В целях обеспечения информационной безопасности, конфиденциальности и защиты информации, соблюдения режима налоговой тайны в системе ФНС России приказываю:
1. Утвердить Концепцию информационной безопасности Федеральной налоговой службы (далее - Концепция) согласно приложению к настоящему приказу.
2. Начальникам структурных подразделений центрального аппарата ФНС России, руководителям (исполняющим обязанности руководителя) территориальных органов ФНС России и организаций, находящихся в ведении ФНС России, организовать ознакомление всех работников с Концепцией и обеспечить соблюдение ее требований в практической работе.
3. Управлению информационной безопасности (Д.В. Чепчугов):
в месячный срок разработать и представить на утверждение руководителю ФНС России план мероприятий по реализации Концепции;
в трехмесячный срок представить предложения о приведении нормативных актов ФНС России в части информационной безопасности в соответствие с Концепцией.
4. Контроль исполнения настоящего приказа оставляю за собой.
| Руководитель Федеральной налоговой службы | А.Э. Сердюков |
Концепция информационной безопасности Федеральной налоговой службы (утв. приказом Федеральной налоговой службы от 29 августа 2006 г. N САЭ-3-27/559)
Список используемых сокращений
| АИС | Автоматизированная информационная система |
| АРМ | Автоматизированное рабочее место |
| АС | Автоматизированная система |
| БД | База данных |
| ВТСС | Вспомогательные технические средства и системы |
| ВЧВС | Виртуальная частная вычислительная сеть |
| ЕСКД | Единая система конструкторской документации |
| ЕСПД | Единая система программной документации |
| ЕСТД | Единая система технологической документации |
| ЗИ | Защита информации |
| ЗП | Защищаемое помещение |
| ИБ | Информационная безопасность |
| ИТКС | Информационно-телекоммуникационная система |
| КЗ | Контролируемая зона |
| КСЗИ | Комплексная система защиты информации |
| ЛВС | Локальная вычислительная сеть |
| НСД | Несанкционированный доступ |
| ОБИ (ОИБ) | Обеспечение безопасности информации |
| ОТСС | Основные технические средства и системы |
| ПО | Программное обеспечение |
| ПС | Программные средства |
| РД | Руководящий документ |
| СЗИ НСД | Система защиты информации от НСД |
| СКЗИ | Средство криптографической защиты информации |
| СПД | Система передачи данных |
| СПО | Специальное программное обеспечение |
| СТК | Система телекоммуникаций; |
| СУБД | Система управления базами данных |
| ТП | Технический проект |
| ТТ | Технические требования |
| УЦ | Удостоверяющий центр |
| ФНС России | Федеральная налоговая служба России |
| ФСБ России | Федеральная служба безопасности России |
| ФСТЭК России | Федеральная служба по техническому и экспертному контролю России |
| ЦА ФНС России | Центральный аппарат ФНС России |
| ЭЦП | Электронная цифровая подпись |
Основные термины и определения
Термины и определения действующих Законов, ГОСТ, Руководящих документов, используемых в "Концепции информационной безопасности ФНС России" (Федеральный закон от 04.07.96 г. N 24-ФЗ, N 85-ФЗ, ГОСТ Р 50992-96, СТР-К, РД ФСТЭК России "Защита от несанкционированного доступа к информации. Термины и определения"):
Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
Администратор защиты - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации
Безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.
Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с основными техническими средствами и системами или в защищаемых помещениях
Доступ к информации - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
Защита информации (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию.
Защита от несанкционированного доступа - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Защищаемые помещения - помещения, специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
Защищенное средство вычислительной техники (защищенная автоматизированная система) - средство вычислительной техники (автоматизированная система), в которой реализован комплекс средств защиты.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Идентификатор доступа - уникальный признак субъекта или объекта доступа.
Комплекс средств защиты - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
Контролируемая зона - пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации
Несанкционированный доступ - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Нарушитель правил разграничения доступа - субъект доступа, осуществляющий несанкционированный доступ к информации.
Объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Организация защиты информации - содержание и порядок действий по обеспечению защиты информации
Основные технические средства и системы - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации
Пароль - идентификатор субъекта доступа, который является его (субъекта) секретом.
Система разграничения доступа - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах
Санкционированный доступ к информации - доступ к информации, не нарушающий правила разграничения доступа.
Сертификат защиты - документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных.
Система защиты информации от несанкционированного доступа - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.
Средство защиты от несанкционированного доступа - программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
Средство криптографической защиты информации - реализующие алгоритмы криптографического преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи.
Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Целостность информации - устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.
1. Общие положения
1.1. Назначение Концепции
Настоящая Концепция определяет систему взглядов на проблему обеспечения комплексной безопасности информации и устанавливает порядок организации и правила обеспечения информационной безопасности в Федеральной налоговой службе России (далее по тексту ФНС России), распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками ФНС России, требования по информационной безопасности к информационным средствам, применяемым в ФНС России. Документ представляет собой методологическую основу для разработки и реализации комплексных целевых программ обеспечения защиты информации на объектах информатизации ФНС России.
1.2. Сфера применения Концепции
Требования настоящей Концепции обязательны для всех структурных подразделений ФНС России и распространяются на: