Реферат: Методические рекомендации по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов города Москвы Москва, 2006 г

Методические рекомендации
по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов
города Москвы


Москва, 2006 г.

Аннотация

Настоящий документ определяет рекомендации по формированию требований обеспечения информационной безопасности в информационных системах и ресурсах органах исполнительной власти города Москвы, государственных органах и учреждениях города Москвы (далее ИСиР). Положения Методических рекомендаций распространяются на все информационно-телекоммуникационные системы государственных органов и организаций города Москвы и предназначены для должностных лиц государственных органов и учреждений города Москвы, участвующих в создании, модернизации и эксплуатации информационных систем и ресурсов.


Содержание

Введение 4

1.Требования к видам обеспечения информационной безопасности ИСиР 8

^ 2. Рекомендации по определению объекта защиты и категории защищаемой информации 30

3. Рекомендации по описанию процесса обеспечения ИБ ИСиР 33

4. Рекомендации по определению уровня ИБ 63

5. Рекомендации по заданию требований по уровню ИБ 74

^ 6. Рекомендации по способам формирования и контроля уровня защиты ИСиР 76

Приложения 93

Источники 152


Введение
Общие цели, задачи и основные направления обеспечения информационной безопасности – защиты информации, как важной составной части информационной сферы общественных отношений России, определены в документах государственного строительства. Указами Президента РФ введены в действие Концепция национальной безопасности Российской Федерации /1/ и Доктрина информационной безопасности Российской Федерации /2/. В Центральной федеральном округе РФ действует Концепция защиты информации /3/.

Основы государственной политики города Москвы по обеспечению информационной безопасности (ИБ) открытых и конфиденциальных информационных ресурсов города, учитывающие и дополняющие положения нормативно-правовой база РФ, определены Концепцией информационной безопасности в органах исполнительной власти города Москвы /4/.

Задачи правового, нормативного, научно-методического, технического и организационного обеспечения ИБ на доктринальном уровне определены как с точки зрения национальной безопасности, национальных интересов в информационной сфере так и, в прямой постановке, в выше указанных нормативно-правовых документах, государственных и международных нормативно-технических документах /5-14/.

Анализ поставленных задач обеспечения ИБ (приложение 1) выявляет их взаимосвязи, обусловленные политическими, экономическими, социальными корнями личных, общественных интересов и отраженные в требованиях по реализации принципа открытости общества в деятельности государственных органов, по соблюдению служебной тайны и др. Кроме того, постоянное совершенствование новых информационных технологий, хроническое запаздывание практики нормативно-правового обеспечения ИБ по сравнению с техническим выдвигает новые и новые проблемы обеспечения защиты информации. Причем упредить условия их порождающие на современном мировом и государственном уровнях развития информатики как правило не удается /15-17 и др./.

Указанные обстоятельства обуславливают главенство государственной политики при формировании видов обеспечения безопасности, в частности необходимость разработки научно-методических подходов по формированию требований обеспечения ИБ города Москвы, представленных настоящим документом.

На основе рассмотренных положений госполитики в области информационной безопасности должны формироваться общие требования по видам обеспечения ИБ: правового; нормативного; научно-методического; технического и организационного (формулируются в 1 разделе Методических рекомендаций), задающих руководства для решения поставленных задач обеспечения ИБ в городе Москве, методологию определения соответствующих подходов и рекомендации для определения, контроля требований и выполненных мероприятий по обеспечению ИБ (рассматриваются во 2-6 разделах).

Решение задач обеспечения ИБ связано с необходимостью учёта неопределённостей в описании возможных информационных воздействий на объекты защиты при определяющей роли человеческого фактора, что в свою очередь обуславливает необходимость формализации процессов обеспечения ИБ в целом и, в частности, выделения задач обеспечения ИБ, характеризуемых своими особенностями формирования требований.

