Главная » Файлы » Учрежденческие » Приказы

Приказ от 31.01.2017 г. № 18-ОД
[ (341.9Kb) ] 31.01.2017, 14:02

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА

«ЦЕНТР СОЦИАЛЬНОГО ОБСЛУЖИВАНИЯ НАСЕЛЕНИЯ В МУНИЦИПАЛЬНОМ ОБРАЗОВАНИИ ЯМАЛЬСКИЙ РАЙОН»

 

ПРИКАЗ

31.01.2017 г.                                                                                                             № 18-ОД

 

с. Яр-Сале

 

Об итогах внутриучрежденческого контроля по соблюдению режима обработки ПДн

 

В соответствии с приказом от 19.01.2017 г. № 14-ОД «О проведении внутриучрежденческого контроля по соблюдению режима обработки ПДн», в целях установления соответствия с принципами и положениями Концепции информационной безопасности информационной безопасности и Политики информационной безопасности в ГБУ ЯНАО «ЦСОН в МО Ямальский район», в период с 30 по 31 января 2017 года была проведена проверка по соблюдению режима обработки ПДн.

В ходе проверки были выявлены ИСПДн: Корпоративная информационная система «iSZN» на четырех персональных компьютерах сотрудников учреждения и АС-«Смета» на двух персональных компьютеров сотрудников учреждения.

В ходе проверки для ИСПДн определялось:

1) Состав и структура объектов защиты;

2) Конфигурация и струтура ИСПДн;

3) Режим обработки ПДн;

4) Перечень лиц, участвующих в обработке ПДн;

5) Права доступа лиц, допущенных к обработке персональных данных;

6) Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность;

7) Существующие меры защиты ПДн;

8) Список необходимых мер защиты ПДн

 

Данные внутриучрежденческого контроля послужат информационной основой для других нормативно-организационных документов Учреждения. Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите. Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта квалификации информационной системы персональных данных. Данные о лицах, допущенных к обработке персональных данных, и уровне их доступа отражаются в Положении (приказе) о разграничении права доступа к образовательным персональным данным. Данные об угрозах безопасности ПДн служат основой для составления Модели угроз безопасности персональных данных. Данные о существующих и необходимых мерах защиты ПДн служат основой для составления Плана мероприятий по обеспечению защиты ПДн. Данные технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

1. Структура ИСПДн -  Корпоративная информационная система «iSZN»:

Наличие подключений к сетям свзяи общего пользования: имеется

Наличие подключений к сетям международного информационного обмена: не имеется

Местонахождение технических средств информационных систем персональных данных: в пределах Российской Федерации.

2. Состав и структура персональных данных

2.1. Обрабатываемые персональные данные: фамилия, имя, отчество получателей социальных услуг, граждан, состоящих на учете в органах систем профилактики Ямальского района; пол, дата смерти, дата снятия человека с учета, место и дата рождения; адрес (по прописке); паспортные данные (серия, номер паспорта, кем и когда выдан); сведения о доходах, СНИЛС, сведения о состоянии здоровья (справки из медицинской организации), адрес проживания (фактический); жилищно-бытовые условия.

Исходя из состава обрабатываемых персональных данных более 100 записей о субъекте персональных данных.

3. Объекты защиты ИСПДн.

3.1. Технологическая информация, подлежащая защите включает:

- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.):

- информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

- информационные ресурсы (базы данных, файлы и др.), содержащие информацию о информационно - телекоммуникационных системах, о служебном. Телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

- Одним из основных требований к СУБД является надёжность хранения данных во внешней памяти. Под надёжностью хранения понимается то, что СУБД должна быть в состоянии восстановить последнее согласованное состояние базы данных после любого аппаратного или программного сбоя. Обычно рассматриваются два возможных вида аппаратных сбоев: так называемые мягкие сбои, которые можно трактовать как внезапную остановку работы компьютера, например аварийное выключение питания, и жёсткие сбои, характеризуемые потерей информации на носителях внешней памяти. Примерами программных сбоев могут быть:

  • аварийное завершение работы СУБД по причине ошибки в программе или в результате некоторого аппаратного сбоя;
  • аварийное завершение пользовательской программы, в результате чего некоторая транзакция остаётся незавершённой.

Во всех случаях придерживаются стратегии «упреждающей» записи в журнал, так называемого протокола WAL — Write Ahead Log. Она заключается в том, что запись об изменении любого объекта базы данных должна попасть во внешнюю память журнала раньше, чем изменённый объект попадёт во внешнюю память основной части базы данных. Известно, что если в СУБД корректно соблюдается протокол WAL, то с помощью журнала можно решить все проблемы восстановления базы данных после любого сбоя.

