Акт обследования
системы защиты персональных данных в Муниципальном бюджетном общеобразовательном учреждении г. Астрахани «Средняя общеобразовательная школа № 37»
22 января 2016 года в соответствии с договором от 25 декабря 2015 года
№ 208-15122503 специалистами ИП Ларионов И.Е. проведено обследование организации обеспечения безопасности персональных данных (далее – ПДн) при их обработке в информационной системе персональных данных (далее – ИСПДн), на соответствие требованиям ФЗ-№152 от 27 июля 2006 года «О персональных данных», ФЗ-№149 от 27 июня 2006 года «Об информации, информационных технологиях и о защите информации», постановления Правительства РФ от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использовании средств автоматизации», постановления Правительства РФ от 21 марта 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», руководящего документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного приказом Гостехкомиссии России от 30 августа 2002 г. № 282».
Для определения соответствия системы информационной безопасности организации требованиям вышеперечисленных нормативно-правовых актов необходимо определить:
1. Состав информационной системы персональных данных;
2. Структуру информационной системы персональных данных;
3. Состав, объем и режимы обработки персональных данных;
4. Права доступа лиц, допущенных к обработке персональных данных;
5. Существующие меры защиты персональных данных.
Данные проведенного обследования служат информационной основой для внутренних нормативно-организационных документов организации, а именно:
1. Данные о составе и структуре ИСПДн и существующие меры защиты персональных данных служат основой для составления Модели угроз безопасности персональных данных;
2. Состав и объем обрабатываемых ПДн служат основой для составления Акта классификации ИСПДн и перечня персональных данных подлежащих защите.
1. Сведения об информационных системах персональных данных
В ходе обследования системы защиты персональных данных в Муниципальном бюджетном общеобразовательном учреждении г. Астрахани «Средняя общеобразовательная школа № 37» (далее – Школа) были выявлены следующие информационные системы персональных данных:
1. "Инфо-бухгалтер"
2. "АРМ секретаря-делопроизводителя"
3. "Педагогический состав"
4. "АРМ 1 заместителя директора по учебно-воспитательной работе"
5. "АРМ 2 заместителя директора по учебно-воспитательной работе"
6. "АРМ 3 заместителя директора по учебно-воспитательной работе"
7. "АРМ педагога-психолога"
8. "АРМ социального педагога"
9. "АРМ библиотекаря"
1.1. Описание информационной системы "Инфо-бухгалтер"
Информационная система развёрнута на двух компьютерах. Компьютеры имеют подключение к локальной сети и выход в сеть Интернет. Обработка персональных данных осуществляется в программном продукте "Инфо-бухгалтер". Персональные данные в виде отчетов передаются в Отделение пенсионного фонда РФ по Астраханской области, Инспекцию Федеральной налоговой службы России по Астраханской области, Региональное отделение Фонда социального страхования РФ при помощи программы "СБиС++", в Территориальный орган Федеральной службы государственной статистики по Астраханской области при помощи программы "СБиС++" и "АИС", в Управление Федерального казначейства по Астраханской области при помощи программы "Смарт-бюджет", в Управление по образованию и науке администрации города Астрахани по электронной почте или нарочным, в Сбербанк при помощи программы "Инфо-бухгалтер" и через веб-портал. Перед отправкой данные подписываются ЭЦП и шифруются программой "КриптоПро".
1.1.1. Объекты защиты
- Средства обработки информации (персональные компьютеры)
- Персональные данные
1. Фамилия, Имя, Отчество
2. Серия, номер паспорта
3. Дата рождения
4. Адрес места жительства/прописки
5. Идентификационный номер налогоплательщика (ИНН)
6. Страховой номер индивидуального лицевого счета (СНИЛС)
7. Семейное положение
8. Сведения о доходах
9. Состав семьи
10. Должность
11. Стаж
12. Сведения о воинской обязанности и военной службе
13. Образование
14. Профессия
15. Категория, квалификация, звание
16. Номер лицевого счета
17. Сведения о детях
1.1.2. Количество записей о субъектах персональных данных
В информационной системе персональных данных обрабатывается менее 100 000 записей, содержащих данные о субъектах персональных данных.
1.1.3. Должностные лица, имеющие доступ к работе с информационной системой
1. Главный бухгалтер
2. Бухгалтер
1.1.4. Режимы обработки персональных данных
─ Сбор;
─ Хранение;
─ Обработка;
─ Передача.
1.1.5. Уровень защищенности информационной системы
В соответствии с постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», исходя из того, что в информационной системе обрабатываются иные категории ПДн сотрудников организации в количестве менее 100 000 субъектов ПДн и для информационной системы актуальны угрозы 3го типа, информационной системе необходимо обеспечить 4 уровень защищенности.
1.1.6. Установленные средства защиты информации
1. Kaspersky Internet Security
2. КриптоПро CSP
1.2. Описание информационной системы "АРМ секретаря-делопроизводителя"
Информационная система развёрнута на одном компьютере. Компьютер имеет подключение к локальной сети и выход в сеть Интернет. Обработка персональных данных осуществляется в программах "Microsoft Office" и "Класскарт: Администратор".
1.2.1. Объекты защиты
- Средства обработки информации (персональные компьютеры)
- Персональные данные
1. Фамилия, Имя, Отчество
2. Дата рождения
3. Адрес места жительства/прописки
4. Идентификационный номер налогоплательщика (ИНН)
5. Страховой номер индивидуального лицевого счета (СНИЛС)
6. Семейное положение
7. Образование
8. Должность
9. Сведения о воинской обязанности и военной службе
10. Категория, квалификация, звание
11. Сведения из медицинского полиса
12. Номер класса
13. Номер универсальной электронной школьной карты
1.2.2. Количество записей о субъектах персональных данных
В информационной системе персональных данных обрабатывается менее 100 000 записей, содержащих данные о субъектах персональных данных.
1.2.3. Должностные лица, имеющие доступ к работе с информационной системой
1. Секретарь-делопроизводитель
1.2.4. Режимы обработки персональных данных
─ Сбор;
─ Хранение;
─ Обработка;
─ Передача.
1.2.5. Уровень защищенности информационной системы
В соответствии с постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», исходя из того, что в информационной системе обрабатываются иные категории ПДн сотрудников организации и субъектов, не являющихся сотрудниками организации, в количестве менее 100 000 субъектов ПДн и для информационной системы актуальны угрозы 3го типа, информационной системе необходимо обеспечить 4 уровень защищенности.
1.2.6. Установленные средства защиты информации
1. Avast Free Antivirus
1.3. Описание информационной системы "Педагогический состав"
Информационная система развёрнута на сорока шести компьютерах. Компьютеры имеют подключение к локальной сети и выход в сеть Интернет. Обработка персональных данных осуществляется в веб-портале "Дневник.ру".
1.3.1. Объекты защиты
- Средства обработки информации (персональные компьютеры)
- Персональные данные
1. Фамилия, Имя, Отчество
2. Дата рождения
3. Адрес места жительства/прописки
4. Номер телефона
5. Место работы родителей
6. Номер класса
1.3.2. Количество записей о субъектах персональных данных
В информационной системе персональных данных обрабатывается менее 100 000 записей, содержащих данные о субъектах персональных данных.
1.3.3. Должностные лица, имеющие доступ к работе с информационной системой
1. Учитель
1.3.4. Режимы обработки персональных данных
─ Сбор;
─ Хранение;
─ Обработка;
─ Передача.
1.3.5. Уровень защищенности информационной системы
В соответствии с постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», исходя из того, что в информационной системе обрабатываются иные категории ПДн субъектов, не являющихся сотрудниками организации, в количестве менее 100 000 субъектов ПДн и для информационной системы актуальны угрозы 3го типа, информационной системе необходимо обеспечить 4 уровень защищенности.
1.3.6. Установленные средства защиты информации
1. Kaspersky Internet Security
1.4. Описание информационной системы "АРМ 1 заместителя директора по учебно-воспитательной работе"
Информационная система развёрнута на одном компьютере. Компьютер имеет подключение к локальной сети и выход в сеть Интернет. Обработка персональных данных осуществляется в программе "Microsoft Office".