Практика обеспечения ИБ информационных систем и ресурсов города Москвы (ИСиР) прежде всего, требует идентифицировать объекты защиты и категории защищаемой информации, принятые документом /18/. Установить и описать все угрозы безопасности, исходя из которых с учетом характеристик ИСиР определить необходимый уровень информационной безопасности ИСиР, характеризующийся определенной совокупностью требований ИБ и реализовать соответствующие этим требованиям методы и механизмы защиты. Планирование и документирование работ по результатам уже решенных задач задают направления разработки и реализации мероприятий по защите объектов. Поэтапное выполнение планов реализации мероприятий должно включать оценки и контроль достигнутого уровня ИБ.

В связи с изложенным, конкретные шаги по формированию и достижению необходимого уровня информационной безопасности ИСиР должны включать:

определение объекта защиты (ИСиР) и категории защищаемой информации;

описание процесса (моделирование) обеспечения ИБ ИСиР;

программирование необходимого уровня ИБ;

задание требуемого уровня ИБ;

определение мероприятий по защите ИСиР заданного уровня;

оценка и контроль уровня ИБ.

Требования к обеспечению ИБ, в виде рекомендаций, должны регулировать выполнение работ по формированию и достижению необходимого уровня информационной безопасности ИСиР.

Уровень ИБ определяется как мера соответствия текущего состояния ИСиР (модели, макета, опытного образца и т.п.) заданиям по всем видам обеспечения информационной безопасности, формулируемым как совокупность требований ИБ. Мера соответствия может определяться качественно и количественно в виде показателей соответствия.

В зависимости от целей уровень ИБ может быть требуемым и текущим. Требуемый уровень задается на начальном этапе создания ИСиР и может уточняться в зависимости от установленных критериев его достижения в процессе разработки и эксплуатации объекта защиты. В соответствии с положением /18/ для ИСиР в зависимости от категории информационных ресурсов (открытых и конфиденциальных) установлено два базовых уровня ИБ.

Требования ИБ задаются численно или в виде совокупности сформулированных требований. Базовый уровень ИБ представляет собой минимально необходимую совокупность требований.

По завершении очередного этапа создания, модернизации, установленного календарного периода (не менее года) эксплуатации должен определяться текущий уровень ИБ ИСиР в целях контроля его соответствия требуемому уровню. Определение и оценка уровня ИБ, адекватности создаваемых или готовых решений защиты задаваемым требованиям к уровню информационной безопасности ИСиР должны выполняться специалистами прошедшими квалификационный отбор. Специалисты, разрабатывающие и реализующие планы мероприятий обеспечения ИБ, выполняющие работы по заданию и оценке уровня ИБ должны иметь государственный диплом специалиста в области информационной безопасности, знать множество методов, механизмов и средств защиты, владеть способами их декомпозиции и классификации в целях определения защитных свойств ИСиР, выбора взаимодополняющего комплекса универсальных и уникальных методов, пригодных для парирования широкого спектра угроз и т.п.
^ 1.Требования к видам обеспечения информационной безопасности ИСиР 1.1. Правовое, нормативное, методическое обеспечения ИБ
Все виды обеспечения ИБ города Москвы, исходя из ранее рассмотренных во Введении задач, должны быть сформированы на основе документов, официально изданных органами власти России и города Москвы, а также уполномоченными ими органами управления (ведомствами) и компетентными международными организациями.

Агрегирование официальных полномочий органов власти позволяет выделить следующие уровни организации и управления в области информационной безопасности.

1. Макроуровень – Российская Федерация, ее компетентные госведомства и международные организации.

2. Метауровень – город Москва и компетентные ведомства Правительства Москвы.

3. Микроуровень – предприятие, организация – владелец информационных систем и ресурсов города, ее подразделения и специалисты в области обеспечения ИБ.

Причем обеспечение ИБ нижележащего уровня иерархии базируется на всех документах вышележащих уровней.

Документальное оформление правового, нормативного и методического обеспечений ИБ должно быть обязательным для руководства при решении задач технического обеспечения ИБ города Москвы и выделено в следующие группы документов: правовые, организационно-распорядительные, нормативно-технические и методические документы.

