АССОЦИАЦИЯ СИБИРСКИХ И ДАЛЬНЕВОСТОЧНЫХ ГОРОДОВ
 

Секции

 
 
Информатизация органов местного самоуправления
Положение о секции
Правление
Новости
Материалы
К 25-летию секции
Муниципальная информатизация в АСДГ. История создания
О работе секции за 20 лет
Об информатизации в муниципальных образованиях АСДГ (2014-2017 гг.)
Разработки партнеров секции в сфере информационно - коммуникационных технологий в муниципальных образованиях (2014-2017 гг.)
Публикации экспертов
Видеозаписи выступлений участников круглого стола «Городские ИТ-платформы» в рамках VI Международного ИТ-форума 2021 от 12 марта 2021 г., Омск
Видеозапись конференции АСДГ от 5, 6 апреля 2018 г., Новосибирск
Видеозапись вебинара «Официальный сайт муниципалитета в рамках современного законодательства» от 28.11.2018
Земельно-имущественные отношения
По информационной политике
По местному самоуправлению
Жилищно-коммунальное хозяйство и строительство
Потребительский рынок и услуги
Городской пассажирский транспорт
Градоустройство
Юридическая секция
Муниципальное образование
Экономика и финансы города
Муниципальная молодежная политика
Организационная и кадровая работа органов местного самоуправления
Внешнеэкономическая и международная деятельность
Социально-трудовые отношения
По вопросам организации муниципальных выборов
По вопросам ГО,ЧС и ОПБ
Муниципальный спорт и физическая культура

А.В. Медведев,
начальник отдела информационной
безопасности департамента
связи и информатизации
мэрии города Новосибирска


Особенности обеспечения безопасности информации
в информационных системах органов местного самоуправления

Решение вопросов обеспечение безопасности информации в информационных системах (ИС) на начальной стадии внедрения в органах местного самоуправления (ОМСУ) информационных технологий в большинстве муниципалитетов возлагалось на системных администраторов, и в основном было сведено к обеспечению сохранности данных, надежности работы ИС и антивирусной защите. С появлением законодательных и нормативных правовых актов Российской Федерации, определяющих требования к обеспечению безопасности информации, содержащих сведения ограниченного доступа, не составляющих государственную тайну, для организации работ по обеспечению безопасности информации в ОМСУ стали вводиться должности специалистов по безопасности информации и создаваться соответствующие подразделения.
Наибольшую актуальность вопросы обеспечения безопасности информации в информационных системах приобрели с принятием Федеральных законов «О персональных данных» и «Об информации, информационных технологиях и о защите информации».
В настоящей статье излагаются некоторые аспекты обеспечения безопасности персональных данных (ПД) в ИС ОМСУ и информации в муниципальных информационных системах (МИС).

1. Особенности выполнения требований законодательных и нормативных правовых актов РФ по обеспечению безопасности персональных данных в информационных системах органов местного самоуправления.

Последовательность применения федеральных нормативных правовых актов (НПА) по определению ответственности ОМСУ при обеспечении безопасности ПД в ИС представлена в таблице 1.

При систематическом толковании пунктов 2 и 7 постановления № 1119 во взаимосвязи с частью 5 статьи 19 Федерального закона № 152-ФЗ возник вопрос относительно механизма реализации органами местного самоуправления обязанности по обеспечению безопасности ПД путем принятия нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальных при обработке персональных данных в соответствующих ИС.

Учитывая, что ОМСУ могут принимать нормативные правовые акты только на основании и во исполнение федеральных законов по отдельным вопросам, касающимся обработки персональных данных, отсутствие таких органов в перечне, предусмотренном частью 5 статьи 19 Федерального закона № 152-ФЗ не позволяет органам местного самоуправления реализовывать на практике положения, закрепленные пунктами 2 и 7 постановления № 1119.

Принимая во внимание правовую неопределенность в вышеизложенном вопросе, мэрия города Новосибирска обратилась за разъяснением механизма правового регулирования защиты персональных данных оператором, являющимся органом местного самоуправления, посредством принятия нормативных правовых актов, определяющих актуальные угрозы безопасности персональных данных, в том числе разъяснением механизма оценки возможного вреда при определении типа угроз безопасности персональных данных, актуальных для ИС ПД:
- в Государственную Думу Федерального Собрания Российской Федерации;
- в Правительство РФ;
- в Минкомсвязи;
- во ФСТЭК России.
Согласно ответу, полученному от ФСБ России и Минкомсвязи, ОМСУ, являющийся оператором ИС персональных данных, не обязан принимать соответствующие нормативные правовые акты, а обязан в зависимости от осуществляемых им видов деятельности производить определение типа угроз безопасности персональных данных, актуальных для конкретной информационной системы, с учетом оценки возможного вреда и в соответствии с нормативными правовыми актами государственных органов, указанных в части 5 статьи 19 Федерального закона № 152-ФЗ. Механизм оценки возможного вреда при определении типа угроз безопасности персональных данных определяется оператором самостоятельно в зависимости от осуществляемого им вида деятельности.
ФСТЭК России в своем разъяснении указывает, в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, меры защиты информации (ЗИ) в информационных системах должны реализовываться в соответствии с моделью угроз безопасности информации. При этом для разработки модели угроз безопасности информации рекомендовано применять методические документы ФСТЭК России (в том числе методику определения актуальных угроз безопасности персональных данных и базовую модель угроз безопасности персональных данных), а также нормативные правовые акты органов государственной власти субъектов РФ, определяющих угрозы безопасности персональных данных и разработанные во исполнение (при их наличии).

