1.3. Организационный аспект информационных операций и атак в социотехнической системе

Организационное обеспечение - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что проведение ИОА становится невозможными или существенно затрудняются за счет проведения организационных мероприя­тий [54].

К организационным средствам обеспечения ИБ в СТС относятся:

1. Концепции на уровне государства (Доктрина информационной безопасности Российской Федерации, Концепция национальной безопасности Российской Федерации, Законопроект «Концепция нормативного правового обеспечения информационной безопасности Российской Федерации»);

2. Стандарты в области терминов и определений;

3. Документы и стандарты, регламентирующие процесс защиты информации;

4. Методологические нормативные документы;

Схематично иерархия организационных средств обеспечения ИБ в СТС представлена на рис. 1.1.

Рис. 1.1. Схема иерархии организационных средств обеспечения ИБ в СТС

1. Концептуальные документы представляют собой совокупность взглядов на цели, задачи, принципы и основные направления обеспечения безопасности Российской Федерации.

Концепция национальной безопасности Российской Федерации – система взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности. В Концепции сформулированы важнейшие направления государственной политики Российской Федерации. Концепция состоит из четырех глав:

1. Россия в мировом сообществе;

2. Национальные интересы России;

3. Угрозы национальной безопасности Российской Федерации;

4. Обеспечение национальной безопасности Российской Федерации.

Доктрина состоит из 4 глав:

1. Информационная безопасность Российской Федерации;

2. Методы обеспечения информационной безопасности Российской Федерации;

3. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации;

4. Организационная основа системы обеспечения информационной безопасности Российской Федерации.

Доктрина информационной безопасности развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере (система обеспечения информационной безопасности Российской Федерации является частью системы обеспечения национальной безопасности страны) и служит для:

- формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;

- подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности Российской Федерации;

- разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Ценность Доктрины информационной безопасности Российской Федерации заключается, в том числе, в подробном описании интересов, присущих личности, обществу и государству в информационной сфере отношений.

Интересы личности в этой сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Также в Доктрине перечислены Организационные методы обеспечения информационной безопасности Российской.

Законопроект Концепции нормативного правового обеспечения информационной безопасности Российской Федерации разработана в целях согласования усилий всех субъектов законодательной инициативы, федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации по совершенствованию и развитию нормативного правового обеспечения информационной безопасности Российской Федерации, а также федеральных органов исполнительной власти, осуществляющих подготовку проектов международных договоров Российской Федерации.

Правовой основой Концепции являются Конституция Российской Федерации, общепризнанные принципы и нормы международного права и международные договоры Российской Федерации, Концепция национальной безопасности Российской Федерации, Доктрина информационной безопасности Российской Федерации и федеральное законодательство, регулирующее вопросы формирования и развития системы обеспечения национальной безопасности Российской Федерации.

Концепция отражает совокупность официальных взглядов на состояние, цели, задачи, основные направления и первоочередные мероприятия по дальнейшему развитию системы правовых норм, регулирующих общественные отношения в области обеспечения информационной безопасности Российской Федерации.

Концепция нормативного правового обеспечения информационной безопасности дополняет положения других нормативных правовых актов Президента Российской Федерации, направленных на развитие информационной сферы Российской Федерации, обеспечение безопасности национальных интересов в этой сфере.

Концепция служит основой при разработке:

- планов законодательной работы Президента Российской Федерации, Совета Федерации, членов Совета Федерации, депутатов Государственной Думы, Правительства Российской Федерации, а также Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации по предметам их ведения в области нормативного правового обеспечения информационной безопасности;

- планов законотворческой деятельности субъектов Российской Федерации в области формирования региональных систем обеспечения информационной безопасности; правовых доктрин регулирования отношений по отдельным вопросам нормативного правового обеспечения информационной безопасности Российской Федерации, а также концепций нормативных правовых актов, регулирующих отношения в области обеспечения информационной безопасности;

- планов подготовки проектов международных договоров Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти в области обеспечения информационной безопасности Российской Федерации.

