Отчет о результатах обследования информационных ресурсов
|
Скачать 170.77 Kb.
|
ОТЧЕТ о результатах обследования информационных ресурсов Государственного комитета Республики Саха (Якутия) по инновационной политике и науке «___» _______ 201__ г. г.Якутск Обследование информационных ресурсов Государственного комитета Республики Саха (Якутия) по инновационной политике и науке произведено на основании решения заседания Комиссии по ИБ от __.__.201__ г. № ___. Обследование проводилось с __.__.201__ г. по __.__.201__ г. в административном здании Государственного комитета Республики Саха (Якутия) по инновационной политике и науке по адресу: 677000, Республика Саха (Якутия), г. Якутск, ул. Курашева, д. 36. В ходе обследования выявлены следующие информационные системы, в которых производится обработка персональных данных:
В ходе обследования для каждой ИСПДн определены: - общие сведения об ИСПДн; - состав и структура обрабатываемых персональных данных; - тип ИСПДн и объем обрабатываемых персональных данных; - состав и конфигурация; - структура обработки персональных данных; - режим обработки персональных данных; - существующие меры защиты ПДн.
Основной задачей ИСПДн «1С: Бухгалтерия» является автоматизация бухгалтерского учета, страховой и хозяйственной деятельности. ИСПДн «1С: Бухгалтерия» представляет типовую конфигурацию 1С:Предприятие, программное обеспечение позволяет автоматизировать ведение всех разделов бухгалтерского учета. Основными целями функционирования ИСПДн и обработки ПДн в частности являются: ведение бухгалтерского учета; осуществление банковских проводок и платежей; передача налоговой, статистической и иной, установленной законодательством, отчетности; ведение базы данных контрагентов; учет платежей и расчетов с контрагентами за предоставленные услуги; проведение статистического анализа; операции печати, контроля готовности и выдачи выходных документов. Для ИСПДн «1С: Бухгалтерия» определены следующие параметры:
В соответствии с табл.1 Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России от 14.02.2008 г., ИСПДн имеет следующие технические, эксплуатационные характеристики и показатели исходного уровня защищенности:
В ИСПДн «1С: Бухгалтерия» обрабатываются следующие персональные данные категория субъектов персональных данных: - ФИО; - дата рождения; - адрес прописки; - адрес фактического проживания; - паспортные данные; - информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность); - телефонный номер (домашний, рабочий, мобильный); - семейное положение и состав семьи (муж/жена, дети); - данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты); - информация о приеме на работу, перемещении по должности, увольнении; - информация о трудовой деятельности до приема на работу; - информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения); - размер оклада; - сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); - данные об аттестации работников; - данные о повышении квалификации; - данные о наградах, медалях, поощрениях, почетных званиях. 1.3. Тип ИСПДн и объем обрабатываемых персональных данных ИСПДн «1С: Бухгалтерия» обрабатывает иные (сотрудники Госкоминновации) категории персональных данных. Объем персональных данных - не более 1 000 записей.
ИСПДн «1С: Бухгалтерия» является типовой и находится в промышленной эксплуатации. ИСПДн эксплуатируется в среде: - клиентская часть – ОС Windows 7; - серверная часть – ОС Windows Server 2008 Standard Edition SP2. ОС Windows 7 не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства ОС Windows Server 2008 Standard Edition SP2 не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства Программное обеспечение ИСПДн – 1С: Бухгалтерия, версия 8.3, правообладатель 1С, страна изготовления – Россия. ПО 1С: Бухгалтерия не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства. По классификации СТР-К ИСПДн «1С: Бухгалтерия» относится к типу: локальная ИСПДн, имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена (ЛИС-2); В составе ИСПДн имеются рабочие станции, размещенные в кабинетах №№ 511, 512, по адресу: 677000, Республика Саха (Якутия), г. Якутск, ул. Курашева, д. 36 (5 этаж). Контролируемой зоной для ИСПДн является периметр кабинетов №№ 511, 512 согласно схеме № 2.  Схема 1. Контролируемая зона
Система является локальной, многопользовательской, с разграничением прав доступа пользователей.
Цели обработки ПДн – автоматизация процесса ведения бухгалтерского учета. Способ обработки ПДн – автоматизированный. Срок обработки ПДн – в соответствии с установленными законодательством сроками. ПДн хранятся в базе данных ИСПДн (БД 1С). ПДн хранятся в полном объеме, в необезличенном виде, без сортировки, маскирования и архивации. Способы и форматы ввода ПДн в систему – ручной ввод данных в ИСПДн пользователями, посредством клавиатурного ввода через экранные формы прикладного интерфейса АРМ пользователей. Экспорт персональных данных из ИСПДн осуществляется: - в виде стандартной статистической отчетности, на бумажных носителях; - в органы госстатистики в виде отчетных документов в электронном виде и на бумажных носителях; - работникам, в виде справок установленных форм на бумажных носителях (справки с персональными данными выдаются при личной явке работника). Обработка, ввод и вывод печатных форм с ПДн в ИСПДн «1С: Бухгалтерия» производится сотрудниками, допущенными к работе с ИСПДн согласно Перечня должностей, регламентом которых предусмотрена работа с ИСПДн «1С: Бухгалтерия». Трансграничная передача персональных данных не производится. Пользователи ИСПДн имеют возможность осуществлять: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных в пределах своих должностных полномочий.
