1 Реализация требований закона 152-ФЗ при развертывании системы защиты персональных данных в отдельно взятом муниципальном образовании
2 Проблема реализации требований закона 152-ФЗ при построении системы защиты персональных данных Важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами: резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации; сосредоточение в единых базах данных информации различного назначения и различной принадлежности; высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых разных сферах деятельности; резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных; бурное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности; повсеместное распространение сетевых технологий и объединение локальных сетей в глобальные; развитие глобальной сети Internet, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире. На сегодняшний день в рамках развертывания системы выполнены: - правовые мероприятия - 80%; - организационные мероприятия - 70%; - технические мероприятия - 70%. Структурно муниципальное образование в руководящих документах (ФЗ, ФСТЭК, решениях Областных Правительств) не упомянуто. Необходимо решить вопрос о совместном финансировании формирования муниципальных информационных ресурсов бюджетом области и бюджетом муниципального образования.
3 Принятые меры в отдельно взятом муниципальном образовании В соответствии с методическими рекомендациями утвержденными решением областной комиссии по защите информации, в муниципальном образовании развернута система по защите информации. Постановлением Главы определен ответственный за защиту информации, рекомендовано муниципальным унитарным предприятиям организовать систему по защите информации.
4 С 2007 г. в муниципальном образовании приступили к созданию системы по защите информации, которая состоит из 4-х подсистем: - подсистема администрации муниципального образования; - подсистема муниципальные образовательные и дошкольные учреждения; - подсистема муниципальные учреждения здравоохранения. - подсистема муниципальные унитарные предприятия;
5 жкх экономика кадры здраво- хранение образование культура спорт общий отдел Структура отдельно взятого Муниципального образования управление архитектуры управление региональной безопасности отдел развития информационных сетей отдел программного обеспечения Подразделения, обеспечивающие функционирование системы защиты информации
6 Подсистема администрации муниципального образования Защищаемая информация: персональные данные, антитеррористические. мероприятия, статистическая информация. Защита информации организована. Руководителями осуществляется контроль за состоянием защиты информации в подведомственных учреждениях (муниципальных учреждениях и предприятиях). Управлением по региональной безопасности муниципального образования проводятся периодические проверки состояния защиты информации
7 Выполненные мероприятия документально оформлен перечень сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений; реализована разрешительная система допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам; ограничен доступ персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации; разграничен доступ пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; ведется контроль за действиями пользователей, обслуживающего персонала и посторонних лиц; выполняется учет и надежное хранение бумажных и машинных носителей информации, исключающее их хищение, подмену и уничтожение; выполняется резервирование массивов информации;
8 Выполненные мероприятия (ПРОДОЛЖЕНИЕ) размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр; организована физическая защиты помещений с помощью сил охраны и технических средств; осуществляется криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники (с использованием ЭЦП); выполняется защита от программ-вирусов, программных закладок; выполняется постепенное (по мере финансирования) обновление программного обеспечения на лицензионное.
9 Управление по региональной безопасности Мероприятия, выполняемые ответственным по защите информации: разрабатываются руководящие и нормативные документы по защите информации ограниченного доступа; выполняются решения областной комиссии по защите информации; проводится периодический контроль ЛВС муниципального образования на предмет отсутствия информации ограниченного доступа; проводится периодический контроль действий сил охраны здания муниципального образования; проводится периодический контроль состояния защиты информации в отраслевых, функциональных органах и структурных подразделениях муниципального образования и подведомственных учреждениях; оказывается методическая помощь подведомственным учреждениям по созданию системы защиты информации; достигнута договоренность с организацией имеющей, сертификат на право выполнения аттестации с минимальными затратами.
10 Отдел развития информационных сетей поддержание в исправном состоянии АРМ сотрудников; администрирование; разработка инструкций по правильной эксплуатации АРМ. Отдел программного обеспечения контроль состояния программного обеспечения; Установка и периодическое обновление антивирусного обеспечения; Установка и периодическое обновление ЭЦП должностных лиц администрации; разработка инструкций по правильному использованию программного обеспечения.
11 Подсистема образования Защищаемая информация: персональные данные, антитерр. меропр.; В своем составе имеет большое количество элементов (школы, методические центры, детские сады) Защита информации организована, соответствует требованиям руководящих документов: - проведены проверки организации и состояния защиты информации, оказана методическая помощь; - для устранения выявленных недостатков разработаны планы. Повторная проверка будет проведена в декабре 2009 г.
12 Подсистема здравоохранения Защищаемая информация: персональные данные, антитеррористические мероприятия; В своем составе имеет большое количество элементов(больницы, поликлиники) Защита информации организована и соответствует требованиям руководящих документов: - были проведены проверки организации и состояния защиты информации, оказана методическая помощь; - для устранения выявленных недостатков разработаны планы. Повторная проверка будет проведена в декабре 2009г.
13 Подсистема муниципальных унитарных предприятий Защищаемая информация: персональные данные, антитеррористические мероприятия. организована система защиты информации управлением по региональной безопасности муниципального образования проводятся периодические проверки состояния защиты информации
14 ПРОБЛЕМЫ 1. Отсутствие финансирования со стороны областного бюджета; 2. Нет штатных специалистов по защите информации.
15 ПРЕДЛОЖЕНИЯ В целях выполнения федерального законодательства по защите информации и полного развертывания системы по защите информации ограниченного доступа в муниципальных образованиях, необходимо выйти с предложением в Областное Правительство о внесении поправки в подзаконный правовой акт Области: «Финансирование формирования муниципальных информационных ресурсов проводить за счет соответствующих статей областного и местного бюджетов».