Документы правового нормативного обеспечения ИБ макроуровня представлены в приложении 2. Правовое обеспечение ИБ города Москвы закреплено в ряде законодательных актов и концепций безопасности.

Закон города Москвы от 24.10.2001 № 52 «Об информационных ресурсах и информатизации города Москвы» регулирует правовые отношения по формированию и использованию информационных ресурсов города Москвы и созданию, эксплуатации информационных систем, содержащих указанные ресурсы. В частности, Закон регулирует деятельность и полномочия органов исполнительный власти Москвы, организаций города в области обеспечения информационной безопасности.

Постановлением Правительства Москвы от 22.08.2000 № 654-ПП утверждена Концепция безопасности Москвы. В качестве самостоятельного раздела в рамках Концепции выделены информационные угрозы, включая предпосылки, усугубляющие их возникновение.

Официально принятая система взглядов Правительства Москвы на цели, задачи, основные принципы и направления деятельности в области информационной безопасности изложена в Концепции информационный безопасности в органах исполнительной власти города Москвы, утвержденной Мэром Москвы 07 сентября 2005 г. Реализация положений второй части Концепции – «Конфиденциальные и открытые информационные ресурсы» /4/ должна способствовать обеспечению прав собственников информационных систем и ресурсов, гармоничному развитию информационной инфраструктуры, движению к современному информационному обществу, закреплению прав и свобод горожан в условиях возможных внешних и внутренних угроз информационной безопасности.

Правовые документы государственной политики ИБ макроуровня, приведенные в приложении 2 и метауровня Правительства Москвы, описанные выше, составляют квалификационный минимум требований к правовому обеспечению ИБ ИСиР.

Структура и примерный состав требуемого правового нормативного обеспечения города Москвы представлены в табл.1.1.


Примерный состав документов правового нормативного обеспечения
информационной безопасности города Москвы

Таблица 1.1





Состав нормативного обеспечения ИБ города Москвы должен включать следующие основные документы метауровня:

Основные направления политики информационной безопасности Правительства Москвы до 2010 года.

Положение о защите информации в ИСиР.

Положение о реестре конфиденциальной информации, содержащейся в ИСиР.

Положение о порядке организации и проведения работ по защите информации при ее автоматизированной обработке.

Положение о порядке разработки систем защиты информации в автоматизированных системах города Москвы.

Положение о порядке проведения эксплуатации систем защиты информации в автоматизированных системах города Москвы.

Положение о порядке проведения контроля защищенности автоматизированных системах города Москвы.

Положение об аттестации автоматизированных систем по требованиям безопасности информации города Москвы.

Положение о порядке обеспечения катастрофоустойчивости автоматизированных систем органов исполнительной власти города Москвы.

Перечисленные нормативные документы Правительства Москвы в совокупности с нормативами макроуровня, приведенными в приложении 2, составляют, с учетом документов микроуровня, квалификационный минимум требований к нормативному обеспечению ИБ ИСиР.

Для обеспечения установленного режима информационной безопасности на микроуровне, организационно-распорядительные документы организации, составляющие ее политику информационной безопасности, должны включать:

меры по организации защиты технологических процессов, применительно к специфике отраслей городского хозяйства;

правила представления информации, ведения делопроизводства и документооборота;

правила использования рабочего стола и персонального компьютера;

меры по обеспечению безопасности речевой информации;

меры по обеспечению информационной безопасности в ИСиР, включающие, в том числе:

- порядок оформления, категорирования, предоставления доступа к информационным ресурсам ИСиР;

- управление доступом к информационным системам, локальной и корпоративной сетям, приложениям и компьютерам;

- требования по использованию паролей;

- требования по защите оборудования, в том числе оборудования, оставляемого без присмотра;

- требования по обеспечению антивирусной защиты;

- требования к администрированию компьютерных систем и вычислительных сетей

- правила работы с носителями информации и их защиты;

- правила обмена данными и программами;

- правила проведения аудита (контроля) состояния информационной безопасности объектов информатизации;

регламенты взаимодействия с компонентами комплексной системы информационной безопасности города Москвы (КСИБ): Системы Удостоверяющих центров, Центра мониторинга событий информационной безопасности города, Защищенного центра хранения и обработки данных и др.;

меры по обеспечению физической безопасности оборудования и другие.

