Оригинал статьи опубликован во втором (майском) номере журнала «Региональная и муниципальная информатизация» .
Термин «муниципальные информационные системы» (далее — МИС) определен и введен в действие Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – ФЗ-149), в части 1 статьи 13:
1. Информационные системы включают в себя:
1) государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
Положения части 1 статьи 13 не однозначны, а именно: с одной стороны, можно понимать, что в органах государственной власти различного уровня создаются государственные информационные системы, в органах местного самоуправления – муниципальные информационные системы, в организациях, учреждениях, предприятиях, не являющихся ни государственными и ни органами местного самоуправления, создаются иные информационные системы. С другой стороны можно понимать, что в органах государственной власти создаются государственные системы и иные информационные системы, не отнесенные к государственным информационным системам, и по аналогии в органах местного самоуправления – муниципальные информационные системы и иные информационные системы.
Скорее всего, следует все же полагать, что информационные системы органов местного самоуправления (далее – омсу) включают в себя муниципальные и иные информационные системы.
Указанному определению муниципальной информационной системы не придавалось большого значения (и во многих ОМСУ не придается сейчас) до введения в действие приказом ФСТЭК России от 11 февраля 2013 г. N 17 «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Указанные требования разработаны и введены в действие ФСТЭК России в соответствии с частью 5 статьи 16 Федерального закона «Об информации, информационных технологиях и о защите информации», обязательность выполнения с 01 сентября 2013 года (информационное сообщение от 15 июля 2013 г. № 240/22/2637).
В пункте 2 указанного документа определено, что в нем «…устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных информационных системах».
В пункте 3 определено, что «… требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении».
Это означает, что в информационных системах органов местного самоуправления созданных или модернизированных после 01 сентября 2013 года должны в обязательном порядке выполняться «Требования …», если эти системы являются муниципальными и в них обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну. Во всех органах местного самоуправления имеются информационные системы, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, и это в основном персональные данные.
Отметим, что требования по обеспечению безопасности персональных данных определены Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», нормативными правовыми актами правительства Российской Федерации. Кроме этого работы по обеспечению безопасности персональных данных регламентированы нормативно-методическими документами ФСТЭК России и ФСБ России.
Таким образом, в органах местного самоуправления должна быть проведена работа по отнесению информационных систем персональных данных к муниципальным либо иным информационным системам для выполнения требований федерального законодательства и нормативных документов ФСТЭК России по обеспечению безопасности информации.
Отсутствие в ФЗ-149 четких критериев отнесения информационных систем создаваемых и эксплуатируемых в органах местного самоуправления к муниципальным информационным системам создает определенную сложность в проведении такой работы.
В зависимости от уставных документов муниципального образования решение, в соответствии с которым создаются муниципальные информационные системы, может быть нормативным актом в виде постановления администрации города, решением главы администрации или представительного органа. Включение создания информационных систем в целевые программы муниципалитетов, где предусматриваются финансирование и сроки разработки (приобретения) и внедрения, скорее всего, не корректно относить к решениям создания МИС в трактовке ФЗ-149.
Признаки МИС такие же, как и для государственных информационных систем, и определены в ст.14 ФЗ-149 (цель создания, способ создания и эксплуатации и т.д.). В нижеприведенной статье 14 ФЗ-149 выделены признаки, которые следует рассматривать, как определяющие при подготовке решения органа местного самоуправления о создании муниципальной информационной системы (об отнесении уже созданной информационной системы к муниципальной):
Статья 14. Государственные информационные системы
1. Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
2. Государственные информационные системы создаются и эксплуатируются с учетом требований, предусмотренных законодательством Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд.
(часть 2 в ред. Федерального закона от 28.12.2013 N 396-ФЗ)
3. Государственные информационные системы создаются и эксплуатируются на основе статистической и иной документированной информации, предоставляемой гражданами (физическими лицами), организациями, государственными органами, органами местного самоуправления.
4. Перечни видов информации, предоставляемой в обязательном порядке, устанавливаются федеральными законами, условия ее предоставления — Правительством Российской Федерации или соответствующими государственными органами, если иное не предусмотрено федеральными законами. В случае, если при создании или эксплуатации государственных информационных систем предполагается осуществление или осуществляется обработка общедоступной информации, предусмотренной перечнями, утверждаемыми в соответствии со статьей 14 Федерального закона от 9 февраля 2009 года N 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», государственные информационные системы должны обеспечивать размещение такой информации в сети «Интернет» в форме открытых данных.
(в ред. Федерального закона от 07.06.2013 N 112-ФЗ)
4.1. Правительство Российской Федерации определяет случаи, при которых доступ с использованием сети «Интернет» к информации, содержащейся в государственных информационных системах, предоставляется исключительно пользователям информации, прошедшим авторизацию в единой системе идентификации и аутентификации, а также порядок использования единой системы идентификации и аутентификации.
(часть 4.1 введена Федеральным законом от 07.06.2013 N 112-ФЗ)
5. Если иное не установлено решением о создании государственной информационной системы, функции ее оператора осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы. При этом ввод государственной информационной системы в эксплуатацию осуществляется в порядке, установленном указанным заказчиком.
6. Правительство Российской Федерации вправе устанавливать требования к порядку создания и ввода в эксплуатацию отдельных государственных информационных систем.
(в ред. Федерального закона от 28.12.2013 N 396-ФЗ)
7. Не допускается эксплуатация государственной информационной системы без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
8. Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.
9. Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами. Информация, содержащаяся в государственных информационных системах, является официальной. Государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе, доступ к указанной информации в случаях и в порядке, предусмотренных законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
(в ред. Федерального закона от 27.07.2010 N 227-ФЗ).
Следует обратить особое внимание на п.9, в котором определено, что информация, содержащееся в ГИС (МИС) является официальной. Этот признак следует считать ключевым, так как для осуществления исполнения полномочий в органах местного самоуправления создаются информационные системы, в том числе обеспечивающие их работу, а так же для выполнения внутренних процессов вспомогательного характера (справочные, учета, внутреннего электронного документооборота и т.д.).
Отнесение информационных систем к МИС усложняется и самим термином «муниципальные», т.к. в прямом понимании он указывает на принадлежность к органу местного самоуправления, т.е. является признаком собственности. Все, что создано или принадлежит органу местного самоуправления, является муниципальным. Поэтому при проведении работ по отнесению информационных систем к муниципальным термин «муниципальные» следует рассматривать не только, как признак принадлежности, а как категорию (статус) информационной системы по отношению к иным информационным системам.
Работы по обеспечению безопасности персональных данных в муниципальных информационных системах персональных данных должны выполняться в соответствии с «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и «Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а так же с учетом информационного сообщения ФСТЭК России от 15 июля 2013 г. № 240/22/2637.
Об авторе: Андрей Медведев — начальник отдела информационной безопасности департамента связи и информатизации мэрии города Новосибирска.