1.4.1. Объекты защиты
- Средства обработки информации (персональные компьютеры)
- Персональные данные
1. Фамилия, Имя, Отчество
2. Дата рождения
3. Должность
4. Номер класса
5. Категория, квалификация, звание
1.4.2. Количество записей о субъектах персональных данных
В информационной системе персональных данных обрабатывается менее 100 000 записей, содержащих данные о субъектах персональных данных.
1.4.3. Должностные лица, имеющие доступ к работе с информационной системой
1. Заместитель директора по учебно-воспитательной работе (Тихомирова Е.В.)
1.4.4. Режимы обработки персональных данных
─ Сбор;
─ Хранение;
─ Обработка;
─ Передача.
1.4.5. Уровень защищенности информационной системы
В соответствии с постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», исходя из того, что в информационной системе обрабатываются иные категории ПДн сотрудников организации и субъектов, не являющихся сотрудниками организации, в количестве менее 100 000 субъектов ПДн и для информационной системы актуальны угрозы 3го типа, информационной системе необходимо обеспечить 4 уровень защищенности.
1.4.6. Установленные средства защиты информации
1. Doctor Web
1.5. Описание информационной системы "АРМ 2 заместителя директора по учебно-воспитательной работе"
Информационная система развёрнута на одном компьютере. Компьютер имеет подключение к локальной сети и выход в сеть Интернет. Обработка персональных данных осуществляется в региональной информационной системе "ГИА". Персональные данные в виде отчетов передаются в Центр мониторинга в образовании на CD-дисках.
1.5.1. Объекты защиты
- Средства обработки информации (персональные компьютеры)
- Персональные данные
1. Фамилия, Имя, Отчество
2. Серия, номер паспорта
3. Дата рождения
4. Адрес места жительства/прописки
5. Страховой номер индивидуального лицевого счета (СНИЛС)
6. Образование
7. Должность
8. Стаж
9. Категория, квалификация, звание
1.5.2. Количество записей о субъектах персональных данных
В информационной системе персональных данных обрабатывается менее 100 000 записей, содержащих данные о субъектах персональных данных.
1.5.3. Должностные лица, имеющие доступ к работе с информационной системой
1. Заместитель директора по учебно-воспитательной работе (Булычева Т.М.)
1.5.4. Режимы обработки персональных данных
─ Сбор;
─ Хранение;
─ Обработка;
─ Передача.
1.5.5. Уровень защищенности информационной системы
В соответствии с постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», исходя из того, что в информационной системе обрабатываются иные категории ПДн сотрудников организации и субъектов, не являющихся сотрудниками организации, в количестве менее 100 000 субъектов ПДн и для информационной системы актуальны угрозы 3го типа, информационной системе необходимо обеспечить 4 уровень защищенности.
1.5.6. Установленные средства защиты информации
1. Kaspersky Internet Security
1.6. Описание информационной системы "АРМ 3 заместителя директора по учебно-воспитательной работе"
Информационная система развёрнута на одном компьютере. Компьютер имеет подключение к локальной сети и выход в сеть Интернет. Обработка персональных данных осуществляется в программе "Microsoft Office". Персональные данные сотрудников в виде отчетов передаются на конкурсы для проведения аттестаций.
1.6.1. Объекты защиты
- Средства обработки информации (персональные компьютеры)
- Персональные данные
1. Фамилия, Имя, Отчество
2. Серия, номер паспорта
3. Дата рождения
4. Адрес места жительства/прописки
5. Номер телефона
6. Образование
7. Должность
8. Стаж
9. Состав семьи
10. Место работы родителей
11. Категория, квалификация, звание
1.6.2. Количество записей о субъектах персональных данных
В информационной системе персональных данных обрабатывается менее 100 000 записей, содержащих данные о субъектах персональных данных.
1.6.3. Должностные лица, имеющие доступ к работе с информационной системой
1. Заместитель директора по учебно-воспитательной работе (Виноградова О.Н.)
1.6.4. Режимы обработки персональных данных
─ Сбор;
─ Хранение;
─ Обработка;
─ Передача.
1.6.5. Уровень защищенности информационной системы
В соответствии с постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», исходя из того, что в информационной системе обрабатываются иные категории ПДн сотрудников организации и субъектов, не являющихся сотрудниками организации, в количестве менее 100 000 субъектов ПДн и для информационной системы актуальны угрозы 3го типа, информационной системе необходимо обеспечить 4 уровень защищенности.
1.6.6. Установленные средства защиты информации
1. Kaspersky Internet Security
1.7. Описание информационной системы "АРМ педагога-психолога"
Информационная система развёрнута на одном компьютере. Компьютер имеет подключение к локальной сети и выход в сеть Интернет. Обработка персональных данных осуществляется в программе "Microsoft Office".
1.7.1. Объекты защиты
- Средства обработки информации (персональные компьютеры)
- Персональные данные
1. Фамилия, Имя, Отчество
2. Адрес места жительства/прописки
3. Образование родителей
4. Должность
5. Семейное положение
6. Состав семьи
7. Номер класса
8. Диагноз
1.7.2. Количество записей о субъектах персональных данных
В информационной системе персональных данных обрабатывается менее 100 000 записей, содержащих данные о субъектах персональных данных.
1.7.3. Должностные лица, имеющие доступ к работе с информационной системой
1. Педагог-психолог
1.7.4. Режимы обработки персональных данных
─ Сбор;
─ Хранение;
─ Обработка;
─ Передача.
1.7.5. Уровень защищенности информационной системы
В соответствии с постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», исходя из того, что в информационной системе обрабатываются специальные категории ПДн и иные категории ПДн сотрудников организации и субъектов, не являющихся сотрудниками организации, в количестве менее 100 000 субъектов ПДн и для информационной системы актуальны угрозы 3го типа, информационной системе необходимо обеспечить 3 уровень защищенности.
1.7.6. Установленные средства защиты информации
1. Kaspersky Internet Security
1.8. Описание информационной системы "АРМ социального педагога"
Информационная система развёрнута на одном компьютере. Компьютер имеет подключение к локальной сети и выход в сеть Интернет. Обработка персональных данных осуществляется в программе "Microsoft Office". Персональные данные в виде отчетов передаются в Комиссию по делам несовершеннолетних и защите их прав при администрации Советского района г. Астрахани, Инспекцию по делам несовершеннолетних отдела полиции №1 Советского района г. Астрахани, Многопрофильный социальный центр "Семья" по запросам электронной почтой и на бумажных носителях.
1.8.1. Объекты защиты
- Средства обработки информации (персональные компьютеры)
- Персональные данные
1. Фамилия, Имя, Отчество
2. Адрес места жительства/прописки
3. Должность
4. Семейное положение
5. Состав семьи
6. Номер класса
7. Социальное положение (категория семьи)
8. Номер телефона
9. Место работы
1.8.2. Количество записей о субъектах персональных данных
В информационной системе персональных данных обрабатывается менее 100 000 записей, содержащих данные о субъектах персональных данных.
1.8.3. Должностные лица, имеющие доступ к работе с информационной системой
1. Социальный педагог
1.8.4. Режимы обработки персональных данных
─ Сбор;
─ Хранение;
─ Обработка;
─ Передача.
1.8.5. Уровень защищенности информационной системы
В соответствии с постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», исходя из того, что в информационной системе обрабатываются иные категории ПДн сотрудников организации и субъектов, не являющихся сотрудниками организации, в количестве менее 100 000 субъектов ПДн и для информационной системы актуальны угрозы 3го типа, информационной системе необходимо обеспечить 4 уровень защищенности.
1.8.6. Установленные средства защиты информации
1. Kaspersky Internet Security
1.9. Описание информационной системы "АРМ библиотекаря"
Информационная система развёрнута на одном компьютере. Компьютер имеет подключение к локальной сети и выход в сеть Интернет. Обработка персональных данных осуществляется в программе "Microsoft Office".
1.9.1. Объекты защиты
- Средства обработки информации (персональные компьютеры)
- Персональные данные
1. Фамилия, Имя, Отчество
2. Адрес места жительства/прописки
3. Должность
4. Номер класса
5. Дата рождения
6. Номер телефона
1.9.2. Количество записей о субъектах персональных данных
В информационной системе персональных данных обрабатывается менее 100 000 записей, содержащих данные о субъектах персональных данных.
1.9.3. Должностные лица, имеющие доступ к работе с информационной системой
1. Библиотекарь
1.9.4. Режимы обработки персональных данных
─ Сбор;
─ Хранение;
─ Обработка;
─ Передача.
1.9.5. Уровень защищенности информационной системы
В соответствии с постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», исходя из того, что в информационной системе обрабатываются иные категории ПДн сотрудников организации и субъектов, не являющихся сотрудниками организации, в количестве менее 100 000 субъектов ПДн и для информационной системы актуальны угрозы 3го типа, информационной системе необходимо обеспечить 4 уровень защищенности.
1.9.6. Установленные средства защиты информации
1. Kaspersky Internet Security
2. Сведения о документах, содержащих персональные данные
В Школе имеются документы, содержащие персональные данные (личные дела сотрудников, трудовые книжки, трудовые договоры, приказы по основной деятельности и по личному составу, медицинские книжки, личные дела учащихся, документация психолога, карточки читателей библиотеки). Перечисленные документы хранятся в следующих местах:
1. Личные дела сотрудников в сейфе
2. Трудовые книжки в сейфе
3. Трудовые договоры в сейфе
4. Приказы по основной деятельности и по личному составу в сейфе
5. Медицинские книжки в запираемом помещении
6. Личные дела учащихся в запираемом помещении
7. Документация психолога в запираемом помещении
8. Карточки читателей библиотеки в запираемом помещении
В соответствии с п.15 постановления Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» перечень мер защиты от несанкционированного доступа к материальным носителям определяется оператором.
Предпринятые меры являются достаточными.
3. Результаты обследования
В соответствии со ст. 18.1, ст. 19 п. 1 ФЗ-152 от 27 июля 2006 года «О персональных данных», ст. 16 п. 1 ФЗ-149 «Об информации, информатизации и о защите информации» для защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации необходимо принятие правовых, организационных и технических мер.
Для реализации вышеперечисленных требований, в соответствии с п. 3.18 СТР-К, постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 рекомендуется разработать следующие организационно-распорядительные документы, которые регламентируют порядок доступа к персональным данным, правила работы с персональными данными и порядок работы со средствами защиты информации, а именно:
1. Инструкцию системного администратора информационных систем персональных данных по обеспечению безопасности персональных данных;
2. Инструкцию о порядке резервирования и восстановления работоспособности технических средств, программного обеспечения и баз данных;
3. Инструкцию ответственного за обработку персональных данных;
4. Инструкцию по организации антивирусной защиты;
5. Инструкцию по порядку учета и хранению документов, содержащих персональные данные;
6. Инструкцию по обеспечению безопасности эксплуатации средств криптографической защиты информации (СКЗИ);
7. Инструкцию по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных);
8. Инструкцию пользователя информационных систем персональных данных по обеспечению безопасности персональных данных
9. Положение об обработке персональных данных;
10. Порядок доступа сотрудников в помещения, где ведётся обработка персональных данных;
11. Приказ о назначении администраторов информационных систем и ответственных за обработку персональных данных;
12. Приказ о классификации информационных систем;
13. Акты классификации информационных систем;
14. Приказ о вводе в эксплуатацию информационных систем;
15. Частную модель угроз безопасности ПДн;
16. Разрешительную систему доступа к информационным системам;
17. Перечень должностей сотрудников, имеющих доступ к работе с персональными данными.
Также, наряду с организационными мерами, на основании постановления Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», для обеспечения
4 уровня защищённости необходимо выполнить следующие требования:
Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
Обеспечение сохранности носителей персональных данных
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
3 уровня защищённости необходимо выполнить следующие требования:
Необходимо выполнение вышеперечисленных мер
Необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе
Также сообщаем Вам, что необходимо уничтожить все копии документов, удостоверяющих личность (паспорт), если их хранение не предусмотрено действующим законодательством.
|