В качестве объекта обследования взят региональный сегмент системы обеспечения вызова экстренных оперативных служб по единому номеру «112» Еврейской автономной области (далее – Система-112), основополагающая система в аппаратно-программном комплексе «Безопасный город» (далее – АПК БГ).

В ходе обследования информационной системы определялись:

1. Состав и структура объектов защиты;

2. Требуемый уровень защищенности ИС;

3. Конфигурация ИС;

4. Режим обработки информации;

5. Перечень лиц, участвующих в обработке информации;

6. Права доступа лиц, допущенных к обработке информации.

Данные обследования служат информационной основой для других проектных и организационно-распорядительных документов.

1. Общая информация

Система-112 - комплекс программно-аппаратных средств, предназначенных для автоматизированной обработки вызова экстренных оперативных служб по единому номеру «112».

Система предполагает создание единого номера для обращения населения в случае возникновения экстренной ситуации, обеспечение внешнего контроля за действиями экстренных служб, межведомственную координацию, создание центров обработки данных со всех критически важных объектов, мониторинг и сбор статистики по чрезвычайным ситуациям (далее – ЧС).

Система-112 создается на основании технического задания на разработку технического проекта Системы обеспечения вызова экстренных оперативных служб по единому номеру «112» Еврейской автономной области.

Автоматизированная система должна:

- ускорить процесс реагирования и взаимодействия оперативных служб в чрезвычайных ситуациях,

- позволить организовать единое информационное пространство для служб реагирования,

- позволить повысить информированность населения о возникновении ЧС, способах защиты и мер по безопасности,

- снизить затраты на осуществление деятельности по предупреждению и ликвидации ЧС.

Система будет включать в себя такие возможности, как определение номера абонента, восстановление связи в случае прерывания соединения, оповещение населения и организация по разным каналам связи, запись переговоров, ведение статистической информации и т.д.

Создание единой системы вызова оперативных службы по номеру «112» крайне необходимо, так как в случае, если человек попадает в кризисную ситуацию, он должен знать один номер вызова дежурных служб – «112». На него можно будет позвонить с любого мобильного телефона.

Система-112 – территориально-распределённая автоматизированная система, создаваемая в границах Еврейской автономной области, техническими и программными средствами которой оснащаются дежурные подразделения организаций и ведомств отвечающих за обеспечение безопасности жизнедеятельности на территории области(служба пожарной охраны, служба полиции, служба скорой медицинской помощи и т.д.). Объектами автоматизации Системы-112 являются:

- основной и резервный центры приема и обработки вызовов (ЦОВ и РЦОВ), поступающих от пользователей сетей фиксированной и мобильной телефонной связи (населения) по единому телефонному номеру «112»;

- дежурные диспетчерские службы (далее - ДДС) экстренных оперативных служб (далее - ЭОС) Еврейской автономной области, в том числе и центральные диспетчерские (при их наличии в составе службы).

Система-112 Еврейской автономной области создается по иерархическому территориально-распределенному принципу и включает два линейных уровня организации: региональный и муниципальный.

Региональный уровень Системы-112 представлен ЦОВ и РЦОВ.

Муниципальный уровень представлен ЕДДС муниципальных образований и ДДС ЭОС. В ЕДДС муниципальных образований предусматриваются автоматизированные рабочие места (АРМ) операторов приема и обработки вызовов, по ступающих с территории соответствующих муниципальных образований, а также АРМ диспетчеров, осуществляющих контроль за реагированием на происшествия.

Функционально, по технологии контроля за ходом реагирования на происшествия, муниципальный уровень представлен двумя подуровнями: диспетчерский персонал ЕДДС (верхний подуровень) и диспетчеры ДДС ЭОС (нижний подуровень).

Организационно-штатная структура должна формироваться с учетом обеспечения круглосуточной непрерывной работы Системы-112.

Основными задачами Системы-112 являются:

1. Приём оператором по номеру «112» вызовов и обеспечение психологической поддержки позвонившему лицу;

2. Анализ поступающей информации о происшествиях;

3. Передача информации о происшествиях в ДДС в соответствии с их компетенцией для организации экстренного реагирования;

4. Формирование статистических отчётов по поступившим вызовам;

5. Автоматическое определение номера позвонившего лица;

6. Автоматический дозвон до позвонившего лица в случае внезапного прерывания соединения;

7. Регистрация и документирование всех входящих и исходящих звонков по номеру «112»;

8. Ведение базы данных о происшествиях и результатах реагирования;

9. Приём вызовов на 5 иностранных языках (английский, французский, немецкий, испанский, китайский) и при необходимости дополнительных.

В своей деятельности Система-112 хранит, обрабатывает и передает данные, относящиеся к прямо или косвенно определенному или определяемому лицу, что попадает под действие Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Правовым основанием обработки персональных данных в Системе-112 являются следующие нормативно-правовые акты:

• Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;

• Приказ ФСТЭК России № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• Приказ ФСТЭК России № 17 от 11.02.2013 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

• Постановление Правительства Российской Федерации № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Распоряжение Правительства Российской Федерации от 03 декабря 2014 года №2446-р об утверждении Концепции построения и развития аппаратно-программного комплекса «Безопасный город»;

• другие нормативно-правовые акты.

