785-04-94

+7 495

Актуальные вопросы информационной безопасности в органах власти

Константин Валерьевич КОРОЛЁВ,
коммерческий директор «БСС-Безопасность»

«Бюджет» • Апрель • 2014

В 2013 году количество федеральных, региональных и муниципальных ведомств, зарегистрированных в СМЭВ, достигло 5 тыс., что почти на треть превышает показатели 2012 года. Несмотря на ряд организационных и технических проблем, темпы этого процесса снижаться не будут. Идет реформирование ИТ-сервисов в сфере здравоохранения и образования, системе ЖКХ, которые должны повысить качество услуг. В этом году во всех регионах страны будет осуществлен переход на единые электронные медицинские карты и электронные больничные листы. С помощью универсальной электронной карты гражданам становятся доступны государственные и муниципальные услуги, услуги в сфере здравоохранения, образования и т. д.

Область ответственности органов власти на местах

В России в 2013 году уже действовало более 800 МФЦ. Планируется, что к концу 2015 года не менее 90% граждан будут получать услуги по принципу «одного окна», в связи с чем количество МФЦ должно увеличиться в три раза. Предоставление государственных и муниципальных услуг (прежде всего исполнение функций через МФЦ) подразумевает обработку огромного массива персональных данных заявителей. Объем такой информации будет только возрастать.

Напомним, что действующим законодательством определено понятие оператора персональных данных. Им может являться «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Это подводит под действие закона практически любую организацию, в том числе и органы муниципального управления.

Ответственность за сохранность персональных данных граждан возложена на руководителей региональных и местных органов власти, в чьем ведении находится весь процесс сбора и обработки таких сведений. Органы власти при этом являются операторами персональных данных. Они должны четко, документально закреплять состав такой информации и проводить соответствующие мероприятия по ее защите, используя специальные средства и методики. Такие мероприятия в отношении информации о гражданах, пользующихся госуслугами, не должны отставать от темпов ввода новых ИТ-сервисов, внедрения и усовершенствования систем межведомственного взаимодействия, разнообразие которых лавинообразно выросло за последние три года.

Хаотичный темп внедрения связанных со СМЭВ систем и запуска разнообразных сервисов госуслуг в федеральных и региональных органах власти в настоящий момент требует проведения аудита информационной безопасности информационных систем на соответствие требованиям регуляторов. Руководству региональных и муниципальных органов власти необходимо обратить самое пристальное внимание на безопасность информационных ресурсов, эксплуатирующихся в зоне их ответственности. В регионах массив информации, содержащий персональные данные, в последнее время значительно вырос не только в области предоставления государственных услуг (программное обеспечение для МФЦ, системы межведомственного взаимодействия, различного рода подсистемы по оплате государственных услуг во взаимодействии с федеральной ГИС ГМП и т. д.), но и в смежных информационных секторах. Стоит вспомнить о многочисленных порталах субъектов РФ как внутриведомственных, так и внешних (например, портальные средства для работы с обращениями граждан есть практически во всех районных администрациях). Также сюда относятся задачи по управлению кадрами, базы данных муниципальных образовательных учреждений, персонифицированные данные о воспитанниках детсадов и школ.

Значительно выросла и ответственность должностных лиц за невыполнение этих мер. Последние изменения в законодательстве существенно увеличили размер штрафов за нарушения в области защиты информации, в том числе за нарушение лицензионных условий. В соответствии со статьей 24 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Увеличиваются штрафы для должностных лиц, а для юридических лиц размер штрафа вырастет с нынешних 5 тыс. до 15–20 тыс. руб.

 

Основой для построения надежной защиты ИТ-ресурсов является наличие практического опыта в соответствующей прикладной области

 

Стоит также отметить, что в разы увеличиваются штрафы за использование несертифицированных (не прошедших оценку соответствия) информационных систем, баз данных и средств защиты информации. Помимо этого вводится административная ответственность за нарушение требований по защите информации. Совсем свежий пример. В МФЦ в соседней с Москвой области была допущена возможность несанкционированного доступа к персональным данным граждан, за что организация понесла административную ответственность. Это произошло в результате прокурорской проверки, связанной с исполнением Федерального закона «О персональных данных». Проверка показала, что несанкционированный доступ к этим данным в районном МФЦ возможен. В результате по представлению прокурора мировой судья привлек учреждение к административному наказанию.

Комплекс мер по защите информации

Мероприятия по защите информации следует начинать с аудита текущего состояния информационных объектов. Весь комплекс защитных и компенсирующих мер, которые необходимо предпринять каждому органу власти на местах, в обязательном порядке должен завершаться аттестацией. Таким образом, проводится комплекс организационно-технических мероприятий, в результате которых аттестатом соответствия подтверждается, что объект (автоматизированная система, содержащая персональные данные) соответствует требованиям нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. Аттестация предусматривает комплексную проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты уровню требуемой безопасности информации. Мероприятия по обеспечению безопасности обработки персональных данных являются технически сложными, требуют высокой квалификации исполнителей, специальных знаний, глубокого понимания функциональности как программного обеспечения, обрабатывающего персональные данные, так и применяемых средств защиты информации.

 

Мероприятия по защите персональной информации граждан, пользующихся электронными государственными услугами, не должны отставать от темпов ввода новых ИТ-сервисов

 

Выполняющая эти мероприятия организация должна обладать высоким уровнем квалификации и иметь соответствующие лицензии на право проведения работ по технической защите информации. Здесь уместно сказать, что российская компания «БСС-Безопасность» имеет весь пакет разрешительных документов и аккредитаций, позволяющих выполнять любой объем работ в области информационной безопасности в органах государственной власти России. Группа компаний BSS за последние несколько лет накопила результативный опыт разработки, внедрения и длительного сопровождения программных решений, реализующих процессы оказания и оплаты государственных услуг. На данный момент реализовано свыше 70 проектов по подключению государственных и кредитных организаций к инфраструктуре электронного правительства на региональном и федеральном уровнях во многих субъектах РФ. Наличие в Группе компаний BSS такого центра компетенции, как «БСС-Безопасность», позволяет обеспечить оптимальный подход в оценке потенциальных и реальных угроз в информационных системах органов государственной власти.

Оригинал публикации