Приложение к Постановлению от 19.05.2016 г № 1118
| Наименование муниципальной программы | Муниципальная программа "Защита информации органов местного самоуправления городского округа город Мегион на 2014 - 2016 годы" (далее - Программа) |
| Дата и номер | Постановление администрации города Мегиона от 30.10.2013 N 2481 Об утверждении муниципальной программы "Защита информации органов местного самоуправления городского округа город Мегион на 2014 - 2016 годы" |
| Разработчики программы | Отдел специальных мероприятий |
| Исполнители программы | Отдел специальных мероприятий администрации города Мегиона, Муниципальное бюджетное учреждение "Мегионский центр информационно-коммуникационных технологий "Вектор", Контрольно-счетная палата городского округа город Мегион, Дума города Мегиона |
| Координатор программы | Отдел специальных мероприятий |
| Цели программы | Предотвращение или существенное снижение ущерба органам местного самоуправления от утечки информации по техническим каналам и несанкционированного доступа к ней, преднамеренного воздействия на информацию с целью ее разрушения, уничтожения, модификации или блокирования. Обеспечение условий, способствующих реализации государственной политики в сфере информационной безопасности на территории автономного округа. |
| Задачи программы | 1. Организация обеспечения безопасности персональных данных. 2. Техническая защита персональных данных. 3. Подготовка кадров по вопросам защиты персональных данных. 4. Проведение в соответствии с требованиями защиты информации объекта информатизации (каб. 213 1 АРМ). |
| Перечень подпрограмм муниципальной программы и основных мероприятий | Основное мероприятие: 1. Обеспечение безопасности персональных данных |
| Нормативные документы, на основании которых принята программа | Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Постановление Правительства Российской Федерации от 01.10.2012 N 1119 "Требования к защите персональных данных при их обработке в информационных системах персональных данных", Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", Постановление администрации города Мегиона от 29.01.2016 N 86 "О муниципальных программах городского округа город Мегион". Постановление Правительства Российской Федерации от 21.12.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" |
| Сроки и этапы реализации программы | Программа принимается сроком: с 2014 по 2016 годы. Программа будет реализована в 3 этапа: 1 этап - 2014 год; 2 этап - 2015 год; 3 этап - 2016 год. |
| Финансовое обеспечение муниципальной программы | Общий объем финансовых затрат на реализацию программы из местного бюджета 5536,5 тыс. руб., в том числе: 2014 год - 2557 тыс. рублей; 2015 год - 2379,5 тыс. рублей; 2016 год - 600 тыс. рублей. |
| Целевые показатели муниципальной программы | Количество информационных систем, защищенных согласно требованиям по безопасности персональных данных, - 7; Количество муниципальных служащих и иных работников органов администрации города Мегиона, ответственных за защиту персональных данных, прошедших обучение, - 30. |
| Ожидаемые результаты реализации программы и показатели эффективности | Доля защищенных информационных систем, обрабатывающих персональные данные, - 100%%; Доля муниципальных служащих и иных работников, ответственных за защиту персональных данных, прошедших обучение, - 100%%. |
I.Характеристика проблемы
На территории городского округа город Мегион системно повышается роль информационных технологий в развитии взаимодействия между органами государственной власти, местного самоуправления и гражданами. В связи с этим информационная безопасность становится социально значимым фактором, обусловленным недопущением разглашения информации ограниченного доступа, в том числе информации, касающейся частной жизни граждан.
Доступность средств вычислительной техники привела к распространению компьютерной грамотности в широких слоях населения, что закономерно привело к увеличению числа попыток неправомерного вмешательства в работу государственных автоматизированных систем. К сожалению, многие из этих попыток имеют успех и наносят значительный урон всем заинтересованным субъектам информационных отношений. Положение усугубляется тем, что нормативное правовое обеспечение защиты интересов субъектов информационных отношений отстает от потребностей личности, общества и государства. Отставание в области создания строгой и непротиворечивой системы законодательно-правового регулирования отношений в сфере использования информации создает условия для возникновения и распространения "компьютерной преступности". Еще одним весомым аргументом в пользу усиления внимания к вопросам защиты информации является бурное развитие и распространение так называемых компьютерных вирусов, способных скрытно существовать в информационно-телекоммуникационных системах и совершать потенциально любые несанкционированные действия. Особую опасность для таких систем представляют также злоумышленники, специалисты-профессионалы в области информационных технологий, досконально знающие все достоинства и слабые места вычислительных систем и располагающие подробнейшей документацией, а также самыми совершенными инструментальными и технологическими средствами для анализа и взлома механизмов защиты. Все это требует усиления государственного внимания к вопросам организации защиты персональных данных, принятия дополнительных мер правового и технического характера, сложных по реализации и затратных по исполнению.
Неправомерное искажение или фальсификация, уничтожение или разглашение персональных данных, равно как и дезорганизация процессов их обработки и передачи в информационно-управляющих системах наносят серьезный материальный и моральный урон администрации города, бюджетным учреждениям и другим субъектам, участвующим в процессах автоматизированного информационного взаимодействия. Жизненно важные интересы этих субъектов, как правило, заключаются в том, чтобы персональная информация была бы постоянно легко доступна и, в то же время, надежно защищена от неправомерного ее использования, нежелательного разглашения, фальсификации, незаконного тиражирования или уничтожения.
Безопасность персональных данных должна достигаться путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать их уничтожение, изменение, блокирование, копирование или несанкционированное распространение.
Безопасность персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) должна обеспечиваться с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Руководители администрации города при обработке персональных данных обязаны принимать необходимые организационные и технические меры по защите ПДн.
Конкретные методы и способы защиты информации в ИСПДн установлены методическими документами Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации. Средства защиты информации, применяемые в информационных системах, в установленном порядке должны проходить процедуру оценки соответствия. Оценку достаточности принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах предписано проводить на постоянной основе.
В настоящее время в вопросах защиты персональных данных в администрации города существует ряд недостатков:
1.В технических заданиях и проектной документации на введенные в эксплуатацию системы ПДн отсутствуют требования по защите информации;
2.Не выполняются работы по анализу угроз безопасности ИСПДн (в результате этого возможные каналы утечки информации не определены, мероприятия по их закрытию не спланированы);
3.Не организованы необходимые меры защиты в ИСПДн;
4.Не внедряются сертифицированные программные и технические средства защиты;
5.Не выполняются работы по аттестации ИСПДн, согласно требованиям по безопасности информации;
6.Передача персональных данных осуществляется в открытом (незащищенном) режиме;
7.Отсутствует достаточное количество квалифицированных специалистов, ответственных за обеспечение безопасности ПДн.
В результате в администрации города создаются условия для:
1.Нарушения конфиденциальности персональных данных путем перехвата техническими средствами разведки, хищения или копирования;
2.Блокирования информации (нарушения доступности к ПДн);
3.Уничтожения ПДн;
4.Модификации (искажения) ПДн;
5.Нарушения адресности при передаче ПДн по каналам связи;
6.Отрицания подлинности ПДн;
7.Навязывания ложной информации.
II.Основные цели и задачи программы
Приоритет развития Ханты-Мансийского автономного округа - Югры (далее - ХМАО - Югры) в области защиты информации определяется постановлением Губернатора ХМАО - Югры от 17.07.2003 N 151 (далее - Постановление). В соответствии с пунктом 12 данного Постановления в систему технической защиты информации (далее - ТЗИ) ХМАО - Югры входят органы местного самоуправления.
Согласно пункту 5 Постановления основными целями системы ТЗИ являются:
1.Предотвращение или существенное снижение ущерба органами власти, органам местного самоуправления и предприятиям государственной и муниципальной собственности от утечки информации по техническим каналам и несанкционированного доступа к ней, преднамеренного воздействия на информацию с целью ее разрушения, уничтожения, модификации или блокирования;
2.Обеспечение условий, способствующих реализации государственной политики в сфере информационной безопасности на территории автономного округа.
Задачи программных мероприятий:
1.Организация обеспечения безопасности персональных данных.
