Приложение. Городская долгосрочная целевая программа "Обеспечение реализации требований законодательства Российской Федерации по защите персональных данных в администрации города Томска на 2010-2012 годы". Постановление Администрации г. Томска от 19.11.2009 N 1140 "Об утверждении городской долгосрочной целевой программы "Обеспечение реализации требований законодательства Российской Федерации по защите персональных данных в администрации города Томска на 2010-2012 годы" (утратило силу)

Приложение к постановлению

администрации города Томска

от 19 ноября 2009 г. N 1140

Городская долгосрочная целевая программа
"Обеспечение реализации требований законодательства
Российской Федерации по защите персональных данных
в администрации города Томска на 2010-2012 годы"

I. Паспорт городской долгосрочной целевой Программы
"Обеспечение реализации требований законодательства
Российской Федерации по защите персональных данных
в администрации города Томска на 2010-2012 годы"

(название целевой программы)

Администрация города Томска

(заказчик программы)

Дата принятия правового акта о разработке Программы, дата ее утверждения (наименование и номер соответствующих нормативных документов)
Разработчики Программы	Комитет информатизации администрации города Томска
Цели и задачи Программы	Цели: 1. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) корпоративной информационной системы (КИС) администрации города Томска. 2. Выполнение организационно-технических требований по защите от угроз безопасности персональных данных при их обработке в ИСПДн. 3. Регламентация действий пользователей - сотрудников органов администрации города Томска в рамках технологического процесса обработки персональных данных в ИСПДн. 4. Формирование общего стандарта на программное обеспечение, используемое в структуре администрации города Томска для обеспечения безопасности персональных данных, обрабатываемых в ИСПДн. 5. Обеспечение эффективного расходования бюджетных средств на приобретение лицензионного ПО и сертифицированных средств защиты информации посредством проведения торгов в установленном порядке.
	Задачи: 1. Разработка организационных мер по реализации требований, предъявляемых к защите персональных данных. 2. Описание технологического процесса обработки персональных данных. 3. Организация разрешительной системы допуска к персональным данным, обрабатываемых в ИСПДн. 4. Описание ИСПДн с учетом используемых в данных системах средств защиты информации, содержащей персональные данные. 5. Разработка схем информационных потоков при обработке персональных данных. 6. Создание системы защиты персональных данных от несанкционированного доступа (НСД). 7. Учет средств защиты персональных данных и их носителей. 8. Ввод в эксплуатацию средств защиты информации, используемых в ИСПДн.
Целевые индикаторы и показатели	1. Количество пакетов сертифицированного программного обеспечения и программно-аппаратных средств защиты. 2. Количество ИСПДн органов администрации города Томска в защищенном исполнении на уровне межсетевого взаимодействия (межсетевые экраны). 3. Количество серверного оборудования и пользовательских рабочих мест с установленными системами от несанкционированного доступа. 4. Количество автоматизированных рабочих мест в органах администрации города Томска с внедренными системами антивирусного контроля с использование сертифицированного антивирусного ПО. 5. Акты внедрения в ИСПДн средств защиты персональных данных.
Сроки выполнения Программы	2010 - 2012 г.г.
Перечень подпрограмм и основных мероприятий	Программа выполняется в три этапа и предусматривает выполнение комплекса организационно-технических мероприятий по защите персональных данных, обрабатываемых в информационных системах персональных данных органов администрации города Томска в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"
Объемы и источники финансирования Программы (с разбивкой по годам)	Бюджет города Томска - 4 112,397 тыс. руб. 2010 г. - 1 661,1 2011 г. - 1 265,55 2012 г. - 1 185,747
Ожидаемые конечные результаты выполнения Программы	1. Утверждение акта о соответствии информационных систем персональных данных органов администрации города Томска требованиям безопасности информации по результатам их декларирования в соответствии с разработанными на основе Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного постановлением Правительства РФ от 17.11.2007 N 781, "Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" (утверждены заместителем директора ФСТЭК России 15.02.2008 года). 2. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных органов администрации города Томска путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.
Система организации контроля за исполнением Программы	Администрация города Томска

II. Анализ текущей ситуации

В связи с принятием Федерального закона "О персональных данных" от 27.07.2006 года N 152-ФЗ администрация города Томска, как орган местного самоуправления, является субъектом правоотношений в рамках данного закона, нормы которого направлены на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, а также на воплощение в жизнь международных обязательств Российской Федерации, взятых на себя при ратификации Конвенции Совета Европы о защите личности при обращении с персональными данными от 28 января 1981 года.

