Информационной системы персональных данных

АКТ ОБСЛЕДОВАНИЯ

Информационной системы персональных данных

Администрации Еманжелинского муниципального района

 

74.00208.АО

Листов: 27

 

                                                                                           

 

 

ЛИСТ СОГЛАСОВАНИЯ

 

		Согласовано
		Заместитель директора
		ООО «ИТ Энигма»
		/М.М. Неверов/
		«26» июня 2012 г.
		Разработал
		Специалист по защите информации
		ООО «ИТ Энигма»
		/Ю.А. Баликаева/
		«26» июня 2012 г.

Оглавление

 

1. Общие сведения об организации. 4

2. ИСПДн «Администрация ЕМР». 6

Приложение 1. Состав общесистемного и прикладного программного обеспечения в ИСПДн «Администрация ЕМР». 9

Приложение 2. Режим работы с ПДн. 17

Приложение 3. Схема информационных потоков ИСПДн «Администрация ЕМР». 20

Приложение 4. Принципиальная схема локальной сети ИСПДн «Администрация ЕМР». 26

Приложение 5. Список сокращений, условных обозначений и терминов. 27

 

 

                                                                                            

 

В рамках исполнения договора № 227 от 30.05.2012 на оказание услуг по защите информации между ООО «ИТ Энигма» и Администрацией Еманжелинского муниципального района специалистами ООО «ИТ Энигма» было проведено предпроектное обследование информационной системы персональных данных «Администрация ЕМР».

 

Задачи проведения предпроектного обследования:

- определение перечня ПДн, подлежащих защите;

- определение условия расположения ИСПДн относительно границ контролируемой зоны;

- определение конфигурации и топологии ИСПДн в целом и ее отдельных компонент, физических, функциональных и технологических связей как внутри ИСПДн, так и с другими системами различного уровня и назначения;

- определение режимов обработки информации в ИСПДн в целом и в ее отдельных компонентах;

- определение степени участия персонала в обработке ПДн, характер его взаимодействия между собой;

- определение класса ИСПДн.

 

Предпроектное обследование проводилось путем:

- устного опроса лиц, ответственных за обработку ПДн;

- сбора информации о рабочих станциях, входящих в информационную систему, с использованием специального программного обеспечения;

- заполнения форм сбора информации об информационных системах персональных данных.

 

В ходе проведения предпроектного обследования были получены следующие данные:

 

Общие сведения об организации

 

1.1.Полное и сокращенное наименование организации:

− полное наименование: Администрация Еманжелинского муниципального района;

− сокращенное наименование: АЕМР.

1.2.Реквизиты организации:

− адрес: 456580, Челябинская область, г. Еманжелинск, ул. Мира, 18;

− телефон: 8(35138)21821;

− ИНН 7403001024;

− КПП 740301001.

1.3.ФИО и должность руководителя организации: Светлов Евгений Владимирович – глава Еманжелинского муниципального района.

1.4.ФИО и должность ответственного за безопасность персональных данных: Зудова Ольга Викторовна – старший программист.

1.5.Общая характеристика организации: Администрация Еманжелинского муниципального района является исполнительно-распорядительным органом Еманжелинского муниципального района, наделенным полномочиями по решению вопросов местного значения и полномочиями по осуществлению отдельных государственных полномочий, переданных органам местного самоуправления муниципального района федеральными законами и законами Челябинской области.

1.6.Сводная информация по количеству рабочих мест:

 

	ИСПДн «Администрация ЕМР»	Всего
В составе ЛВС1	13	30
В составе ЛВС2	5	9
В составе ЛВС3 отдела финансового контроля, бухгалтерского учета и отчетности	4	5
В составе ЛВС4 отдела архитектуры и градостроительства	6	6
Итого	28	50

 

ИСПДн «Администрация ЕМР»

 

2.1.Территориальное размещение ИСПДн: все технические средства находятся в пределах Российской Федерации.

2.2.Объем ПДн: Х_нпд=2 (в информационной системе одновременно обрабатываются данные от 1000 до 100 000 субъектов персональных данных).

2.3.Категория ПДн: Х_пд=2 (персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни).

2.4.Тип ИСПДн: специальная.

2.5.Структура информационной системы: комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальная информационная система).

2.6.Наличие соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования.

2.7.Режим обработки персональных данных: многопользовательский, с разграничением прав доступа пользователей.