2.Техническая защита персональных данных.
3.Подготовка кадров по вопросам защиты персональных данных.
4.Проведение в соответствии с требованиями защиты информации объекта информатизации (каб. 213 1 АРМ).
Программные мероприятия включают комплекс работ в представительном органе муниципального образования - Думе города Мегиона, исполнительно-распорядительном органе муниципального образования - администрации города Мегиона, контрольно-счетном органе муниципального образования - Контрольно-счетной палате городского округа города Мегион.
III.Сроки и этапы реализации программы
Сроки реализации Программы:
1 этап - 2014 год;
2 этап - 2015 год;
3 этап - 2016 год.
IV.Финансовое обеспечение муниципальной программы
Финансовое обеспечение Программы осуществляется в соответствии с приложением 2 к Программе.
V.Целевые показатели муниципальной программы
Целевые показатели Программы изложены в приложении 1 к Программе.
VI.Характеристика основных мероприятий муниципальной программы
Работы по созданию системы защиты ПДн проводятся в три этапа:
1.Предпроектный этап, включающий определение перечня защищаемых информационных ресурсов и технических средств, классификацию и категорирование объектов информатизации, разработку технического задания на создание СЗПДн.
2.Стадия разработки СЗПДн;
3.Стадия ввода в действие СЗПДн, включающая закупку, установку, опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию ИСПДн на их соответствие установленным требованиям.
На первом этапе проводятся следующие работы:
1.В администрации города назначаются должностные лица, ответственные за организацию и проведение работ по созданию системы защиты информации, определяются подразделения или отдельные специалисты, непосредственно участвующие в проведении указанных работ;
2.Определяются мероприятия по обеспечению режима конфиденциальности на стадии создания СЗПДн;
3.Проводится анализ циркуляции ПДн в органах администрации города, по результатам которого определяются состав технических средств и объектов информатизации, участвующих в обработке ПДн, условия их расположения, степень конфиденциальности и режимы обработки;
4.Определяются требования по защите персональных данных от несанкционированного доступа (далее - НСД) при их обработке в ИСПДн;
5.На основе исходных данных, полученных в результате обследования объектов информатизации, и предъявляемых к ним требований по защите информации от НСД определяется класс защищенности автоматизированных систем, участвующих в обработке персональных данных;
6.Распоряжением (приказом) руководителя определяется контролируемая зона (КЗ), в пределах которой исключено пребывание посторонних лиц, не имеющих постоянного или разового пропуска, а также транспортных средств;
7.Проводится анализ возможных технических каналов утечки информации;
8.Проводится оценка возможностей средств технических разведок и других источников угроз, которые опасны для администрации города Мегиона, в том числе со стороны преступных группировок, частных лиц, организаций и т.п. Указанная оценка производится на основе расчетных формул и данных, приведенных в нормативных документах Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России), и реально складывающейся оперативной обстановки;
9.Составляется перечень предполагаемых к использованию сертифицированных средств защиты информации;
10.Проводится оценка материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации;
11.Обосновывается необходимость привлечения специализированных предприятий для создания СЗПДн;
12.Разрабатывается техническое задание (ТЗ) на создание СЗПДн, в котором должны найти отражение следующие вопросы:
13.Исходные данные о создаваемой системе или иного объекта информатизации в техническом, программном, информационном и организационном аспектах;
14.Уровень защищенности информационных систем персональных данных (ИСПДн);
15.Классы защищенности автоматизированных систем (АС) по требованиям защиты от НСД;
16.Конкретизация требований к СЗПДн на основе нормативных документов, установленных классов защищенности ИСПДн;
17.Перечень выходных документов по окончании создания СЗПДн;
18.Состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.
На втором этапе:
1.Разрабатывается перечень организационных и технических мероприятий по защите объектов информатизации в соответствии с предъявляемыми в ТЗ требованиями, направленных на предотвращение утечки персональных данных за пределы контролируемой зоны. Указанные мероприятия должны обеспечить устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки ПДн;
2.Определяется состав серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
3.Определяется состав технических средств, подвергаемых специальным исследованиям и проверке;
4.Разрабатываются технические паспорта на объекты информатизации;
5.Разрабатываются инструкции по обеспечению безопасности информации на этапе эксплуатации технических средств;
6.Разрабатывается план выполнения организационных и технических мероприятий по защите ИСПДн;
7.Разрабатывается проектная документация.