СУБД Oracle Database Server обеспечивает эффективное, надёжное и безопасное управление данными таких критически важных для бизнеса приложений, как онлайновые среды, выполняющие масштабную обработку транзакций (OLTP), хранилища данных с высокой интенсивностью потока запросов, а также ресурсоёмкие интернет-приложения, благодаря встроенным в ядро системы механизмам отката (undo), журналирования повторного выполнения (redo logs) и архивирования журнальных записей (archivelog).

 

3.2. Программно-технические средства включают в себя:

- резервные копии общесистемного программного обеспечения;

-инструментальные средства и утилиты систем управления ресурсами ИСПДн;

3.3. Каналы информационного обмена и телекоммуникаций.

Каналы информационного обмена и телекоммуникаций являются объектами защиты, так как по ним передаются обрабатываемая и технологическая информация.

3.4. Объеткы и помещения в которыхразмещены компаненты ИСПДн.

Объекты и помещения являютяс объектами защиты, так как в нихпроисходит обработка обрабатывемой и технологической информаци, установлены технические средства обработки и защиты.

4. Конфигурация элементов ИСПДН:

4.1. В соответствии с п.3 «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённой заместителем директора ФСТЭК России 15 февраля 2008 г., ниже представлены основные техническими средства (основные элементы ИСПДн), позволяющие осуществлять обработку ПДн в ИСПДн.

Основные элементы ИСПДн:

- носители ПДн в ИСПДн, содержащие «информацию, обрабатываемую в ИСПДн, представленную в виде бит, байт, файлов и других логических структур»;

- серверы, на которых установлены серверные компонента ПО ИСПДн;

- программные средства ИСПДн;

- распределенная ЛВС ИСПДн;

- пользователи, обслуживающие технические средства, входящие в состав ИСПДн, администраторы безопасности, администраторы, обслуживающие и разрабатывающие ПО ИСПДн, обслуживающий персонал.

- помещения, в которых расположены основные технические средства ИСПДн (два кабинета).

- вспомогательные технические средства и системы, расположенные в одном помещении с основными техническими средствами ИСПДн.

4.2. Территориальное расположение ИСПДн относительно контролируемой зоны:

Комплекс средств автоматизации ИСПДн располагается на территории Российской Федерации, ямало-ненецкого автономного округа, г.Салехард.

Клиентские АРМ располагаются в помещении госудасрвтенного бюджетного учреждения по адресу с.Яр-Сале ул. Совесткая д.42 кв.43, кабинет 3 и 2.

Связь между комплексом средств автоматизации ИСПДн (серверами) и АРМ пользователей осуществляется посредствам вип нет клиента.

5. Структура обработки персональных данных.

В ИСПДн обработка персональгных данных просиходит по следующим этапам:

 - сбор;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- использование;

- распространение (в том числе передачу);

- блокирование;

- уничтожение.

Все лица, допущенные к ИСПДн., имеют собственные роли. Список ролей представлен в виде матрицы доступа. Данная таблица составлена в соответствии с должностями, указанными в штатном расписании.

Вместе с тем, необходимо предусмотреть мероприятия, связанные с методической деятельностью Участковой службы, а именно:

На основании вышеизложенного и акта по результатам внутриучрежденческого контроля от 31.01.2017 г. № 2-ВК/2017,

 

п р и к а з ы в а ю:

 

  1. Считать деятельность структурных подразделений по соблюдению режима обработки ПДн в январе  2017 года, удовлетворительной.
  2. Снять с контроля в 1 квартале 2017 году вопрос по соблюдению режима обработки ПДн.
  3. Руководителям структурных подразделений и специалистам:
    1. соблюдать принципы и положения Концепции информационной безопасности и Политики информационной безопасности в ГБУ ЯНАО «ЦСОН в МО Ямальский район», постоянно;
    2. доводить до сведения директора о любых изменениях в работе по обработке ПДн;
  4. Контроль за выполнением настоящего приказа оставляю за собой.

 

 

Директор ГБУ ЯНАО

«ЦСОН в МО Ямальский район»                                                              Н.С. Гранкин

[ (341.9Kb) ] 31.01.2017, 14:02
Категория: Приказы | Добавил: do096
Просмотров: 40 | Загрузок: 0 | Рейтинг: 0.0/0
Всего комментариев: 0
avatar
^ Наверх