, научно-технической и других сферах деятельности.

В этой связи на первый план выходит задача создания условий, обеспечивающих исключение или существенное затруднение добывания информации об объектах защиты средствами технической разведки путем предотвращения утечки, хищения, утраты, искажения, подделки информации ограниченного доступа по техническим каналам, несанкционированного доступа к ней и специальных воздействий на нее в различных сферах деятельности хозяйствующих субъектов на территории Смоленской области.

Основными задачами по развитию системы защиты информации на территории Смоленской области являются:

- формирование и совершенствование системы защиты информации, развитие ее научно-технического и кадрового потенциала;

- создание и совершенствование необходимых и достаточных правовых, организационных, экономических и научно-технических условий для обеспечения деятельности системы защиты информации;

- обеспечение эффективной технической защиты информации на объектах органов государственной власти, органов местного самоуправления, организаций;

- совершенствование системы контроля и управления системой защиты информации, приспособленной к изменяющимся условиям обстановки.

Основными принципами развития системы защиты информации на территории Смоленской области являются:

- соответствие уровня развития системы защиты информации задачам обеспечения национальной безопасности Российской Федерации, безопасности и устойчивого развития Смоленской области с учетом ее экономических возможностей;

- обеспечение на территории Смоленской области своевременной и адекватной реакции на возникающие и прогнозируемые угрозы ведения технической разведки, утечки информации по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее;

- использование коллегиальных методов руководства системой защиты информации и ее развития;

- программное планирование развития системы защиты информации.

Система защиты информации на территории Смоленской области организационно входит в систему защиты информации в Центральном федеральном округе (далее также - ЦФО) и образует три уровня:

- систему защиты информации на региональном уровне;

- систему защиты информации на муниципальном уровне;

- систему защиты информации на уровне организаций.

Организационную структуру системы защиты информации на региональном уровне образуют:

- Комиссия по информационной безопасности при Администрации Смоленской области;

- органы государственной власти, органы местного самоуправления, их коллегиальные органы, структурные подразделения по защите информации (штатные специалисты);

- учебные заведения, осуществляющие подготовку, профессиональную переподготовку и повышение квалификации специалистов в области защиты информации.

Организационную структуру системы защиты информации на муниципальном уровне образуют:

- комиссии по информационной безопасности в органах местного самоуправления;

- структурные подразделения по защите информации (штатные специалисты) органов местного самоуправления;

- организации, подведомственные органам местного самоуправления, выполняющие работы и оказывающие услуги в области защиты информации.

Организационную структуру системы защиты информации на уровне организаций образуют:

- организации, выполняющие работы по оборонной тематике и другие работы с использованием информации с ограниченным доступом;

- организации, проводящие работы с использованием информации с ограниченным доступом;

- организации-лицензиаты Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК);

- организации-лицензиаты Федеральной службы безопасности Российской Федерации.

Функциональное регулирование деятельности системы защиты информации на территории Смоленской области осуществляется на основании решений Комиссии при полномочном представителе Президента Российской Федерации в Центральном федеральном округе по информационной безопасности. Координацию и методическое руководство деятельностью в области защиты информации осуществляет Управление ФСТЭК России по Центральному федеральному округу.

Государственную политику в области защиты информации на территории Смоленской области реализуют:

- Губернатор Смоленской области - возглавляет систему защиты информации на территории Смоленской области;

- Комиссия по информационной безопасности при Администрации Смоленской области - координирует деятельность по защите информации государственных и муниципальных органов, организаций;

- Департамент цифрового развития Смоленской области - посредством взаимодействия с аппаратом полномочного представителя Президента Российской Федерации в ЦФО, Управлением ФСТЭК России по Центральному федеральному округу, Управлением Федеральной службы безопасности Российской Федерации по Смоленской области организует деятельность по защите информации в органах исполнительной власти и органах местного самоуправления через структурное подразделение по защите информации Департамента цифрового развития Смоленской области;

- органы государственной власти и органы местного самоуправления - обеспечивают исполнение нормативных правовых и распорядительных актов в области защиты информации;

- организации - осуществляют мероприятия по защите информации на подведомственных объектах защиты.

Функции, права и полномочия структурных подразделений (штатных специалистов) и коллегиальных органов, отвечающих за организацию и осуществление мероприятий по защите информации в органах государственной власти и органах местного самоуправления, организациях, определяются положениями об этих подразделениях и органах.

В органах государственной власти и органах местного самоуправления, организациях ответственность за организацию и состояние защиты информации возлагается на соответствующих руководителей.

