Решение вопросов обеспечения безопасности информации в информационных системах (ИС) на начальной стадии внедрения в органах местного самоуправления (ОМСУ) информационных технологий в большинстве муниципалитетов возлагалось на системных администраторов, и в основном сводилось к обеспечению сохранности данных, надежности работы ИС и антивирусной защите. С появлением законодательных и нормативных правовых актов Российской Федерации, определяющих требования к обеспечению безопасности информации, содержащих сведения ограниченного доступа, не составляющих государственную тайну, для организации работ по обеспечению безопасности информации в ОМСУ стали вводиться должности специалистов по безопасности информации и создаваться соответствующие подразделения.
Наибольшую актуальность вопросы обеспечения безопасности информации в информационных системах приобрели с принятием Федеральных законов «О персональных данных» и «Об информации, информационных технологиях и о защите информации».
В настоящей статье излагаются некоторые аспекты обеспечения безопасности персональных данных (ПД) в ИС ОМСУ и информации в муниципальных информационных системах (МИС).
1. Особенности выполнения требований законодательных и нормативных правовых актов РФ по обеспечению безопасности персональных данных в информационных системах органов местного самоуправления.
Последовательность применения федеральных нормативных правовых актов (НПА) по определению ответственности ОМСУ при обеспечении безопасности ПД в ИС представлена в таблице 1.
Таблица 1
Однако указанная норма Федерального закона № 152-ФЗ не предусматривает принятие нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных органами местного самоуправления.
При систематическом толковании пунктов 2 и 7 постановления № 1119 во взаимосвязи с частью 5 статьи 19 Федерального закона № 152-ФЗ возникает вопрос относительно механизма реализации органами местного самоуправления обязанности по обеспечению безопасности ПД путем принятия нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальных при обработке персональных данных в соответствующих ИС.
Учитывая, что ОМСУ могут принимать нормативные правовые акты только на основании и во исполнение федеральных законов по отдельным вопросам, касающимся обработки персональных данных, отсутствие таких органов в перечне, предусмотренном частью 5 статьи 19 Федерального закона № 152-ФЗ, не позволяет органам местного самоуправления реализовывать на практике положения, закрепленные пунктами 2 и 7 постановления № 1119.
Принимая во внимание правовую неопределенность в вышеизложенном вопросе, мэрия города Новосибирска обратилась за разъяснением механизма правового регулирования защиты персональных данных оператором, являющимся органом местного самоуправления, посредством принятия нормативных правовых актов, определяющих актуальные угрозы безопасности персональных данных, в том числе разъяснением механизма оценки возможного вреда при определении типа угроз безопасности персональных данных, актуальных для ИС ПД:
- в Государственную Думу Федерального Собрания Российской Федерации;
- в Правительство РФ;
- в Минкомсвязь;
- во ФСТЭК России (ответ).
Согласно ответу, полученному от ФСБ России и Минкомсвязи, ОМСУ, являющийся оператором ИС персональных данных, не обязан принимать соответствующие нормативные правовые акты, а обязан в зависимости от осуществляемых им видов деятельности производить определение типа угроз безопасности персональных данных, актуальных для конкретной информационной системы, с учетом оценки возможного вреда и в соответствии с нормативными правовыми актами государственных органов, указанных в части 5 статьи 19 Федерального закона № 152-ФЗ. Механизм оценки возможного вреда при определении типа угроз безопасности персональных данных определяется оператором самостоятельно в зависимости от осуществляемого им вида деятельности.
ФСТЭК России в своем разъяснении указывает, что в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, меры защиты информации (ЗИ) в информационных системах должны реализовываться в соответствии с моделью угроз безопасности информации. При этом для разработки модели угроз безопасности информации рекомендовано применять методические документы ФСТЭК России (в том числе методику определения актуальных угроз безопасности персональных данных и базовую модель угроз безопасности персональных данных), а также нормативные правовые акты органов государственной власти субъектов РФ, определяющих угрозы безопасности персональных данных и разработанные во исполнение (при их наличии).
Разработка органом местного самоуправления модели угроз безопасности информации, в том числе персональных данных, в виде нормативного правового акта не обязательна.
Таким образом, определение актуальных угроз безопасности ПД и, как следствие, построение системы защиты ПД, нейтрализующей актуальные угрозы, ОМСУ должен осуществлять с учетом нормативных правовых актов, принятых государственными органами, указанными в части 5 статьи 19 Федерального закона «О персональных данных».
