Как организовать процесс защиты информации на уровне региона

13.03.2017
Категории: Кибербезопасность, Эксперты
Теги: альфадок, защита данных, программное обеспечение

Необходимость выполнения требований законодательства и государственных регуляторов ставит перед государственными организациями субъекта РФ ряд задач, первоочередная из которых – принятие организационных мер по защите информации. К таким мерам относятся проведение внутреннего аудита, назначение ответственных лиц, разработка организационно-распорядительной, технической документации и поддержание её в актуальном состоянии, определение требований по технической защите информации применительно к конкретным информационным системам и другие.

Как правило, вопрос информационной безопасности (ИБ) субъекта координируют региональные органы исполнительной власти, ответственные за информатизацию. Государственные регуляторы и федеральные органы власти для уточнения ситуации в сфере защиты информации региона зачастую направляют запрос именно «информатизаторам», т.е. подразделению регионального правительства, ответственному за IT. И если ситуация в «собственном» органе власти практически всегда прозрачна и контролируема, то состояние дел с защитой информации в других органах власти региона или в их подведомственных учреждениях не всегда столь же очевидно.

Чтобы получить реальную картину состояния системы защиты в органах власти, администрациях или учреждениях, ответственным лицам приходится запрашивать информацию у каждой подведомственной организации, обрабатывать и сводить воедино. Поскольку квалифицированных специалистов на местах зачастую нет, возникают вопросы к качеству и полноте предоставляемых сведений. Нет гарантии того, что в учреждении разработана вся необходимая документация, что в ней учтены актуальные требования законодательства и регуляторов, а сертификаты соответствия установленных СЗИ все еще действительны.

Пожалуй, главная сложность в том, что для качественного контроля и мониторинга ситуации с защитой данных подведомственных учреждений необходимо актуализировать информацию регулярно. Иными словами, запрашивать и обрабатывать сведения приходится снова и снова. Одним из вариантов решения этой проблемы является онлайн-сервис «АльфаДок», который помогает организациям выполнить требования законодательства в части защиты информации, а вышестоящим органам власти — проконтролировать выполнение этих требований.

Виртуальный ИБ-специалист в каждой организации

На первом этапе всем подведомственным учреждениям предоставляется доступ к онлайн-сервису, который помогает реализовать полный комплекс организационных мер по защите персональных данных и информации, хранящихся в государственных информационных системах (ГИС), пользователям даже без глубоких знаний в области информационной безопасности.

Схема применения сервиса такова.

Подключенные к сервису организации проходят пошаговый онлайн-опрос, внося сведения о данных, хранимых и обрабатываемых в информационных системах, и по итогам опроса получают готовый пакет документации, включающий в себя:

документы по защите персональных данных и информации в ГИС и муниципальных информационных системах (МИС);
документы по эксплуатации средств криптографической защиты данных;
технические документы (модель угроз, технический паспорт, техническое задание, матрица доступа).

Каждый шаг подготовки документации сопровождается подсказками и справками. При необходимости можно обратиться к специалистам за консультацией.

Система пошагово ведет пользователя для формирования необходимого пакета документов

После внесения данных документацию можно привести в соответствие требованиям инструкции по делопроизводству учреждения – для этого в сервисе предусмотрена функция настройки оформления. Автоматизированная разработка документации даёт пользователям экономию временных и трудовых, а также финансовых ресурсов. Им не нужно платить за обновление документов, так как при изменении требований законодательства или в случае внутренних изменений в организации пакет в сервисе обновляется автоматически. Это обеспечивают либо специалисты сервиса, которые обновляют шаблоны документов в соответствии с изменениями законодательства, либо ответственный сотрудник организации, который меняет сведения о сотрудниках, применяемых ПК, средствах защиты информации и т.д., после чего документация автоматически приводится в актуальное состояние.

Помимо разработки документации, пользователи могут отправить автоматически сформированные уведомления и информационные письма в Роскомнадзор прямо из сервиса, ведут журналы учета и планы внутренних проверок в электронном виде. В дополнение, пользователь автоматически получает уведомление о плановой проверке, чек-лист выполнения необходимых требований, и рекомендации по подготовке. Разработчик осуществляет поддержку пользователей по горячей линии – специалисты консультируют пользователя, как правильно отвечать на запросы регуляторов, что делать в случае поступления жалобы гражданина, связанных с ИБ, какие технические средства защиты информации необходимо установить и т.д.