Основные требования законодательства в этой области включают в себя:

- Федеральный закон "О персональных данных" предписывает в обязательном порядке обеспечить соответствующую защиту обрабатываемых персональных данных;

- установлен предельный срок выполнения требований для информационных систем персональных данных, созданных до дня вступления в силу Федерального закона "О персональных данных" - 01.01.2010 года;

- вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиям Федерального закона "О персональных данных";

- определен перечень организационных и технических мероприятий;

- за неисполнение требований предусмотрены различные виды ответственности.

В настоящее время в администрации города Томска проведен определенный комплекс организационных мероприятий, направленных на выполнение требований законодательства и касающихся защиты персональных данных, обрабатываемых в используемых в администрации города Томска и ее органах информационных системах персональных данных. Основные проведенные мероприятия и принятые меры включают в себя:

1. Предварительный анализ информационных ресурсов администрации города Томска:

- определение способов обработки персональных данных;

- определение состава и объема обрабатываемых персональных данных;

- проведение категорирования персональных данных;

- проведение предварительной классификации информационных систем персональных данных.

2. Направление уведомлений администрации города Томска и ее органов в уполномоченный орган по защите прав субъектов персональных данных (Россвязькомнадзор) о своем намерении осуществлять обработку персональных данных. На основании этих уведомлений органы администрации, имеющие статус юридического лица, регистрируются в реестре операторов, осуществляющих обработку персональных данных.

3. Ведется разработка организационно-распорядительных документов, которые регламентируют весь процесс получения обработки, хранения передачи и защиты персональных данных.

Для завершения работы, результатом которой в соответствии с установленным классом (3 класс) информационных систем персональных данных (ИСПДн) является декларирование соответствия ИСПДн требованиям безопасности информации, помимо принятия организационных мер необходимо проведение технических мероприятий по защите информации.

Реализация технических мер защиты информации требует значительных финансовых затрат и в рамках предварительного обследования и анализа информационных ресурсов органов администрации города Томска должна быть направлена на создание системы защиты персональных данных от несанкционированного доступа (НСД), которая включает в себя приобретение и внедрение:

- сертифицированного ПО, обеспечивающего защиту персональных данных на уровне межсетевого взаимодействия (межсетевые экраны);

- сертифицированные сетевые и клиентские программно-аппаратные средства защиты от несанкционированного доступа с интегрированными в них системами обнаружения вторжений (СОВ) и анализа защищенности (САЗ)

- сертифицированного антивирусного программного обеспечения с интегрированной в нем системой защиты от программно-математического воздействия (ПМВ).

III. Основные цели и задачи Программы

Цели Программы:

1. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) корпоративной информационной системы (КИС) администрации города Томска.

2. Выполнение организационно-технических требований по защите от угроз безопасности персональных данных при их обработке в ИСПДн.

3. Обеспечение эффективного расходования бюджетных средств на приобретение лицензионного ПО и сертифицированных средств защиты информации посредством проведения торгов в установленном порядке.

4. Регламентация действий пользователей - сотрудников органов администрации города Томска в рамках технологического процесса обработки персональных данных в ИСПДн.

5. Формирование общего стандарта на программное обеспечение, используемое в структуре администрации города Томска для обеспечения безопасности персональных данных, обрабатываемых в ИСПДн.

Задачи Программы:

1. Разработка организационных мер по реализации требований, предъявляемых к защите персональных данных.

2. Описание технологического процесса обработки персональных данных.