Концепция состоит из глав:

1. Национальные интересы Российской Федерации в информационной сфере и угрозы их безопасности;

2. Цели и принципы нормативного правового обеспечения информационной безопасности Российской Федерации;

3. Состояние нормативного правового обеспечения информационной безопасности Российской Федерации:

3.1. Общее состояние нормативного правового обеспечения;

3.2. Состояние нормативного правового обеспечения защиты прав и свобод человека и гражданина, реализуемых в информационной сфере;

3.3. Состояние нормативного правового обеспечения в области развития российской информационной инфраструктуры и эффективного использования отечественных информационных ресурсов;

3.4. Состояние нормативного правового обеспечения безопасности информационных и телекоммуникационных систем и информационных ресурсов России;

4. Основные направления совершенствования нормативного правового обеспечения информационной безопасности Российской Федерации;

4.1. Цели совершенствования нормативного правового обеспечения;

4.2. Совершенствование системы общепризнанных принципов и норм международного права, системы международных договоров Российской Федерации и нормативных правовых актов международных организаций, участником которых является Российская Федерация;

4.3. Совершенствование федерального законодательства;

4.4. Совершенствование законодательства субъектов Российской Федерации;

4.5. Совершенствование нормативных правовых актов федеральных органов исполнительной власти;

5. Приоритетные направления совершенствования правового обеспечения информационной безопасности Российской Федерации;

6. Реализация Концепции совершенствования правового нормативного обеспечения информационной безопасности Российской Федерации;

2. Стандарты в области терминов и определений

К ним относятся государственные стандарты и руководящие документы Гостехкомиссии России, определяющие основные термины в области ИБ. Например:

- ГОСТ 34.003-90. Автоматизированные системы. Термины и определения.

- ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

- ОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения.

- Защита от несанкционированного доступа к информации. Термины и определения //Сборник руководящих документов по защите информации от несанкционированного доступа. - М.: Гостехкомиссия России, 1998.

Данные документы используются в законо- и нормотворческой деятельности. Важно придерживаться терминов и определений, данных в документах, во избежание неоднозначной трактовки нормативных и законодательных актов.

3. Документы и стандарты, регламентирующие процесс защиты информации

Стандартизация — это деятельность, направленная на разработку и установление требований, норм, правил, характеристик как обязательных для выполнения, так и рекомендуемых.

Цель стандартизации — достижение оптимальной степени упорядочения в области защиты информации посредством широкого и многократного использования установленных положений, требований, норм для решения реально существующих, планируемых или потенциальных задач.

Государственные стандарты в области защиты информации:

- ГОСТ Р 51624-00. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;

- ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;

- ГОСТ 51583-00. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения;

- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации;

- ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая Эталонная модель. Часть1. Архитектура защиты информации;

- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации.

- ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

- ГОСТ 28689-90. Радиопомехи от ПЭВМ. Нормы и методы испытаний. ТУ на конкретный вид продукции.

- ГОСТ 34.936-91. Информационная технология ЛВС. Определение услуг уровня управления доступом.

- ГОСТ 29339-92. Защита информации от утечки за счет ПЭМИН. Общие технические требования.

- ГОСТ Р.50600-93. Защита секретной информации от технических разведок. Система документов. Общие положения.

- ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.

- ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.

- ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний.

- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

- ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.

- ГОСТ Р 52069.0-2003. Защита информации. Система стандартов. Общие положения.

- ГОСТ Р МЭК 60950-2002. Безопасность оборудования информационных технологий.

- ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель. Госстандарт России.

- ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России.

- ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России.

- ГОСТ 14764-2002. Информационная технология. Сопровождение программных средств Р ИСО/МЭК.

- ГОСТ 15026-2002. Информационная технология. Уровни целостности систем и программных средств Р ИСО/МЭК.

- ГОСТ 15271-2002. Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК ТО 12207 -2002 (Процессы жизненного цикла программных средств). Р ИСО/МЭК.

- ГОСТ 15910-2002. Информационная технология. Процесс создания документации пользователя программных средств. Р ИСО/МЭК.

- ГОСТ 16326-2002. Программная инженерия. Руководство по применению ГОСТ Р ИСО/МЭК ТО 12207 -2002 при управлении проектом.

- ГОСТ Р 51904-2002. Программное обеспечение встроенных систем. Общие требования к разработке и документированию.

- ГОСТ Р 50839-2000. Совместимость технических средств электромагнитная. Устойчивость средств вычислительной техники и информатики к электромагнитным помехам. Требования и методы испытаний.

- ГОСТ В1 00464-97. Защита информации об авиационной технике и вооружении от иностранных технических разведок. Термины и определения.

