2018-01-21
1942
В дальнейшем необходимо описать каким образом происходит обработка ПНд (приведен в таблице 2), цель обработки ПДн(табл. 3), правовое основание обработки ПДн(табл. 4), перечень обрабатываемых ПДн(табл. 5), объем ПДн(табл. 6), перечень осуществляемых действий в отношении ПДн в ИСПДн (табл. 7), сроки хранения ПДн (табл. 8), список сотрудников, осуществляющих обработку ПДн (табл. 9), способы поступления и ввода ПДн в ИСПДн (табл. 10), источники поступления ПДн (табл. 11), информация об организации передачи ПДн (табл. 12).
Таблица 2 – Процесс обработки ПДн.
| ИСПДн | Способ обработки | Описание процесса обработки |
| «Кадровый учет» | Без автоматизации | Сотрудник составляет трудовые договоры |
| С автоматизацией | Сотрудник ведет кадровый учет в программе «Microsoft Office профессиональный 2010». | |
| «Бухгалтерский учет» | Без автоматизации | Сотрудники ведут бухгалтерский учет. |
| С автоматизацией | Сотрудники ведут бухгалтерский учет в программе "ПАРУС ПРЕДПРИЯТИЕ 8", начисляют заработную плату, отправляют реестры заработной платы в банк. | |
| «Медицинский персонал» | Без автоматизации | Не производится |
| С автоматизацией | Сотрудник ведет реестры медицинских работников в программе «Медицинский персонал». | |
| «Карта ребенка инвалида» | Без автоматизации | Не производится |
| С автоматизацией | Сотрудник ведет реестры детей инвалидов в программе «Федеральный регистр детей-инвалидов» |
|
|
|
Цель обработки ПДн приведена в таблице 3.
| ИСПДн | Цель |
| «Кадровый учет» | Ведение кадрового учета |
| «Бухгалтерский учет» | Ведение бухгалтерского учета, выдача заработной платы |
| «Медицинский персонал» | Отправка реестров в страховые компании |
| «Карта ребенка инвалида» | Ведение реестра детей инвалидов |
Работа с ПДн регламентируется нормативно-правовыми актами РФ. Правовое основание обработки ПДн приведено в таблице 4.
| ИСПДн | Правовое основание обработки ПДн |
| «Кадровый учет» | Трудовой кодекс РФ |
| «Бухгалтерский учет» | Федеральный закон «О бухгалтерском учете» № 129-ФЗ |
| «Медицинский персонал» | Договор со страховыми компаниями |
| «Карта ребенка инвалида» | Федеральный закон «О социальной защите инвалидов в Российской Федерации» № 181-ФЗ |
Перечень обрабатываемых ПДн в ИСПДн приведен в таблице 5.
| ИСПДн | Обрабатываемые ПДн | Хпд |
| «Кадровый учет» | Фамилия, имя, отчество, паспортные данные, ИНН, СНИЛС, должность, данные об образовании, телефон, квалификация. | Категория 2: Данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию |
| «Бухгалтерский учет» | ФИО, паспортные данные, страховой медицинский полис, страховое пенсионное свидетельство, ИНН, адрес фактический и регистрации, сведения об образовании, семейное положение, стаж работы, должность, сведения о зарплате, контактный телефон. | Категория 2: Данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию |
| «Медицинский персонал» | Фамилия, имя, отчество, паспортные данные, ИНН, СНИЛС, должность, данные об образовании, телефон, квалификация. | Категория 2: Данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию |
| «Карта ребенка инвалида» | Фамилия, имя, отчество, диагноз, инвалидность, год рождения, полис обязательного медицинского страхования, адрес проживания. | Категория 1: Данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, в том числе сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, интимной жизни |
|
|
|
Объем обрабатываемых ПДн в ИСПДн приведен в таблице 6.
| ИСПДн | Обрабатываемые ПДн | Хнпд |
| «Кадровый учет» | Объем обрабатываемых персональных данных: одновременно обрабатываются данные до 100 000 субъектов персональных данных; | |
| «Бухалтерский учет» | Объем обрабатываемых персональных данных: одновременно обрабатываются данные до 100 000 субъектов персональных данных; | |
| «Медицинский персонал» | Объем обрабатываемых персональных данных: одновременно обрабатываются данные до 100 000 субъектов персональных данных; | |
| «Карта ребенка инвалида» | Объем обрабатываемых персональных данных: одновременно обрабатываются данные до 100 000 субъектов персональных данных; |
Перечень осуществляемых действий в отношении ПДн в ИСПДн приведен в таблице 7.
| ИСПДн | Действия |
| «Кадровый учет» | Сбор, систематизация, накопление, хранение, уточнение (изменение, обновление), использование, уничтожение, передача. |
| «Бухгалтерский учет» | Сбор, систематизация, накопление, хранение, уточнение (изменение, обновление), использование, уничтожение, передача. |
| «Медицинский персонал» | Сбор, систематизация, накопление, хранение, уточнение (изменение, обновление), использование, уничтожение, передача |
| «Карта ребенка инвалида» | Сбор, систематизация, накопление, хранение, уточнение (изменение, обновление), использование, уничтожение, передача |
Сроки хранения персональных данных указаны в таблице 8.
| ИСПДн | Срок хранения |
| «Кадровый учет» | 75 лет |
| «Бухгалтерский учет» | 75 лет |
| «Медицинский персонал» | 75 лет |
| «Карта ребенка инвалида» | До достижения целей обработки персональных данных |
В таблице 9 приведен список сотрудников, осуществляющих обработку ПДн:
| № п/п | Фамилия, имя, отчество | Наименование должности | Наименование ИСПДн |
| 1. | Черепанова Нина Андреевна | Специалист отдела кадров | «Кадровый учет» |
| 2. | Андреева Клавдия Васильевна | Сотрудник отдела кадров | «Кадровый учет» |
| 3. | Чернова Светлана Сергеевна | Сотрудник отдела кадров | «Кадровый учет» |
| 4. | Колчанова Татьяна Викторовна | Сотрудник отдела кадров | «Кадровый учет» |
| 5. | Ашихнина Марина Сергеевна | оператор ЭВМ | «Кадровый учет» |
| 6. | Плешков Павел Генадьевич | оператор ЭВМ | «Кадровый учет» |
| 7. | Шматов Артем Витальевич | оператор ЭВМ | «Кадровый учет» |
| 8. | Черепанов Константин Николаевич | Заместитель главного бухгалтера | «Бухгалтерский учет» |
| 9. | Тонатова Валентина Андреевна | Главный бухгалтер | «Бухгалтерский учет» |
| 10. | Васильева Нина Анатольевна | Бухгалтер | «Бухгалтерский учет» |
| 11. | Глазырина Людмила Владимировна | Специалист по социальной работе | «Карта ребенка инвалида», «Медицинский персонал» |
| 12. | Сизикова Людмила Александровна | Медицинский регистратор | «Карта ребенка инвалида», «Медицинский персонал» |
| 13. | Лошакевич Ирина Леонидовна | Медицинский регистратор | «Карта ребенка инвалида», «Медицинский персонал» |
| 14. | Чисталёва Нина Владимировна | Оператор льготных рецептов | «Карта ребенка инвалида», «Медицинский персонал» |
| 15. | Бутуева Елена Юрьевна | Врач терапевт | «Карта ребенка инвалида», «Медицинский персонал» |
| 16. | Курдюкова Галина Петровна | Врач терапевт | «Карта ребенка инвалида», «Медицинский персонал» |
| 17. | Шнайдер Наталья Александровна | Заведующий терапевтическим отделением | «Карта ребенка инвалида», «Медицинский персонал» |
| 18. | Дружинин Юрий Николаевич | Системный администратор | «Кадровый учет», «Бухгалтерский учет», «Карта ребенка инвалида», «Медицинский персонал», ПК-Администратор |
|
|
|
Способы поступления и ввода ПДн в ИСПДн приведены в таблице 10:
