Коротин Михаил Иванович Министерство науки, информатизации и новых технологий Республики Мордовия Практика применения методических документов в сфере защиты. - презентация

1 Коротин Михаил Иванович Министерство науки, информатизации и новых технологий Республики Мордовия Практика применения методических документов в сфере защиты персональных данных в Республике Мордовия

2 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данныхчастью 2

3 Приказ ФСТЭК России, ФСБ России и Мининформсвязи России определяющий порядок проведения классификации информационных систем персональных данных Рекомендации по обеспечению безопасности персональных данных при их обработке в ИСПД; Методика определения актуальных угроз безопасности персональных данных; Базовая модель угроз безопасности персональных данных; Основные мероприятия по организации и техническому обеспечению безопасности персональных данных. Перечень нормативно-методических документов утвержденных ФСТЭК России в 2008 году

4 «Трехглавый приказ» Основные мероприятия по организации и техническому обеспечению безопасности ПД Рекомендации по обеспечению безопасности персональных данных при их обработке в ИСПД Методика определения актуальных угроз безопасности персональных данных Базовая модель угроз безопасности персональных данных, включающая в себя все возможные каналы утечки информации и угрозы несанкционированного доступа к ней

5 Данные НМД (нормативно-методические документы) были направлены во все органы государственной власти и органы местного самоуправления Республики Мордовия Во исполнение поручения ФСТЭК России по ПФО были собраны сведения о классификации всех ИСПДН в ОГВ и ОМС Республики Мордовия. На протяжение нескольких месяцев проводились разъяснительные работы по данным НМД. Был проведен семинар по вопросу классификации ИСПДН с участием ответственных за исполнение представителей от всех ОГВ и ОМС Сотрудники Администрации Главы и Мининформнауки в июне месяце участвовали в сборах руководителей подразделений по защите информации в городе Казань, на которых подробно обсуждалась проблема защиты ПД.

6 Типовое положение о порядке организации работ по защите конфиденциальной информации в органах государственной власти Республики Мордовия Типовой перечень сведений конфиденциального характера ОГВ РМ

7

8 Сертифицированные ОС Windows XP Prof SP 2 и Windows 2003 Server Программный комплекс СЗИ «VIPNet» Антивирусное ПО «Dr. Web Enterprise Suite» версия

9 Акт классификации АИС ЭСРН РМ Технический паспорт АИС ЭСРН РМ Перечень защищаемых информационных ресурсов АИС ЭСРН РМ Регламент предоставления доступа сотрудникам Министерства социальной защиты населения РМ к ресурсам АИС ЭСРН РМ Таблица разграничения доступа к защищаемым ресурсам АИС ЭСРН РМ (Матрица доступа) Положение о порядке организации и проведения работ по защите конфиденциальной информации в АИС ЭСРН РМ Инструкция администратора информационной безопасности АИС ЭСРН РМ Образец типовой заявки на внесение изменений в списки пользователей АИС ЭСРН РМ

10 Общий порядок функционирования АИС ЭСРН и регламенты взаимодействия ее с другими информационными системами Принципы функционирования подсистемы информационной безопасности АИС ЭСРН Основные виды и категории защищаемых информационных ресурсов АИС ЭСРН Порядок обращения с защищаемыми информационными ресурсами в АИС ЭСРН Основные права, обязанности и порядок работы пользователей и администраторов с функциональными подсистемами АИС ЭСРН Права доступа к защищаемым информационным ресурсам и порядок их получения Права и обязанности лиц, ответственных за обеспечение защиты информации в АИС ЭСРН Ответственность за нарушение установленного порядка работ в АИС ЭСРН

11 работа по обеспечению нормативно- методическими материалами и помощи по этим документам проводилась не только в ОГВ но и в ОМС на практике работа с ОМС сложнее напрямую они не подчиняются ОГВ, и контроль за ними опосредован, можно только рекомендовать те или иные действия

12 ФЗ 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» позволяет выделить 3 группы вопросов, находящихся в ведении муниципальных образований: вопросы местного значения (ст. 14, 15, 16); отдельные государственные полномочия, переданные органам местного самоуправления федеральными законами или законами субъектов РФ (ст. 19); вопросы, не отнесенные к вопросам местного значения, право решения которых предоставлено органам местного самоуправления (ст. 14.1, 15.1, 16.1).

13 Вопросы местного значения рассматриваются как вопросы непосредственного обеспечения жизнедеятельности населения муниципального образования, решение которых в соответствии с Конституцией Российской Федерации и настоящим Федеральным законом осуществляется населением и (или) органами местного самоуправления самостоятельно (перечни вопросов местного значения установлены в ст. 14, 15, 16 ФЗ) Если же полномочия выходят за рамки вопросов местного значения, то они должны признаваться государственными полномочиями, которые органы местного самоуправления не обязаны осуществлять за счет средств местных бюджетов. Так, в ст. 14, 15, 16 какие-либо полномочия органов местного самоуправления по вопросам обеспечения информационной безопасности, в том числе, технической защиты информации, в органах местного самоуправления отсутствуют.

14 Государственные полномочия могут передаваться органам местного самоуправления только законами: - федеральными; - субъектов РФ. Передача на местный уровень делегированных субъектам федеральных полномочий допустима только в случае, если это прямо разрешено (предусмотрено) федеральным законом!

15 вид или наименование муниципального образования перечень прав и обязанностей органов местного самоуправления способ расчета нормативов для определения общего объема субвенций перечень подлежащих передаче в пользование и (или) управление либо в муниципальную собственность материальных средств порядок отчетности органов местного самоуправления об осуществлении переданных им отдельных государственных полномочий порядок осуществления органами государственной власти контроля за осуществлением отдельных государственных полномочий условия и порядок прекращения осуществления органами местного самоуправления переданных им отдельных государственных полномочий

16 Внести дополнения в Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Если подобные изменения в ФЗ будут внесены, впоследствии необходимо будет принять Закон Республики Мордовия «О наделении органов местного самоуправления муниципальных районов и г.о. Саранск в Республике Мордовия государственными полномочиями Российской Федерации по обеспечению информационной безопасности, в том числе, технической защиты информации, в органах местного самоуправления».

17 Коротин Михаил Иванович Министерство науки, информатизации и новых технологий Республики Мордовия Спасибо!