• Главная
    • /
  • Блог
    • /
  • Особливості забезпечення безпеки інформації в інформаційних системах органів місцевого самоврядування

Особливості забезпечення безпеки інформації в інформаційних системах органів місцевого самоврядування

Вирішення питань забезпечення безпеки інформації в інформаційних системах (ІС) на початковій стадії впровадження в органах місцевого самоврядування (ОМСУ) інформаційних технологій в більшості муніципалітетів покладалося на системних адміністраторів, і в основному зводилося до забезпечення збереження даних, надійності роботи ІС і антивірусного захисту. З появою законодавчих і нормативних правових актів Російської Федерації, що визначають вимоги до забезпечення безпеки інформації, що містять відомості обмеженого доступу, що не становлять державну таємницю, для організації робіт із забезпечення безпеки інформації в ОМСУ стали вводитися посади фахівців з безпеки інформації та створюватися відповідні підрозділи.

Найбільшу актуальність питання забезпечення безпеки інформації в інформаційних системах придбали з прийняттям Федеральних законів «Про персональні дані» та «Про інформацію, інформаційні технології і про захист інформації».

У цій статті викладені деякі аспекти забезпечення безпеки персональних даних (ПД) в ІС ОМСУ та інформації в муніципальних інформаційних системах (МІС).

1. Особливості виконання вимог законодавчих і нормативних правових актів РФ щодо забезпечення безпеки персональних даних в інформаційних системах органів місцевого самоврядування.

Послідовність застосування федеральних нормативних правових актів (НПА) щодо визначення відповідальності ОМСУ при забезпеченні безпеки ПД в ІС представлена ​​в таблиці 1.

Таблиця 1

Однак зазначена норма Федерального закону № 152-ФЗ не передбачає прийняття нормативних правових актів, що визначають загрози безпеки персональних даних, актуальні при обробці персональних даних в інформаційних системах персональних даних органами місцевого самоврядування.

При систематичному тлумаченні пунктів 2 і 7 постанови № 1119 у взаємозв'язку з частиною 5 статті 19 Федерального закону № 152-ФЗ виникає питання щодо механізму реалізації органами місцевого самоврядування обов'язку щодо забезпечення безпеки ПД шляхом прийняття нормативних правових актів, що визначають загрози безпеки персональних даних, актуальних при обробці персональних даних у відповідних ІС.

З огляду на, що ОМСУ можуть приймати нормативні правові акти лише на підставі та на виконання федеральних законів з окремих питань, що стосуються обробки персональних даних, відсутність таких органів в переліку, передбаченому частиною 5 статті 19 Федерального закону № 152-ФЗ, не дозволяє органам місцевого самоврядування реалізовувати на практиці положення, закріплені пунктами 2 і 7 постанови № 1119.

Беручи до уваги правову невизначеність у вищевикладеному питанні, мерія міста Новосибірська звернулася за роз'ясненням механізму правового регулювання захисту персональних даних оператором, що є органом місцевого самоврядування, за допомогою прийняття нормативних правових актів, що визначають актуальні загрози безпеці персональних даних, в тому числі роз'ясненням механізму оцінки можливої ​​шкоди при визначенні типу загроз безпеки персональних даних, актуальних для ІС ПД:

Згідно з відповіддю, отриманого від ФСБ Росії і Мінкомзв'язку, ОМСУ, що є оператором ІС персональних даних, не зобов'язаний приймати відповідні нормативні правові акти, а зобов'язаний в залежності від здійснюваних ним видів діяльності виробляти визначення типу загроз безпеки персональних даних, актуальних для конкретної інформаційної системи, з урахуванням оцінки можливої ​​шкоди і відповідно до нормативних правових актів державних органів, зазначених у частині 5 статті 19 Федерального закону № 152-ФЗ. Механізм оцінки можливої шкоди при визначенні типу загроз безпеки персональних даних визначається оператором самостійно в залежності від здійснюваного їм виду діяльності.

ФСТЕК Росії в своєму роз'ясненні вказує, що відповідно до Вимог про захист інформації, яка не становить державну таємницю, що міститься в державних інформаційних системах, заходи захисту інформації (ЗІ) в інформаційних системах повинні реалізовуватися відповідно до моделі загроз безпеки інформації. При цьому для розробки моделі загроз безпеки інформації рекомендовано застосовувати методичні документи ФСТЕК Росії (в тому числі методику визначення актуальних загроз безпеки персональних даних і базову модель загроз безпеки персональних даних), а також нормативно-правові акти органів державної влади суб'єктів РФ, що визначають загрози безпеки персональних даних і розроблені на виконання (при їх наявності).

Розробка органом місцевого самоврядування моделі загроз безпеки інформації, в тому числі персональних даних, у вигляді нормативного правового акта не обов'язкова.

Таким чином, визначення актуальних загроз безпеки ПД і, як наслідок, побудова системи захисту ПД, нейтралізує актуальні загрози, ОМСУ повинен здійснювати з урахуванням нормативних правових актів, прийнятих державними органами, зазначеними в частині 5 статті 19 Федерального закону «Про персональні дані».

На жаль, дізнатися про прийняття державними органами зазначених актів вельми проблематично, так як вимоги щодо термінів їх прийняття, назвою, змістом і опублікуванню в даний час відсутні. З часу внесення змін до ФЗ-152 (25.07.2011 № 261-ФЗ) відомий і доступний тільки один такий документ - це постанова адміністрація Алтайського краю від 20 грудня 2013 року N 680 «Про деякі питання забезпечення безпеки персональних даних в системі органів виконавчої влади Алтайського краю ». Зазначеною постановою затверджено Модель загроз безпеки персональних даних в системі органів виконавчої влади Алтайського краю і Типова форма приватної моделі загроз безпеки персональних даних органу виконавчої влади Алтайського краю.

