О результатах проведения внутренней проверки защищенности
advertisement
АДМИНИСТРАЦИЯ НИКИФОРОВСКОГО РАЙОНА ТАМБОВСКОЙ ОБЛАСТИ 08.04.2013 РАСПОРЯЖЕНИЕ .. р. п. Дмитриевка № 45 -р О результатах проведения внутренней проверки защищенности информационных систем персональных данных администрации района Руководствуясь Федеральным законом от 27.06. 2006 №152- ФЗ «О персональных данных» (в редакции Федерального закона от 05. 07. 2011 №261ФЗ): 1.Утвердить информацию комиссии по проведению внутренней проверки информационных систем администрации района согласно приложению 1. 2. Руководителям структурных подразделений администрации района при работе с персональными данными строго руководствоваться Федеральным законом от 27.06. 2006 №152- ФЗ «О персональных данных» (в редакции Федерального закона от 05. 07. 2011 №261-ФЗ), нормативно-правовыми актами администрации района в области персональных данных. 3.Утвердить план внутренних проверок режима защиты персональных данных в информационных системах персональных данных администрации района согласно приложению 2. 4. Утвердить протокол контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте согласно приложению 3. 5. Контроль за выполнением настоящего распоряжения возлагаю на первого заместителя главы администрации района И.А. Власова. Глава района А.И.Синявин 34582 М.Н. Данилкин Первый зам. главы администрации «____»__________________2013 Управляющий делами администрации «_____»_____________2013 Начальник орготдела «_____»__________2013 Главный юрисконсульт «_____»________2013 И.А. Власов С.Ф. Летуновская А.И.Синявин Ю.А. Ведищева Инженер 2 категории «_____»________2013 Р.А. Гришин ПРИЛОЖЕНИЕ 1 Утверждено распоряжением администрации района от 08.04. 2013 № 45 -р Информация комиссии по проведению внутренней проверки информационных систем администрации района Введение Внутренняя проверка информационных систем персональных данных произведена на основании распоряжения администрации Никифоровского района от 11.03.2013 №31-р «О проведении внутренней проверки защищенности информационных систем персональных данных администрации района». Проверка проводилась в период с 11.03. 2013 по 12.04.2013 года. В ходе проверки установлено, что в администрации района на персональных компьютерах установлено следующее программное обеспечение: 1. Документы ПУ- в бухгалтерии администрации района 2. Налогоплательщик ЮЛ - в бухгалтерии администрации района. 3. «Калуга Астрал» - в бухгалтерии администрации района. 4.АСКОГ - в отделе организационной, кадровой работы, взаимодействию с органами местного самоуправления и общественностью администрации района. 5.Торговый реестр - в отделе экономики, труда, сферы услуг и защиты прав потребителей администрации района. 6. «База судеб» - в отделе образования администрации района. 7.Находка ЗАГС - в отделе ЗАГС администрации района. 8.Электронные торги,в отделе архитектуры, строительства, коммунального хозяйства и муниципального заказа администрации района 9. Система градостроительной деятельности — в отделе архитектуры, строительства, коммунального хозяйства и муниципального заказа администрации района В ходе проверки для каждой информационных систем персональных данных определялось: 1. Состав и структура объектов защиты. 2. Режим обработки персональных данных.. 3. Перечень лиц, участвующих в обработке персональных данных. 4. Права доступа лиц, допущенных к обработке персональных данных. 5. Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность. 6. Существующие меры защиты персональных данных. Данные проверки служат информационной основой для других нормативно-организационных документов. На всех выше перечисленных программах установлены пароли, которые известны ответственным за данную программу. Пароли не разглашаются другим лицам. Информационные системы с персональными данными в бухгалтерии администрации района передаются в управление пенсионного фонда, налоговую инспекцию №6, Сберегательный банк с помощью средств криптозащиты и могут подписываться электронно-цифровой подписью. В администрации района при получении муниципальных услуг населению установлена программный продукт ШАФЛ/ ШЛЮЗ, с помощью которой через систему СМЭВ направляются запросы в налоговую инспекцию №6, Пенсионный фонд, Росреестр. Программный продукт имеет лицензионное средство КрипоПро CSP KC1 3.0.3300.3, сертификат ФСТЭК установило ООО «Тигрис». В отделе ЗАГС установлено лицензионное средство защиты, которую выполнило ООО «Тигрис». В отделе организационной, кадровой работы, взаимодействия с органами местного самоуправления и общественностью администрации района на информационной системе АСКОГ установлена парольная защита которая известна ведущему специалисту отдела Т.А. Шестаковой и инженеру 2 категории администрации района Р.А. Гришину. В случае ухода в отпуск или длительном отсутствии на работе Т.А. Шестаковой парольная защита передаются другому специалисту. На всех других информационных системах установлены пароли, которые обновляются один раз в квартал, с обязательной фиксацией в журнале регистрации паролей. Данные о составе и структуре обрабатываемых персональных данных относятся к 3 классу защиты, о чем составлен протокол и распоряжением администрации района системам присвоен 3 класс защиты персональных данных, информационной системе ЗАГС «Находка» - 2 класс. Данные о лицах, допущенных к обработке персональных данных и уровне их доступа отражены в постановлении администрации района от 31.08. 2011 №856 «Об обеспечении защиты персональных данных, находящиеся в администрации района». Данным постановлением утверждена должностная (служебная) инструкция работников администрацией района в части защиты и обеспечения безопасности ПД в процессе их обработки. Постановлением администрации района от 21.06. 2011 №572 «О работе с персональными данными в администрации района» назначены ответственные лица за обеспечение, защиту, хранение и передачу персональных данных в администрации района. Этим постановлением утверждена частная модель угроз безопасности персональных данных. Данные о существующих и необходимых мерах защиты персональных данных служат основной для составления плана проверок. 