Общее число персонала и совокупность средств автоматизации ГКУЗ «ЯНОСДР», представленная информационными системами персональных данных представляет объект защиты.
На первом шаге исследования (осмотра) общего состояния защищенности информации в учреждении проводится обследование информационных систем персональных данных, состоящее из:
1. комплексный анализ процесса обработки информации направлен на обнаружение всех информационных систем и баз данных, хранящих и обрабатывающих персональные данные, а также объемов и категорий этих данных;
2. выявление действующего списка служащих и их автоматизированных рабочих мест (далее - АРМ), принимающих участие в процессе обработки персональных данных;
3. анализ структуры локальной вычислительной сети (далее – ЛВС), обеспечивающей работоспособность АРМ, конкретизацию методов подключения ЛВС к сетям общего доступа и/или международного информационного обмена;
4. сбор информации, необходимой для составления технического паспорта на ИСПДн – перечень программного обеспечения, установленного на каждом АРМ, обнаружение аспектов функционирования информационных систем, в которых непосредственно выполняется обработка персональных данных;
5. формирование планов помещений ГКУЗ «ЯНОСДР»,в которых непосредственно размещены аппаратные компоненты ИСПДн (АРМ, сетевое, серверное, коммутационное оборудование ЛВС);
6. указание месторасположения основных и вспомогательных средств и систем (далее ОТСС и ВТСС, соответственно) с привязкой к планам помещений, указанием пролегания слаботочных линий связи и линий электропитания;
7. анализ утвержденной и введенной организационно-распорядительной документации, согласно которой осуществляется безопасность информации в ГКУЗ «ЯНОСДР», проверка соответствия данной документации текущим требованиям нормативно-правовых актов и законодательных, актуальных на территории Российской Федерации.
После сбора всех необходимых данных следует провести обработку собранных данных.
Первым шагом требуется провести анализ организации безопасности ПДн. Предназначение этого шага заключается в обнаружении «слабых мест» в процессе обработки ПДн. Были выявлены следующие нарушения не соответствующие требованиям нормативных правовых актов Российской Федерации и методических документов ФСТЭК и ФСБ России, которые были разделены на две группы:
· По состоянию
· По документации
По состоянию
· Ответственные должностные лица за обеспечение безопасности персональных данных и за непосредственное выполнение работ по защите персональных данных при их обработке в информационных системах не назначены.
· Средства контроля и разграничения доступа отсутствуют.
· Отсутствуют средства защиты информации.
· Антивирусная защита осуществляется польщователями с применением программного средства Kaspersky Endipoint Security 8 для Windows.
· Выход в сети связи общего пользования осуществляется с АРМ социального работника.
· Присутствует средство криптографической защиты информации КриптоПроCSP.
По документации
· Перечень ПДн, подлежащих защите в ИСПДн, утвержден, но не соответствует действительности.
· Правила учета носителей ПДн не утверждены.
· Правила допуска лиц в помещения, в которых ведется работа с персональными данными, не определены.
· Классификация ИСПДн не проведена.
· Места размещения технических средств ИСПДн не определены.
· Правила, определяющие порядок разбирательства по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению уровня конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, не предоставлены.
· Правила, определяющие порядок приостановки предоставления ПДн в случае обнаружения нарушений требований по защите информации, не предоставлены.
· Порядок обучения сотрудников правилам использования СЗИ не определен.
· Правила (инструкции) по контролю за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией, не определены.
· Инструкции, определяющие порядок резервирования и восстановления ПДн, не предоставлены.
· Правила (инструкции), определяющие порядок восстановления работоспособности ИСПДн, баз данных и средств защиты, не определены.
· Правила парольной защиты не определены.
· Частная модель угроз для ИСПДн не составлена.
· Требования по обеспечению безопасности ПДн при их обработке в ИСПДн не составлены.
В дальнейшем необходимо описать каким образом происходит обработка ПНд (приведен в таблице 2), цель обработки ПДн(табл. 3), правовое основание обработки ПДн(табл. 4), перечень обрабатываемых ПДн(табл. 5), объем ПДн(табл. 6), перечень осуществляемых действий в отношении ПДн в ИСПДн (табл. 7), сроки хранения ПДн (табл. 8), список сотрудников, осуществляющих обработку ПДн (табл. 9), способы поступления и ввода ПДн в ИСПДн (табл. 10), источники поступления ПДн (табл. 11), информация об организации передачи ПДн (табл. 12).
Таблица 2 – Процесс обработки ПДн.
ИСПДн | Способ обработки | Описание процесса обработки |
«Кадровый учет» | Без автоматизации | Сотрудник составляет трудовые договоры |
С автоматизацией | Сотрудник ведет кадровый учет в программе «Microsoft Office профессиональный 2010». | |
«Бухгалтерский учет» | Без автоматизации | Сотрудники ведут бухгалтерский учет. |
С автоматизацией | Сотрудники ведут бухгалтерский учет в программе "ПАРУС ПРЕДПРИЯТИЕ 8", начисляют заработную плату, отправляют реестры заработной платы в банк. | |
«Медицинский персонал» | Без автоматизации | Не производится |
С автоматизацией | Сотрудник ведет реестры медицинских работников в программе «Медицинский персонал». | |
«Карта ребенка инвалида» | Без автоматизации | Не производится |
С автоматизацией | Сотрудник ведет реестры детей инвалидов в программе «Федеральный регистр детей-инвалидов» |
Цель обработки ПДн приведена в таблице 3.
ИСПДн | Цель |
«Кадровый учет» | Ведение кадрового учета |
«Бухгалтерский учет» | Ведение бухгалтерского учета, выдача заработной платы |
«Медицинский персонал» | Отправка реестров в страховые компании |
«Карта ребенка инвалида» | Ведение реестра детей инвалидов |
Работа с ПДн регламентируется нормативно-правовыми актами РФ. Правовое основание обработки ПДн приведено в таблице 4.
ИСПДн | Правовое основание обработки ПДн |
«Кадровый учет» | Трудовой кодекс РФ |
«Бухгалтерский учет» | Федеральный закон «О бухгалтерском учете» |
«Медицинский персонал» | Договор со страховыми компаниями |
«Карта ребенка инвалида» | Федеральный закон «О социальной защите инвалидов в Российской Федерации» № 181-ФЗ |
Перечень обрабатываемых ПДн в ИСПДн приведен в таблице 5.
ИСПДн | Обрабатываемые ПДн | Хпд |
«Кадровый учет» | Фамилия, имя, отчество, паспортные данные, ИНН, СНИЛС, должность, данные об образовании, телефон, квалификация. | Категория 2: Данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию |
«Бухгалтерский учет» | ФИО, паспортные данные, страховой медицинский полис, страховое пенсионное свидетельство, ИНН, адрес фактический и регистрации, сведения об образовании, семейное положение, стаж работы, должность, сведения о зарплате, контактный телефон. | Категория 2: Данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию |
«Медицинский персонал» | Фамилия, имя, отчество, паспортные данные, ИНН, СНИЛС, должность, данные об образовании, телефон, квалификация. | Категория 2: Данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию |
«Карта ребенка инвалида» | Фамилия, имя, отчество, диагноз, инвалидность, год рождения, полис обязательного медицинского страхования, адрес проживания.
| Категория 1: Данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, в том числе сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, интимной жизни |
Объем обрабатываемых ПДн в ИСПДн приведен в таблице 6.
ИСПДн | Обрабатываемые ПДн | Хнпд |
«Кадровый учет» | Объем обрабатываемых персональных данных: одновременно обрабатываются данные до субъектов персональных данных; | 3 |
«Бухалтерский учет» | Объем обрабатываемых персональных данных: одновременно обрабатываются данные до субъектов персональных данных; | 3 |
«Медицинский персонал» | Объем обрабатываемых персональных данных: одновременно обрабатываются данные до субъектов персональных данных; | 3 |
«Карта ребенка инвалида» | Объем обрабатываемых персональных данных: одновременно обрабатываются данные до субъектов персональных данных; | 2 |
Перечень осуществляемых действий в отношении ПДн в ИСПДн приведен в таблице 7.
ИСПДн | Действия |
«Кадровый учет» | Сбор, систематизация, накопление, хранение, уточнение (изменение, обновление), использование, уничтожение, передача. |
«Бухгалтерский учет» | Сбор, систематизация, накопление, хранение, уточнение (изменение, обновление), использование, уничтожение, передача. |
«Медицинский персонал» | Сбор, систематизация, накопление, хранение, уточнение (изменение, обновление), использование, уничтожение, передача |
«Карта ребенка инвалида» | Сбор, систематизация, накопление, хранение, уточнение (изменение, обновление), использование, уничтожение, передача |
Сроки хранения персональных данных указаны в таблице 8.
ИСПДн | Срок хранения |
«Кадровый учет» | 75 лет |
«Бухгалтерский учет» | 75 лет |
«Медицинский персонал» | 75 лет |
«Карта ребенка инвалида» | До достижения целей обработки персональных данных |
В таблице 9 приведен список сотрудников, осуществляющих обработку ПДн:
№ | Фамилия, имя, отчество | Наименование должности | Наименование ИСПДн |
1. |
| Специалист отдела кадров | «Кадровый учет» |
2. | Андреева Клавдия Васильевна | Сотрудник отдела кадров | «Кадровый учет» |
3. |
| Сотрудник отдела кадров | «Кадровый учет» |
4. |
| Сотрудник отдела кадров | «Кадровый учет» |
5. |
| оператор ЭВМ | «Кадровый учет» |
6. |
| оператор ЭВМ | «Кадровый учет» |
7. |
| оператор ЭВМ | «Кадровый учет» |
8. |
| Заместитель главного бухгалтера | «Бухгалтерский учет» |
9. |
| Главный бухгалтер | «Бухгалтерский учет» |
10. |
| Бухгалтер | «Бухгалтерский учет» |
11. |
| Специалист по социальной работе | «Карта ребенка инвалида», «Медицинский персонал» |
12. |
| Медицинский регистратор | «Карта ребенка инвалида», «Медицинский персонал» |
13. |
| Медицинский регистратор | «Карта ребенка инвалида», «Медицинский персонал» |
14. |
| Оператор льготных рецептов | «Карта ребенка инвалида», «Медицинский персонал» |
15. |
| Врач терапевт | «Карта ребенка инвалида», «Медицинский персонал» |
16. |
| Врач терапевт | «Карта ребенка инвалида», «Медицинский персонал» |
17. |
| Заведующий терапевтическим отделением | «Карта ребенка инвалида», «Медицинский персонал» |
18. |
| Системный администратор | «Кадровый учет», «Бухгалтерский учет», «Карта ребенка инвалида», «Медицинский персонал», ПК-Администратор |
Способы поступления и ввода ПДн в ИСПДн приведены в таблице 10:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
