Отчет о результатах обследования информационных ресурсов


Скачать 170.77 Kb.
Название Отчет о результатах обследования информационных ресурсов
Тип Отчет
rykovodstvo.ru > Руководство эксплуатация > Отчет


Государственный комитет Республики Саха (Якутия)

по инновационной политике и науке


ris


Саха Өрөспүүбүлүкэтин

инновационнай политикатын уонна наукатын судаарыстыбаннай кэмитиэтэ



ОТЧЕТ

о результатах обследования информационных ресурсов

Государственного комитета Республики Саха (Якутия) по инновационной политике и науке

«___» _______ 201__ г. г.Якутск
Обследование информационных ресурсов Государственного комитета Республики Саха (Якутия) по инновационной политике и науке произведено на основании решения заседания Комиссии по ИБ от __.__.201__ г. № ___.

Обследование проводилось с __.__.201__ г. по __.__.201__ г. в административном здании Государственного комитета Республики Саха (Якутия) по инновационной политике и науке по адресу: 677000, Республика Саха (Якутия), г. Якутск, ул. Курашева, д. 36.

В ходе обследования выявлены следующие информационные системы, в которых производится обработка персональных данных:

  1. ИСПДн «1С: Бухгалтерия» – Планово-финансовый отдел;

  2. ИСПДн «1С: Зарплата и кадры» – Планово-финансовый отдел;


В ходе обследования для каждой ИСПДн определены:

- общие сведения об ИСПДн;

- состав и структура обрабатываемых персональных данных;

- тип ИСПДн и объем обрабатываемых персональных данных;

- состав и конфигурация;

- структура обработки персональных данных;

- режим обработки персональных данных;

- существующие меры защиты ПДн.


  1. 1С: Бухгалтерия




  1. Общие сведения об ИСПДн

Основной задачей ИСПДн «1С: Бухгалтерия» является автоматизация бухгалтерского учета, страховой и хозяйственной деятельности.

ИСПДн «1С: Бухгалтерия» представляет типовую конфигурацию 1С:Предприятие, программное обеспечение позволяет автоматизировать ведение всех разделов бухгалтерского учета.

Основными целями функционирования ИСПДн и обработки ПДн в частности являются:

ведение бухгалтерского учета;

осуществление банковских проводок и платежей;

передача налоговой, статистической и иной, установленной законодательством, отчетности;

ведение базы данных контрагентов;

учет платежей и расчетов с контрагентами за предоставленные услуги;

проведение статистического анализа;

операции печати, контроля готовности и выдачи выходных документов.
Для ИСПДн «1С: Бухгалтерия» определены следующие параметры:


Заданные характеристики безопасности персональных данных

Типовая информационная система

Структура информационной системы

Локальная информационная система

Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена

Имеется

Режим обработки персональных данных

Многопользовательская система

Режим разграничения прав доступа пользователей

Система с разграничением доступа

Местонахождение технических средств информационной системы

Все технические средства находятся в пределах Российской Федерации

Дополнительная информация

К персональным данным предъявляется требование целостности и доступности


В соответствии с табл.1 Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России от 14.02.2008 г., ИСПДн имеет следующие технические, эксплуатационные характеристики и показатели исходного уровня защищенности:


Характеристика ИСПДн

Значение характеристики

Уровень защищенности

1. Территориальное размещение

Локальная ИСПДн, развернутая в пределах одного здания

высокий

2. Наличие соединения с сетями общего пользования

ИСПДн, имеющая одноточечный выход в сеть общего пользования

средний

3. Встроенные операции с записями баз персональных данных

Модификация, передача

низкий

4. Разграничение доступа к персональным данным

ИСПДн, к которой имеют доступ определенные перечнем сотрудники

средний

5. Наличие соединений с другими базами ПДн иных ИСПДн

ИСПДн, в которой используется одна база ПДн

высокий

6. Обобщение (обезличивание) ПДн

ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)

низкий

7. Объем ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

ИСПДн, не предоставляющая никакой информации сторонним пользователям

высокий




  1. Состав и структура обрабатываемых персональных данных

В ИСПДн «1С: Бухгалтерия» обрабатываются следующие персональные данные категория субъектов персональных данных:

