+ 1
- 0
Оценить:

Обеспечение информационной безопасности в органах государственной власти и управления Уральского федерального округа

В связи с возрастанием роли информатизации во всех сферах деятельности государства и общества информационно-телекоммуникационные системы и информационные технологии, используемые для автоматизации выполнения задач и полномочий, используются на различных уровнях государственного управления, а именно:

в органах государственной власти субъектов Российской Федерации;

в территориальных органах федеральных органов исполнительной власти;

в органах местного самоуправления.

Анализ информации, имеющейся в Управлении ФСТЭК России по Уральскому федеральному округу (далее – Управление), показал, что в органах государственной власти субъектов Российской Федерации и органах местного самоуправления, расположенных в Уральском федеральном округе (далее – УрФО), в настоящее время эксплуатируется около 1000 информационных систем общего пользования.

Информационные системы, эксплуатируемые органами государственной власти и органами местного самоуправления субъектов Российской Федерации УрФО, требующие осуществления мер по обеспечению безопасности информации, создаются, как правило, в рамках реализации федеральной целевой программы «Электронная Россия (2002 – 2010 годы)» и в основном связаны с применением информационных технологий для оказания государственных и муниципальных услуг населению, а также для внедрения систем электронного документооборота.

Характерными особенностями порядка использования информационных систем территориальных органов федеральных органов исполнительной власти являются их интегрированность в единую информационно-телекоммуникационную систему органов исполнительной власти, а также централизованность политики безопасности информации, определяемой вышестоящим органом власти.

В ходе мероприятий по контролю обеспечения безопасности информации в информационных системах общего пользования органов государственной власти субъектов Российской Федерации и органов местного самоуправления, расположенных в УрФО, проведенных Управлением в 2008 – 2011 годах, установлено, что в целом, реализованные меры защиты направлены на обеспечение защиты общедоступной информации, предназначенной для размещения в информационно-телекоммуникационной сети «Интернет». Вместе с тем, имеются нарушения и недостатки, являющиеся типовыми:

не определен конкретный орган (подразделение, специалист), осуществляющий непосредственное выполнение работ по решению вопросов безопасности информации в информационной системе (системах);

внедренный комплекс мер по обеспечению безопасности информации не обеспечивает устранение всех возможных угроз безопасности информации, прежде всего от несанкционированного доступа;

используются несертифицированные по требованиям безопасности информации средства защиты.

Отсутствие единого системного подхода затрудняет разработку и внедрение мероприятий по обеспечению безопасности информации и не обеспечивает устранение (нейтрализацию) всех возможных угроз безопасности информации (прежде всего от несанкционированного доступа), обрабатываемой в информационных системах. В случае реализации угроз безопасности информации в информационных системах возможно нарушение целостности и доступности информации, что может привести к нарушению конституционных прав граждан и к негативной социально-политической обстановке в городе (регионе).

Возможным решением этого проблемного вопроса может стать размещение информации в единой информационной системе (на единой технической площадке), что позволит обеспечить оптимизацию по вопросам:

использования технических средств, на которых осуществляется обработка информации (серверы, каналы передачи данных);

обеспечения доступа к сетям связи общего пользования, в том числе к международной компьютерной сети «Интернет» (один провайдер);

привлечения необходимого числа специалистов по сопровождению информационной системы, в том числе специалистов по защите информации;

использования необходимого количества средств защиты информации, сертифицированных по требованиям безопасности информации;

использования необходимого комплекта сертифицированных программных средств, предназначенных для контроля эффективности мер по защите информации от несанкционированного доступа.

В качестве примера по решению проблем в области организации работ по обеспечению безопасности информации, обрабатываемой в информационной системе общего пользования, можно привести организацию защиты информации, обрабатываемой на портале «Официальный Портал органов государственной власти Тюменской области», созданного для реализации полномочий органов государственной власти Тюменской области. Кроме органов государственной власти, информацию о своей деятельности (сайты) на портале размещают практически все органы местного самоуправления Тюменской области.

Функции оператора портала возложены на Государственное бюджетное учреждение «Центр информационных технологий Тюменской области» (далее – ГБУ «ЦИТО»). ГБУ «ЦИТО» непосредственно выполняет необходимые мероприятия по защите информации, размещаемой на портале, и имеет необходимые лицензии ФСБ России и ФСТЭК России, дающие право осуществлять работы по обеспечению безопасности информации.

Правовая и нормативная база, определяющая вопросы использования сертифицированного оборудования и программного обеспечения при работе со служебной информацией в органах власти и управления, определена Федеральными законами, Указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами федеральных органов исполнительной власти Российской Федерации.