| ИСПДн | Ввод ПДн |
| «Кадровый учет» | С клавиатуры |
| «Бухгалтерский учет» | С клавиатуры |
| «Медицинский персонал» | С клавиатуры |
| «Карта ребенка инвалида» | С клавиатуры |
Источники поступления ПДн приведены в таблице 11:
| ИСПДн | Источники поступления ПДн |
| «Кадровый учет» | От сотрудников организации |
| «Бухгалтерский учет» | От сотрудников организации |
| «Медицинский персонал» | От сотрудников организации |
| «Карта ребенка инвалида» | Из личных дел |
Информация об организации передачи ПДн приведена в таблице 12:
| ИСПДн | Передача ПДн | Объем предоставляемых ПДн |
| «Кадровый учет» | Передаются в обслуживающий организацию банк, налоговую службу, пенсионный фонд. | Вся БД |
| «Бухгалтерский учет» | Передаются в обслуживающий организацию банк, налоговую службу, пенсионный фонд. | Вся БД |
| «Медицинский персонал» | Передаются в департамент здравоохранения ЯНАО | Вся БД |
| «Карта ребенка инвалида» | Передаются в департамент здравоохранения ЯНАО | Вся БД |
Анализ сети
ГКУЗ «ЯНОСДР» — занимается обработкой ПДн. Для обеспечения возможности обработки данных было выделены помещение («серверная») и средства на покупку вычислительной техники и программного обеспечения. ГКУЗ «ЯНОСДР» находится на втором этаже здания, содержит шестнадцать кабинетов, включая подсобные помещения.
|
|
|
Ключевым назначением имеющейся ЛВС является ведение реестра пациентов (детей - инвалидов), ведение бухгалтерского и кадрового учета, отправка реестров в страховые компании. Рабочие места системы оснащены персональными компьютерами, соединенными локальной вычислительной сетью с серверами, содержащими базы данных.
Рассмотрим структуру первоначальной ЛВС предприятия.
Пользовательская АРМ «Кадровый учет» подключена к сегменту сети со специальной автономной многопользовательской без разграничения прав доступа логической структурой. Не подключенная к сетям общего пользования.
Вторая совместная пользовательская АРМ «Медицинский персонал» и «Карта ребенка инвалида», подключена к сегменту сети со специальной локальной многопользовательской с разграничением прав доступа логической структурой. Имеет подключение к сетям общего пользования.
Сетевому оборудованию назначены следующие адреса:
192.168.0.1 – пограничный маршрутизатор на границе с интернетом (ГКУЗ «ЯНОСДР»)
192.168.0.2 – прокси-сервер (ГКУЗ «ЯНОСДР»)
192.168.0.3 – коммутатор-звезда(ГКУЗ «ЯНОСДР»)
192.168.0.4 – сервер AD (ГКУЗ «ЯНОСДР»)
192.168.0.5 – сервер ИСПДн «Кадровый учет» (ГКУЗ «ЯНОСДР»)
192.168.0.6 – совместный сервер ИСПДн «Медицинский персонал» и «Карта ребенка инвалида» (ГКУЗ «ЯНОСДР»)
192.168.0.7 – ПК «Администратор» (ГКУЗ «ЯНОСДР»)
192.168.0.8 – «Кадровый учет» пользовательская АРМ (ГКУЗ «ЯНОСДР»)
192.168.0.9 – «Медицинский персонал», «Карта ребенка инвалида» пользовательская АРМ (ГКУЗ «ЯНОСДР»)
Рис. 1. Первоначальная структура сети.
На компьютере специалиста по отделу кадров установлен пакет программ «Microsoft Office профессиональный 2010» в которой сотрудник ведет бухгалтерский и кадровый учет в программе, составляет трудовые договоры, также там хранится информация о всех сотрудниках системы.
На совместном компьютере сотрудника отдела «Медицинский персонал» и «Карта ребенка инвалида» также установлен пакет программ «Microsoft Office профессиональный 2010» в которой он ведет реестры медицинских работников в программе «Медицинский персонал» и реестры детей инвалидов в программе «Федеральный регистр детей-инвалидов», также там хранится информация о всех сотрудниках системы.