- ФИО;

- дата рождения;

- адрес прописки;

- адрес фактического проживания;

- паспортные данные;

- информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

- телефонный номер (домашний, рабочий, мобильный);

- семейное положение и состав семьи (муж/жена, дети);

- данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

- информация о приеме на работу, перемещении по должности, увольнении;

- информация о трудовой деятельности до приема на работу;

- информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);

- размер оклада;

- сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

- данные об аттестации работников;

- данные о повышении квалификации;

- данные о наградах, медалях, поощрениях, почетных званиях.
1.3. Тип ИСПДн и объем обрабатываемых персональных данных

ИСПДн «1С: Бухгалтерия» обрабатывает иные (сотрудники Госкоминновации) категории персональных данных.

Объем персональных данных - не более 1 000 записей.


  1. Состав и конфигурация «1С: Бухгалтерия»

ИСПДн «1С: Бухгалтерия» является типовой и находится в промышленной эксплуатации.

ИСПДн эксплуатируется в среде:

- клиентская часть – ОС Windows 7;

- серверная часть – ОС Windows Server 2008 Standard Edition SP2.

ОС Windows 7 не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства

ОС Windows Server 2008 Standard Edition SP2 не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства

Программное обеспечение ИСПДн – 1С: Бухгалтерия, версия 8.3, правообладатель 1С, страна изготовления – Россия.

ПО 1С: Бухгалтерия не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства.
По классификации СТР-К ИСПДн «1С: Бухгалтерия» относится к типу:

локальная ИСПДн, имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена (ЛИС-2);

В составе ИСПДн имеются рабочие станции, размещенные в кабинетах №№ 511, 512, по адресу: 677000, Республика Саха (Якутия), г. Якутск, ул. Курашева, д. 36 (5 этаж).

Контролируемой зоной для ИСПДн является периметр кабинетов №№ 511, 512 согласно схеме № 2.

\\10.50.1.213\хранилище\03 отдел финансирования субъектов научно-инновационной деятельности\фстэк\план.jpg

Схема 1. Контролируемая зона


  1. Структура обработки персональных данных

Система является локальной, многопользовательской, с разграничением прав доступа пользователей.

  1. Режим обработки персональных данных

Цели обработки ПДн – автоматизация процесса ведения бухгалтерского учета.

Способ обработки ПДн – автоматизированный.

Срок обработки ПДн – в соответствии с установленными законодательством сроками.

ПДн хранятся в базе данных ИСПДн (БД 1С).

ПДн хранятся в полном объеме, в необезличенном виде, без сортировки, маскирования и архивации.

Способы и форматы ввода ПДн в систему – ручной ввод данных в ИСПДн пользователями, посредством клавиатурного ввода через экранные формы прикладного интерфейса АРМ пользователей.

Экспорт персональных данных из ИСПДн осуществляется:

- в виде стандартной статистической отчетности, на бумажных носителях;

- в органы госстатистики в виде отчетных документов в электронном виде и на бумажных носителях;

- работникам, в виде справок установленных форм на бумажных носителях (справки с персональными данными выдаются при личной явке работника).

Обработка, ввод и вывод печатных форм с ПДн в ИСПДн «1С: Бухгалтерия» производится сотрудниками, допущенными к работе с ИСПДн согласно Перечня должностей, регламентом которых предусмотрена работа с ИСПДн «1С: Бухгалтерия».

Трансграничная передача персональных данных не производится.

Пользователи ИСПДн имеют возможность осуществлять: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных в пределах своих должностных полномочий.


  1. Существующие меры защиты ПДн

1.7.1. Подсистема управления доступом.

Предоставление доступа пользователям осуществляется на основании должностных инструкций и локальных нормативных актов.

В системе используется аутентификация пользователя по имени и паролю.

Пароль устанавливается администратором системы при заведении учетной записи. Пароль передается пользователю. Длину и сложность пароля определяет администратор, который руководствуется Технической политикой в области информационной безопасности, утвержденной приказом от __.__.201__ № ___.

Все пользователи системы не имеют прямых логинов в СУБД.

При простое АРМ свыше 5 минут, с помощью групповой политики домена настроена блокировка консоли ОС АРМ пользователя.