Третий этап включает в себя проведение следующих видов работ:
1.Проведение специальных исследований несертифицированных технических средств и получение предписаний на их эксплуатацию;
2.Проведение (по решению руководителя) специальной проверки основных технических средств импортного производства;
3.Закупка сертифицированных серийно выпускаемых технических и программных средств защиты информации и их установка;
4.Монтаж и пусконаладка технических средств, входящих в состав ИСПДн;
5.Разработка и реализация разрешительной системы доступа к средствам вычислительной техники и автоматизированным системам, участвующим в обработке персональных данных;
6.Разработка организационно-распорядительной и рабочей документации по эксплуатации ИСПДн;
7.Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации;
8.Проведение инструментального контроля эффективности средств защиты, внедренных на объектах информатизации;
9.Приемо-сдаточные испытания СЗПДн по результатам ее опытной эксплуатации;
10.Аттестация ИСНДн по требованиям защиты информации.
При положительных результатах аттестации:
1.Владельцу ИСПДн выдается "Аттестат соответствия" этого объекта требованиям безопасности информации;
2.Распоряжением администрации города вводится разрешение на обработку персональных данных на тех объектах информатизации, на которые получены аттестаты соответствия.
Обучение кадров.
В целях организации и поддержания требуемого уровня безопасности персональных данных необходим высококвалифицированный персонал. Качество решений по защите информации во многом определяется уровнем подготовки специалистов в области информационной безопасности.
За последние годы вопрос подготовки необходимого количества высококвалифицированных специалистов в сфере информационной безопасности, как государственной проблемы, существенно обострился в связи с расширением информатизации всех сторон деятельности общества и государства, ростом спектра угроз безопасности информации, возрастанием тяжести последствий их реализации.
Действующая система подготовки кадров в области информационной безопасности на территории автономного округа носит несистемный характер (скорее отсутствует вообще). Поэтому дальнейшее развитие форм и методов подготовки специалистов по защите информации на основе внедрения новых информационных технологий, развития учебно-методической и материальной базы может рассматриваться как одно из важнейших направлений в комплексе мер по развитию системы защиты персональных данных.
В 2013 - 2016 годах необходимо организовать обучение руководителей администрации города, обслуживающего персонала, ответственного за защиту информации, в том числе пользователей на рабочих местах работе со средствами защиты информации (ознакомление с организационно-распорядительной документацией на систему защиты информации).
Систематизируя изложенное, мероприятия по обеспечению безопасности персональных данных формируются из 3 (трех) блоков:
1.Организация обеспечения безопасности персональных данных (организационный блок, включающий работы по предпроектным обследованиям, аудиту, экспертизам ИСПДн и оценкам их защищенности, классификации ИСПДн, выявлению и учету угроз безопасности ПД, разработке технических заданий на создание системы защиты персональных данных, проектированию ИСПДн, разработке нормативной и методической документации, а также формированию структуры системы защиты ПДн и т.д.).
2.Техническая защита персональных данных.
Технико-внедренческий блок, включающий защиту технических каналов утечки информации, защиту ПДн от несанкционированного доступа, закупку, монтаж и пусконаладку средств защиты, аттестацию ИСПДн согласно требованиям по безопасности информации, внедрение систем контроля недекларированных возможностей, регистрации и учета, обеспечения целостности, обнаружения вторжений, криптографической и антивирусной защиты и т.д.
3.Обучение кадров.
Образовательный блок, включающий организацию курсов подготовки и переподготовки работников администрации города по вопросам защиты ПДн, проведение обучающих семинаров, конференций и т.д.
VII.Механизм реализации муниципальной программы
Управление ходом реализации Программы осуществляет заказчик-координатор - отдел специальных мероприятий администрации города. Координатор Программы несет ответственность за реализацию Программы, уточняет сроки реализации мероприятий и объемы их финансирования.