- ГОСТ Р 51839.1-2001. Защитные технологии. Средства защиты. Маркировка лазерная. Классификация. Общие технические требования.

- ГОСТ Р 51839.2-2001. Защитные технологии. Средства защиты. Символ верификационный. Общие технические требования.

- ГОСТ Р 51839.3-2001. Защитные технологии. Средства защиты. Защита противокопировальная. Общие технические требования.

- ГОСТ Р 51839.4-2001. Защитные технологии. Средства защиты. Кодирование документа специальное. Общие технические требования.

Сюда также можно отнести стандарты организаций в области защиты информации:

- Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2006 (принят распоряжением ЦБР от 26 января 2006 года № Р-27).

Гостехкомиссия России ведет весьма активную нормотворческую дея­тельность, выпуская Руководящие документы (РД), играющие роль нацио­нальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на «Общие критерии».

Руководящие документы Гостехкомиссии России:

- Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;

- Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации;

- Концепция защиты информации в системах ее обработки;

- Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;

- Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;

- Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации;

- Защита информации. Специальные защитные знаки. Классификация и общие требования;

- Положение об аттестации объектов информатизации по требованиям безопасности информации: Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г;

- Положение об аккредитации органов по аттестации объектов информатики, испытательных центров и органов по сертификации продукции по требованиям безопасности информации. Проект.

- Положение о сертификации средств защиты информации по требованиям безопасности информации: Введено в действие приказом Председателя Гостехкомиссии России №199 от 27 октября 1995 г.

- Положение о государственном лицензировании деятельности в области защиты информации: Утверждено Решением Гостехкомиссии России и ФАПСИ №10 от 27 апреля 1994 г.

- Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации: Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г.

- Сборник методических документов по контролю защищенности информации, обрабатываемой средствами вычислительной техники, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН). Приказ ФСТЭК России от 30 декабря 2005 г.

- Сборник нормативно-методических документов по противодействию акустической речевой разведке (НМД АРР). Приказ председателя Гостехкомиссии России № 304 от 26 июля 2000г.

- Сборник нормативно-методических документов по технический защите информации в волоконно-оптических системах передачи (НМД по ТЗИ ВОСП). Приказ ФСТЭК России от 15 ноября 2005 года № 448 (НМД по ТЗИ ВОСП).

- Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам. Гостехкомиссия России, 2000г.

- Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Приказ Гостехкомиссии России от 19.06.2002 г. № 187.

- Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

И еще два руководящих документа:

- Руководящий документ отрасли «Телематические службы» (Утвержден приказом Министерства Российской Федерации по связи и информатизации №175 от 23 июля 2001 г.);

- Руководящий документ отрасли «Сети и службы передачи данных» (Утвержден приказом Министерства Российской Федерации по связи и информатизации № 225 от 12 ноября 2001 г.).

4. Методологические нормативные документы относятся к административному уровню и регламентируют действия общего характера, предпринимаемые руководством ор­ганизации.

Главная цель таких документов — сформировать про­грамму работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражаю­щая подход СТС к защите своих информационных активов.

Ниже приводится примерный перечень возможных методологических нормативных документов:

1. Положение об информационной системе объекта. Содержит описание защищаемой системы: назначение автоматизированной системы (АС), перечень решаемых АС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения;

2. Положение о перечне и порядке обращения с информацией ограниченного распространения. В нем закрепляются категории информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащей защите; требования по обеспечению доступности, конфиденциальности, целостности этих категорий; список пользователей и их полномочий по доступу к ресурсам системы и т.п.;

3. Положение о системе защиты информации (в ряде источников - план защиты информации). Включает в себя:

- цели защиты системы, пути обеспечения безопасности компьютерной системы (КС) и циркулирующей в ней информации;

- перечень значимых угроз безопасности АС, от которых требуется защита, и наиболее вероятных каналов нанесения ущерба;

- основные требования к организации процесса функционирования АС и мерам обеспечения безопасности обрабатываемой информации;

- требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;

- основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности КС.