Мероприятия по защите информации в органах государственной власти и органах местного самоуправления, организациях Смоленской области осуществляются:

- специалистами, на которых возложены функции по защите информации, в том числе штатными специалистами по защите информации (при наличии) или структурными подразделениями по защите информации (при наличии);

- организациями (в соответствии с заключенными контрактами и соглашениями), ведущими согласно имеющимся у них лицензиям деятельность в области защиты информации.

Основными направлениями формирования и развития системы защиты информации на территории Смоленской области при решении задачи формирования и совершенствования организационной структуры системы защиты информации, развития ее научно-технического и кадрового потенциала являются:

- формирование в органах государственной власти, органах местного самоуправления, организациях структурных подразделений по защите информации (назначение штатных специалистов);

- создание и развитие системы подготовки и переподготовки специалистов в области защиты информации.

При решении задачи создания и совершенствования необходимых и достаточных правовых, организационных, экономических и научно-технических условий для обеспечения деятельности системы защиты информации осуществляются:

- совершенствование концептуальных и правовых основ деятельности системы защиты информации;

- организация и обеспечение работ по выявлению и оценке угроз безопасности информации, прогнозированию их развития, разработке типового перечня угроз безопасности информации для объектов защиты;

- разработка методических документов по защите информации, конкретизирующих и дополняющих документы федерального уровня;

- оснащение объектов информатизации органов государственной власти, органов местного самоуправления, организаций современными сертифицированными средствами защиты информации (в том числе средствами контроля эффективности защиты информации).

При решении задачи обеспечения эффективной технической защиты информации на объектах органов государственной власти, органов местного самоуправления, организаций осуществляются:

- разработка и внедрение типовых систем защиты информации;

- проведение мероприятий по защите информации при проведении региональных выставок, конференций, совещаний с участием представителей иностранных государств, при осуществлении международного информационного обмена, в том числе с использованием открытых информационных систем;

- использование сертифицированного общего и специального программного обеспечения, сертифицированных средств защиты информации.

При решении задачи совершенствования системы контроля и управления системой защиты информации, приспособленной к изменяющимся условиям обстановки, осуществляются:

- создание системы мониторинга и контроля состояния системы защиты информации;

- совершенствование взаимодействия органов государственной власти, органов местного самоуправления при организации и ведении защиты информации на территории Смоленской области;

- совершенствование и расширение функционала системы планирования, реализации и контроля выполнения требований законодательства РФ в сфере защиты информации для органов государственной власти Смоленской области

- создание и развертывание информационно-аналитической системы защиты информации на территории Смоленской области в рамках информационно-аналитической системы государственной системы защиты информации.

Главными приоритетами в развитии системы защиты информации на территории Смоленской области являются:

- совершенствование концептуальных и правовых основ деятельности системы защиты информации;

- формирование структурных подразделений по защите информации (назначение штатных специалистов) в органах государственной власти, органах местного самоуправления, организациях, оснащение их средствами защиты информации, а также средствами контроля эффективности защиты информации;

- организация и обеспечение работ по выявлению и оценке угроз безопасности информации, прогнозированию их развития.

 

4. Этапы формирования и развития системы защиты информации >на территории Смоленской области

Формирование и развитие системы защиты информации в соответствии с настоящей Концепцией предполагается осуществлять до 2025 года в два этапа.

Первый этап (2022-2025 гг.) – развитие и совершенствование системы защиты информации на территории Смоленской области как неотъемлемой составной части государственной системы защиты информации.

В ходе первого этапа:

- совершенствуется подготовка, переподготовка и повышение квалификации специалистов в области защиты информации;

- разрабатываются правовые, методические, организационно-распорядительные и плановые документы в области защиты информации с учетом внедрения новых информационных технологий, новых угроз безопасности информации и изменяющейся нормативной базы;

- совершенствуется информационно-аналитическая система обеспечения деятельности в области защиты информации на территории Смоленской области;

- определяются и уточняются перечни информационных ресурсов, подлежащих защите, определяются структура и порядок деятельности соответствующих систем формирования, учета, хранения и предоставления информационных ресурсов;

- внедряются программные и программно-аппаратные средства автоматизации деятельности органов государственной власти, органов местного самоуправления, организаций по организации защиты информации в государственных информационных системах;

- организуется мониторинг и оценка закупок отечественного и иностранного программного обеспечения, серверного и телекоммуникационного оборудования в органах государственной власти, органах местного самоуправления, организациях.

Второй этап (2025-2030 гг.) – совершенствование системы защиты информации на территории Смоленской области.

