Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Администрации муниципального образования Узловский район Тульской области от 29 июня 2011 г. N 645 "Об утверждении муниципальной программы "Обеспечение безопасности персональных данных в органах местного самоуправления Узловского района на 2011 - 2012 годы" (с изменениями и дополнениями)
- Приложение. Муниципальная программа "Обеспечение безопасности персональных данных в органах местного самоуправления узловского района на 2011 - 2012 годы"
- Раздел 2. Характеристика задачи, решение которой осуществляется путем реализации муниципальной программы, включая анализ причин ее возникновения, целесообразность и необходимость решения на муниципальном уровне, обоснование необходимости программного решения проблемы
Раздел 2. Характеристика задачи, решение которой осуществляется путем реализации муниципальной программы, включая анализ причин ее возникновения, целесообразность и необходимость решения на муниципальном уровне, обоснование необходимости программного решения проблемы
Раздел 2. Характеристика задачи, решение которой
осуществляется путем реализации муниципальной программы,
включая анализ причин ее возникновения, целесообразность
и необходимость решения на муниципальном уровне,
обоснование необходимости программного решения проблемы
2.1. Характеристика проблемы.
На территории муниципального образования Узловский район системно повышается роль информационных технологий в развитии взаимодействия между органами местного самоуправления и гражданами. В связи с чем информационная безопасность становится социально значимым фактором, обусловленным недопущением разглашения информации ограниченного доступа, в т.ч. касающейся частной жизни граждан.
Доступность средств вычислительной техники привела к распространению компьютерной грамотности в широких слоях населения, что закономерно привело к увеличению числа попыток неправомерного вмешательства в работу муниципальных автоматизированных систем. Положение усугубляется тем, что законодательное (правовое) и нормативное обеспечение защиты интересов субъектов информационных отношений отстает от потребностей личности, общества и государства. Отставание в области создания стройной и непротиворечивой системы законодательно-правового регулирования отношений в сфере использования информации создает условия для возникновения и распространения "компьютерной преступности". Еще одним весомым аргументом в пользу усиления внимания к вопросам защиты информации является бурное развитие и распространение так называемых компьютерных вирусов, способных скрытно существовать в информационно-телекоммуникационных системах и совершать потенциально любые несанкционированные действия. Особую опасность для таких систем представляют злоумышленники, специалисты-профессионалы в области информационных технологий, досконально знающие все достоинства и слабые места вычислительных систем и располагающие подробнейшей документацией, а также самыми совершенными инструментальными и технологическими средствами для анализа и взлома механизмов защиты. Все это требует усиления государственного внимания к вопросам организации защиты персональных данных, принятия дополнительных мер правового и технического характера, сложных по реализации и затратных по исполнению.
Неправомерное искажение или фальсификация, уничтожение или разглашение персональных данных, равно как и дезорганизация процессов их обработки и передачи в информационно-управляющих системах наносят серьезный материальный и моральный урон органам местного самоуправления, бюджетным учреждениям и другим субъектам, участвующим в процессах автоматизированного информационного взаимодействия. Жизненно важные интересы этих субъектов, как правило, заключаются в том, чтобы персональная информация была бы постоянно легко доступна и, в то же время, надежно защищена от неправомерного ее использования, нежелательного разглашения, фальсификации, незаконного тиражирования или уничтожения.
Безопасность персональных данных должна достигаться путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать их уничтожение, изменение, блокирование, копирование или несанкционированное распространение.
Безопасность персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн) должна обеспечиваться с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Руководители органов местного самоуправления Узловского района при обработке персональных данных обязаны принимать необходимые организационные и технические меры по защите ПДн.
Конкретные методы и способы защиты информации в ИСПДн установлены методическими документами Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации. Средства защиты информации, применяемые в информационных системах, в установленном порядке должны проходить процедуру оценки соответствия. Оценку достаточности принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах предписано проводить на постоянной основе.
В настоящее время в вопросах защиты персональных данных в ряде органов местного самоуправления района существует ряд недостатков:
- не выполняются работы по анализу угроз безопасности ИСПДн (в результате этого возможные каналы утечки информации не определены, мероприятия по их закрытию не спланированы);
- не организованы необходимые меры защиты в ИСПДн;
- не внедряются сертифицированные программные и технические средства защиты;
- не выполняются работы по аттестации ИСПДн согласно требованиям по безопасности информации;
- передача персональных данных осуществляется в открытом (незащищенном) режиме;
- отсутствует достаточное количество квалифицированных специалистов, ответственных за обеспечение безопасности ПДн.
В результате в органах местного самоуправления района создаются условия для:
- нарушения конфиденциальности персональных данных путем перехвата техническими средствами разведки, хищения или копирования;
- блокирования информации (нарушения доступности к ПДн);
- уничтожения ПДн;
- модификации (искажения) ПДн;
- нарушения адресности при передаче ПДн по каналам связи;
- отрицания подлинности ПДн;
- навязывания ложной информации.
2.2. Угрозы безопасности персональных данных.
Выявление и учет угроз безопасности персональных данных в конкретных условиях составляют основу для планирования и осуществления мероприятий, направленных на обеспечение безопасности персональных данных при их обработке в ИСПДн.
Угрозы безопасности персональных данных при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан.
Угрозы безопасности персональных данных могут быть реализованы за счет их утечки по техническим каналам либо за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения.
Источниками угроз, реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть:
- нарушитель (человек);
- программно-аппаратная закладка.
По виду несанкционированных действий, осуществляемых с персональными данными, выделяются следующие классы угроз:
- угрозы, приводящие к нарушению конфиденциальности персональных данных (копирование или несанкционированное распространение);
- угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение или блокирование персональных данных, в т.ч. их уничтожение.
По виду каналов, с использованием которых реализуются угрозы безопасности персональных данных, выделяются следующие классы угроз:
- угрозы, реализуемые через технические каналы утечки информации, то есть каналы, возникающие за счет использования технических средств съема (добывания) информации, обрабатываемой в технических средствах ИСПДн или вспомогательных технических средствах и системах (ВТСС);
- угрозы, реализуемые за счет несанкционированного доступа к персональным данным в ИСПДн с использованием штатного программного обеспечения ИСПДн или специально разрабатываемого программного обеспечения.
Реализация угроз безопасности персональных данных может привести к значительным негативным последствиям для органов местного самоуправления Узловского района.
Возможными последствиями в случае реализации данных угроз могут стать:
утечка персональных данных, ухудшение качества функционирования (сбои в работе) ИСПДн в органах местного самоуправления Узловского района;
экономический, финансовый, моральный ущерб;
нарушения конституционных прав граждан;
снижение авторитета, деловой репутации и, соответственно, степени доверия к органам местного самоуправления Узловского района, ущерб престижу власти.