1.7.1. Подсистема управления доступом. Предоставление доступа пользователям осуществляется на основании должностных инструкций и локальных нормативных актов. В системе используется аутентификация пользователя по имени и паролю. Пароль устанавливается администратором системы при заведении учетной записи. Пароль передается пользователю. Длину и сложность пароля определяет администратор, который руководствуется Технической политикой в области информационной безопасности, утвержденной приказом от __.__.201__ № ___. Все пользователи системы не имеют прямых логинов в СУБД. При простое АРМ свыше 5 минут, с помощью групповой политики домена настроена блокировка консоли ОС АРМ пользователя. 1.7.2. Подсистема регистрации и учета. Подсистема регистрации и учета на уровне прикладного программного обеспечения события регистрирует. Встроенная функция печати в прикладном ПО присутствует, регистрация событий печати не осуществляется. 1.7.3. Подсистема обеспечения целостности. БД ИСПДн обеспечивается при помощи резервного копирования, которое осуществляется 1 раз в месяц, согласно Инструкции резервного копирования с регистрацией в Журнале учета резервного копирования. 1.7.4. Используемые средства защиты ИСПДн. Используемые штатные средства защиты ППО ИСПДн: - средства антивирусной защиты: антивирус Касперского версия 8. Антивирус Касперского 8.0 для Windows Servers Enterprise Edition имеет сертификат ФСТЭК России на соответствие ТУ и 2 уровню РД НДВ (может использоваться в ИСПДН до 1 класса) от 18.11.2011 г. № 2484, действителен – до 18.11.2014 г.
Основной задачей ИСПДн «1С: Зарплата и кадры» является автоматизация бухгалтерского учета, страховой и хозяйственной деятельности. ИСПДн «1С: Зарплата и кадры» представляет типовую конфигурацию 1С:Предприятие, программное обеспечение позволяет автоматизировать ведение всех разделов бухгалтерского учета. Основными целями функционирования ИСПДн и обработки ПДн в частности являются: ведение бухгалтерского учета; осуществление банковских проводок и платежей; передача налоговой, статистической и иной, установленной законодательством, отчетности; Для ИСПДн «1С: Зарплата и кадры» определены следующие параметры:
В соответствии с табл.1 Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России от 14.02.2008 г., ИСПДн имеет следующие технические, эксплуатационные характеристики и показатели исходного уровня защищенности:
В ИСПДн «1С: Зарплата и кадры» обрабатываются следующие персональные данные категория субъектов персональных данных: - ФИО; - дата рождения; - адрес прописки; - адрес фактического проживания; - паспортные данные; - информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность); - телефонный номер (домашний, рабочий, мобильный); - семейное положение и состав семьи (муж/жена, дети); - данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты); 2.3. Тип ИСПДн и объем обрабатываемых персональных данных ИСПДн «1С: Зарплата и кадры» обрабатывает иные (сотрудники Госкоминновации) категории персональных данных. Объем персональных данных - не более 1 000 записей. 2.4. Состав и конфигурация «1С: Зарплата и кадры» ИСПДн «1С: Зарплата и кадры» является типовой и находится в промышленной эксплуатации. ИСПДн эксплуатируется в среде: - клиентская часть – ОС Windows 7; - серверная часть – ОС Windows Server 2008 Standard Edition SP2. ОС Windows 7 не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства ОС Windows Server 2008 Standard Edition SP2 не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства Программное обеспечение ИСПДн – «1С: Зарплата и кадры», версия 8.3, правообладатель 1С, страна изготовления – Россия. ПО «1С: Зарплата и кадры» не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства. По классификации СТР-К ИСПДн «1С: Зарплата и кадры» относится к типу: локальная ИСПДн, имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена (ЛИС-2); В составе ИСПДн имеются рабочие станции, размещенные в кабинетах №№ 511, 512, по адресу: 677000, Республика Саха (Якутия), г. Якутск, ул. Курашева, д. 36 (5 этаж). Контролируемой зоной для ИСПДн является периметр кабинетов №№ 511, 512 согласно схеме № 2. Схема 2. Контролируемая зона 2.5. Структура обработки персональных данных Система является локальной, многопользовательской, с разграничением прав доступа пользователей. 2.6. Режим обработки персональных данных Цели обработки ПДн – автоматизация процесса ведения бухгалтерского учета. Способ обработки ПДн – автоматизированный. Срок обработки ПДн – в соответствии с установленными законодательством сроками. ПДн хранятся в базе данных ИСПДн (БД 1С). ПДн хранятся в полном объеме, в необезличенном виде, без сортировки, маскирования и архивации. Способы и форматы ввода ПДн в систему – ручной ввод данных в ИСПДн пользователями, посредством клавиатурного ввода через экранные формы прикладного интерфейса АРМ пользователей. Экспорт персональных данных из ИСПДн осуществляется: - в виде стандартной статистической отчетности, на бумажных носителях; - в органы госстатистики в виде отчетных документов в электронном виде и на бумажных носителях; - работникам, в виде справок установленных форм на бумажных носителях (справки с персональными данными выдаются при личной явке работника). Обработка, ввод и вывод печатных форм с ПДн в ИСПДн «1С: Зарплата и кадры» производится сотрудниками, допущенными к работе с ИСПДн согласно Перечня должностей, регламентом которых предусмотрена работа с ИСПДн «1С: Зарплата и кадры». Трансграничная передача персональных данных не производится. Пользователи ИСПДн имеют возможность осуществлять: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных в пределах своих должностных полномочий. 