К сожалению, узнать о принятии государственными органами указанных актов весьма проблематично, так как требования по срокам их принятия, названию, содержанию и опубликованию в настоящее время отсутствуют. Со времени внесения изменений в ФЗ-152 (25.07.2011 № 261-ФЗ) известен и доступен только один такой документ – это постановление администрация Алтайского края от 20 декабря 2013 года N 680 «О некоторых вопросах обеспечения безопасности персональных данных в системе органов исполнительной власти Алтайского края». Указанным постановлением утверждена Модель угроз безопасности персональных данных в системе органов исполнительной власти Алтайского края и Типовая форма частной модели угроз безопасности персональных данных органа исполнительной власти Алтайского края.
Принимая во внимание вышеизложенное, следует признать, что в настоящее время органы местного самоуправления в определении актуальных угроз безопасности информации (персональных данных) полностью самостоятельны. Выполнение этой работы зависит от подготовленности специалистов по безопасности информации, как при выполнении работ своими силами, так и при оказании услуг лицензиатами, так как оценка полноты и качества выполненных работ лицензиатами, в случае ими оказания услуг, должны выполнять специалисты по безопасности информации.
При определении актуальных угроз и построении системы ЗИ следует руководствоваться принципом разумной достаточности и учитывать, что величина затрат на построение системы ЗИ не должна превышать величины стоимости (совокупной величины стоимости защищаемого информационного ресурса или величины возможного ущерба, который может быть нанесен субъекту персональных данных).
Необходимо отметить, что определение актуальных угроз является важнейшим этапом в построении системы ЗИ, от которого во многом зависит эффективность создаваемой системы защиты информации, а также величина финансовых затрат на ее построение.
2. Выполнение работ по обеспечению безопасности информации
в муниципальных информационных системах.
Последовательность применения НПА для отнесения ИС, создаваемых и эксплуатируемых в органах местного самоуправления, к МИС представлена в таблице 2.
Таблица 2
ФСТЭК России в соответствии с частью 5 статьи 16 N 149-ФЗ установил «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (приказ ФСТЭК России от 11 февраля 2013 г. N 17, зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608).
В пункте 2 указанного документа определено, что в данном документе «… устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных информационных системах»,
в п. 3, что «… требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.
Таким образом, в ОМСУ должна быть проведена работа по определению муниципальных и иных информационных систем, а также по выполнению требований федерального законодательства и нормативных документов ФСТЭК России по обеспечению безопасности информации в муниципальных информационных системах.
Отсутствие в 149-ФЗ четких критериев отнесения информационных систем создаваемых и эксплуатируемых в органах местного самоуправления к муниципальным информационным системам создает определенную сложность в проведении такой работы.
В связи с этим целесообразно в органах местного самоуправления принять свои нормативно акты, регламентирующие порядок отнесения информационных систем к муниципальным, также их разработки, создания, эксплуатации и учета. При этом следует учесть, что определение «муниципальная» кроме указания на принадлежность информационной системы органу местного самоуправления является признаком информационной системы, указывающим на цели создания информационной системы и отличие ее от иных информационных систем.
Проведение работ по обеспечению безопасности информации в муниципальных информационных системах необходимо проводить в соответствии с «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Заключение
Вопросы, кратко освещенные в двух разделах настоящей статьи, актуальны для большинства органов местного самоуправления. Характер информации, обрабатываемой в информационных системах органов местного самоуправления, и решаемые с помощью информационных систем задачи аналогичны, как следствие, подход в решении задач по выполнению требований законодательных и нормативных правовых актов РФ в области безопасности информации практически типовой. Отработанные решения по обеспечению безопасности информации в одних органах местного самоуправления и прошедшие оценку в ходе проведения государственного контроля регуляторами могут быть использованы другими органами местного самоуправления. Немаловажен и обмен результатами контроля, проводимого государственными регуляторами в органах местного самоуправления, для учета в своей деятельности, а также обмен сведениями по качеству оказания услуг лицензиатами ФСТЭК России и ФСБ России.
Вышеизложенное показывает необходимость и целесообразность взаимодействия специалистов и служб обеспечения безопасности информации ОМСУ, которое может быть организовано в рамках Ассоциации сибирских и дальневосточных городов путем создания соответствующей секции АСДГ и проведения семинаров, конференций по данной теме.
Обсуждение актуальных вопросов, обмен опытом позволит органам местного самоуправления оптимально и эффективно, с меньшими финансовыми затратами решать вопросы, связанные с обеспечением безопасности информации.
Об авторе: Андрей Медведев — начальник отдела информационной безопасности департамента связи и информатизации мэрии города Новосибирска
Статья подготовлена специально для Экспертного центра электронного государства по материалам доклада на конференции Ассоциации сибирских и дальневосточных городов «Информационные технологии в местном самоуправлении»
