Проекты 2010 года 

 

Обеспечение информационной безопасности автоматизированных информационных систем в органах исполнительной власти Самарской области

1. Цели и задачи

Создание центра информационной безопасности (далее - ЦИБ) при Региональном центре управления государственными и муниципальными информационными системами и ресурсами Самарской области направлено на достижение следующих целей:

  • обеспечение комплексной информационной безопасности телекоммуникационной инфраструктуры и автоматизированных информационных систем в органах исполнительной власти Самарской области и подведомственных учреждений;
  • обеспечение комплексной защиты персональных данных (ПД) в информационных системах органов исполнительной власти Самарской области, местного самоуправления и подведомственных организациях;
  • обеспечение информационной безопасности Регионального удостоверяющего центра Самарской области.

Региональный ЦИБ позволит решать следующие задачи:        

  • проведение комплекса мероприятий, необходимых для оценки соответствия используемых в органах исполнительной власти и местного самоуправления мер и средств защиты информации конфиденциального характера, в том числе ПД требуемому уровню безопасности;
  • разработка рекомендаций по проведению мероприятий (нормативно-правовых и организационных), направленных на устранение выявленных недостатков, а также разработка перечня технических мер, методов и способов защиты, которые в дальнейшем будут использоваться в органах исполнительной власти и подведомственных учреждениях для защиты конфиденциальной информации и ПД;
  • консультация сотрудников органов исполнительной власти и местного самоуправления, ответственных за обеспечение безопасности конфиденциальной информации и ПД по вопросам проведения оценки состояния информационной безопасности и разработке мероприятий, направленных на ее укрепление;
  • проведение мероприятий по аттестации объектов информатизации (автоматизированные системы, защищенные помещения) на соответствие требованиям безопасности конфиденциальной информации;
  • проведение в помещениях специальных мероприятий по выявлению технических средств негласного съема информации («закладных устройств»).

2. Архитектура

Система комплексной защиты конфиденциальной информации включает в себя несколько направлений.

1. Организационные мероприятия:

  • разработка перечня мер, методов и способов защиты, которые в дальнейшем будут использоваться в органах исполнительной власти и подведомственных учреждениях для защиты конфиденциальной информации и ПД;
  • обеспечение нормативно-правовой документацией, регламентирующей защиту конфиденциальной информации и ПД в органах исполнительной власти и подведомственных учреждений;
  • разработка технического задания по внедрению средств защиты информации;
  • приведение информационных систем ПД в соответствие с требованиями федерального законодательства;
  • консультационная поддержка пользователей Регионального удостоверяющего центра Самарской области.

2. Техническая защита информации:

  • аттестация объектов информатизации, обрабатывающих информацию, содержащую сведения конфиденциального характера, а также информационных систем ПД;
  • проведение технических мероприятий по выявлению каналов утечки конфиденциальной информации, в том числе проведение специальных исследований и поиск «закладных устройств»;
  • внедрение технических средств защиты информации;
  • оценка достаточности и эффективности принятых мер и внедренных средств обеспечения информационной безопасности.

3. Применение криптографических методов и способов защиты информации:

  • шифрование конфиденциальной информации при передаче по открытым каналам связи в процессе взаимодействия участников информационных систем;
  • подтверждение авторства передаваемой информации;
  • осуществление контроля целостности информации, представленной в электронном виде, передаваемой в процессе взаимодействия участников информационных систем;
  • осуществление идентификации и аутентификации участников информационных систем в процессе взаимодействия;

3. Результаты

Создание единого Регионального ЦИБ Самарской области позволило:

  • провести инвентаризацию информационных систем персональных данных в органах исполнительной власти Самарской области, органах местного самоуправления и подведомственных учреждениях. В результате было выявлено более 6 000 ИСПДн;
  • провести оценку соответствия информационных систем персональных данных требованиям федерального законодательства в области защиты персональных данных;
  • сформировать технологическую базу для проведения работ по защите информации в органах исполнительной власти;
  • существенно сэкономить бюджетные средства, затрачиваемые на приведение информационных систем персональных данных в соответствие с требованиями Федерального закона от 27.07.2006 №-152 «О персональных данных»;
В рамках деятельности Регионального ЦИБ в 2010 году был проведен семинар по теме «Обеспечение безопасности персональных данных в системе здравоохранения и социальной защиты Самарской области в соответствии с требованиями законодательства РФ». При помощи видеоконференц-связи в семинаре приняли участие специалисты из 37 муниципальных образований.