Система позволяет не только сформировать необходимый пакет документов, но и контролировать готовность пользователя к проверкам регуляторов

Онлайн-контроль и мониторинг подведомственных организаций

Вышестоящий орган власти, который является пользователем сервиса, в наглядных сводках получает информацию о состоянии дел с обеспечением ИБ в подведомственных учреждениях. Куратор может скачать информацию в форме отчётов, показывающих, насколько полно в подведомственном учреждении учтены требования государственных регуляторов ИБ. Сервис предоставляет сведения:

о готовности и актуальности организационно-распорядительной и технической документации по защите информации;
о степени готовности организаций к проверкам Роскомнадзора, ФСБ России, ФСТЭК России;
об эксплуатируемых программных комплексах и информационных системах;
о применяемых средствах защиты информации и актуальности их сертификатов соответствия;
о специалистах по защите информации, работающих в органах власти и местного самоуправления.

Таким образом, курирующая организация получает объективную информацию о состоянии системы защиты информации во всех подведомственных учреждениях. Если какая-то организация не принимает требуемые нормативными актами меры для защиты информации или, к примеру, использует средства защиты с истёкшим сроком действия сертификата, куратор может быстро связаться с ответственным сотрудником по его контактным данным, поставить задачу устранить недоработки и удалённо, с помощью сервиса, контролировать её исполнение.

Куратор в режиме реального времени получает информацию о выполнении требований законодательства в подведомственных учреждениях

Поскольку документы в сервисе разрабатываются по единым шаблонам, приказы, положения, акты и в целом политика обеспечения ИБ стандартизуются в масштабах всего региона.

Способы подключения к системе

В классическом (экономном) варианте куратор и подведомственные организации авторизуются в сервисе на сайте alfa-doc.ru. Данные при этом хранятся на защищенном сервере разработчика, аттестованном по требованиям безопасности информации. По такой схеме реализованы проекты в Калужской области и в Севастополе, где региональные МИАЦ контролируют процесс обеспечения ИБ и управляют ими в 50 и 26 медицинских организациях соответственно.

Если заказчик хочет хранить всю информацию на своих серверах и имеет такую возможность, система размещается на вычислительных мощностях заказчика. При этом предусматриваются специальные меры защиты информации и индивидуальное сопровождение системы.

Вне зависимости от вариантов реализации системы подключение курирующей организации, как правило, осуществляется «под ключ»: в организацию выезжают специалисты для проведения аудита, после чего собранные данные вносятся в сервис, а документация форматируется в соответствии с требованиями инструкции по делопроизводству. В результате заказчик получает профиль с разработанным пакетом документов, готовым к утверждению и подписанию.

Подведомственные организации вносят данные самостоятельно. Специалисты сервиса консультируют, помогают корректно заполнить формы и проводят обучающие вебинары по работе с системой и общим вопросам защиты информации. По желанию заказчика подведомственные организации также могут быть подключены к сервису в режиме «под ключ».

Экономия бюджета

По подсчетам аналитиков «АльфаДок», в сравнении с традиционными решениями (разработка документации вручную) годовая экономия на одну организацию составляет в среднем 105 тысяч рублей. Для сравнения берётся, с одной стороны, стоимость первоначальной разработки комплекта документации традиционным способом, плюс стоимость двух обновлений документации в течение года, и стоимость внедрения сервиса в режиме «под ключ» – с другой. Для регионального министерства с пятьюдесятью подведомственными организациями экономия может достигать от 3 до 6 миллионов рублей в год, в зависимости от способа подключения организаций.

Для региональных органов власти обеспечивается возможность опробовать «АльфаДок» в пилотном режиме. Куратор и несколько подведомственных организаций подключаются к сервису и в течение 2-3 недель изучают его возможности: разрабатываемые документы, журналы, план внутренних проверок, формы отчетов, постановку задач и т.д. Пилотный проект организуется бесплатно по запросу по телефону 8 800 500 52 33 или электронной почте alfa@keysystems.ru.