1.7.2. Подсистема регистрации и учета.

Подсистема регистрации и учета на уровне прикладного программного обеспечения события регистрирует.

Встроенная функция печати в прикладном ПО присутствует, регистрация событий печати не осуществляется.

1.7.3. Подсистема обеспечения целостности.

БД ИСПДн обеспечивается при помощи резервного копирования, которое осуществляется 1 раз в месяц, согласно Инструкции резервного копирования с регистрацией в Журнале учета резервного копирования.

1.7.4. Используемые средства защиты ИСПДн.

Используемые штатные средства защиты ППО ИСПДн:

- средства антивирусной защиты: антивирус Касперского версия 8.

Антивирус Касперского 8.0 для Windows Servers Enterprise Edition имеет сертификат ФСТЭК России на соответствие ТУ и 2 уровню РД НДВ (может использоваться в ИСПДН до 1 класса) от 18.11.2011 г. № 2484, действителен – до 18.11.2014 г.



  1. «1С: Зарплата и кадры»




  1. Общие сведения об ИСПДн

Основной задачей ИСПДн «1С: Зарплата и кадры» является автоматизация бухгалтерского учета, страховой и хозяйственной деятельности.

ИСПДн «1С: Зарплата и кадры» представляет типовую конфигурацию 1С:Предприятие, программное обеспечение позволяет автоматизировать ведение всех разделов бухгалтерского учета.

Основными целями функционирования ИСПДн и обработки ПДн в частности являются:

ведение бухгалтерского учета;

осуществление банковских проводок и платежей;

передача налоговой, статистической и иной, установленной законодательством, отчетности;
Для ИСПДн «1С: Зарплата и кадры» определены следующие параметры:


Заданные характеристики безопасности персональных данных

Типовая информационная система

Структура информационной системы

Локальная информационная система

Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена

Имеется

Режим обработки персональных данных

Многопользовательская система

Режим разграничения прав доступа пользователей

Система с разграничением доступа

Местонахождение технических средств информационной системы

Все технические средства находятся в пределах Российской Федерации

Дополнительная информация

К персональным данным предъявляется требование целостности и доступности


В соответствии с табл.1 Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России от 14.02.2008 г., ИСПДн имеет следующие технические, эксплуатационные характеристики и показатели исходного уровня защищенности:


Характеристика ИСПДн

Значение характеристики

Уровень защищенности

1. Территориальное размещение

Локальная ИСПДн, развернутая в пределах одного здания

высокий

2. Наличие соединения с сетями общего пользования

ИСПДн, имеющая одноточечный выход в сеть общего пользования

средний

3. Встроенные операции с записями баз персональных данных

Модификация, передача

низкий

4. Разграничение доступа к персональным данным

ИСПДн, к которой имеют доступ определенные перечнем сотрудники

средний

5. Наличие соединений с другими базами ПДн иных ИСПДн

ИСПДн, в которой используется одна база ПДн

высокий

6. Обобщение (обезличивание) ПДн

ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)

низкий

7. Объем ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

ИСПДн, не предоставляющая никакой информации сторонним пользователям

высокий




  1. Состав и структура обрабатываемых персональных данных

В ИСПДн «1С: Зарплата и кадры» обрабатываются следующие персональные данные категория субъектов персональных данных:

- ФИО;

- дата рождения;

- адрес прописки;

- адрес фактического проживания;

- паспортные данные;

- информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

- телефонный номер (домашний, рабочий, мобильный);

- семейное положение и состав семьи (муж/жена, дети);

- данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
2.3. Тип ИСПДн и объем обрабатываемых персональных данных

ИСПДн «1С: Зарплата и кадры» обрабатывает иные (сотрудники Госкоминновации) категории персональных данных.

Объем персональных данных - не более 1 000 записей.

2.4. Состав и конфигурация «1С: Зарплата и кадры»

ИСПДн «1С: Зарплата и кадры» является типовой и находится в промышленной эксплуатации.

ИСПДн эксплуатируется в среде:

- клиентская часть – ОС Windows 7;

- серверная часть – ОС Windows Server 2008 Standard Edition SP2.

ОС Windows 7 не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства

ОС Windows Server 2008 Standard Edition SP2 не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства

Программное обеспечение ИСПДн – «1С: Зарплата и кадры», версия 8.3, правообладатель 1С, страна изготовления – Россия.

ПО «1С: Зарплата и кадры» не имеет сертификат ФСТЭК России на соответствие требованиям отсутствия недекларированных возможностей программного средства.
По классификации СТР-К ИСПДн «1С: Зарплата и кадры» относится к типу:

локальная ИСПДн, имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена (ЛИС-2);

В составе ИСПДн имеются рабочие станции, размещенные в кабинетах №№ 511, 512, по адресу: 677000, Республика Саха (Якутия), г. Якутск, ул. Курашева, д. 36 (5 этаж).

Контролируемой зоной для ИСПДн является периметр кабинетов №№ 511, 512 согласно схеме № 2.

\\10.50.1.213\хранилище\03 отдел финансирования субъектов научно-инновационной деятельности\фстэк\план.jpg

Схема 2. Контролируемая зона
2.5. Структура обработки персональных данных

Система является локальной, многопользовательской, с разграничением прав доступа пользователей.

2.6. Режим обработки персональных данных

Цели обработки ПДн – автоматизация процесса ведения бухгалтерского учета.

Способ обработки ПДн – автоматизированный.

Срок обработки ПДн – в соответствии с установленными законодательством сроками.

ПДн хранятся в базе данных ИСПДн (БД 1С).

ПДн хранятся в полном объеме, в необезличенном виде, без сортировки, маскирования и архивации.

Способы и форматы ввода ПДн в систему – ручной ввод данных в ИСПДн пользователями, посредством клавиатурного ввода через экранные формы прикладного интерфейса АРМ пользователей.

Экспорт персональных данных из ИСПДн осуществляется:

- в виде стандартной статистической отчетности, на бумажных носителях;

- в органы госстатистики в виде отчетных документов в электронном виде и на бумажных носителях;

- работникам, в виде справок установленных форм на бумажных носителях (справки с персональными данными выдаются при личной явке работника).

Обработка, ввод и вывод печатных форм с ПДн в ИСПДн «1С: Зарплата и кадры» производится сотрудниками, допущенными к работе с ИСПДн согласно Перечня должностей, регламентом которых предусмотрена работа с ИСПДн «1С: Зарплата и кадры».

Трансграничная передача персональных данных не производится.

Пользователи ИСПДн имеют возможность осуществлять: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных в пределах своих должностных полномочий.
2.7. Существующие меры защиты ПДн

2.7.1. Подсистема управления доступом.

Предоставление доступа пользователям осуществляется на основании должностных инструкций и локальных нормативных актов.

В системе используется аутентификация пользователя по имени и паролю.

Пароль устанавливается администратором системы при заведении учетной записи. Пароль передается пользователю. Длину и сложность пароля определяет администратор, который руководствуется Технической политикой в области информационной безопасности, утвержденной приказом от __.__.201__ № ___.

Все пользователи системы не имеют прямых логинов в СУБД.

При простое АРМ свыше 5 минут, с помощью групповой политики домена настроена блокировка консоли ОС АРМ пользователя.

2.7.2. Подсистема регистрации и учета.

Подсистема регистрации и учета на уровне прикладного программного обеспечения события регистрирует.

Встроенная функция печати в прикладном ПО присутствует, регистрация событий печати не осуществляется.

2.7.3. Подсистема обеспечения целостности.

БД ИСПДн обеспечивается при помощи резервного копирования, которое осуществляется 1 раз в месяц, согласно Инструкции резервного копирования с регистрацией в Журнале учета резервного копирования.

2.7.4. Используемые средства защиты ИСПДн.

Используемые штатные средства защиты ППО ИСПДн:

- средства антивирусной защиты: антивирус Касперского версия 8.