Исполнители Программы:
1.Администрация города Мегиона;
2.Муниципальное бюджетное учреждение "Мегионский центр информационно-коммуникационных технологий "Вектор";
3.Контрольно-счетная палата городского округа город Мегион;
4.Дума города Мегиона.
Реализация мероприятий Программы осуществляется муниципальными заказчиками посредством заключения контрактов на приобретение товаров (оказание услуг, выполнение работ) для муниципальных нужд, заключаемых муниципальными заказчиками с исполнителями в установленном законодательством Российской Федерации порядке.
Администрация города осуществляет текущее управление реализацией Программы, обладает правом вносить предложения об изменении объемов финансовых средств, направляемых на решение отдельных задач Программы.
Для проведения текущего мониторинга реализации муниципальной программы отдел специальных мероприятий администрации города представляет в департамент экономической политики администрации города:
ежемесячно, в срок не позднее 10 числа, следующего за отчетным месяцем, сетевой график о финансовом обеспечении реализации муниципальной программы с пояснительной запиской о ходе реализации муниципальной программы на бумажном носителе и в электронной форме, за подписью руководителя;
ежемесячно, в срок не позднее 10 числа, следующего за отчетным месяцем, сетевой график достижения целевых показателей муниципальной программы с пояснительной запиской о ходе реализации муниципальной программы на бумажном носителе и в электронной форме, за подписью руководителя;
ежегодно, в срок не позднее 25 января года, следующего за отчетным годом, а также по окончании срока реализации муниципальной программы отчет о ходе реализации муниципальной программы, на бумажном носителе и в электронной форме, за подписью руководителя.
Координатор муниципальной программы обеспечивает размещение в соответствующем разделе официального сайта администрации города:
текста муниципальной программы в актуальной редакции в течение 10 рабочих дней со дня утверждения изменений;
текстов изменений, внесенных в муниципальную программу, в течение 5 рабочих дней со дня их утверждения;
ежемесячных отчетов о ходе реализации муниципальной программы в срок до 25 числа месяца, следующего за отчетным месяцем;
годовой отчет о ходе реализации муниципальной программы в срок до 20 апреля года, следующего за отчетным.
Информация для размещения предоставляется в управление информационной политики администрации города, оформленная в соответствии с инструкцией по делопроизводству в администрации города Мегиона.
Информация, подлежащая размещению, направляется координатором муниципальной программы для проверки и согласования в департамент экономической политики.
Исполнители Программы:
несут ответственность за эффективное и целевое использование денежных средств, предусмотренных на выполнение мероприятий Программы;
предоставляют координатору информацию, необходимую для проведения оценки эффективности реализации мероприятий муниципальной программы и подготовки годового отчета;
после реализации мероприятий, не позднее 01 числа месяца, следующего за отчетным, представляют координатору копии документов, подтверждающих исполнение обязательств по заключенным муниципальным контрактам, в том числе документов, подтверждающих факт оплаты.
Оценка эффективности муниципальных программ осуществляется в соответствии с Порядком проведения и критериями ежегодной оценки эффективности реализации муниципальных программ. В соответствии с данными оценки эффективности реализации программных мероприятий в Программу могут быть внесены корректировки.
В случае выявления лучших практик реализации программных мероприятий в Программу могут быть внесены корректировки, связанные с оптимизацией этих мероприятий.
В процессе реализации Программы могут появиться ряд рисков, такие как:
сокращение бюджетного финансирования, выделенного на выполнение Программы, что повлечет, исходя из новых бюджетных параметров, пересмотр стратегических задач Программы с точки зрения или их сокращения, или снижения ожидаемых эффектов от их решения;
отсутствие поставщиков, исполнителей товаров, работ (услуг), определяемых на конкурсной основе в порядке, установленном федеральным законодательством и нормативными правовыми актами автономного округа;
удорожание стоимости товаров, работ (услуг).
С целью минимизации рисков запланирована корректировка Программы по мере необходимости.