2.8.Занимаемые помещения: технические средства ИСПДн находятся по адресам:

− Челябинская область, г. Еманжелинск, ул. Мира, 18 – отдел финансового контроля, бухгалтерского учета и отчетности; отдел организационной и контрольной работы; машинное бюро; юридический отдел; отдел по связям с общественностью и СМИ; отдел коммунального хозяйства, инфраструктуры и жилищной политики; архивный отдел; отдел по торговле и услугам;

− Челябинская область, г. Еманжелинск, ул. Мира, 19 – отдел архитектуры и градостроительства;

− Челябинская область, г. Еманжелинск, ул. Чайковского, 5 – отдел по делам несовершеннолетних и защите их прав и административная комиссия.

2.9.Описание структуры ЛВС: ПК по адресу: г. Еманжелинск, ул. Мира, 18 объединены:

− в локальную сеть (ЛВС1) по технологии Fast Ethernet (192.100.1.0/24), без использования контроллера домена, доступ к сети Интернет осуществляется через ADSL-модем D-Link DSL 2500U (провайдер – ОАО «Ростелеком», скорость – 2 Мбит/с).

− в локальную сеть (ЛВС2) по технологии Fast Ethernet
(192.168.1.0/24), без использования контроллера домена, доступ к сети Интернет осуществляется через ADSL-модем D-Link DSL 2500U (провайдер – ОАО «Ростелеком», скорость – 4 Мбит/с);

− в локальную сеть (ЛВС3) – сеть  отдела финансового контроля, бухгалтерского учета и отчетности – по технологии Fast Ethernet (192.168.1.0/24), без использования контроллера домена, доступ к сети Интернет осуществляется с помощью ADSL-модема D-Link 500T (провайдер – ОАО «Ростелеком», скорость – 4 Мбит/с).

Коммутаторы ЛВС1 и ЛВС2 соединены между собой, что позволяет персональному компьютеру находиться либо в ЛВС1, либо в ЛВС2 посредством изменения ip-адреса.

ПК по адресу: г. Еманжелинск, ул. Мира, 19, объединены в локальную сеть (ЛВС4) по технологии Fast Ethernet (192.168.1.0/24), без использования контроллера домена, доступ к сети Интернет осуществляется с помощью ADSL-модема D-Link (провайдер – ОАО «Ростелеком», скорость – 1 Мбит/с).

ПК по адресу: г. Еманжелинск, ул. Чайковского, 5, подключены к ЛВС1.

В настоящее время происходит реорганизация локальной сети путем объединения всех ПК в одну ЛВС с подключением к сети Интернет по волоконно-оптическому каналу связи (провайдер – ОАО «Ростелеком»).

2.10. Информационное взаимодействие: ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн.

2.11. Программное обеспечение, используемое для обработки персональных данных:

− Word, Excel в составе пакетов офисных программ Microsoft Office 2003, 2007, 2010;

− АИС «Обращения граждан»;

− КДНиЗП;

− 1C:Предприятие 8.2;

− CheckXML;

− SberSign 5.0;

− АРМ "Клиент" АС "Клиент-Сбербанк" 07.012.05;

− Контур-Экстерн 5.2;

− Программа Spu_orb;

− АЦК-финансы;

− Изменения кадастра;

− Межевой план;

− Делопроизводство.

2.12. Хранение персональных данных:

- для ПО «1C:Предприятие 8.2» в виде БД «1С:Зарплата» на ПК ведущего специалиста – бухгалтера отдела финансового контроля, бухгалтерского учета и отчетности (имя ПК: BUHLVCOMP, ip 192.168.1.11) и в виде БД «1С:Материальные ресурсы» на ПК бухгалтера по исполнению бюджетных назначений капитальному строительству отдела финансового контроля, бухгалтерского учета и отчетности (имя ПК: SVETA, ip 192.168.1.4);

− для АИС «Обращения граждан» – локальное хранение в виде БД на ПК ведущего специалиста отдела организационной и контрольной работы (имя ПК: WAREZ-B4C47E74D, ip 192.100.1.111);

− для «КДНиЗП» – локальное хранение в виде БД на ПК секретаря отдела по делам несовершеннолетних и защите их прав (имя ПК: WAREZ (кдн), ip 192.100.1.114);

− для «Делопроизводство» – локальное хранение в виде БД на ПК юрисконсульта отдела архитектуры и градостроительства (имя ПК: SERGEY, ip 192.168.1.161);

− для остальных программ – локальное хранение на ПК в виде файлов.

2.13. Используемые средства антивирусной защиты:

− Dr.Web for Windows 6.0 – лицензионный, не сертифицирован;

− Kaspersky Internet Security 2012 – лицензионный, не сертифицирован;

− Антивирус Касперского 2011 Яндекс-версия – свободно распространяемое ПО, несертифицированное.

Обновление антивирусных баз производится автоматически 2 раза в день.

2.14. Используемые средства защиты от несанкционированного доступа: отсутствуют.

2.15. Используемые средства межсетевого экранирования: отсутствуют.

2.16. Используемые средства криптографической защиты информации: 

- КриптоПро CSP 2.0 – сертификат соответствия истек;

- КриптоПро CSP 3.6 – сертификат соответствия выдан ФСБ России № СФ/114-1542, действителен до «04» октября 2013 года.

2.17. Информация о физической охране ИСПДн: здания оборудованы пожарной сигнализацией, охраняются диспетчером круглосуточно, в некоторых кабинетах установлено видеонаблюдение и сигнализация.

2.18. Существующие документы, регламентирующие безопасность персональных данных:

− Распоряжение о создании комиссии по защите ПДн № 313-р от 12.08.2010;

− Распоряжение о назначении ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах № 322-р от 23.08.2010;

− Постановление об утверждении положения об обработке и защите персональных данных в Администрации Еманжелинского муниципального района № 1325 от 27.12.2010;

− Постановление об утверждении положения о порядке обработки персональных данных без использования средств автоматизации в Администрации Еманжелинского муниципального района № 1326 от 27.12.2010;

− Постановление об утверждении инструкции по учету машинных носителей информации, регистрации их выдачи в Администрации Еманжелинского муниципального района № 1345 от 28.12.2010;

− Постановление об утверждении инструкции по разграничению доступа пользователей к средствам защиты информации и информационным ресурсам в Администрации Еманжелинского муниципального района № 1349 от 29.12.2010;

− Постановление об утверждении инструкции о порядке работы с персональными данными в Администрации Еманжелинского муниципального района № 1350 от 29.12.2010;

− Постановление об утверждении инструкции по организации антивирусной защиты ИСПДн в Администрации Еманжелинского муниципального района № 1353 от 30.12.2010;

− Постановление об утверждении инструкции по парольной защите ИСПДн в Администрации Еманжелинского муниципального района № 1354 от 30.12.2010.

2.19. Состав общесистемного и прикладного программного обеспечения – Приложение 1.

2.20. Режим работы с ПДн – Приложение 2.

2.21. Схема информационных потоков ИСПДн «Администрация ЕМР» – Приложение 3.

2.22. Принципиальная схема локальной сети Администрации Еманжелинского муниципального района – Приложение 4.

2.23. Список сокращений, условных обозначений и терминов – Приложение 5.

Приложение 1. Состав общесистемного и прикладного программного обеспечения в ИСПДн «Администрация ЕМР»

 

№ п/п	АРМ	Общесистемное ПО	Прикладное ПО	СЗИ

Приложение 2. Режим работы с ПДн

 

Тип персональных данных

Группы пользователей ИСПДн

(отделы, подразделения)

Отдел финансового контроля, бухгалтерского учета и отчетности Юридический отдел Глава, заместители главы Программисты Машинное бюро Отдел по делам несовершеннолетних и защите их прав Административная комиссия Отдел архитектуры и градостроительства, отдел организационной и контрольной работы, отдел по связям с общественностью и СМИ, отдел коммунального хозяйства, инфраструктуры и жилищной политики, архивный отдел, отдел по торговле и услугам Персональные данные граждан: ФИО, паспортные данные, ИНН, СНИЛС, место жительства, данные о семейном положении, о детях, об имеющемся имуществе, сведения о заработной плате – – Ч ЧЗМП ЧЗМП – – ЧЗМП Персональные данные граждан, совершивших правонарушения: ФИО, паспортные данные, место жительства, номер телефона, данные о совершенных правонарушениях – – Ч ЧЗМП – – ЧЗМП – Персональные данные несовершеннолетних граждан: ФИО, дата рождения, место жительства, данные свидетельства о рождении, паспортные данные, данные о родителях, данные о месте учебы и работы, данные о совершенных правонарушениях – – Ч ЧЗМП – ЧЗМП – – Персональные данные сотрудников для бухгалтерского учета: ФИО, паспортные данные, ИНН, СНИЛС, место жительства, данные о семейном положении, о детях, стаж, данные лицевых счетов, заработная плата ЧЗМП – Ч ЧЗМП – – – – Персональные данные сотрудников для кадрового учета: ФИО, паспортные данные, данные заграничного паспорта, ИНН, СНИЛС, место жительства, данные о семейном положении, о детях, образование, стаж, трудовая деятельность, данные медицинского полиса, данные о воинском учете, оклад – ЧЗМП Ч ЧЗМП ЧЗМП – – –

Ч – Чтение, З – Запись, М – Модификация, П – Передача

Приложение 3. Схема информационных потоков ИСПДн «Администрация ЕМР»

 

Тип ПДн

Представ-ление

Передача

Использование

Хранение

Источник Получатель Среда передачи Использо-вание шифро-вания Персональ-ные данные граждан Бумажные носители Граждане Отделы Администрации ЕМР Бумажные носители Нет Использование ПДн осуществляется на рабочих местах сотрудников отделов Администрации ЕМР Рабочие места сотрудников отделов Администрации ЕМР Персональ-ные данные граждан Файлы электронной почты Граждане Рабочая станция старшего программиста Администрации ЕМР (имя ПК: ADMIN ip 192.168.1.63) Интернет Нет Использование ПДн осуществляется старшим программистом Администрации ЕМР. Передача главе района осуществляется старшим программистом путем распечатки обращений граждан, принятых по электронной почте Рабочая станция старшего программиста Администрации ЕМР Персональ-ные данные граждан Бумажные носители Отдел по архитектуры и градостроительства Управление Федеральной службы государственной регистрации, кадастра и картографии Бумажные носители Нет Использование ПДн осуществляется на рабочих местах сотрудников отдела архитектуры и градостроительства Рабочие места сотрудников отдела архитектуры и градостроительства Персональ-ные данные граждан Бумажные носители Административная комиссия Главное управление по взаимодействию с правоохранительными и военными органами Челябинской области Бумажные носители Нет Использование ПДн осуществляется на рабочем месте инспектора административной комиссии Рабочее место инспектора административной комиссии

Персональ-ные данные несовер-

шеннолет-них граждан

Бумажные носители

Отдел по делам несовершеннолетних и защите их прав

Управление социальной защиты населения Еманжелинского муниципального района Бумажные носители Нет

Использование ПДн осуществляется на рабочих местах сотрудников отдела по делам несовершеннолетних и защите их прав

Рабочие места сотрудников отдела по делам несовершеннолетних и защите их прав

Правительство Челябинской области Бумажные носители Нет ГУВД Челябинской области Бумажные носители Нет

Персональ-ные данные сотрудников

Бумажные носители

Юридический отдел

Учебные заведения Бумажные носители Нет

Использование ПДн осуществляется на рабочих местах сотрудников юридического отдела

Рабочие места сотрудников юридического отдела

Межрайонная инспекция Федеральной налоговой службы № 14 по Челябинской области Бумажные носители Нет Управление Федеральной службы государственной регистрации, кадастра и картографии Бумажные носители Нет ГИБДД ОВД по Коркинскому муниципальному району Бумажные носители Нет БТИ, Еманжелинское отделение Бумажные носители Нет

Персональ-ные данные сотрудников

Бумажные носители

Учебные заведения

Юридический отдел

Бумажные носители

Нет

Использование ПДн осуществляется на рабочих местах сотрудников юридического отдела

Рабочие места сотрудников юридического отдела

Межрайонная инспекция Федеральной налоговой службы № 14 по Челябинской области Управление Федеральной службы государственной регистрации, кадастра и картографии ГИБДД ОВД по Коркинскому муниципальному району БТИ, Еманжелинское отделение Персональ-ные данные сотрудников База данных Рабочие станции сотрудников отдела финансового контроля, бухгалтерского учета и отчетности Рабочая станция ведущего специалиста - бухгалтера отдела финансового контроля, бухгалтерского учета и отчетности – сервер баз 1С (имя ПК: BUHLVCOMP ip 192.168.1.11) Локальная сеть отдела (ЛВС3) Нет Использование ПДн осуществляется на рабочей станции ведущего специалиста - бухгалтера (сервере баз 1С) с рабочих станций сотрудников отдела. Передача осуществляется с помощью ПО «1С:Предприятие 8.2» Рабочая станция ведущего специалиста – бухгалтера отдела финансового контроля, бухгалтерского учета и отчетности – сервер баз 1С (имя ПК: BUHLVCOMP ip 192.168.1.11) Персональ-ные данные сотрудников, необходимые для выплаты заработной платы Файлы Рабочая станция ведущего специалиста – бухгалтера отдела финансового контроля, бухгалтерского учета и отчетности  (имя ПК: BUHLVCOMP ip 192.168.1.11) Коркинское отделение Уральского банка ОАО «Сбербанк России» Интернет Да, КриптоПро CSP 2.0 Использование ПДн осуществляется на рабочей станции ведущего специалиста – бухгалтера. Передача осуществляется с помощью ПО «АРМ "Клиент" АС "Клиент-Сбербанк" 07.012.05»  Рабочая станция ведущего специалиста – бухгалтера отдела финансового контроля, бухгалтерского учета и отчетности (имя ПК: BUHLVCOMP ip 192.168.1.11) Персональ-ные данные сотрудников  и граждан, необходимые для выплат Файлы Рабочая станция ведущего специалиста – бухгалтера по учету доходов, бюджетных ассигнований, бюджетных обязательств и средств инвестирования (имя ПК: KAZNA, ip 192.168.1.5) Финансовое управление Администрации ЕМР Интернет Да, КриптоПро CSP 3.6 Использование ПДн осуществляется на рабочей станции бухгалтера по учету доходов, бюджетных ассигнований, бюджетных обязательств и средств инвестирования. Передача осуществляется с помощью ПО «АЦК-финансы» Рабочая станция ведущего специалиста – бухгалтера по учету доходов, бюджетных ассигнований, бюджетных обязательств и средств инвестирования (имя ПК: KAZNA, ip 192.168.1.5) Персональ-ные данные сотрудников, необходимые для подготовки отчетов в ПФР Файлы Рабочая станция ведущего специалиста – бухгалтера отдела финансового контроля, бухгалтерского учета и отчетности  (имя ПК: BUHLVCOMP ip 192.168.1.11) Управление ПФР в г. Еманжелинск Интернет Да, КриптоПро CSP 2.0 Использование ПДн осуществляется на рабочей станции ведущего специалиста – бухгалтера. Передача осуществляется с помощью ПО «Контур-экстерн 5.2» Рабочая станция ведущего специалиста – бухгалтера отдела финансового контроля, бухгалтерского учета и отчетности  (имя ПК: BUHLVCOMP ip 192.168.1.11) Персональ-ные данные сотрудников, необходимые для подготовки отчетов для ФНС Файлы Рабочая станция ведущего специалиста – бухгалтера отдела финансового контроля, бухгалтерского учета и отчетности  (имя ПК: BUHLVCOMP ip 192.168.1.11) Межрайонная инспекция Федеральной налоговой службы № 14 по Челябинской области Интернет Да, КриптоПро CSP 2.0 Использование ПДн осуществляется на рабочей станции ведущего специалиста – бухгалтера. Передача осуществляется с помощью ПО «Контур-экстерн 5.2» Рабочая станция ведущего специалиста – бухгалтера отдела финансового контроля, бухгалтерского учета и отчетности  (имя ПК: BUHLVCOMP ip 192.168.1.11)

Планируемый информационный поток

Персональ-ные данные граждан Файлы Рабочие станции сотрудников, подключаемые к СМЭВ Федеральные органы исполнительной власти, органы исполнительной власти субъекта РФ и органы местного самоуправления Интернет Да Использование ПДн осуществляется на рабочих станциях сотрудников, подключаемых к СМЭВ, для обеспечения межведомственного электронного взаимодействия Рабочие станции сотрудников, подключаемые к СМЭВ

 

Приложение 4. Принципиальная схема локальной сети ИСПДн «Администрация ЕМР»

 

 

Приложение 5. Список сокращений, условных обозначений и терминов

 

ЕМР	Еманжелинский муниципальный район
ОАГ	Отдел архитектуры и градостроительства
ОКС	Отдел капитального строительства
АРМ	Автоматизированное рабочее место
АвЗ	Антивирусная защита
ВСиС	Вычислительные системы и сети
ИСПДн	Информационная система персональных данных
КИ	Конфиденциальная информация
КСЗ	Комплекс средств защиты
КУМИ	Комитет по управлению муниципальным имуществом
ЛВС	Локальная вычислительная сеть
МЭ	Межсетевой экран
НДВ	Недекларируемые возможности
НСД	Несанкционированный доступ
ОМС	Обязательное медицинское страхование
ПДн	Персональные данные
ПК	Программный комплекс
ПМВ	Программно-математическое воздействие
ПН	Показатели надежности
ПО	Программное обеспечение
РД	Руководящий документ
САЗ	Средства анализа защищенности
СВТ	Средства вычислительной техники
СЗ	Система защиты
СЗИ	Система защиты информации
СКЗИ	Система криптографической защиты информации
СОВ	Система обнаружения вторжений
СМЭВ	Система межведомственного электронного взаимодействия
СЗИ	Средства защиты информации
ТЗ	Техническое задание
VPN	Virtual Private Network (Виртуальная частная сеть)

 

АКТ ОБСЛЕДОВАНИЯ

информационной системы персональных данных