Антивирус Касперского 8.0 для Windows Servers Enterprise Edition имеет сертификат ФСТЭК России на соответствие ТУ и 2 уровню РД НДВ (может использоваться в ИСПДН до 1 класса) от 18.11.2011 г. № 2484, действителен – до 18.11.2014 г.
Заключение
Комиссия, обследовав информационные ресурсы Государственного комитета Республики Саха (Якутия) по инновационной политике и науке, пришла к следующим выводам:

  1. По состоянию на момент обследования в Государственном комитете Республики Саха (Якутия) по инновационной политике и науке, эксплуатируются следующие ИСПДн:

  1. «1С: Бухгалтерия»;

  2. «1С: Зарплата и кадры»;




  1. С учетом того, что объем обрабатываемых персональных данных незначителен, а также то, что программное обеспечение операционных систем и информационных систем приобретено у правообладателей по лицензионному соглашению считать, что в системном и прикладном программном обеспечении ИСПДн отсутствуют недокументированные (недекларированные) возможности.



Председатель комиссии Шишигина А.Н.

Секретарь: Максимов А.В.

Члены: Бугаев А.А.

Неустроева Е.М.

Степанова Г.Н.

Похожие:

Отчет о результатах обследования информационных ресурсов icon Инструкция по работе в информационной системе Реестр государственных...
Приложению 1 Инструкции в Комитет компьютерных технологий. Заявителя регистрируют в программе «Реестр государственных информационных...
Отчет о результатах обследования информационных ресурсов icon Отчет №01-40-13 (2010044) от 18 октября 2013 года о результатах обследования...
Согласно государственному заданию по оказанию информационных услуг на 2013 год Алтайская мис провела обследование машин для уборки...
Отчет о результатах обследования информационных ресурсов icon Отчет №01-12-14 (2010024) от 22 июля 2014 года о результатах обследования...

Отчет о результатах обследования информационных ресурсов icon Отчет о результатах деятельности
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
Отчет о результатах обследования информационных ресурсов icon Аналитический отчет о результатах деятельности Муниципального бюджетного учреждения
Организация информационных потоков (обслуживание потребителей информации, информационная деятельность)
Отчет о результатах обследования информационных ресурсов icon Иитс «Мониторинг ресурсов и сервисов» Руководство Администратора/оператора компонентА
Мониторинг работоспособности телекоммуникационных, вычислительных и информационных ресурсов 18
Отчет о результатах обследования информационных ресурсов icon Отчет о научно-исследовательской работе, проведенной по заказу Министерства...
...
Отчет о результатах обследования информационных ресурсов icon Информационные технологии в профессиональной деятельности
Ит предназначены для снижения трудоемкости процессов использования информационных ресурсов. Результат применения ит обособляется...
Отчет о результатах обследования информационных ресурсов icon 3. Отчет Совета директоров Общества о результатах развития Общества...
Информация об объеме использования энергетических ресурсов в натуральном и стоимостном выражении
Отчет о результатах обследования информационных ресурсов icon Отчет о результатах самообследования Общества с ограниченной ответственностью
Отчет о результатах самообследования на предмет реализации образовательной программы профессиональной подготовки водителей транспортных...
Отчет о результатах обследования информационных ресурсов icon Отчет о результатах деятельности Управления Роскомнадзора по Краснодарскому...
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
Отчет о результатах обследования информационных ресурсов icon Отчет о результатах обследования муниципального бюджетного общеобразовательного...
«Абдрахмановская средняя общеобразовательная школа» Альметьевского муниципального района Республики Татарстан утвержден постановлением...
Отчет о результатах обследования информационных ресурсов icon Сводный отчет о состоянии коррупции и реализации мер антикоррупционной...
Республике Татарстан, с использованием материалов открытых информационных ресурсов органов государственной власти и муниципальных...
Отчет о результатах обследования информационных ресурсов icon Меры обеспечения безопасности и приватности для Федеральных информационных...
B (3), Обеспечение безопасности информационных систем агентств, как указано в Циркуляре a-130, Приложение IV: Анализ ключевых разделов....
Отчет о результатах обследования информационных ресурсов icon Назначение настоящего документа
Арм, лвс и информационных ресурсов ао «Тюменьэнерго» работниками Общества и работниками организаций, оказывающими услуги/выполняющими...
Отчет о результатах обследования информационных ресурсов icon О порядке работы при подключении к сетям общего пользования и международного обмена (Интернет)
Сервис – совокупность аппаратных и программных средств, обеспечивающих выполнение функций, направленных на предоставление информационных...

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск