Найти в Дзене
Юридическая зона | Yurzone
77 подписчиков

Обеспечение безопасности государственных информсистем

4
3 мин
Протекающие в государстве и обществе процессы глобальной информатизации и цифровизации затрагивают в числе прочих и сферу государственной службы. Что подразумевается под понятием Успешное развитие любой организации, в том числе государственной, невозможно без применения ИТ-технологий, а значит, без продуманной, внедренной политики информационной безопасности. Основы обеспечения безопасности активов госучреждений: Под управлением ИБ государственных учреждений понимают: Объектом защиты являются не только данные, содержащиеся в системе, но и оборудование, съемные носители, средства связи, операционные системы, программное обеспечение. Меры по защите призваны не допустить несанкционированное проникновение к таким объектам и ограничить доступ пользователей к ним в пределах компетентности. Каким законом регулируется Деятельность по обеспечению ИБ осуществляется на основе и в соответствии с действующим законодательством Российской Федерации. Госсектор обязан выполнять нормативные требования
Оглавление

Протекающие в государстве и обществе процессы глобальной информатизации и цифровизации затрагивают в числе прочих и сферу государственной службы.

Что подразумевается под понятием

Успешное развитие любой организации, в том числе государственной, невозможно без применения ИТ-технологий, а значит, без продуманной, внедренной политики информационной безопасности.

Основы обеспечения безопасности активов госучреждений:

  1. Разработка и поддержание в рабочем состоянии процессов управления базами данных.
  2. Обеспечение целостности, доступности и конфиденциальности информации.
  3. Соблюдение требований межгосударственных и национальных стандартов в области защиты информации.

Под управлением ИБ государственных учреждений понимают:

  • недопущение несанкционированного или непреднамеренного доступа к информационным ресурсам организации
  • разработка системы, препятствующей распространению персональных данных
  • распределение/ограничение прав должностных лиц на получение информации
  • создание системы защиты данных от утечки, уничтожения, копирования, потери, разглашения данных
  • создание банков данных, сохраняющих конфиденциальную информацию в достоверном виде
  • регулярные проведения аудитов.

Объектом защиты являются не только данные, содержащиеся в системе, но и оборудование, съемные носители, средства связи, операционные системы, программное обеспечение.

Меры по защите призваны не допустить несанкционированное проникновение к таким объектам и ограничить доступ пользователей к ним в пределах компетентности.

Каким законом регулируется

Деятельность по обеспечению ИБ осуществляется на основе и в соответствии с действующим законодательством Российской Федерации.

Госсектор обязан выполнять нормативные требования, изложенные в следующих законах, приказах:

  • №152-ФЗ «О персональных данных» – об обработке, хранении и доступе к персональным данным
  • 182-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» – об обеспечении устойчивого функционирования КИИ (объекты здравоохранения, транспорта, науки, связи, энергетики, банковской и финансовой сферы и других) при проведении компьютерных атак
  • Закон «О государственной тайне» от 21.07.1993 N 5485-1
  • N 149-ФЗ «Об информации, информационных технологиях и о защите информации» – о правовом регулировании отношений в сфере информации.

Правом определять стратегию в сфере безопасности государство наделило ФСТЭК.

Организации, проектирующие информационные системы, берут за основу не только стандарты, в первую очередь они ориентируются на методики ФСТЭК:

  • приказ № 21 – меры защиты для информационных систем и персональных данных
  • приказ № 17 – меры защиты государственных информационных систем
  • приказ № 239 – меры защиты значимых объектов.

ФСТЭК определяет основные различия между моделями систем для госучреждений и частных компаний:

  1. Госсектор может привлечь для создания системы безопасности только лицензированные компании.
  2. Формировать требований к безопасности только на основе определенных национальных стандартов (ГОСТ Р 51583, ГОСТ Р 51624, ГОСТ Р 50739, стандарты группы ГОСТ 34.)
  3. Для государственной информационной системы допускается три класса защиты – по территориальному признаку (от федерального до муниципального).
  4. Модель угроз для госорганизации составляется только на основании документов и баз данных регулятора.

Наказание за нарушение правил IT-безопасности госорганов

Правовое регулирование отношений, возникающих в сфере информации/защиты информации основано на принципах свободы ее поиска, получения и распространения. Ограничения могут быть установлены только федеральными законами.

Иными словами, информация доступна в той степени, в которой это допускается федеральными законами.

Статистика проверок говорит о том, что в большинстве случаев утечка происходит по вине недобросовестных сотрудников.

С этой проблемой никакие передовые технологии и технические решения не справятся:

  1. Зачастую высший топ-менеджмент недооценивает степень киберугроз.
  2. Сотрудники организации, работающие в Интернете, не соблюдают правил информационной безопасности.
  3. Уровень подготовленности сотрудников ИТ-подразделений, уполномоченных вовремя распознать, локализовать, устранить угрозу и ее последствия, не всегда соответствует требованиям.

ФСТЭК регулярно проводит плановые и внеплановые проверки деятельности госорганизаций в сфере защиты информации.

Результатами проверки становятся:

  • замечания, предписания об устранении недостатков
  • административный штраф
  • приостановка деятельности
  • привлечение к уголовной ответственности (в редких случаях)

Подписывайтесь на канал Юридическая зона | Yurzone, чтобы не пропустить интересные и полезные статьи.

1