4. Набор должностных инструкций (памяток) для пользователей и персонала с правилами эксплуатации элементов КС и требованиями информационной безопасности;

5. Приказы руководителя организации о вводе в эксплуатацию КС и ее подсистем, о назначении ответственных за различные аспекты безопасности сотрудников;

6. Акты категорирования помещений и компьютерной техники, заключения о проведении проверочных мероприятий, предписания на эксплуатацию КС и ее элементов;

7. Подписанные сотрудниками обязательства по соблюдению правил и требований и неразглашению информации ограниченного распространения;

8. Журналы учета документов, носителей компьютерной информации, выдачи средств доступа и т.п.;

9. План обеспечения бесперебойной работы и восстановления целостности КС. Должен отражать следующие вопросы:

- цель обеспечения непрерывности процесса функционирования КС, своевременность восстановления ее работоспособности и чем она достигается;

- перечень и классификация возможных кризисных ситуаций;

- требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);

- обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы.

В таблицу 1.2 сведены организационные средства ИБ в СТС.

В контексте обеспечения региональной безопасности целесообразно рассмотреть региональную систему информационной безопасности. Региональная политика является составной частью государственной политики. Она направлена на создание политических, экономических, социальных и иных условий для оптимального развития регионов в рамках единого федеративного государства, укрепления его единства, территориальной и государственной целостности, обеспечения безопасности. В качестве приоритетов государственной региональной политики выступают наиболее значимые, научно обоснованные и обусловленные стратегическими задачами внутренней и внешней политики государства направления деятельности властных структур по совершенствованию региональных отношений на различных отрезках времени. Специфичностью функционирования государственной системы ИБ на региональном и муниципальном уровнях является наличие особой функции обеспечения ИБ объектов различной ведомственной и вневедомственной принадлежности, что означает существование в подсистемах данных уровней органов, находящихся в непосредственном контакте со множеством защищаемых объектов и прямо воздействующих на множество угроз ИБ и их источников. Выполнение данной функции обуславливает наличие структуры региональных и муниципальных подсистем, отвечающих объективно необходимым запросам защищаемых объектов, и выработку управляющих воздействий, обеспечивающих их дифференциацию и усиление со стороны вышестоящих органов [20].

Система обеспечения региональной безопасности создается и развивается в соответствии с требованиями Федерального законодательства.

Цель РСИБ состоит в проведении правовых организационных и технических мероприятий при формировании и использовании информационной технологии, инфраструктуры и информационных ресурсов, защите информации высокой значимости.

Основными задачами РСИБ являются:

- обнаружение и оценка опасности информационных угроз;

- выявление недостоверной и ложной информации, защита субъектов от преднамеренных информационных воздействий;

- формирование достоверных муниципальных информационных ресурсов;

- разработка и внедрение общих правил и процедур формирования, использования и защиты муниципальных информационных ресурсов ограниченного использования от разглашения, утечки и несанкционированного доступа;

- формирование открытых информационных ресурсов для реализации прав граждан и хозяйствующих субъектов;

- обеспечение взаимодействия держателей и потребителей информационных ресурсов;

- формирование правовой, программно-технической и информационно-аналитической среды, обеспечивающей органы управления всех уровней информацией, необходимой для обоснованного принятия решений, повышения эффективности управления;

- развитие телекоммуникационной среды, сетей передачи данных, поддержка технологий, интегрирующихся с глобальной мировой компьютерной сетью Internet;

- формирование муниципального информационного реестра, содержащего сведения об организациях-держателях государственных, негосударственных, муниципальных и смешанных информационных ресурсов, а также сведения по видам информационной продукции и услуг;

- сертификация информационных систем, сетей, баз и банков данных, лицензирование деятельности.

В силу единства концепции построения и функционирования государственной системы ИБ, все ее подсистемы на любом уровне, включая региональный, должны иметь сходную организационную структуру, определяемую выполнением каждой из них общих функций. Так, на региональном уровне такой подсистемой может быть, например, региональная система ИБ Воронежской области, тогда таблица 1.3 отображает компоненты системы и выполняемые ими функции.

Таблица 1.3

Компоненты Системы ИБ и их функции

Функция подсистемы	Компоненты системы, их обозначения
Общесистемное управление и обеспечение	Силовые ведомства (МВД, ФСБ, МО, СВР, ФСО, ФСТЭК)
Межведомственная координация	Комиссия по ИБ субъекта РФ (комиссия по ИБ муниципального образования)
Разработка законодательных и нормативно-правовых основ деятельности в области ИБ	Областная Дума (муниципальное собрание)
Непосредственное обеспечение ИБ объектов	Глава администрации субъекта РФ (глава администрации муниципального образования) Территориальные органы силовых ведомств РФ

Основу системы региональной безопасности составляют органы, силы и средства обеспечения региональной безопасности, осуществляющие меры правового, организационного и технического характера, направленные на обеспечение безопасности личности, общества и региона. Полномочия органов и сил обеспечения региональной безопасности, их состав и структура определяются постановлениями администрации региона. В определении и реализации политики региональной безопасности участвуют руководители администрации региона. По мере развития региона, улучшения обстановки в экономике, социальной сфере концепция региональной безопасности дополняется, уточняется и конкретизируется решениями администрации региона. Рассмотрим элементы системы информационной безопасности Воронежской области и связи между ними.

