ГИС-МЭВ предназначена для автоматизации процесса межведомственного электронного взаимодействия функциональных подразделений Администрации города Ростова-на-Дону, ее отраслевых (функциональных) и территориальных органов и учреждений, иных органов и организаций, используемых при предоставлении государственных и муниципальных услуг в электронной форме. Пользователями ГИС-МЭВ являются работники участников информационного взаимодействия, осуществляемого с помощью ГИС-МЭВ, зарегистрированные установленным порядком.
Заказчиком работ по аттестации выступила Администрация города Ростова-на-Дону.
Для чего нужна ГИС-МЭВ
ГИС-МЭВ предназначена для решения следующих задач:
· автоматизации технологических процессов и рабочих процессов, требующих визуализации пространственных данных и их объединения с документами;
· создание единой точки ролевого доступа к картографической информации и к связанным с ней документам, для всех ведомств муниципалитета;
· предоставление пользователям ГИС-МЭВ инструментария для самостоятельного ведения ведомственной (рабочей) картографии;
· централизованное обеспечение пользователей системы ресурсами открытой электронной карты, адресной информации и информации о земельных участках;
· повышение качества предоставления и доступности муниципальных услуг, формирование эффективной организационно-функциональной структуры в части предоставления гражданам и организациям услуг;
· повышение эффективности использования средств бюджета города, за счет экономии от сокращения затрат на многократное ведение одних и тех же информационных ресурсов, распределенных по различным органам и территориальным подразделениям;
· создание открытой картографической и документационной основы для межведомственного взаимодействия различных ведомств, образующих единую систему управления городом.
Цели и задачи проектаОбщей целью проекта является обеспечение прохождения аттестационных испытаний и получение аттестата соответствия для обработки ПДн соответствующего уровня защищенности.
Стояла задача обеспечить:
· защиту обрабатываемых в ГИС-МЭВ персональных данных в соответствии с требованиями законодательства Российской Федерации в области защиты информации;
· соответствие процессов обработки ПДн в ГИС-МЭВ требованиям по безопасности информации, установленным нормативными правовыми актами, руководящими и методическими документами ФСТЭК России и ФСБ России.
В состав сегментов ГИС-МЭВ вошли:
· серверный сегмент ГИС-МЭВ;
· автоматизированные рабочие места администраторов ГИС-МЭВ;
· автоматизированные рабочие места внутренних пользователей ГИС-МЭВ;
· автоматизированные рабочие места удаленных пользователей.
Этапы работыВесь процесс работы был разбит на несколько этапов.
Этап 1. Обследование
На этом этапе проводилось информационное обследование ГИС-МЭВ, в ходе которого собирались, а затем анализировались, оценивались и актуализировались все необходимые данные, определяющие выбор состава организационных и технических мер для защиты самой системы. Также были сформированы требования к защите информации, содержащейся в ГИС-МЭВ.
Этап 2. Анализ угроз безопасности
На этом этапе по результатам мероприятий, проведенных в первом:
· сформировались рекомендации по обеспечению соответствия ГИС-МЭВ требованиям информационной безопасности, по обеспечению блокирования (нейтрализации) актуальных угроз безопасности ПДн;
· составлено описание вероятных угроз безопасности ПДн (моделирование угроз) ГИС-МЭВ и дается оценка их опасности, возможности реализации и актуальности. Специалистами ООО «Рубикон» были сформированы предположения о типах и возможностях нарушителей.
Этап 3. Формирование проекта системы защиты инфомрации
По результатам проведения работ на 2 этапе, в этом периоде:
· подобрали технические решения по системе защиты ПДн, направленные на блокирование (нейтрализацию) актуальных угроз безопасности;
· сформировали рекомендации по дальнейшей работе в том числе: по организации учета средств защиты информации, по установке и обновлению (модификации) ПО в ГИС-МЭВ, пользователю и администраторам ГИС-МЭВ, а также рекомендации по защите открытой информации и обеспечению установленного уровня защищенности ПДн при их обработке в ГИС-МЭВ, регламентирующие защиту общедоступной информации и персональных данных субъектов ПДн.
Этап 4. Внедрение системы защиты информации
На этом этапе осуществляли внедрение сертифицированных средств защиты информации:
· установка и настройка СЗИ в соответствии с установленным уровнем защищенности ПДн;
· оформление комплекта эксплуатационных и технических документов и материалов.
Этап 5. Аттестационные испытания
Завершающий этап работ, на котором осуществлялась аттестация ГИС-МЭВ и ввод ее в действие. Для этого мы:
· провели аттестационные испытания информационной системы;
· оформили комплекта отчетных документов по результатам аттестационных испытаний ГИС-МЭВ.
Заключение
На основании результатов аттестационных испытаний выдан аттестат, которым удостоверяется, что информационная система Геоинформационная система межведомственного электронного взаимодействия соответствует требованиям защиты информации, предъявляемым к информационным системам необходимого уровня защищённости ИСПДн, класса защищенности ГИС и классу защищенности автоматизированных систем. Организационная структура, нормативное и методическое обеспечение и техническая оснащенность ГИС-МЭВ обеспечивают поддержание уровня защищенности информационной системы в процессе эксплуатации в соответствии с установленными требованиями.
