Опыт создания и развития системы защиты информации Волгоградской области

DOI:

Решение важных и сложных проблем в области обеспечения информационной безопасности требуют скоординированности действий в этой сфере. Информационная сфера не отнесена к предметам исключительного ведения Российской Федерации, кроме того согласно статье 73 Конституции Российской Федерации информация и связь, не являющиеся федеральными, относятся к компетенции субъектов Российской Федерации. В связи с этим координация в области обеспечения информационной безопасности не может быть выполнена только федеральными органами государственной власти.

Распад в 1991 году Советского Союза, демонтаж партийных и государственных структур породил вакуум и в области защиты информации.

В связи с необходимостью обеспечения национальной безопасности в части защиты информации 5 января 1992 года Указом Президента Российской Федерации № 9 на базе

Государственной технической комиссии СССР по противодействию иностранным техническим разведкам создается новый орган государственного управления Российской Федерации – Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России). Указом Президента Российской Федерации № 314 от 9 марта 2004 г. Гостехкомиссия России была преобразована в Федеральную службу по техническому и экспортному контролю.

Как межведомственный коллегиальный орган Гостехкомиссия России возглавила государственную систему защиты информации. На Гостехкомиссию России были возложены проведение единой технической политики и координации работ по защите информации, составляющей государственную и служебную тайну, организация и контроль за проведением работ по защите информации в органах государственного управления, объединениях, концернах, на предприятиях, в организациях и учреждениях. 15 сентября 1993 г. постановлением Совета Министров – Правительством Российской Федерации № 912-51 утверждается Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, документ определившим структуру государственной системы защиты информации. Вводятся основные формы управления работами по защите информации: лицензирование деятельности в области защиты информации, аттестование объектов информатизации на предмет их соответствия требованиям по безопасности информации, сертификация средств защиты информации и контроль за ее эффективностью.

В целях формирования государственной системы защиты информации 16 ноября 1993 г. решением Гостехкомиссии России № 5 утверждается перечень федеральных органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, проводящих работы по защите информации, содержащей сведения, отнесенные в установленном порядке к государственной или служебной тайне. В вышеназванный перечень была включена и Администрация Волгоградской области.

Особая роль в становлении и развитии государственной системы защиты информации отводилась формированию региональных систем защиты информации на уровне субъектов Российской Федерации.

14 марта 1995 г. решением Гостехкомиссии России № 32 были одобрены типовое положение о Совете (Технической комиссии) по защите информации министерства, ведомства, органа государственной власти субъекта Российской Федерации и типовое положение о подразделении по защите информации в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации.

В связи с необходимостью обеспечения национальных интересов Российской Федерации в информационной сфере, развитием региональной информационно-телекоммуникационной инфраструктуры в 1999 году в Администрации Волгоградской области начала формироваться концепция построения системы защиты информации Волгоградской области (далее – СЗИВО).

При построении СЗИВО необходимо было решить следующие основные задачи:

• 1.    Сформировать организационную структуру СЗИВО, создать структурные подразделения по защите информации в органах государственной власти и органах местного самоуправления муниципальных образований Волгоградской области, подведомственных им учреждениях и организациях.

• 2.    Определить способы взаимодействия между органами государственной власти Волгоградской области, территориальными органами федеральных органов исполнительной власти в Волгоградской области и органами местного самоуправления муниципальных образований Волгоградской области.

• 3.    Создать эффективную и гибкую систему управления деятельностью защиты информации, приспособленной к изменяющимся условиям обстановки.

• 4.    Разработать и утвердить в пределах компетенции нормативные правовые акты.

• 5.    Организовать консультативно-методический комплекс в области защиты информации, решить задачи по обеспечению органов исполнительной власти, органов местного самоуправления муниципальных образований Волгоградской области необходимыми нормативными и методическими документами.

• 6.    Создать и развить систему подготовки и повышения квалификации специалистов в области защиты информации.

