АССОЦИАЦИЯ СИБИРСКИХ
И ДАЛЬНЕВОСТОЧНЫХ ГОРОДОВ

А.В. Медведев,
начальник отдела информационной
безопасности департамента
связи и информатизации
мэрии города Новосибирска

Особенности обеспечения безопасности информации
в информационных системах органов местного самоуправления

Термин «муниципальные информационные системы» (далее - МИС) определен и введен в действие Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - 149-ФЗ), в части 1статьи 13:
1. Информационные системы включают в себя:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.

Положения части 1 статьи 13 не однозначны, а именно: с одной стороны, можно понимать, что в органах государственной власти различного уровня создаются государственные информационные системы, в органах местного самоуправления – муниципальные информационные системы, в организациях, учреждениях, предприятиях, не являющихся ни государственными и ни органами местного самоуправления, создаются иные информационные системы. С другой стороны можно понимать, что в органах государственной власти создаются государственные системы и иные информационные системы, не отнесенные к государственным информационным системам, и по аналогии в органах местного самоуправления – муниципальные информационные системы и иные информационные системы.

Скорей всего следует все же полагать, что в органах местного самоуправления (далее – ОМСУ) создаются и эксплуатируются муниципальные и иные информационные системы.
Указанному определению муниципальной информационной системы не придавалось большого значения (и во многих ОМСУ не придается сейчас) до введения в действие приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608) «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Указанные требования разработаны и введены в действие в соответствии с частью 5 статьи 16 Федерального закона «Об информации, информационных технологиях и о защите информации», обязательность выполнения с 01 сентября 2013 года (информационное сообщение от 15 июля 2013 г. № 240/22/2637).

В пункте 2 указанного документа определено, что в нем «…устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных информационных системах».

В пункте 3 определено, что «… требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении».

Это означает, что в информационных системах органов местного самоуправления созданных или модернизированных после 01 сентября 2013 года должны в обязательном порядке выполняться «Требования …», если эти системы являются муниципальными и в них обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну. Во всех органах местного самоуправления имеются информационные системы, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, и это в основном персональные данные.

Отметим, что обеспечение безопасности персональных данных регламентируется Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», нормативными правовыми актами правительства Российской Федерации, «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013 № 21, а также нормативными документами ФСБ России.

Таким образом, в органах местного самоуправления должна быть проведена работа по отнесению информационных систем персональных данных к муниципальным либо иным информационным системам для выполнения требований федерального законодательства и нормативных документов ФСТЭК России по обеспечению безопасности информации.

Отсутствие в 149-ФЗ четких критериев отнесения информационных систем создаваемых и эксплуатируемых в органах местного самоуправления к муниципальным информационным системам создает определенную сложность в проведении такой работы.

В зависимости от уставных документов муниципального образования решение, в соответствии с которым создаются муниципальные информационные системы, может быть нормативным актом в виде постановления администрации города, решением главы администрации или представительного органа. Включение создания информационной системы в целевую программу муниципалитета, где предусматриваются финансирование и сроки разработки (приобретения) и внедрения, скорее всего, не следует относить к основанию создания МИС в трактовке 149-ФЗ.

Признаки МИС определяются по аналогии с ГИС в ст.14 ФЗ-149 (цель создания, способ создания и эксплуатации и т.д.). В нижеприведенной статье 14 ФЗ-149 выделены признаки, которые следует рассматривать и отражать в муниципальном нормативном акте, как определяющие отнесение информационной системы к муниципальной:

Статья 14. Государственные информационные системы
1. Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
2. Государственные информационные системы создаются и эксплуатируются с учетом требований, предусмотренных законодательством Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд.
(часть 2 в ред. Федерального закона от 28.12.2013 N 396-ФЗ)
3. Государственные информационные системы создаются и эксплуатируются на основе статистической и иной документированной информации, предоставляемой гражданами (физическими лицами), организациями, государственными органами, органами местного самоуправления.
4. Перечни видов информации, предоставляемой в обязательном порядке, устанавливаются федеральными законами, условия ее предоставления - Правительством Российской Федерации или соответствующими государственными органами, если иное не предусмотрено федеральными законами. В случае, если при создании или эксплуатации государственных информационных систем предполагается осуществление или осуществляется обработка общедоступной информации, предусмотренной перечнями, утверждаемыми в соответствии со статьей 14 Федерального закона от 9 февраля 2009 года N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления", государственные информационные системы должны обеспечивать размещение такой информации в сети "Интернет" в форме открытых данных.
(в ред. Федерального закона от 07.06.2013 N 112-ФЗ)

4.1. Правительство Российской Федерации определяет случаи, при которых доступ с использованием сети "Интернет" к информации, содержащейся в государственных информационных системах, предоставляется исключительно пользователям информации, прошедшим авторизацию в единой системе идентификации и аутентификации, а также порядок использования единой системы идентификации и аутентификации.
(часть 4.1 введена Федеральным законом от 07.06.2013 N 112-ФЗ)

5. Если иное не установлено решением о создании государственной информационной системы, функции ее оператора осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы. При этом ввод государственной информационной системы в эксплуатацию осуществляется в порядке, установленном указанным заказчиком.

6. Правительство Российской Федерации вправе устанавливать требования к порядку создания и ввода в эксплуатацию отдельных государственных информационных систем.
(в ред. Федерального закона от 28.12.2013 N 396-ФЗ)

7. Не допускается эксплуатация государственной информационной системы без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.

8. Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.

9. Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами. Информация, содержащаяся в государственных информационных системах, является официальной. Государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе, доступ к указанной информации в случаях и в порядке, предусмотренных законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
(в ред. Федерального закона от 27.07.2010 N 227-ФЗ).

Следует обратить внимание, что информация, содержащееся в МИС является официальной. Этот признак следует отнести к ключевым, так как для исполнения полномочий органа местного самоуправления, в том числе создаются информационные системы, обеспечивающие его работу, а так же для выполнения внутренних процессов вспомогательного характера (справочные, учета и т.д.).

Отнесение информационных систем к МИС усложняется и самим термином «муниципальные», т.к. в прямом понимании он указывает на принадлежность к органу самоуправления, т.е. признак собственности. Все, что создано или принадлежит органу местного самоуправления, является муниципальным. Поэтому при проведении работ по отнесению информационных систем к муниципальным термин «муниципальные» следует рассматривать не только, как признак принадлежности, а как категорию (статус) информационной системы по отношению к иным информационным системам.

Проведение работ по обеспечению безопасности информации в муниципальных информационных системах персональных данных необходимо проводить в соответствии с «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», с учетом информационного сообщения ФСТЭК России от 15 июля 2013 г. № 240/22/2637.

Оригинал статьи опубликован во втором (майском) номере журнала «Региональная и муниципальная информатизация»