Коротин Михаил Иванович Министерство науки, информатизации и новых технологий Республики Мордовия Практика применения методических документов в сфере защиты персональных данных в Республике Мордовия
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данныхчастью 2
Приказ ФСТЭК России, ФСБ России и Мининформсвязи России определяющий порядок проведения классификации информационных систем персональных данных Рекомендации по обеспечению безопасности персональных данных при их обработке в ИСПД; Методика определения актуальных угроз безопасности персональных данных; Базовая модель угроз безопасности персональных данных; Основные мероприятия по организации и техническому обеспечению безопасности персональных данных. Перечень нормативно-методических документов утвержденных ФСТЭК России в 2008 году
«Трехглавый приказ» Основные мероприятия по организации и техническому обеспечению безопасности ПД Рекомендации по обеспечению безопасности персональных данных при их обработке в ИСПД Методика определения актуальных угроз безопасности персональных данных Базовая модель угроз безопасности персональных данных, включающая в себя все возможные каналы утечки информации и угрозы несанкционированного доступа к ней
Данные НМД (нормативно-методические документы) были направлены во все органы государственной власти и органы местного самоуправления Республики Мордовия Во исполнение поручения ФСТЭК России по ПФО были собраны сведения о классификации всех ИСПДН в ОГВ и ОМС Республики Мордовия. На протяжение нескольких месяцев проводились разъяснительные работы по данным НМД. Был проведен семинар по вопросу классификации ИСПДН с участием ответственных за исполнение представителей от всех ОГВ и ОМС Сотрудники Администрации Главы и Мининформнауки в июне месяце участвовали в сборах руководителей подразделений по защите информации в городе Казань, на которых подробно обсуждалась проблема защиты ПД.
Типовое положение о порядке организации работ по защите конфиденциальной информации в органах государственной власти Республики Мордовия Типовой перечень сведений конфиденциального характера ОГВ РМ
Сертифицированные ОС Windows XP Prof SP 2 и Windows 2003 Server Программный комплекс СЗИ «VIPNet» Антивирусное ПО «Dr. Web Enterprise Suite» версия
Акт классификации АИС ЭСРН РМ Технический паспорт АИС ЭСРН РМ Перечень защищаемых информационных ресурсов АИС ЭСРН РМ Регламент предоставления доступа сотрудникам Министерства социальной защиты населения РМ к ресурсам АИС ЭСРН РМ Таблица разграничения доступа к защищаемым ресурсам АИС ЭСРН РМ (Матрица доступа) Положение о порядке организации и проведения работ по защите конфиденциальной информации в АИС ЭСРН РМ Инструкция администратора информационной безопасности АИС ЭСРН РМ Образец типовой заявки на внесение изменений в списки пользователей АИС ЭСРН РМ
Общий порядок функционирования АИС ЭСРН и регламенты взаимодействия ее с другими информационными системами Принципы функционирования подсистемы информационной безопасности АИС ЭСРН Основные виды и категории защищаемых информационных ресурсов АИС ЭСРН Порядок обращения с защищаемыми информационными ресурсами в АИС ЭСРН Основные права, обязанности и порядок работы пользователей и администраторов с функциональными подсистемами АИС ЭСРН Права доступа к защищаемым информационным ресурсам и порядок их получения Права и обязанности лиц, ответственных за обеспечение защиты информации в АИС ЭСРН Ответственность за нарушение установленного порядка работ в АИС ЭСРН
работа по обеспечению нормативно- методическими материалами и помощи по этим документам проводилась не только в ОГВ но и в ОМС на практике работа с ОМС сложнее напрямую они не подчиняются ОГВ, и контроль за ними опосредован, можно только рекомендовать те или иные действия
ФЗ 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» позволяет выделить 3 группы вопросов, находящихся в ведении муниципальных образований: вопросы местного значения (ст. 14, 15, 16); отдельные государственные полномочия, переданные органам местного самоуправления федеральными законами или законами субъектов РФ (ст. 19); вопросы, не отнесенные к вопросам местного значения, право решения которых предоставлено органам местного самоуправления (ст. 14.1, 15.1, 16.1).
Вопросы местного значения рассматриваются как вопросы непосредственного обеспечения жизнедеятельности населения муниципального образования, решение которых в соответствии с Конституцией Российской Федерации и настоящим Федеральным законом осуществляется населением и (или) органами местного самоуправления самостоятельно (перечни вопросов местного значения установлены в ст. 14, 15, 16 ФЗ) Если же полномочия выходят за рамки вопросов местного значения, то они должны признаваться государственными полномочиями, которые органы местного самоуправления не обязаны осуществлять за счет средств местных бюджетов. Так, в ст. 14, 15, 16 какие-либо полномочия органов местного самоуправления по вопросам обеспечения информационной безопасности, в том числе, технической защиты информации, в органах местного самоуправления отсутствуют.
Государственные полномочия могут передаваться органам местного самоуправления только законами: - федеральными; - субъектов РФ. Передача на местный уровень делегированных субъектам федеральных полномочий допустима только в случае, если это прямо разрешено (предусмотрено) федеральным законом!
вид или наименование муниципального образования перечень прав и обязанностей органов местного самоуправления способ расчета нормативов для определения общего объема субвенций перечень подлежащих передаче в пользование и (или) управление либо в муниципальную собственность материальных средств порядок отчетности органов местного самоуправления об осуществлении переданных им отдельных государственных полномочий порядок осуществления органами государственной власти контроля за осуществлением отдельных государственных полномочий условия и порядок прекращения осуществления органами местного самоуправления переданных им отдельных государственных полномочий
Внести дополнения в Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Если подобные изменения в ФЗ будут внесены, впоследствии необходимо будет принять Закон Республики Мордовия «О наделении органов местного самоуправления муниципальных районов и г.о. Саранск в Республике Мордовия государственными полномочиями Российской Федерации по обеспечению информационной безопасности, в том числе, технической защиты информации, в органах местного самоуправления».
Коротин Михаил Иванович Министерство науки, информатизации и новых технологий Республики Мордовия Спасибо!