На основе анализа системы информационной безопасности Воронежской области можно построить структурную схему управления безопасностью регионального информационного пространства (рис. 1.2).

Представленная структурная схема включает все основные субъекты (комиссия по ИБ, экспертные советы, органы исполнительной и представительной ветвей власти, база знаний и данных ИОА, территориальные органы и предприятия, программа и обеспечение ИБ) и процедуры (выработка критериев, модернизация и перестройка, анализ последствий ИОА) обеспечения региональной ИБ. Ключевым звеном структуры является условный оператор оценки величины риска в сравнении с фоном, чему предшествует риск-анализ объектов информатизации региона. Координатором данного механизма является региональная комиссия по ИБ, создаваемая при губернаторе (главе администрации) субъекта РФ [76].

Глава администрации (губернатор) руководит в пределах своих полномочий органами и силами обеспечения региональной безопасности; санкционирует действия по

Рис. 1.2. Структурная схема управления безопасностью регионального информационного пространства

обеспечению безопасности в различных сферах; формирует, реорганизует и упраздняет подчиненные органы и силы обеспечения безопасности. Администрация региона реализует концепцию региональной безопасности, обеспечивает выполнение целевых программ, планов и директив в области региональной безопасности; осуществляет меры по обеспечению финансовыми и материальными ресурсами сил, средств и органов безопасности.

Комиссия по информационной безопасности при главе администрации Воронежской области является элементом организационной основы системы обеспечения информационной безопасности Российской Федерации, принимающим в соответствии с законодательством Российской Федерации, участие в решении задач обеспечения информационной безопасности Российской Федерации. Основными задачами Комиссии являются:

- разработка основных направлений политики обеспечения региональной информационной безопасности, а также мероприятий и механизмов, связанных с реализацией этой политики;

- выработка рекомендаций по развитию и совершенствованию системы обеспечения информационной безопасности в регионе, реализующего единую политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности в регионе, а также системы противодействия этим угрозам;

- содействие выполнению федеральных и региональных целевых программ обеспечения информационной безопасности;

- координация выполнения постановлений и распоряжений Правительства Российской Федерации, нормативно-правовых актов соответствующих министерств и ведомств, постановлений администрации Воронежской области, распоряжений главы администрации области по вопросам информационной безопасности в регионе;

- выработка рекомендаций по развитию научно-практических основ обеспечения региональной информационной безопасности с учетом современной политической ситуации, условий социально-экономического развития региона и реальности угроз применения информационного и информационно-психологического оружия;

- оказание помощи территориальным органам Министерства внутренних дел, Федеральной службы безопасности, Федеральной службы охраны и Управлению ФСТЭК России по федеральному округу, в изучении и анализе объектов защиты на территории региона, кооперации предприятий-разработчиков защищаемых образцов вооружения и военной техники, технологий оборонного назначения, выявлении возможных каналов утечки информации ограниченного доступа, источников угроз безопасности информации, в том числе возникающих в ходе военно-технического и экономического сотрудничества с зарубежными странами;

- рассмотрение и оценка разработанных научно-исследовательскими, конструкторскими и проектными организациями региона методических материалов, способов и конкретных материалов по защите информации от иностранных технических разведок и от ее утечки по техническим каналам, а также подготовка предложений по практической реализации результатов выполненных научно-исследовательских и опытно-конструкторских работ по вопросам региональной информационной безопасности;

- рассмотрение результатов деятельности организаций, предприятий и учреждений региона, независимо от формы собственности, в области обеспечения информационной безопасности и принятие решений по совершенствованию их деятельности в данной области;

- рассмотрение вопросов материально-технического обеспечения организаций, предприятий и учреждений региона, независимо от формы собственности, средствами обеспечения информационной безопасности;

- участие в пропаганде региональной проблематики информационной безопасности;

- содействие подготовке для региона кадров в области информационной безопасности, профессиональной ориентации школьников региона в области информационной безопасности.

