1. Взаємозв'язок нормативних правових актів щодо виконання вимог щодо захисту інформаційних систем загальнодоступної...
2. 2. Заходи щодо забезпечення захисту інформації [8]
3. 3. Вимоги щодо захисту інформації [8]

Взаємозв'язок нормативних правових актів щодо виконання вимог щодо захисту
інформаційних систем загальнодоступної інформації

Державні органи (далі - ОГВ), органи місцевого самоврядування (далі - ОМСУ) для розміщення інформації про свою діяльність використовують мережу «Інтернет» (ч.1. Ст.10 [1] ).

Для цих цілей використовують:

- офіційні сайти (ч.1. Ст.10 [1] );

- інформаційні системи загального користування (державні (муніципальні) інформаційні системи та інші інформаційні системи) (п.1а [2] ).

На офіційному сайті ОГВ і ОМСУ розміщується загальнодоступна інформація та загальнодоступна інформація у формі відкритих даних.

Органам державної влади суб'єктів Російської Федерації рекомендовано (п.4 [2] ) Враховувати при підключенні до мережі «Інтернет» такі вимоги.

Технічні засоби інформаційних систем, використовуваних державними органами, органами місцевого самоврядування, державними і муніципальними унітарними підприємствами або державними і муніципальними установами, повинні розміщуватися на території Російської Федерації (ч.21 ст.13 [9] ).

1. Загальні вимоги

1.1. З метою забезпечення права користувачів інформацією на доступ до цієї інформації державні органи, органи місцевого самоврядування вживають заходів щодо захисту інформації про свою діяльність відповідно до законодавства Російської Федерації (ч.3. Ст.10 [1] ).

1.2. При підключенні інформаційних систем загального користування до інформаційно-телекомунікаційних мереж, доступ до яких не обмежений певним колом осіб, оператори цих систем зобов'язані забезпечити захист інформації, що міститься в інформаційних системах загального користування, від знищення, перекручення і блокування доступу до неї (п.1а [2] ).

1.3. З метою захисту інформації, розміщеної на офіційному сайті, має бути забезпечено (п.6 [4] , п.11 [7] , п.6 [5] , п.3 [3] ):

а) застосування засобів посиленої кваліфікованої електронного підпису при розміщенні, зміні або видаленні інформації на офіційному сайті;

б) ведення електронних журналів обліку операцій, виконаних за допомогою програмного забезпечення і технологічних засобів ведення офіційного сайту, що дозволяють забезпечувати облік всіх дій з розміщення, зміни і видалення інформації на офіційному сайті, фіксувати точний час, зміст змін і інформацію про уповноваженого працівника органу державної влади (органу місцевого самоврядування) Самарської області або операторі офіційного сайту, який здійснив зміни на офіційному сайті;

в) щоденне копіювання всієї розміщеної на офіційному сайті, і електронних журналів обліку операцій на резервний матеріальний носій, що забезпечує можливість їх відновлення;

г) захист від знищення, перекручення модифікації і блокування доступу до неї, а також від інших неправомірних дій у відношенні такої інформації [8] ;

д) зберігання резервних матеріальних носіїв з щоденними копіями всієї розміщеної на офіційному сайті, і електронних журналів обліку операцій не менше одного року, з щотижневими копіями всієї розміщеної на офіційному сайті, - не менше двох років, з щомісячними копіями всієї розміщеної на офіційному сайті, - не менше трьох років, інформація у формі відкритих даних не менше десяти років.

1.4. З метою захисту інформації, розміщеної в інформаційній системі загального користування повинна бути забезпечена розробка заходів при її проектуванні і експлуатації, спрямованих на виконання вимог до безпеки цієї інформаційної системи загального користування (п.6 [6] ).

2. Заходи щодо забезпечення захисту інформації [8]

2.1. Для розробки і здійснення заходів щодо захисту інформації призначається структурний підрозділ або посадову особу (працівник), відповідальні за забезпечення захисту інформації.

2.2. Захист інформації досягається шляхом виключення неправомірних дій в рамках такої інформації. Достатність прийнятих заходів щодо захисту інформації оцінюється при проведенні заходів по створенню даних систем, а також в ході заходів по контролю за їх функціонуванням.

2.3. Роботи із захисту інформації є невід'ємною частиною робіт зі створення даних систем.

2.4. Офіційні сайти розміщуються на технологічному обладнанні в приміщеннях, забезпечених охороною і в яких організований режим забезпечення безпеки і збереження носіїв інформації і засобів захисту інформації, а також виключена можливість неконтрольованого проникнення або перебування в цих приміщеннях сторонніх осіб.

2.5. Склад заходів щодо забезпечення захисту інформації:

а) визначення загроз безпеці інформації, формування на їх основі моделі загроз;

б) розробку на основі моделі загроз системи захисту інформації, що забезпечує нейтралізацію можливих загроз з використанням методів і способів захисту інформації;

в) перевірку готовності засобів захисту інформації до використання з складанням висновків про можливість їх експлуатації;

г) встановлення та введення в експлуатацію засобів захисту інформації відповідно до експлуатаційної та технічної документації;

д) навчання осіб, які використовують засоби захисту інформації, правилам роботи з ними;

е) облік застосовуваних засобів захисту інформації, експлуатаційної та технічної документації до них;

ж) контроль за дотриманням умов використання засобів захисту інформації, передбачених експлуатаційної та технічної документації;

з) проведення розглядів і складання висновків за фактами недотримання умов використання засобів захисту інформації, які можуть привести до порушення безпеки інформації або інших порушень, що знижують рівень захищеності, розробку і вживання заходів щодо запобігання можливих небезпечних наслідків подібних порушень;

і) опис системи їх захисту.

3. Вимоги щодо захисту інформації [8]

3.1. Використання засобів захисту інформації від неправомірних дій, сертифікованих ФСБ Росії і (або) ФСТЕК Росії з урахуванням їх компетенції, в тому числі засобів криптографічного захисту інформації (електронний підпис, при цьому засоби електронного підпису повинні застосовуватися до публикуемому інформаційного наповнення) [ 10 , 11 , 12, 13 ].

3.2. Використання засобів виявлення шкідливого програмного забезпечення, в тому числі антивірусних засобів, сертифікованих ФСБ Росії і (або) ФСТЕК Росії з урахуванням їх компетенції.

3.3. Використання засобів контролю доступу до інформації, в тому числі засобів виявлення комп'ютерних атак, сертифікованих ФСБ Росії і (або) ФСТЕК Росії з урахуванням їх компетенції.

3.4. Використання коштів фільтрації і блокування мережевого трафіку, в тому числі коштів міжмережевого екранування, сертифікованих ФСБ Росії і (або) ФСТЕК Росії з урахуванням їх компетенції.