В качестве операционной системы на всех компьютерах используется Windows 7. Также на компьютерах локальной вычислительной сети установлена антивирусная программа Kaspersky Endpoint Security 8.
Рассмотрев первоначальную структуру сети ГКУЗ «ЯНОСДР». Перейдем к обзору реорганизованной структуры сети предприятия.
В связи с добавлением новых АРМ, сервера и последующей реорганизацией внутренней структуры сети ГКУЗ «ЯНОСДР» будет произведен ввод в эксплуатацию новых сегментов сети и добавление коммутирующего оборудования. Новым сегментом сети будет отдел «Бухгалтерского учета», в отдельные сегменты выделены отделы «Кадровый учет» и «Медицинский персонал».
АРМ и серверное оборудование сети при помощи телекоммуникационных узлов логически разделены на виртуальные сети по принципу выполняемых ими задач:
VLAN0 (trunk) – сервер AD, ПК-администратор, пограничный маршрутизатор на границе с интернетом D-Link.
VLAN1– сервер ИСПДн «Медицинский персонал» и «Карта ребенка инвалида», ПК- «Медицинский персонал»,«Карта ребенка инвалида» в колличестве 7 АРМ, коммутатор №1, коммутатор-звезда и прокси-сервер.
VLAN2– сервер ИСПДн «Кадровый учет», ПК- «Кадровый учет» в колличестве 7 АРМ, коммутатор №2, коммутатор-звезда.
VLAN3– сервер ИСПДн «Бухгалтерский учет», ПК- «Бухгалтерский учет» в колличестве 3 АРМ, коммутатор №3, коммутатор-звезда и прокси-сервер.
Сетевеому оборудованию переназначены следующие адреса:
192.168.0.1 – пограничный маршрутизатор на границе с интернетом (ГКУЗ «ЯНОСДР»)
192.168.0.2 – прокси-сервер (ГКУЗ «ЯНОСДР»)
192.168.0.3 – коммутатор-звезда(ГКУЗ «ЯНОСДР»)
192.168.0.4 – коммутатор для отдела «Медицинский персонал», «Карта ребенка инвалида» (ГКУЗ «ЯНОСДР»)
192.168.0.5 – коммутатор для отдела «Кадровый учет» (ГКУЗ «ЯНОСДР»)
192.168.0.6 – коммутатор для отдела «Бухгалтерский учет» (ГКУЗ «ЯНОСДР»)
192.168.0.7 – сервер AD (ГКУЗ «ЯНОСДР»)
192.168.0.8 – сервер ИСПДн «Кадровый учет» (ГКУЗ «ЯНОСДР»)
192.168.0.9 – сервер ИСПДн «Бухгалтерский учет» (ГКУЗ «ЯНОСДР»)
192.168.0.10 – совместный сервер ИСПДн «Медицинский персонал» и «Карта ребенка инвалида» (ГКУЗ «ЯНОСДР»)
192.168.0.11 – ПК «Администратор» (ГКУЗ «ЯНОСДР»)
192.168.0.12…14 – «Бухгалтерский учет» пользовательские АРМ (ГКУЗ «ЯНОСДР»)
192.168.0.15...22 – «Кадровый учет» пользовательские АРМ (ГКУЗ «ЯНОСДР»)
192.168.0.23...30 – «Медицинский персонал», «Карта ребенка инвалида» пользовательские АРМ (ГКУЗ «ЯНОСДР»)
Рис. 2. Реорганизованная структура сети.
Для обеспечения безопасности работы в сети Интернет было принято решение о приобретении программного комплекса Security Studio Endpoint Protection: Personal Firewall, HIPS включающий в свой состав межсетевой экран, средство обнаружения вторжений и сертифицированный антивирус, который защищает от внешних атак и вирусов, а также систему защиты инфрмации от несанкционированного доступа «SecretNet 6.5-A» (автономный варант) и программу контроля сертифицированной версии ОС Windows XP Professional (XP_Cheeck 3.0). Сетевой сканер безопасности «XSpider 7.8» – сканер уязвимостей, проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco.
Конфигурация, логическая структура, наличие физических подключений ИСПДн приведены в таблице 13:
| ИСПДн | Конфигурация, логическая структура | Состав ТС | Наличие физических подключений (ЛВС, Интернет, каналы связи провайдеров) |
| «Кадровый учет» | Специальная автономная многопользовательская без разграничения прав доступа | 7 АРМ | ИСПДн не подключена к сетям общего пользования |
| «Бухгалтерский учет» | Специальная автономная многопользовательская без разграничения прав доступа | 3 АРМ | ИСПДн подключена к сетям общего пользования |
| «Медицинский персонал» | Специальная локальная многопользовательская с разграничения прав доступа | 7 АРМ (совместно с ИСПДн «Карта ребенка инвалида») | ИСПДн подключена к сетям общего пользования |
| «Карта ребенка инвалида» | Специальная локальная многопользовательская с разграничения прав доступа | 7 АРМ (совместно с ИСПДн «Медицинский персонал») | ИСПДн подключена к сетям общего пользования |
Сведения об ИСПДн
Перечень общесистемного ПО (операционных систем) приведен в таблице 14:
| № п/п | Наименование, версия ОС | Месторасположение | Примечание |
| Microsoft Windows XP Professional SP 3 | г. Тюмень, ул. М. Горького, д. 28А, отдел кадров, приемная | АРМ. Сертификат ФСТЭК не предоставлен |
Перечень прикладного ПО (используемого для обработки ПДн) приведен в таблице 15:
| № п/п | Наименование, версия | Возможности программного средства | Расположение ресурса | ||
| ИСПДн «Кадровый учет» | |||||
| 1. | Microsoft Office, для дома и бизнеса 2010 | Текстовый редактор | Отдел кадров Системный блок Инв.№ 013660053 | ||
| ИСПДн «Бухгалтерский учет» | |||||
| 2. | Microsoft Office профессиональный 2010 | Текстовый редактор | Приемная Системный блок S/N 16219034900115 | ||
| ПАРУС БЮДЖЕТ [Русский] | Бухгалтерский и кадровый учет | ||||
| ИСПДн «Медицинский персонал» | |||||
| 3. | Microsoft Office профессиональный 2010 | Текстовый редактор | Приемная Системный блок S/N 16219034900115 | ||
| 4. | Медицинский персонал | Ведение реестра медицинских работников | Приемная Системный блок S/N 16219034900115 | ||
| ИСПДн «Карта ребенка инвалида» | |||||
| 5. | Microsoft Office профессиональный 2010 | Текстовый редактор | Приемная Системный блок S/N 16219034900115 | ||
| 6. | Федеральный регистр детей-инвалидов | Ведение реестра детей инвалидов | Приемная Системный блок S/N 16219034900115 | ||
Классификация ИСПДн
Следующий шаг - проведение классификации ИСПДн.
Классифицировать ИСПДн необходимо для того, чтобы определить минимальные необходимые меры защиты. Классификация ИСПДн проводится в соответствии со cсовместным приказом ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008 г. "Об утверждении порядка проведения классификации информационных систем персональных данных" и Постановлением Правительства «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2008г. N 781. Согласно данным нормативно-правовым актам ранее до реорганизации сети учреждения, ИСПДн были присвоенные классы.
Предварительная классификация ИСПДн приведена в таблице:
| ИСПДн | Хпд | Хнпд | Класс |
| «Кадровый учет» | К3 | ||
| «Бухгалтерский учет» | К3 | ||
| «Медицинский персонал» | К3 | ||
| «Карта ребенка инвалида» | К1 |
Но в связи с корректировкой законодательной базы в области безопасности ПДн, и принятием нового Постановления Правительства РФ от 1 ноября 2012г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» изменились термины информационной безопасности – «класс» заменен на «уровень защищенности».
ИСПДн «Кадровый учет»:
Объектом защиты являются ПДн, обрабатываемые в специальной ИСПДн «Кадровый учет».
Обработка ПДн в ИСПДн «Кадровый учет» осуществляется с использованием средств автоматизации.
В рассматриваемой ИСПДн «Кадровый учет» обрабатываются персональные данные относящиеся к категории иных, ИСПДн-И.
В рассматриваемой ИСПДн «Кадровый учет» обрабатываются персональные данные субъектов, являющихся сотрудниками оператора.
В рассматриваемой ИСПДн «Кадровый учет» одновременно обрабатывается персональные данные: объемом менее 100 000.
ИСПДн «Кадровый учет» относится к специальным, так как в ней существует необходимость обеспечить, кроме конфиденциальности, целостность и доступность.
ИСПДн «Кадровый учет» имеет автономную структуру.
ИСПДн «Кадровый учет» нет подключение к сетям связи общего пользования и сетям международного информационного обмена.
По режиму обработки ПДн ИСПДн «Кадровый учет» является многопользовательская, без разграничения прав доступа.
Все технические средства ИСПДн находятся на территории Российской Федерации.
Для ИСПДн «Кадровый учет» актуальны угрозы 3-го типа.
Актуальные угрозы информационной безопасности, которым подвержены ИСПДн, определяются и обосновываются в Частной модели угроз.
Частная модель угроз разрабатывается на основе РД ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
В соответствии с пунктами 14 и 15 «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20, в соответствии с постановлением Правительства Российской Федерации от 01.12.2013 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных, комиссия решила в специальной информационной системе персональных данных «Кадровый учет» необходимо обеспечить 4-ый уровень защищенности (УЗ4) персональных данных.
ИСПДн «Бухгалтерский учет», «Медицинский персонал»:
Объектом защиты являются ПДн, обрабатываемые в специальной ИСПДн «Бухгалтерский учет», «Медицинский персонал».
Обработка ПДн в ИСПДн «Бухгалтерский учет», «Медицинский персонал» осуществляется с использованием средств автоматизации.
В рассматриваемой ИСПДн «Бухгалтерский учет», «Медицинский персонал» обрабатываются персональные данные относящиеся к категории иных, ИСПДн-И.
В рассматриваемой ИСПДн «Бухгалтерский учет», «Медицинский персонал» обрабатываются персональные данные субъектов, являющихся сотрудниками оператора.
В рассматриваемой ИСПДн «Бухгалтерский учет», «Медицинский персонал» одновременно обрабатывается персональные данные: объемом менее 100 000.
ИСПДн «Бухгалтерский учет» относится к специальным, так как в ней существует необходимость обеспечить, кроме конфиденциальности, целостность и доступность.
ИСПДн «Бухгалтерский учет», «Медицинский персонал» имеет локальную структуру.
ИСПДн «Бухгалтерский учет», «Медицинский персонал» имеет подключение к сетям связи общего пользования и сетям международного информационного обмена.
По режиму обработки ПДн ИСПДн «Бухгалтерский учет», «Медицинский персонал» является многопользовательская, без разграничения прав доступа.
Все технические средства ИСПДн находятся на территории Российской Федерации.
Для ИСПДн «Бухгалтерский учет», «Медицинский персонал» актуальны угрозы 3-го типа.
Актуальные угрозы информационной безопасности, которым подвержены ИСПДн, определяются и обосновываются в Частной модели угроз.
Частная модель угроз разрабатывается на основе РД ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
В соответствии с пунктами 14 и 15 «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20, в соответствии с постановлением Правительства Российской Федерации от 01.12.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных, комиссия решила в специальной информационной системе персональных данных «Бухгалтерский учет» и «Медицинский персонал» необходимо обеспечить 4-ый уровень защищенности (УЗ4) персональных данных.
Для ИСПДн «Карта ребенка инвалида»:
Объектом защиты являются ПДн, обрабатываемые в специальной ИСПДн «Карта ребенка инвалида».
Обработка ПДн в ИСПДн «Карта ребенка инвалида» осуществляется с использованием средств автоматизации.
В рассматриваемой ИСПДн «Карта ребенка инвалида» обрабатываются персональные данные специальной категории, ИСПДн-С.