В 2000 году в Волгоградской области принимаются нормативные правовые акты в области защиты информации. Постановлением Главы Администрации Волгоградской области от 10 апреля 2000 г. № 252 было утверждено Положение о защите информации от технических разведок и от ее утечки по техническим каналам в Администрации Волгоградской области (далее – Положение). Положение определило структуру системы защиты информации в Администрации Волгоградской области, ее задачи и функции, основы организации защиты информации ограниченного доступа, а также основные мероприятия по защите информации в системах и средствах информатизации и связи. В соответствии с Положением в органах исполнительной власти Волгоградской области были назначены должностные лица, ответственные за органи- зацию работ в области защиты информации. Было определено структурное подразделение, ответственное за методическое и информационное обеспечение, – отдел специальной документальной связи аппарата Главы Администрации Волгоградской области.

Функционирование СЗИВО осуществляется на основе принципов разграничения полномочий органов государственной власти, территориальных органов федеральных органов исполнительной власти, органов местного самоуправления муниципальных образований, предприятий, учреждений и организаций по обеспечению защиты информации, сочетания коллегиальности решений, принимаемых в интересах СЗИВО, и полной самостоятельности предприятий, учреждений и организаций при выборе средств и способов выполнения этих решений. В связи с вышеизложенным в органах местного самоуправления муниципальных образований Волгоградской области были приняты собственные нормативные правовые акты в области защиты информации. Например, постановлением Администрации города Волгограда от 1 августа 2000 г. № 986 было утверждено Положение о защите информации от технических разведок и ее утечки по техническим каналам в администрации Волгограда. В целях координации работ в области обеспечения информационной безопасности в феврале 2002 года был создан Совет по информационной безопасности при Главе Администрации Волгоградской области.

Организационно система защиты информации Волгоградской области входит в систему защиты информации Южного федерального округа.

25 ноября 2002 года в Южном федеральном округе был создан Совет по информационной безопасности и информатизации при полномочном представителе Президента Российской Федерации в Южном федеральном округе и уже 10 декабря 2002 г. было проведено его первое заседание, на котором были рассмотрены вопросы развития информационной инфраструктуры и состояния работ по обеспечению информационной безопасности в Южном федеральном округе.

В целях повышения эффективности проводимых работ по обеспечению информационной безопасности и взаимодействия между органами государственной власти субъектов Российской Федерации и федеральных органов исполнительной власти 21 декабря 2007 года на заседании Совета по информационной безопасности и информатизации при полномочном представителе Президента Российской Федерации в Южном федеральном округе была утверждена Концепция защиты информации в Южном федеральном округе (далее – Концепция).

Согласно Концепции структура системы защиты информации в Южном федеральном округе состоит из межрегионального, регионального и объектового уровней. Концепция подчеркивает необходимость скоординированных действий территориальных органов федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций.

Координацию деятельности по защите информации в Южном федеральном округе осуществляет полномочный представитель Президента Российской Федерации в Южном федеральном округе. Межотраслевую координацию и функциональное регулирование деятельности по защите информации и деятельности системы противодействия иностранным техническим разведкам и технической защиты информации осуществляет Управление ФСТЭК России по Южному и Северо-Кавказскому федеральным округам.

Координацию деятельности по защите информации в Волгоградской области осуществляет Губернатор Волгоградской области.

СЗИВО образует два уровня (см. рис. 1):

• •    систему защиту информации на региональном уровне;

• •    систему защиты информации в организациях, учреждениях и предприятиях.

На первом уровне СЗИВО образуют:

• •    Совет по информационной безопасности при Губернаторе Волгоградской области;

• •    органы государственной власти Волгоградской области;

• •    территориальные органы федеральных органов исполнительной власти в Волгоградской области;

• •    органы местного самоуправления муниципальных образований Волгоградской области.

Территориальные органы федеральных органов исполнительной власти

Волгоградская областная Дума

Губернатор Волгоградской области

Управление ФСТЭК России по ЮиСКФО (в г. Волгограде)

УФСБ России по Волгоградской области

ЦССИ ФСО России в Волгоградской области

Учебные заведения, осуществляющие подготовку специалистов по защите информации

Рис. 1. Организационная структура системы защиты информации Волгоградской области

На втором уровне СЗИВО образуют:

• •    организации, подведомственные органам государственной власти и органам местного самоуправления муниципальных образований Волгоградской области, а также организации и предприятия вневедомственной принадлежности, расположенные на территории Волгоградской области;

• •    организации, оказывающие услуги в области защиты информации (лицензиаты ФСТЭК России и ФСБ России);

• •    учебные заведения, осуществляющие подготовку, профессиональную переподготовку и повышение квалификации специалистов в области защиты информации.