Перечисленные требования, нормы и правила должны быть описаны в нормативных документах микроуровня.

Методическое обеспечение ИБ должно предоставлять специалистам, ответственным за решение конкретных задач безопасности, рекомендации по вопросам лицензирован, сертификации, стандартизации, задания и контроля выполнения требований по ИБ, оценки эффективности систем и средств обеспечения информационной безопасности. По каждой из проблем обеспечения ИБ, требующей методической поддержки должен разрабатываться соответствующий документ. Его статус и порядок разработки и введения в действие определяет уполномоченный орган по управлению информатизации города Москвы.
^ 1.2. Техническое обеспечение ИБ
Техническое обеспечение ИБ включает технологии, механизмы и средства, позволяющие реализовать заданный уровень информационной безопасности каждой конкретной информационной системы и ресурса города Москвы и компонентов инфраструктуры КСИБ путем выполнения комплекса организационно-технических мероприятий.

При выполнении мероприятий обеспечения ИБ должны быть реализованы требования ИБ к технологическим процессам обработки информации в ИСиР с учетом специфики отраслей хозяйства города и территориального управления, к технологии создания и применения систем защиты ИСиР (на основе модели жизненного цикла автоматизированной системы), а также требования ИБ к механизмам и средствам защиты (далее - требования ИБ).

Требования ИБ должны определять содержание и цели деятельности организации комплексов городского хозяйства Москвы и территориального управления, включая КСИБ, в рамках процессов управления информационной безопасностью города. В каждой отрасли городского хозяйства (по принадлежности) и территориального управления должны быть определены требования ИБ применительно к специфике отрасли, реализующей в ИСиР следующие технологические процессы:

банковских платежей органов власти города Москвы;

имущественных отношений собственности города Москвы;

земельных отношений собственности города Москвы;

проектирования, строительства, реконструкции города Москвы;

обеспечения функционирования экологически опасных производств, предприятий энергетики, транспорта и жизнеобеспечения города Москвы;

обеспечения функций управления городом Москва;

делопроизводства и документооборота органов власти города Москвы;

использования ресурсов Интернет.

Система мер и средств обеспечения ИБ технологических процессов отраслей городского хозяйства и территориального управления Москвы должна соответствовать требованиям к видам обеспечения ИБ, приведенных в разделе 1 настоящих Методических рекомендаций и иных нормативных документов по вопросам информационной безопасности, действие которых распространяется на ИСиР и КСИБ в целом. Требующие защиты технологические процессы обработки информации должны быть однозначно определены в нормативно-методических документах организации комплексов городского хозяйства и территориального управления Москвы.

Результаты технологических операций по обработке информации защищаемых технологических процессов должны быть контролируемы (проверены) и удостоверены лицами/автоматизированными процессами. Лица/автоматизированные процессы, осуществляющие обработку критичной информации и контроль (проверку) результатов обработки, должны быть независимы друг от друга.

ИБ ИСиР должна обеспечиваться на всех стадиях жизненного цикла информационных систем, автоматизирующих технологические процессы комплексов городского хозяйства, территориального управления, органов власти и организаций города с учетом всех сторон, вовлеченных в процессы создания и применения АС (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации).

При заказе АС стадии, этапы работ и процессы, относящиеся к жизненным циклам, рекомендуется определять в соответствии с ГОСТ 34 группы и документом /6/. Владелец ИСиР в процессе ее жизненного цикла должен обеспечить выполнение следующих мероприятий в области защиты информации.

На предпроектной стадии создания ИСиР различного уровня и назначения (доработки системы в части обеспечения защиты информации) выполняются следующие работы:

обследование ИСиР и построение модели объекта защиты, категорирование информации, циркулирующей в системе; задание уровня информационной безопасности ИСиР;

разработка и анализ моделей угроз, уязвимостей ИСиР, способов их нейтрализации;

разработка концептуальных (стратегических) подходов к организации защиты объекта применительно к условиям жизнедеятельности данной организации, тактики обеспечения информации безопасности организации (организационных и технических решений по защите объекта, реализующие безопасный режим работы), технических требований к защите информации ИСиР и технических заданий.

На стадии проектирования ИСиР (доработки, модификации) должны быть выполнены следующие работы:

разработка (эскизное, техническое и рабочее проектирование) проектных решений по обеспечению защиты информации ИСиР, средств защиты информации, исходя из заданного уровня информационной безопасности ИСиР;

реализация системы мероприятий по обнаружению, локализации, нейтрализации воздействия угроз безопасности информации и устранению уязвимостей;

реализацию плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению, включая определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, разработку организационно-распорядительных документов, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации.

На стадии ввода в действие ИСиР выполняются следующие работы:

опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСиР;

приемо-сдаточные испытания средств защиты информации;

проведение аттестации объектов информатизации (ИСиР) в соответствии с действующими нормативно-техническими документами.

Аттестация АС на соответствие требованиям информационной безопасности проводиться в установленном в организации (предприятии) порядке комиссией с привлечением необходимых специалистов или аккредитованными в установленном порядке органами по аттестации в соответствии с закрепленной "Аттестатом аккредитации" за этим органом области аккредитации.

На стадиях, связанных с разработкой ИСиР (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должны применяться технологии разработки, позволяющие избежать:

неверной формулировки требований к АС;

выбора неадекватной модели жизненного цикла АС, в том числе неадекватного выбора процессов создания, эксплуатации АС и вовлеченных в них участников;

принятия неверных проектных решений;

внесения разработчиком дефектов на уровне архитектурных решений;

внесения разработчиком недокументированных возможностей в АС;

неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к АС;

разработки некачественной документации;

приемки АС, не отвечающей требованиям заказчика.

На стадии эксплуатации в соответствии с документом ISO TR 13569 должна быть обеспечена защита от следующих угроз:

умышленное несанкционированное раскрытие, модификация или уничтожение информации;

неумышленная модификация или уничтожение информации;

недоставка или ошибочная доставка информации;

отказ в обслуживании или ухудшение обслуживания.

Кроме этого, актуальной является угроза отказа от авторства сообщения.

На всех стадиях жизненного цикла АС должно быть организован авторский надзор и сопровождение АС. В процессе сопровождения АС должна быть обеспечена защита от угроз:

внесения изменений в АС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;

невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния АС, если это не противоречит требованиям системы сертификации.

Эксплуатация ИСиР должна осуществляться в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией. В единой информационной среде и на объектах защиты в процессе эксплуатации необходимо вести мониторинг и контроль состояния защищенности, проводить необходимые доработки и модернизация ИСиР.

На стадии снятия с эксплуатации должно быть обеспечено удаление из всех технических средств (из устройств долговременной памяти) информации, несанкционированное использование которой может нанести ущерб деятельности организации. С внешних носителей информация удаляется в соответствии со сроками ее хранения.

Состав и содержание работ, проектной, проектно-сметной и эксплуатационной документации на каждой из стадий жизненного цикла ИСиР определяются действующими нормативно-техническими документами и договорами на выполнение работ. Требования ИБ должны включаться во все договора и контракты (технические задания) на проведение работ или оказание услуг на всех стадиях жизненного цикла ИСиР.

В соответствии с задачами обеспечения ИБ открытых и конфиденциальных информационных ресурсов города Москвы и положений нормативов /5-14/ требования ИБ применительно к ИСиР могут классифицироваться следующим образом:

требования к технологиям защиты информации;

требования к функциям систем защиты информации;

требования к управлению функциями защиты информации;

требования к аудиту систем защиты информации;

требования к организации систем защиты информации.

В структуру документального оформления квалификационного минимума технического обеспечения ИБ должна входить система документов «Технические требования обеспечения ИБ ИСиР», включающая общие технические требования ИБ ИСиР и требования ИБ к отдельным типам информационных технологий (изделий ИТ) на базе которых создаются ИСиР.

Общие технические требования должны определять классификацию, порядок разработки, задания и контроля выполнения требований ИБ и содержать общий (базовый) перечень требований ИБ по установленным классам.

Требования ИБ к изделию ИТ, именуемые также как Профиль защиты, представляет собой документ, разрабатываемый в соответствии с ГОСТ Р ИСО/МЭК 15408 /10/. Профиль защиты должен представлять собой совокупность требований безопасности для некоторой категории изделий ИТ, не зависящих от конкретной реализации. Для базового уровня ИБ квалификационный минимум технического обеспечения ИБ должен включать следующие документы:

общие технические требования информационной безопасности ИСиР;

технические требования базового уровня общесистемного программного обеспечения;

технические требования базового уровня систем управления базами данных;

технические требования базового уровня локальных вычислительных сетей;

технические требования базового уровня при взаимодействии с внешними сетями;

технические требования базового уровня интернет порталов;

технические требования базового уровня систем электронного документооборота,

а также техническую документацию на СЗИ, разрабатываемую по требованиям госстандартов

Вариант перечня технических требований обеспечения ИБ приведен в приложении 4.

На основании технических требований для реализации минимального набора требований ИБ по защите информации в ИСиР, содержащей сведения конфиденциального характера, должно быть выполнено:

выделение информации с ограниченным доступом, подлежащей защите на основе перечней сведений конфиденциального характера, разрабатываемых органами власти, на предприятиях и в организациях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;

реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации с ограниченным доступом;

ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация с ограниченным доступом, непосредственно к самим средствам информатизации и коммуникациям;

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

учет документов, информационных массивов, регистрация действий пользователей АС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;

необходимое резервирование технических средств и дублирование массивов и носителей информации;

использование сертифицированных средств защиты информации при обработке конфиденциальной информации;

использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

физическая защита помещений и собственно технических средств АС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;

криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС);

исключение возможности визуального (в том числе, с использованием оптических средств наблюдения) просмотра обрабатываемой информации;

предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;

использование волоконно-оптических линий связи для передачи информации с ограниченным доступом;

использование защищенных каналов связи;

использование средств мониторинга событий ИБ и катострофоустойчивости данных, функционирующих в составе инфраструктуры КСИБ под управлением центра мониторинга и центра защищенного резервного хранения данных.

Рассмотренные требования настоящего раздела составляют необходимый квалификационный минимум требований технического обеспечения ИБ при формировании базового уровня любой из городских ИСиР, содержащих конфиденциальную информацию.
^ 1.3. Организационное обеспечение ИБ
Организационное обеспечение ИБ должно основываться на совокупности управленческих документированных решений, направленных на выполнение задач обеспечения ИБ (приложение 1).

На доктринальном уровне /1-2/, имеется документированное решение по государственной системе обеспечения ИБ и ее региональным составным частям. Решением Правительства Москвы /4/ на уровне субъекта Федерации определена комплексная система ИБ г.Москвы. Организационное обеспечение КСИБ, как компоненты системы обеспечения ИБ РФ, требует:

руководства КСИБ первыми лицами Правительства Москвы, а ее подсистемами ИБ отраслей хозяйства города и органов власти – их руководителями;

коллегиального принятия решений о координации деятельности и подготовке рекомендаций стратегического уровня в области информационной безопасности Комиссией по информационной безопасности при Мэре Москвы;

координации и контроля деятельность органов исполнительной власти города Москвы по обеспечению защиты конфиденциальной и открытой информации уполномоченным органом управления информатизацией города Москвы;

наличия в каждом органе власти города Москвы подразделения и/или должностных лиц ответственных за обеспечение информационной безопасности - защиту информации органов исполнительной власти города Москвы.

управления компонентами инфраструктуры КСИБ подразделениями центров мониторинга и защиты информационных ресурсов города, удостоверяющих центров по выдаче и подтверждению цифровых сертификатов, защищенных центров хранения и обработки информационных ресурсов города Москвы.