По решению Председателя Комиссии могут рассматриваться и другие (возникшие в ходе работы) вопросы.

В целях реализации поставленных задач Комиссия выполняет следующие функции:

- разработка предложений по развитию и совершенствованию системы обеспечения региональной информационной безопасности;

- подготовка и представление главе администрации области проектов постановлений и распоряжений по вопросам региональной информационной безопасности;

- содействие поддержанию баланса между правами субъектов частного и публичного права на свободный обмен информацией и установленными законодательством Российской Федерации и Воронежской области ограничениями на распространение информации;

- оценка состояния информационной безопасности в регионе, выявление источников внутренних и внешних угроз региональной информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

- определение приоритетных направлений работ в области региональной информационной безопасности в органах государственной власти;

- выработка предложений по повышению эффективности деятельности организаций, предприятий и учреждений региона, независимо от формы собственности, в области обеспечения информационной безопасности;

- содействие в предупреждении, выявлении и пресечении правонарушений, связанных с посягательствами на законные интересы субъектов частного и публичного права в информационной сфере;

- разработка рекомендаций по развитию в области информационной инфраструктуры, а также индустрии телекоммуникационных средств и информационных продуктов, повышению их конкурентоспособности на региональном и внешнем рынке;

- подготовка региональных целевых программ обеспечения информационной безопасности и участие в их реализации;

- разработка предложений по организации научных исследований в области обеспечения региональной информационной безопасности;

- выработка предложений по защите государственных информационных ресурсов, прежде всего в органах государственной власти области и на предприятиях оборонного комплекса;

- содействие лицензированию деятельности по защите информации и сертификации средств в данной сфере;

- организация научной экспертизы разрабатываемых региональных программ информатизации в части вопросов обеспечения информационной безопасности;

- проведение экспертизы проектов постановлений и распоряжений главы администрации области и нормативно-правовых актов других органов государственной власти области на соответствие требованиям по защите информации;

- разработка предложений в бюджет субъекта Российской Федерации по финансированию работ в области региональной информационной безопасности;

- разработка предложений по внесению поправок в Устав субъекта Российской Федерации по вопросам защиты его информационных ресурсов;

- разработка предложений по развитию и совершенствованию системы подготовки для региона кадров в области региональной информационной безопасности;

- организация и проведение на территории региона межрегиональных, международных научных конференций и молодежных форумов в информационной безопасности, участие в подобных мероприятиях, проводимых в других регионах Российской Федерации.

В составе комиссии формируется множество экспертных советов, каждый из которых ответственен за выполнение конкретной функции по ИБ региона, для чего осуществляет управляющие воздействия на соответствующие функциональные подсистемы структурных подразделений по ИБ предприятий, организаций, учреждений региона, выполняющие соответствующие функции комплексного обеспечения их ИБ, используя специфические способы и средства.

Территориальные органы силовых ведомств (УФСБ РФ по Воронежской области; Управление внутренних дел администрации Воронежской области):

- обеспечивают защиту переданных им другими органами государственной власти, предприятиями, учреждениями и организациями сведений, составляющих государственную тайну, а также сведений, засекречиваемых ими;

- обеспечивают защиту государственной тайны на подведомственных им предприятиях, в учреждениях и организациях в соответствии с требованиями актов законодательства Российской Федерации;

- обеспечивают в пределах своей компетенции проведение проверочных мероприятий в отношении граждан, допускаемых к государственной тайне;

- реализуют предусмотренные законодательством меры по ограничению прав граждан и предоставлению льгот лицам, имеющим либо имевшим доступ к сведениям, составляющим государственную тайну;

- вносят в полномочные органы государственной власти предложения по совершенствованию системы защиты государственной тайны.

Предприятия региона по профилю проблемы (например, ФСТЭК):

- разрабатывают концептуальные основы технической защиты информации;

- разрабатывают системы организационно-правовых, нормативно-технических и методических документов в области технической защиты информации;

- проводят комплексную оценку эффективности средств и систем технической защиты информации;

- разрабатывают технические средства защиты информации и контролируют их эффективность;

- проектируют объекты в защищенном исполнении;

- лицензируют деятельность в области защиты информации;

- проводят сертификационные испытания средств защиты информации;

- проводят аттестацию объектов информатизации.