Председателем Совета по информационной безопасности при Губернаторе Волгоградской области (далее – Совет) является первый заместитель Губернатора Волгоградской области. В состав Совета входят руководители органов исполнительной власти Волгоградской области, представители территориальных органов федеральных органов исполнительной власти в Волгоградской области, руководители структурных подразделений по защите информации, отвечающие за выполнение задач информационной безопасности Волгоградской области.

Основными функциями Совета являются:

• •    анализ и прогнозирование угроз информационной безопасности, определение концеп-

• туальных подходов и приоритетных направлений в области технической защиты информации в Волгоградской области;

• •    анализ выполнения на территории Волгоградской области нормативных правовых актов по вопросам технической защиты информации и обеспечения информационной безопасности;

• •    анализ состояния защиты информации в органах государственной власти Волгоградской области, органах местного самоуправления муниципальных образований Волгоградской области, в организациях, не находящихся в ведении федеральных органов государственной власти и расположенных на территории Волгоградской области;

• •    анализ состояния защиты информации в ключевых системах информационной инфраструктуры, имеющихся в органах государственной власти Волгоградской области, органах местного самоуправления муниципальных образований Волгоградской области, в организациях, не находящихся в ведении федеральных органов государственной власти и расположенных на территории Волгоградской области;

• •    консолидация усилий территориальных органов федеральных органов исполнительной власти и органов государственной власти Волгоградской области для решения наиболее сложных и важных проблем обеспечения информационной безопасности Волгоградской области;

• •    подготовка предложений по совершенствованию законодательства Волгоградской области в области информационной безопасности;

• •    подготовка предложений Губернатору Волгоградской области:

• –    по решению актуальных проблем обеспечения информационной безопасности;

• –    внесению необходимых изменений в нормативные правовые акты, направленные на обеспечение информационной безопасности в Волгоградской области;

• –    по организации и финансированию работ по технической защите информации на объектах защиты органов исполнительной власти Волгоградской области;

  – по вопросам совершенствования региональной системы защиты информации, подготовки кадров и обеспечения информационной безопасности [1].

Для предварительной подготовки вопросов, выносимых на заседания Совета, по решению Совета могут создаваться рабочие группы. Обеспечение деятельности Совета возложено на отдел специальной документальной связи и защиты информации аппарата Губернатора Волгоградской области (далее – отдел СДС и ЗИ).

Дальнейшее развитие региональной информационно-телекоммуникационной инфраструктуры, необходимость обеспечения безо- пасности функционирования объектов информационной инфраструктуры и защиты государственных информационных ресурсов вызвало необходимость внести изменения в организационную структуру СЗИВО (рис. 2).

В апреле 2018 г. постановлением Губернатора Волгоградской области № 310 [2] утверждено новое Положение о защите информации ограниченного доступа от технических разведок и от ее утечки по техническим каналам в органах исполнительной власти Волгоградской области (далее – Положение).

В соответствии с Положением координация работ по защите информации, содержащей сведения, составляющие государственную тайну, методическое руководство указанными работами и контроль состояния защиты информации, содержащей сведения, составляющие государственную тайну, в органах исполнительной власти Волгоградской области осуществляются отделом СДС и ЗИ. Порядок осуществления контроля определен Положением о контроле за состоянием защиты информации, содержащей сведения, составляющие государственную тайну, в органах исполнительной власти Волгоградской области от технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Главы Администрации Волгоградской области от 25 октября 2007 г. № 1839.