Должностные лица исполнительной власти города Москвы, органы исполнительной власти города Москвы, структурные подразделения Аппарата Правительства Москвы и Аппарата Мэра Москвы должны руководствоваться в своей деятельности по обеспечению ИБ нормативно-правовыми, организационно-распорядительными, нормативно-техническими и методическими документами (подразделы 1.1.-1.2), а также Регламентом Правительства Москвы /19/ и соответствующими нормативными документами, регламентирующими порядок работы органов исполнительной власти города Москвы.

Руководители всех уровней КСИБ совместно с подразделениями защиты и ответственными за ИБ организации должны обеспечивать выполнение программ, планов, принимаемых на основании документированных решений, для реализации мероприятий по обеспечению ИБ.

Регламентом Правительства Москвы определены механизмы разработки, пересмотра и обновление планов, а также контроля возможности их выполнения. Разработкой документов, необходимых для осуществления планов обеспечения ИБ, должны заниматься постоянно действующие группы планирования. Целесообразно чтобы группы планирования возглавляли руководители структурных подразделений ИБ. Документы должны подвергаться корректировке по мере появления изменений в составе нормативного правового обеспечения или иных нормативов, требующих переоценки взглядов, выполнения новых задач обеспечения ИБ.

Планы должны формироваться с использованием программно-целевых методов планирования, отражать специфику видов обеспечения ИБ и организационно-технические особенности создания и применения объектов информатизации. Программно-целевое планирование следует рассматривать с позиций практического применения системного подхода в управлении процессами обеспечения ИБ, с учетом следующих аспектов организации работ по защите ИСиР: единство цели; фиксирование комплекса обусловленных целью задач и мероприятий; обеспеченность последних ресурсами; планомерность реализации; конкретность сроков выполнения; комплексность задач и их решения.

Применение методов программно-целевого планирования рассмотрим на примере решения задач обеспечения катастрофоустойчивости АС.

В целях обеспечения бесперебойной работы организации должно осуществляться планирование восстановительных мер штатных режимов функционирования ИСиР. Для защиты критически важных информационных процессов от последствий крупных аварий и катастроф должен разрабатываться план обеспечения бесперебойной работы организации (по терминологии документа /11/). План должен учитывать возможные последствия следующих событий:

неумышленное уничтожение данных из-за ошибок пользователей;

сбои в электроснабжении;

стихийные бедствия, техногенные аварии и катастрофы;

умышленные действия, направленные на нанесение ущерба;

отказы программных и технических средств.

Процесс планирования бесперебойной работы организации должен включать:

определение критически важных информационных ресурсов и систем и их ранжирование по приоритетам;

определение возможного воздействия аварий различных типов на защищаемые ресурсы;

определение и согласование обязанностей должностных лиц и планов действий структурных подразделений в чрезвычайных ситуациях;

определение необходимых людских и материальных ресурсов для устранения последствий кризисной ситуации;

документирование согласованных процедур и процессов;

надлежащую подготовку персонала к выполнению согласованных процедур и процессов в чрезвычайных ситуациях.

Все должностные лица и сотрудники объекта информатизации должны четко знать и уметь выполнять свои обязанности, зафиксированные в планах обеспечения бесперебойной работы организации.

В целях соблюдения законопослушности и исполнительской дисциплины при выполнении программ и планов обеспечения ИБ Регламенты органов власти города должны определять управленческие решения по соблюдению существующих законов, контролю действий должностных лиц, ответственных за выработку программных решений по безопасности и, наконец, обеспечению лояльности персонала, достигаемой методами поощрений и наказаний. Кроме того, Регламенты должны устанавливать общий порядок управления защищаемыми информационными ресурсами, режим их информационной безопасности, координацию использования этих ресурсов, выделения специального персонала для защиты критически важных систем и ресурсов, поддержания контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Так, для обеспечения установленного режима информационной безопасности необходимо:

организовать общую подготовку кадров организаций, предприятий и органов власти г. Москвы для выполнения установленных тр