Беручи до уваги вищевикладене, слід визнати, що в даний час органи місцевого самоврядування у визначенні актуальних загроз безпеки інформації (персональних даних) повністю самостійні. Виконання цієї роботи залежить від підготовленості фахівців з безпеки інформації, як при виконанні робіт своїми силами, так і при наданні послуг ліцензіатами, так як оцінка повноти і якості виконаних робіт ліцензіатами, у разі ними надання послуг, повинні виконувати фахівці з безпеки інформації.

При визначенні актуальних загроз і побудові системи ЗІ слід керуватися принципом розумної достатності і враховувати, що величина витрат на побудову системи ЗІ не повинна перевищувати величини вартості (сукупної величини вартості об'єкта, що захищається інформаційного ресурсу або величини можливого збитку, який може бути нанесений суб'єкту персональних даних).

Необхідно відзначити, що визначення актуальних загроз є найважливішим етапом в побудові системи ЗІ, від якого багато в чому залежить ефективність створюваної системи захисту інформації, а також величина фінансових витрат на її побудову.

2. Виконання робіт по забезпеченню безпеки інформації
в муніципальних інформаційних системах.

Послідовність застосування НПА для віднесення ІС, що створюються і експлуатованих в органах місцевого самоврядування, до МІС представлена ​​в таблиці 2.

Таблиця 2

ФСТЕК Росії відповідно до частини 5 статті 16 N 149-ФЗ встановив «Вимоги про захист інформації, яка не становить державну таємницю, що міститься в державних інформаційних системах» (наказ ФСТЕК Росії від 11 лютого 2013 р N 17, зареєстрований Мін'юстом Росії 31 травня 2013 м, рег. N 28608).

У пункті 2 зазначеного документа визначено, що в даному документі «... встановлюються вимоги до забезпечення захисту інформації обмеженого доступу, що не містить відомості, що становлять державну таємницю, від витоку технічними каналами, несанкціонованому доступу, спеціальних дій на таку інформацію (носії інформації) з метою її добування, знищення, перекручення або блокування доступу до неї при обробці зазначеної інформації в державних інформаційних системах »,

в п. 3, що «... вимоги є обов'язковими при обробці інформації в державних інформаційних системах, що функціонують на території Російської Федерації, а також в муніципальних інформаційних системах, якщо інше не встановлено законодавством Російської Федерації про місцеве самоврядування.

Таким чином, в ОМСУ повинна бути проведена робота по визначенню муніципальних та інших інформаційних систем, а також щодо виконання вимог федерального законодавства і нормативних документів ФСТЕК Росії по забезпеченню безпеки інформації в муніципальних інформаційних системах.

Відсутність в 149-ФЗ чітких критеріїв віднесення інформаційних систем створюваних і експлуатованих в органах місцевого самоврядування до муніципальних інформаційних систем створює певну складність у проведенні такої роботи.

У зв'язку з цим доцільно в органах місцевого самоврядування вжити свої правові акти, що регламентують порядок віднесення інформаційних систем до муніципальним, також їх розробки, створення, експлуатації та обліку. При цьому слід врахувати, що визначення «муніципальна» крім вказівки на приналежність інформаційної системи органу місцевого самоврядування є ознакою інформаційної системи, що вказує на цілі створення інформаційної системи і відмінність її від інших інформаційних систем.

Проведення робіт із забезпечення безпеки інформації в муніципальних інформаційних системах необхідно проводити відповідно до «Вимог про захист інформації, яка не становить державну таємницю, що міститься в державних інформаційних системах».

висновок

Питання, коротко освітлені в двох розділах цієї статті, актуальні для більшості органів місцевого самоврядування. Характер інформації, що обробляється в інформаційних системах органів місцевого самоврядування, і які вирішуються за допомогою інформаційних систем завдання аналогічні, як наслідок, підхід у вирішенні завдань по виконанню вимог законодавчих та нормативно-правових актів РФ в області безпеки інформації практично типовий. Відпрацьовані рішення щодо забезпечення безпеки інформації в одних органах місцевого самоврядування і пройшли оцінку в ході проведення державного контролю регуляторами можуть бути використані іншими органами місцевого самоврядування. Важливий і обмін результатами контролю, проведеного державними регуляторами в органах місцевого самоврядування, для врахування у своїй діяльності, а також обмін інформацією за якістю надання послуг ліцензіатами ФСТЕК Росії і ФСБ Росії.

Вищевикладене показує необхідність і доцільність взаємодії фахівців і служб забезпечення безпеки інформації ОМСУ, яке може бути організовано в рамках Асоціації сибірських і далекосхідних міст шляхом створення відповідної секції АСДГ і проведення семінарів, конференцій з даної теми.

Обговорення актуальних питань, обмін досвідом дозволить органам місцевого самоврядування оптимально і ефективно, з меншими фінансовими витратами вирішувати питання, пов'язані із забезпеченням безпеки інформації.

Про автора: Андрій Медведєв - начальник відділу інформаційної безпеки департаменту зв'язку та інформатизації мерії міста Новосибірська

Стаття підготовлена спеціально для Експертного центру електронного держави за матеріалами доповіді на конференції Асоціації сибірських і далекосхідних міст « Інформаційні технології в місцевому самоврядуванні »