СОВЕТ

ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНСТИ ПРИ ГУБЕРНАТОРЕ ВОЛГОГРАДСКОЙ ОБЛАСТИ

Первый заместитель Губернатора Волгоградской области

Отдел специальной документальной связи и защиты информации аппарата Губернатора Волгоградской области

Сектор по технической защите информации

Комитет информационных технологий Волгоградской области

Сектор организации защиты информации в государственных информационных системах

Координация работ по защите информации, содержащей сведения, составляющие государственную тайну

I

I

Координация работ по защите информации, содержащей сведения, не составляющие государственную тайну

Органы исполнительной власти Волгоградской области

________ I

Подведомственные учреждения и предприятия

ГБУ ВО "Центр информационных технологий Волгоградской области“ (обеспечение информационной безопасности )

Рис. 2. Организационная структура системы защиты информации Администрации Волгоградской области

Координация работ по защите информации ограниченного доступа, не составляющей государственную тайну, методическое руководство указанными работами и организация защиты государственных информационных ресурсов, контроль состояния защиты информации ограниченного доступа, не составляющей государственную тайну, возложены на комитет информационных технологий Волгоградской области (далее – Комитет). Для выполнения функций, возложенных на Комитет, в структуре Комитета создан сектор организации защиты информации в государственных информационных системах.

Работы по обеспечению информационной безопасности в государственных информационных системах, обеспечение функционирования регионального удостоверяющего центра возложены на подведомственное Комитету государственное бюджетное учреждение Волгоградской области «Центр информационных технологий Волгоградской области» (далее – ГБУ). В структуре ГБУ создан отдел информационной безопасности, а само учреждение имеет лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации и лицензию ФСБ России на деятельность в отношении криптографических средств.

Эффективное функционирование любой системы защиты информации невозможно без наличия грамотных и квалифицированных специалистов. В настоящее время специалист в области защиты информации должен обладать достаточно широкими знаниями и навыками, состоящими на стыке различных областей знаний: информационных технологий, электродинамики, юриспруденции, психологии и т.д. При этом стремительное развитие современных технологий, появление новых угроз безопасности информации, методов и средств защиты информации требует постоянного развития профессиональных навыков и компетенций специалистов. Согласно Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 5 декабря 2016 г. № 646, развитие кадрового потенциала в области обеспечения информационной безопасности является одним из основных направлений обеспечения инфор- мационной безопасности Российской Федерации [5].

Порядок повышения квалификации специалистов по технической защите информации в органах исполнительной власти определен распоряжением Губернатора Волгоградской области от 20 декабря 2013 года № 1940-р. Вышеназванным распоряжением органам местного самоуправления муниципальных образований Волгоградской области рекомендовано организовать прохождение повышения квалификации специалистами по защите информации (работниками, назначенными ответственными за техническую защиту информации). Отделом СДС и ЗИ организован мониторинг качества подготовки специалистов по технической защите информации (информационной безопасности).

В Волгоградской области развернут консультативно-методический комплекс в области защиты информации [3; 4]. В первую очередь это рекомендации Совета по информационной безопасности при Губернаторе Волгоградской области, которые доводятся до органов исполнительной власти, органов местного самоуправления муниципальных образований, учреждений и организаций. Во-вторых, это нормативные методические документы и рекомендации, разрабатываемые отделом СДС и ЗИ и Комитетом. В целях повышения уровня профессиональных компетенций Администрацией Волгоградской области совместно с Управлением ФСТЭК России по Южному и Северо-Кавказскому федеральным округам на постоянной основе организуются учебно-методические сборы и семинары для специалистов по защите информации (обеспечения информационной безопасности).

Подготовка кадров в области информационной безопасности осуществляются на кафедре информационной безопасности ФГАОУ ВО «Волгоградский государственный университет», в Центре защиты информации и режимно-секретных органов ФГАОУ ВО «Волгоградский государственный технический университет», в Пилотном центре по защите информации Управления Федерального казначейства по Волгоградской области и др.

В целях обмена опытом по проблемам защиты информации ежегодно на базе ФГАОУ ВО «Волгоградский государственный университет» организуется проведение Всероссийской науч- но-практической конференции по информационной безопасности субъектов Российской Федерации. В число организаторов конференции входят Совет по информационной безопасности при Губернаторе Волгоградской области и Администрация Волгоградской области. Сборники материалов конференций направляются в органы государственной власти и органы местного самоуправления Волгоградской области.