3. Организация разрешительной системы допуска к персональным данным, обрабатываемых в ИСПДн.

4. Описание ИСПДн с учетом используемых в данных системах средств защиты информации, содержащей персональные данные.

5. Разработка схем информационных потоков при обработке персональных данных.

6. Создание системы защиты персональных данных от несанкционированного доступа (НСД), включающей в себя:

- защиту персональных данных при межсетевом взаимодействии;

- организацию автоматизированного анализа в рамках системы обнаружения вторжений (СОВ) и системы анализа защищенности (САЗ);

- защиту от НСД в зависимости от режима обработки персональных данных и класса ИСПДн;

- антивирусный контроль с использованием сертифицированного антивирусного ПО;

- защиту от программно-математического воздействия (ПМВ).

7. Учет средств защиты персональных данных и их носителей.

8. Ввод в эксплуатацию средств защиты информации, используемых в ИСПДн.

IV. Этапы Программы и сроки их реализации

Программа рассчитана на 2010 - 2012 годы.

Реализация Программы предполагается осуществить в 3 этапа при следующих объемах финансирования:

Источники финансирования	Этапы и объем финансирования (тыс. руб.)			Итого за 2010 - 2012 г.г.
	I этап - 2010 г.	II этап - 2011 г.	III этап - 2012 г.
Бюджет города Томска	1 661,1	1 265,55	1 185,747	4 112,397

V. Перечень основных мероприятий по каждому этапу Программы
с выделением приоритетных (первоочередных) мероприятий
и их ресурсное обеспечение

Перечень основных мероприятий Программы
"Обеспечение реализации требований законодательства
Российской Федерации по защите персональных данных
в администрации города Томска на 2010-2012 годы"

(название целевой программы)

Администрация города Томска

(заказчик программы)

N п/п	Наименование мероприятий	Приоритетность	Сроки исп.	Стоимость (тыс. руб.)	Источник финансирования	Прим.
					Бюджет города Томска
1.	Комплекс организационно-технических мероприятий по защите персональных данных:	Предельный срок выполнения требований для ИСПДн в соответствии с Федеральным законом "О персональных данных" - 01.01.2010 года	2010- 2012 г.г.	4 112,397	4 112,397
1 этап
1.1.	Приобретение сертифицированного ПО VipNet Custom и программно-аппаратных средств защиты персональных данных в составе:		2010 год	1 661,1	1 661,1
	- ViPNet Administrator (Администратор)			354
	- ViPNet Coordinator			265,5
	- ViPNet Client (Клиент)			1 041,6
1.2.	Внедрение приобретенного на I этапе реализации Программы ПО VipNet Administrator и ViPNet Coordinator в органах администрации города Томска и разработка инструкций администраторов безопасности ИСПДн.		2010 год	Не требует финансирования
1.3.	Утверждение распорядительными актами администрации города Томска и ее органов списков сотрудников, допущенных к работе с ИСПДн, внедрение на АРМ этих сотрудников ViPNet Client и их обучение работе с системой защиты от несанкционированного доступа.		2010 год	Не требует финансирования
2 этап
1.4.	Проведение анализа выполнения требований безопасности персональных данных в процессе управления виртуальными защищенными сетями с использованием приобретенного на I этапе реализации Программы ПО ViPNet		2011 год	Не требует финансирования
1.5.	Приобретение сертифицированного ПО VipNet Custom и программно-аппаратных средств защиты персональных данных в составе:		2011 год	1 265,55	1 265,55
	- ViPNet Administrator (Администратор)			778,8
	- ViPNet Coordinator			486,75
1.6.	С учетом результатов анализа выполнения требований безопасности на I этапе реализации Программы внедрение приобретенных на II этапе средств защиты информации.		2011 год	Не требует финансирования
1.7.	По результатам опытной эксплуатации внедренного ПО при необходимости внесение изменений в инструкции администраторов безопасности ИСПДн органов администрации города Томска.		2011 год	Не требует финансирования
3 этап
1.8.	Приобретение сертифицированного антивирусного ПО Kaspersky BusinessSpace Security 1000+ 2 year Base Lic		2012 год	1 185,747	1 185,747
1.9.	Разработка регламента использования приобретенного антивирусного программного обеспечения и внесение изменений в нормативные акты, регламентирующие политику информационной безопасности администрации города Томска		2012 год	Не требует финансирования