Необходимо отметить, что использование несертифицированного программного обеспечения в органах государственной и исполнительной властей, а также местного самоуправления, не гарантирует того, что такое программное обеспечение не имеет так называемых недекларированных возможностей, что может создать предпосылки к утечке информации либо ее блокированию или искажению. Например, искажение информации на официальном портале органа государственной власти вполне может спровоцировать неадекватную реакцию населения. Кроме того, использование несертифицированных программных средств защиты информации (антивирусов) может создать предпосылки к доступу к информации, в том числе и из сетей общего пользования. В ходе наших проверок мы рекомендуем устанавливать технические и программные средства, удовлетворяющие устанавливаемым в соответствии с законодательством Российской Федерации требованиям в области защиты информации.

Проблемным вопросом остается обеспечение безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн).

Операторами персональных данных ведутся работы в этом направлении.

В то же время, созданные системы организационно-технических мероприятий не позволяют в полной мере обеспечить безопасность ПДн в соответствии с требованиями правовых актов Российской Федерации. Работы по определению угроз безопасности ПДн при их обработке в информационных системах операторами не проводятся, вследствие чего системы защиты ПДн, обеспечивающие нейтрализацию предполагаемых угроз, не созданы, что не позволяет осуществлять постоянный контроль обеспечения уровня защищённости ПДн. При осуществлении сбора, хранения, использования и передачи ПДн созданные системы не в полной мере способны нейтрализовать угрозы несанкционированного доступа, как со стороны внутренних пользователей, так и со стороны пользователей международной компьютерной сети «Интернет».

Непростая ситуация с реализацией требований федерального законодательства по защите ПДн складывается у тех операторов, чьи ИСПДн являются региональными сегментами (входят в состав) общероссийских информационных систем.

Это связано, прежде всего, с тем, что политика безопасности в таких информационных системах определяется вышестоящими органами. Разработка и внедрение комплекса мер по обеспечению безопасности ПДн производится централизовано, как правило, путём внедрения типовых решений с установлением и предварительной настройкой аппаратных программных средств защиты информации. В таких случаях операторы ПДн устраняются от проведения самостоятельных работ по обеспечению безопасности информации у себя в организациях. Внутренние документы операторов, определяющие общие правила размещения ИСПДн, охраны помещений, где они размещены, а также определяющие организацию режима обеспечения безопасности в этих помещениях, не отрабатываются.

Такое положение дел ставит вопрос об усилении контроля за деятельностью операторов по выполнению требований нормативных, правовых актов Российской Федерации, а также нормативно-методических документов ФСБ России и ФСТЭК России по обеспечению безопасности персональных данных.

В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», который в полном объёме вступил в силу с 1 июля 2011 года, лица, виновные в нарушении требований настоящего закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Право привлекать к административной ответственности лиц, виновных в нарушении положений закона о ПДн и направлять в органы прокуратуры материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, возложено на Роскомнадзор. В соответствии с законодательством Российской Федерации Роскомнадзор обязан принимать меры по приостановлению или прекращению обработки ПДн по представлению ФСБ России и ФСТЭК России.

В связи с этим предлагаю поддерживать тесное взаимодействие заинтересованных органов исполнительной власти, уполномоченных в области защиты ПДн, в рамках проводимых проверок, а также осуществлять взаимный обмен информацией по выявленным нарушениям в этой области.

Добавлю, что по инициативе нашего Управления в УрФО функционирует рабочая группа представителей территориальных органов Роскомнадзора, ФСБ России, ФСТЭК России, Минюста России и Координационно-методического совета организаций-лицензиатов ФСТЭК России и ФСБ России в УрФО и операторов, организующих и осуществляющих обработку персональных данных, по координации деятельности в области обеспечения безопасности ПДн. Очередное заседание этой группы запланировано на IV квартал этого года.

В заключение своего выступления хотелось бы выразить признательность и благодарность за значительный и весомый вклад в развитие и укрепление государственной системы защиты информации в федеральном округе руководителям подразделений технической защиты:

начальнику отдела ТЗИ информационно-технического управления Администрации Губернатора Челябинской области Огорельцеву Евгению Васильевичу;

начальнику отдела ТЗИ Главного управления специальных мероприятий Тюменской области Горбунову Семёну Борисовичу;

начальнику Управления защиты информации департамента специальных мероприятий Ямало-Ненецкого автономного округа - Абакумцу Владимиру Ивановичу;

начальнику отдела ТЗИ Управления специальных мероприятий Аппарата Губернатора Ханты-Мансийского автономного округа – Югры Чиликову Андрею Юрьевичу;

заместителю начальника Управления информационных технологий Правительства Курганской области-начальнику отдела информационно-технического обеспечения и ТЗИ Галактионову Вячеславу Владимировичу.

В тоже время, хотелось бы рекомендовать руководителю подразделения по технической защите информации Правительства Свердловской области более тесно взаимодействовать с нашим Управлением в вопросах организации защиты информации.