2.7. Существующие меры защиты ПДн 2.7.1. Подсистема управления доступом. Предоставление доступа пользователям осуществляется на основании должностных инструкций и локальных нормативных актов. В системе используется аутентификация пользователя по имени и паролю. Пароль устанавливается администратором системы при заведении учетной записи. Пароль передается пользователю. Длину и сложность пароля определяет администратор, который руководствуется Технической политикой в области информационной безопасности, утвержденной приказом от __.__.201__ № ___. Все пользователи системы не имеют прямых логинов в СУБД. При простое АРМ свыше 5 минут, с помощью групповой политики домена настроена блокировка консоли ОС АРМ пользователя. 2.7.2. Подсистема регистрации и учета. Подсистема регистрации и учета на уровне прикладного программного обеспечения события регистрирует. Встроенная функция печати в прикладном ПО присутствует, регистрация событий печати не осуществляется. 2.7.3. Подсистема обеспечения целостности. БД ИСПДн обеспечивается при помощи резервного копирования, которое осуществляется 1 раз в месяц, согласно Инструкции резервного копирования с регистрацией в Журнале учета резервного копирования. 2.7.4. Используемые средства защиты ИСПДн. Используемые штатные средства защиты ППО ИСПДн: - средства антивирусной защиты: антивирус Касперского версия 8. Антивирус Касперского 8.0 для Windows Servers Enterprise Edition имеет сертификат ФСТЭК России на соответствие ТУ и 2 уровню РД НДВ (может использоваться в ИСПДН до 1 класса) от 18.11.2011 г. № 2484, действителен – до 18.11.2014 г. Заключение Комиссия, обследовав информационные ресурсы Государственного комитета Республики Саха (Якутия) по инновационной политике и науке, пришла к следующим выводам:
Председатель комиссии Шишигина А.Н. Секретарь: Максимов А.В. Члены: Бугаев А.А. Неустроева Е.М. Степанова Г.Н. |
Похожие:
 |
Инструкция по работе в информационной системе Реестр государственных... Приложению 1 Инструкции в Комитет компьютерных технологий. Заявителя регистрируют в программе «Реестр государственных информационных... |
|
Отчет №01-40-13 (2010044) от 18 октября 2013 года о результатах обследования... Согласно государственному заданию по оказанию информационных услуг на 2013 год Алтайская мис провела обследование машин для уборки... |
|
Отчет №01-12-14 (2010024) от 22 июля 2014 года о результатах обследования... |
|
Отчет о результатах деятельности Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций |
 |
Аналитический отчет о результатах деятельности Муниципального бюджетного учреждения Организация информационных потоков (обслуживание потребителей информации, информационная деятельность) |
|
Иитс «Мониторинг ресурсов и сервисов» Руководство Администратора/оператора компонентА Мониторинг работоспособности телекоммуникационных, вычислительных и информационных ресурсов 18 |
|
Отчет о научно-исследовательской работе, проведенной по заказу Министерства... ... |
|
Информационные технологии в профессиональной деятельности Ит предназначены для снижения трудоемкости процессов использования информационных ресурсов. Результат применения ит обособляется... |
|
3. Отчет Совета директоров Общества о результатах развития Общества... Информация об объеме использования энергетических ресурсов в натуральном и стоимостном выражении |
|
Отчет о результатах самообследования Общества с ограниченной ответственностью Отчет о результатах самообследования на предмет реализации образовательной программы профессиональной подготовки водителей транспортных... |
|
Отчет о результатах деятельности Управления Роскомнадзора по Краснодарскому... Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций |
|
Отчет о результатах обследования муниципального бюджетного общеобразовательного... «Абдрахмановская средняя общеобразовательная школа» Альметьевского муниципального района Республики Татарстан утвержден постановлением... |
|
Сводный отчет о состоянии коррупции и реализации мер антикоррупционной... Республике Татарстан, с использованием материалов открытых информационных ресурсов органов государственной власти и муниципальных... |
|
Меры обеспечения безопасности и приватности для Федеральных информационных... B (3), Обеспечение безопасности информационных систем агентств, как указано в Циркуляре a-130, Приложение IV: Анализ ключевых разделов.... |
|
Назначение настоящего документа Арм, лвс и информационных ресурсов ао «Тюменьэнерго» работниками Общества и работниками организаций, оказывающими услуги/выполняющими... |
|
О порядке работы при подключении к сетям общего пользования и международного обмена (Интернет) Сервис – совокупность аппаратных и программных средств, обеспечивающих выполнение функций, направленных на предоставление информационных... |