Приобретение и внедрение сертифицированного программного обеспечения и программно-аппаратных средств защиты персональных данных по Программе в целом за 2010 - 2012 годы обеспечит:

- осуществление конфигурирования и управления виртуальными защищенными сетями ViPNet, включая шифрование трафика, во всех органах (структурных звеньях) администрации города Томска;

- создание корпоративного и локальных межсетевых экранов для защиты информационных ресурсов КИС администрации города Томска и локальных сетей органов администрации от хакерских атак из Интернета, включая создание криптошлюза для шифрования информации, передаваемой через разнообразные каналы связи;

- реализацию защиты от несанкционированного доступа на АРМ пользователей всей КИС администрации города Томска (из расчета 210 сотрудников, осуществляющих обработку персональных данных), а также реализацию защиты корпоративных ресурсов от злонамеренных действий самих сотрудников администрации (проблема внутренней утечки и порчи информации);

- антивирусную защита всех рабочих станций и файловых серверов администрации города Томска и ее органов на основе сертифицированного ПО с возможностью обновления баз данных лицензионного ПО.

Приобретение и внедрение сертифицированного программного обеспечения и программно-аппаратных средств защиты персональных данных в 2010 году обеспечит:

1.Осуществление конфигурирования и управления виртуальными защищенными сетями ViPNet (ViPNet Administrator) в администрации города Томска и следующих органах администрации:

- администрация Кировского района города Томска;

- администрация Советского района города Томска;

- администрация Ленинского района города Томска;

- администрация Октябрьского района города Томска;

2. Создание 2-х корпоративных межсетевых экранов (ViPNet Coordinator) для защиты информационных ресурсов КИС администрации города Томска;

3. Создание 4-х локальных межсетевых экранов (ViPNet Coordinator) для защиты информационных ресурсов следующих органов администрации города Томска:

- администрация Кировского района города Томска;

- администрация Советского района города Томска;

- администрация Ленинского района города Томска;

- администрация Октябрьского района города Томска;

4. Установку программно-аппаратных средств защиты от несанкционированного доступа (ViPNet Client) на 210 АРМ пользователей КИС администрации города Томска, осуществляющих обработку персональных данных.

Приобретение и внедрение сертифицированного программного обеспечения и программно-аппаратных средств защиты персональных данных в 2011 году обеспечит:

1. Осуществление конфигурирования и управления виртуальными защищенными сетями ViPNet (ViPNet Administrator) в следующих органах администрации города Томска:

- департамент городского хозяйства администрации города Томска;

- департамент экономического развития и управления муниципальной собственностью администрации города Томска;

- департамент архитектуры и градостроительства администрации города Томска;

- департамент финансов администрации города Томска;

- департамент капитального строительства администрации города Томска;

- департамент образования администрации города Томска;

- управление по делам молодежи, физической культуре и спорту администрации города Томска;

- управление здравоохранения администрации города Томска;

- управление культуры администрации города Томска;

- управление социальной политики администрации города Томска;

- управление окружающей среды и природного комплекса администрации города Томска;

2. Создание локальных межсетевых экранов (ViPNet Coordinator) для защиты информационных ресурсов следующих органов администрации города Томска:

- департамент городского хозяйства администрации города Томска;

- департамент экономического развития и управления муниципальной собственностью администрации города Томска;

- департамент архитектуры и градостроительства администрации города Томска;

- департамент финансов администрации города Томска;

- департамент капитального строительства администрации города Томска;

- департамент образования администрации города Томска;

- управление по делам молодежи, физической культуре и спорту администрации города Томска;

- управление здравоохранения администрации города Томска;

- управление культуры администрации города Томска;

- управление социальной политики администрации города Томска;

- управление окружающей среды и природного комплекса администрации города Томска;

Приобретение и внедрение сертифицированного антивирусного программного обеспечения в 2012 году обеспечит:

- антивирусную защиту всех рабочих станций и файловых серверов администрации города Томска и ее органов на основе сертифицированного ПО (Kaspersky BusinessSpace Security) с возможностью обновления баз данных лицензионного ПО и с учетом требований, предъявляемых к операторам персональных данных по использованию антивирусного программного обеспечения.