Разработка органом местного самоуправления модели угроз безопасности информации, в том числе персональных данных, в виде нормативного правового акта не обязательна.
Таким образом, определение актуальных угроз безопасности ПД и, как следствие, построение системы защиты ПД, нейтрализующей актуальные угрозы, ОМСУ должен осуществлять с учетом нормативных правовых актов, принятых государственными органами, указанными в части 5 статьи 19 Федерального закона «О персональных данных».
К сожалению, узнать о принятии государственными органами указанных актов весьма проблематично, так как требования по срокам их принятия, названию, содержанию и опубликованию в настоящее время отсутствуют. Со времени внесения изменений в ФЗ-152 (25.07.2011 № 261-ФЗ) известен и доступен только один такой документ – это постановление администрация Алтайского края от 20 декабря 2013 года N 680 «О некоторых вопросах обеспечения безопасности персональных данных в системе органов исполнительной власти Алтайского края». Указанным постановлением утверждена Модель угроз безопасности персональных данных в системе органов исполнительной власти Алтайского края и Типовая форма частной модели угроз безопасности персональных данных органа исполнительной власти Алтайского края.

Принимая во внимание вышеизложенное, следует признать, что в настоящее время органы местного самоуправления в определении актуальных угроз безопасности информации (персональных данных) полностью самостоятельны. Выполнение этой работы зависит от подготовленности специалистов по безопасности информации, как при выполнении работ своими силами, так и при оказании услуг лицензиатами, так как оценка полноты и качества выполненных работ лицензиатами, в случае ими оказания услуг, должны выполнять специалисты по безопасности информации.
При определении актуальных угроз и построении системы ЗИ следует руководствоваться принципом разумной достаточности и учитывать, что величина затрат на построение системы ЗИ не должна превышать величины стоимости (совокупной величины стоимости защищаемого информационного ресурса или величины возможного ущерба, который может быть нанесен субъекту персональных данных).
Необходимо отметить, что определение актуальных угроз является важнейшим этапом в построении системы ЗИ, от которого во многом зависит эффективность создаваемой системы защиты информации, а также величина финансовых затрат на ее построение.

2. Особенности выполнения работ по обеспечению безопасности информации в муниципальных информационных системах.

Последовательность применения НПА для отнесения ИС, создаваемых и эксплуатируемых в органах местного самоуправления, к муниципальным информационным системам (далее – МИС) представлена в таблице 2.

ФСТЭК России в соответствии с частью 5 статьи 16 N 149-ФЗ установил «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (приказ ФСТЭК России от 11 февраля 2013 г. N 17, зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608).
В пункте 2 указанного документа определено, что в данном документе «… устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных информационных системах»,
в п. 3, что «Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.
Таким образом, в ОМСУ должна быть проведена работа по определению муниципальных и иных информационных систем, а также по выполнению требований федерального законодательства и нормативных документов ФСТЭК России по обеспечению безопасности информации в муниципальных информационных системах.

Отсутствие в 149-ФЗ четких критериев отнесения информационных систем создаваемых и эксплуатируемых в органах местного самоуправления к муниципальным информационным системам создает определенную сложность в проведении такой работы.
В связи с этим, в органах местного самоуправления целесообразно принять свои нормативные правовые акты, регламентирующие порядок отнесения информационных систем к муниципальным, их создания, эксплуатации и учета.
При разработке указанных НПА следует учесть, что:
- определение «муниципальная» кроме указания на принадлежность информационной системы органу местного самоуправления является признаком информационной системы, указывающим на цели создания информационной системы и отличие ее от иных информационных систем;
- решение о создании МИС (отнесения ИС к МИС) принимает ОМСУ
.

Проведение работ по обеспечению безопасности информации в муниципальных информационных системах необходимо проводить в соответствии с «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Для МИС, в которых не обрабатываются сведения ограниченного доступа «Требования о защите информации …» носят рекомендательный характер.

Заключение

Вопросы, кратко освещенные в двух разделах настоящей статьи актуальны для большинства органов местного самоуправления. Характер информации, обрабатываемый в информационных системах органов местного самоуправления, и решаемые с помощью информационных систем задачи аналогичны, как следствие, подход в решении задач по выполнению требований законодательных и нормативных правовых актов РФ в области безопасности информации практически типовой. Отработанные решения по обеспечению безопасности информации в одних органах местного самоуправления и прошедшие оценку в ходе проведения государственного контроля регуляторами могут быть использованы другими органами местного самоуправления. Не маловажен и обмен результатами контроля, проводимого государственными регуляторами в органах местного самоуправления, для учета в своей деятельности, а также обмен сведениями по качеству оказания услуг лицензиатами ФСТЭК России и ФСБ России.
Вышеизложенное показывает необходимость и целесообразность взаимодействия специалистов и служб обеспечения безопасности информации ОМСУ, которое может быть организовано в рамках Ассоциации сибирских и дальневосточных городов путем создания соответствующей секции АСДГ и проведения семинаров, конференций по данной теме.
Обсуждение актуальных вопросов, обмен опытом позволит органам местного самоуправления оптимально и эффективно, с меньшими финансовыми затратами решать вопросы, связанные с обеспечением безопасности информации.