В рассматриваемой ИСПДн «Карта ребенка инвалида» обрабатываются персональные данные субъектов, не являющихся сотрудниками оператора.
В рассматриваемой ИСПДн «Карта ребенка инвалида» одновременно обрабатывается персональные данные: объемом менее 100 000.
ИСПДн «Карта ребенка инвалида» относится к специальным, так как в ней существует необходимость обеспечить, кроме конфиденциальности, целостность и доступность.
ИСПДн «Карта ребенка инвалида» имеет автономную структуру.
ИСПДн «Карта ребенка инвалида» нет подключение к сетям связи общего пользования и сетям международного информационного обмена.
По режиму обработки ПДн ИСПДн «Карта ребенка инвалида» является многопользовательская, без разграничения прав доступа.
Все технические средства ИСПДн находятся на территории Российской Федерации.
Для ИСПДн «Карта ребенка инвалида» актуальны угрозы 3-го типа.
Актуальные угрозы информационной безопасности, которым подвержены ИСПДн, определяются и обосновываются в Частной модели угроз.
Частная модель угроз разрабатывается на основе РД ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
В соответствии с пунктами 14 и 15 «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20, в соответствии с постановлением Правительства Российской Федерации от 01.12.2013 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных, комиссия решила в специальной информационной системе персональных данных «Карта ребенка инвалида» необходимо обеспечить 3-ий уровень защищенности (УЗ3) персональных данных.
План помещений
Государственное казенное учреждение здравоохранения «Ямало-Ненецкий окружной специализированный Дом ребенка» находится по адресу: г. Тюмень, ул. М. Горького, д. 28А.
Помещения ГКУЗ «ЯНОСДР» расположены на втором этаже двухэтажного здания. В организации должно существовать специальное защищенное помещение, так называемое выделенное помещение.
При аттестации выделенного помещения необходимо:
· определить уровни акустического сигнала и шумов в предполагаемых местах размещения прослушивающих устройств.
· определить уровни вибрационного сигнала, шумов в предполагаемых местах размещения прослушивающих устройств контактного ти
· измерить коэффициент звукоизоляции конструкций ограждения выделенного помещения (окна, двери, стены, пол, потолок).
· измерить коэффициент виброизоляции конструкций ограждения выделенного помещения, включая всевозможные компоненты инженерно-технических систем и их коммуникации.
· измерить уровни вибрационных и акустических шумов в предполагаемых местах размещения прослушивающих устройств, при применении в выделенном помещении систем виброакустической маскировки.
· определить уровни информационных сигналов на выходе ВТСС, возникающих вследствие акустоэлектрического преобразования акустических сигналов элементами ВТСС.
· определяется уровень слышимости речи.
Тестирование на присутствие внедренных специальных электронных устройств перехвата информации.
Список для обследования:
· помещения для закрытых мероприятий;
· технические средства для операций с информацией ограниченного доступа;
· вспомогательные технические средства, находящиеся на объектах информатизации, а также в выделенных помещениях.
По итогам проверки технических средств на наличие электронных устройств перехвата данных создается акт, в соответствии с которым заказчик получает заключение.
После окончания специальной проверки выделенного помещения формируется акт, в котором указываются итоги проверки и рекомендации по защите помещения, утверждающийся руководителем, ответственным за проведение подобных проверок. Акт специальной проверки выполняется в двух экземплярах, один из них высылается по адресу владельца-заказчика помещения прошедшего проверку, а второй остается в организации исполнителя, проводившей специальную проверку.
По результатам аттестации оформляются протоколы испытаний и заключение с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
В том случае, когда эффективность защиты выделенного помещения или объекта информатизации не отвечает стандартам нормативно-методической документации руководящих органов, для устранения найденных в процессе аттестации нарушений, составляются рекомендации со сроками и условиями повторной аттестации выделенного помещения или объекта информатизации.
Заключение по итогам аттестации объекта информатизации должно быть подписано участниками аттестационной комиссии, утверждено руководителем органа аттестации и передано заказчику.