VI. Обоснование реализации мероприятий Программы

Необходимость разработки и реализации Программы обуславливается обязательным соблюдением администрацией города Томска, как оператора персональных данных, норм законодательства Российской Федерации по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Индикаторы целей и задач Программы
"Обеспечение реализации требований законодательства
Российской Федерации по защите персональных данных
в администрации города Томска на 2010-2012 годы"

(название целевой программы)

N п/п	Наименование мероприятий	Индикатор	Ед. изм.	Прогноз
				2010 г.	2011 г.	2012 г.
1 этап
1.	Приобретение сертифицированного ПО VipNet Custom и программно-аппаратных средств защиты персональных данных в составе:
	- ViPNet Administrator (Администратор)	1. Внедрение систем конфигурирования и управления виртуальными защищенными сетями в ИСПДн органов администрации города Томска	шт.	2
	- ViPNet Coordinator	2. Создание корпоративных межсетевых экранов для защиты информационных ресурсов КИС администрации города Томска. 3. Создание локальных межсетевых экранов для защиты информационных ресурсов органов администрации города Томска.	шт. шт.	2 4
	- ViPNet Client (Клиент)	4. Установка программно-аппаратных средств защиты от несанкционированного доступа на АРМ пользователей КИС администрации города Томска.	шт.	210
2 этап
2.	Приобретение сертифицированного ПО VipNet Custom и программно-аппаратных средств защиты персональных данных в составе:
	- ViPNet Administrator (Администратор)	1. Внедрение систем конфигурирования и управления виртуальными защищенными сетями в ИСПДн органов администрации города Томска	шт.		11
	- ViPNet Coordinator	2. Создание локальных межсетевых экранов для защиты информационных ресурсов органов администрации города Томска.	шт.		11
3 этап
3.	Приобретение сертифицированного антивирусного ПО Kaspersky BusinessSpace Security 1000+ 2 year Base Lic	1. Рабочие станции и файловые сервера администрации города Томска и ее органов с установленной антивирусной защитой.	шт.			1335

VII. Бюджетная заявка на финансирование из бюджета города Томска
Программы "Обеспечение реализации требований законодательства
Российской Федерации по защите персональных данных
в администрации города Томска на 2010-2012 годы"

(название целевой программы)

Администрация города Томска

(заказчик программы)

N п/п	Мероприятия Программы	Объем ассигнований из городского бюджета (тыс. руб.)
		2010 г.	2011 г.	2012 г.
1	Приобретение ПО ViPNet Administrator (Администратор)	354 000	778 800
2	Приобретение ПО ViPNet Coordinator	265 500	486 750
3	Приобретение программно-аппаратных средств защиты ViPNet Client (Клиент)	1 041 600
4	Приобретение антивирусного ПО Kaspersky BusinessSpace Security 1000+ 2 year Base Lic			1 185 747
Итого		1 661 100	1 265 550	1 185 747

VIII. Механизм контроля реализации Программы

Управление Программой осуществляет комитет информатизации администрации города Томска.

Комитет информатизации администрации города Томска ежеквартально и по итогам года готовит отчеты о реализации мероприятий Программы и в установленном порядке представляет их в департамент экономического развития и управления муниципальной собственностью администрации города Томска.

Функции контроля целевого использования финансовых ресурсов Программы осуществляет администрация города Томска.

Исполнители для реализации программных мероприятий, связанных с поставками сертифицированного программного обеспечения и программно-аппаратных средств защиты информации определяются в соответствии с действующим законодательством.