Региональные элементы информационной системы будут располагаться в двух зданиях – ЦОВ и РЦОВ.

ЦОВ разворачивается в административном центре Еврейской автономной области – г. Биробиджан, ул. Чапаева, 2.

РЦОВ разворачивается в г. Биробиджан, ул. Ленина 34а.

1. Параметры информационной системы

В процессе эксплуатации информационной системы в ней будет осуществляться обработка конфиденциальной информации, относящаяся к следующим типам:

– персональные данные – информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, другая информация, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

– служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

– сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации федеральными законами (тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

«Система-112» представляет собой государственную информационную систему (далее – ГИС), имеющую совокупность конфиденциальной информации, включая персональные данные, содержащиеся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

К характеристикам Системы-112 можно отнести:

– категории обрабатываемых ПДн – специальные и иные (обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и иные ПДн).

Персональные данные, обрабатываемые в Системе-112, могут включать в себя:

– персональные данные абонентов телефонных сетей, осуществляющих вызовы в Систему-112, в том числе:

– фамилия имя отчество;

– пол;

– дата и место рождения;

– семейное, социальное, имущественное положение;

– образование;

– профессия;

– доходы;

– номер телефона;

– адрес установки телефона фиксированной связи;

– данные о состоянии здоровья;

– данные о национальной принадлежности;

– данные о месте, с которого осуществлялся вызов для телефонов подвижной связи.

– принадлежность обрабатываемых ПДн и количество субъектов персональных данных - более 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;

– режим обработки ПДн – многопользовательский;

– разграничение прав доступа пользователей – с разграничением прав доступа к ПДн;

– тип угроз безопасности персональных данных, актуальных для Системы-112 - 3 (третий) (т.е. актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ГИС);

– подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;

– структуру Системы-112 - распределенная информационная система;

– анализ предоставленной информации позволил предварительно определить уровень защищенности персональных данных при их обработке в Системе-112 - второй (УЗ2) (для ГИС актуальны угрозы 3-го типа и Информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора);

– Система-112 находится в охраняемых помещениях с ограниченным доступом;

– наличие выхода за границу охраняемой территории (ОТ) телефонных линий, линий пожарной сигнализации и коммуникаций системы отопления;

– наличие вспомогательных технических средств и систем (ВТСС), находящихся на объекте информатизации, но не участвующие в обработке конфиденциальной информации.

Информационный обмен в ГИС «Система-112» осуществляется по каналам связи, расположенным в пределах охраняемой территории (ОТ), а также по каналам связи, выходящим за пределы ОТ.

1. Классификация информационной системы персональных данных

Состав и содержание угроз безопасности информации ограниченного доступа определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к информации ограниченного доступа.

Совокупность таких условий и факторов формируется с учетом характеристик Системы-112, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угроз.

Исходя из того, что:

– Система-112 является государственной информационной системой, имеющей региональный масштаб;

– уровень значимости обрабатываемой в системе информации является низким вследствие того, что нарушение любого одного из свойств безопасности обрабатываемой информации (конфиденциальности, целостности, доступности) может привести к незначительным негативным последствиям в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) к тому, что Система-112 и (или) оператор (обладатель информации) не смогут выполнять возложенные на них функции с достаточной эффективностью или выполнение функций будет возможно только с привлечением дополнительных сил и средств;

– в соответствии с Приказом ФСТЭК № 17 от 11 февраля 2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» необходимо обеспечить третий класс защищенности.

Помимо этого, в «Системе-112» ведется обработка персональных данных, а значит в «Системе-112» необходимо обеспечить второй уровень защищенности персональных данных в соответствии с пунктом 10 Приказа ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», т.к. для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Однако в соответствии с пунктом 27 Требований, утвержденных Приказом ФСТЭК России от 11 февраля 2013 г. № 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности информационной системы персональных данных. Исходя из вышеизложенного, в Системе-112 необходимо обеспечить второй класс защищенности.

1. Состав подразделений

Наличие и состав подразделений (персонала) ЦОВ, ЕДДС муниципальных образований и ДДС ЭОС определяется соответствующими решениями органов государственной власти и местной администрации, в зависимости от размера территории, численности обслуживаемого населения, а также различных местных условий (транспортных, экономических и пр.).

Расчетное количество персонала Системы-112 Еврейской автономной области представлено в таблице 1

Таблица 1.

Количество операторов ЦОВ (операторского персонала) в смене выбирается из соображения достаточности (количества обслуживаемого населения, городского/сельского населения и пр). Количество технического персонала (администраторов и инженеров) определяется составом и количеством технических и программных средств Системы-112 Еврейской автономной области.