На втором этапе:

- совершенствуется правовое, методическое и техническое обеспечение контроля защищенности информации, обрабатываемой в государственных информационных системах;

- совершенствуются системы автоматизированного мониторинга безопасности информации на системах критической информационной инфраструктуры Смоленской области;

- расширяется комплекс организационных и технических мероприятий по предотвращению возникновения каналов утечки информации;

- объекты информатизации оснащаются перспективной техникой защиты информации, обеспечивающей парирование угроз безопасности информации с учетом внедрения в информационные системы новых информационных технологий;

- совершенствуются средства контроля, методические и технические основы мониторинга безопасности информации в основных ключевых системах информационной структуры на территории Смоленской области;

- организуется интеграция в систему защиты информации в государственную систему защиты информации;

- совершенствуются программные и программно-аппаратные средства автоматизации деятельности органов государственной власти, органов местного самоуправления, организаций по организации защиты информации в государственных информационных системах;

- увеличивается количество подготовленных специалистов по образовательным программам в области информационной безопасности с использованием в образовательном процессе отечественных высокотехнологичных комплексов и средств защиты информации.

 

5. Ожидаемые результаты реализации настоящей Концепции

Основные положения настоящей Концепции реализуются в результате целенаправленной повседневной деятельности органов государственной власти, органов местного самоуправления, организаций путем выполнения мероприятий по защите информации в рамках реализации федеральных и областных государственных программ.

Реализация настоящей Концепции позволит:

- усовершенствовать организационную структуру системы защиты информации на региональном уровне, ее кадровое обеспечение;

- улучшить обеспеченность органов государственной власти, органов местного самоуправления, организаций документами в области защиты информации;

- повысить оснащенность органов государственной власти, органов местного самоуправления, организаций высокоэффективной техникой защиты информации в условиях расширения спектра угроз безопасности информации в информационных системах, реализующих новые информационные технологии;

- повысить уровень координации деятельности органов государственной власти, органов местного самоуправления, организаций при решении задач защиты информации;

- повысить эффективность управления системой защиты информации за счет совершенствования информационного обеспечения и автоматизации деятельности по защите информации и контролю;

- повысить обоснованность, оперативность и качество управления системой защиты информации за счет создания на территории Смоленской области информационно-аналитической системы защиты информации Смоленской области и ее сопряжения с информационно-аналитической системой государственной системы защиты информации.

В результате планируется создать систему, соответствующую задачам обеспечения национальной безопасности Российской Федерации, безопасности и устойчивого развития Смоленской области с учетом ее экономических возможностей и адекватно реагирующую на угрозы безопасности информации в социально-экономической, административно-управленческой, правоохранительной и других сферах деятельности.

 

6. Финансирование мероприятий по защите информации

Финансирование мероприятий по защите информации в органах государственной власти, органах местного самоуправления, организациях осуществляется за счет средств соответствующих бюджетов, а также средств внебюджетных источников.

Основные разделы

Общая информация
Законодательство
ФЕДЕРАЛЬНЫЕ ЗАКОНЫ РФ
УКАЗЫ ПРЕЗИДЕНТА РФ
ПОСТАНОВЛЕНИЯ И РАСПОРЯЖЕНИЯ ПРАВИТЕЛЬСТВА РФ
ДОКУМЕНТЫ МИНКОМСВЯЗИ РФ
ДОКУМЕНТЫ ФСТЭК РОССИИ
ДОКУМЕНТЫ ФСБ РОССИИ
ПОСТАНОВЛЕНИЯ И РАСПОРЯЖЕНИЯ АДМИНИСТРАЦИИ СМОЛЕНСКОЙ ОБЛАСТИ
Защита информации
Защищаемая информация
Классификация
Средства защиты информации
Аттестация
Почтовые сообщения
КИИ и 187-ФЗ
Конференция КИИ
Hормативные акты по КИИ
Частые вопросы
Семинар
Для служебного использования
ЕИС ПРК ЗИ
Регламенты РМС
Комиссия по информационной безопасности
Антивирусная защита
Парольная защита
Криптографическая защита (ViPNet)
Защита от НСД
Методические рекомендации
Обучение
Почта АИБ

Услуги и сервисы

 

© Защита информации, 2024

Политика конфиденциальности
Сайт разработан на системе типовых сайтов Администрации Смоленской области
WebCanape — сайты для органов государственной власти

тел. 8-(4812)-29-20-72
E–mail: its@smolensk.ru
Почтовый адрес: 214008, г. Смоленск, площадь им. Ленина, 1

На главную
214008, г. Смоленск, площадь им. Ленина, 1
29-20-72 its@admin-smolensk.ru
Интернет-приёмная
Электронные услуги

Зарегистрируйтесь на портале госуслуг – получите единый ключ доступа ко всем государственным сайтам.

Благодаря ему вы можете прямо из дома получить множество услуг!

Зарегистрироваться