1.Состав и структура персональных данных В информационных системах структурных подразделениях администрации района обрабатываются следующие персональные данные: o ФИО субъекта персональных данных; o Дата рождения; Контактный телефон; o Адрес прописки; o Адрес фактического проживания; o Паспортные данные, o Отдел организационной кадровой работы, взаимодействия с органами местного самоуправления администрации района обрабатывает следующие персональные данные муниципальных служащих администрации района: 1. фамилия, имя, отчество; 3. место, год и дата рождения; адрес по прописке; 4. паспортные данные (серия, номер паспорта, кем и когда выдан); 2. 5. 6. информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность); информация о трудовой деятельности до приема на работу; 8. информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения); адрес проживания (реальный); 9. телефонный номер (домашний, рабочий, мобильный); 7. 11. семейное положение и состав семьи (муж/жена, дети); информация о знании иностранных языков; 12. заработная плата 10. 13. 14. 15. данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты); сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета); ИНН; 16. данные об аттестации работников; 17. данные о повышении квалификации; 18. данные о наградах, медалях, поощрениях, почетных званиях; 19. 20. 21. 22. информация о приеме на работу, перемещении по должности, увольнении; информация об отпусках; информация о командировках; информация о болезнях; Сведения о доходах, имуществе, обязательствах имущественного характера на супруга (у) и несовершеннолетних детей. К этим персональным данным имеют право ограниченный круг лиц. Персональные данные хранятся в металлическом сейфе. Объем обрабатываемых персональных данных, не превышает 500 записей о субъектах персональных данных. В соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, на основании категории и объема обрабатываемых персональных данных классифицируются класса K 3. 23. Так же персональные данные находятся на съемных носителях: дискетах, флешкартах, СД (ДВД)дисках, которые хранятся у руководителей структурных подразделениях администрации района и регистрируются в специальном журнале. На всех информационных системах установлены средства антивирусной защиты. 2. Режим обработки персональных данных В информационных систем персональных данных администрации района обработка персональных данных осуществляется в однопользовательском режиме с разграничением прав доступа. Режим обработки предусматривает следующие действия с персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Все пользователи информационных систем персональных данных имеют разрешительные действия с персональными данными. Список этих действия представлен в таблице Наименование структурного подразделения администрации района Отдел управлению Уровень доступа к Разрешенные ПДн действия по Имеет доступ техническим к - сбор Сотрудники отдела А.В. Филиппов, имуществом и землепользовани ю администрации района средствам - систематизация обработки информации и - накопление - хранение данным ИСПДн. - уточнение - использование Обладает информацией о - уничтожение технических средствах защиты начальник отдела Е.В. Сидорова, Е. В. Орлова- ведущие специалисты отдела Отдел архитектуры, строительства, коммунального хозяйства и муниципального заказа администрации района Имеет доступ к - сбор техническим - систематизация средствам - накопление обработки информации и - хранение данным ИСПДн. - уточнение - использование Обладает - уничтожение информацией о технических средствах защиты А.В. Скотников, начальник отдела Отдел культуры, по делам молодежи, физической культуры, спорту и архивного дала администрации района Имеет доступ к - сбор техническим - систематизация средствам - накопление обработки информации и - хранение данным ИСПДн. - уточнение А.В. Дедов, начальник отдела. Отдел образования администрации района - использование К. Шарапов, главный специалист отдела. Л.В. Протасова М.А. Феттаева, ведущие специалисты отдела. В.Б.Патрина, Д.В. Коньков-ведущие специалисты отдела, Обладает - уничтожение информацией о технических средствах защиты. Г.И. Власоваглавный специалист отдела, Имеет доступ к - сбор техническим - систематизация средствам - накопление обработки информации и - хранение данным ИСПДн. - уточнение Л.В. Ведищев, начальник отдела, И.В. Лазина, Н.А. Беляева, О.В. Левина-ведущие специалисты отдела, М.Н. Полякова, специалист отдела - использование Обладает информацией технических о - уничтожение В.Н. Бобковаделопроизводитель отдела средствах защиты Отдел организационной, кадровой, работы, взаимодействия с органами местного самоуправления и общественностью администрации района Имеет доступ к - сбор техническим - систематизация средствам - накопление обработки информации и - хранение данным ИСПДн. - уточнение - использование Обладает - уничтожение информацией о технических средствах защиты А.И. Синявин, начальник отдела, Т.А. Шестакова, С.В. Денисова, ведущие специалисты отдела Отдел ЗАГС Имеет доступ к - сбор администрации техническим - систематизация района средствам - накопление обработки информации и - хранение данным ИСПДн. - уточнение Е.А. Сергеева, начальник отдела С.М. Герасимова, ведущий специалист отдела - использование Обладает - уничтожение информацией о технических средствах защиты Управление Имеет доступ к - сбор сельского техническим - систематизация хозяйства и средствам - накопление продовольствия обработки администрации информации и - хранение района данным ИСПДн. - уточнение - использование Обладает - уничтожение информацией о технических средствах защиты П.В. Нагин, главный специалист управления М.Н. Крючкова Н.Б. Новикова Н.А. Парсапина, ведущие специалисты управления 3.Угрозы безопасности персональных данных При обработке персональных данных в информационных систем персональных данных можно выделить следующие угрозы: 1. Угрозы от утечки по техническим каналам. 1. Угрозы утечки акустической информации. 2. Угрозы утечки видовой информации. 3. Угрозы утечки информации. 2. Угрозы несанкционированного доступа к информации. 1. Угрозы уничтожения, хищения аппаратных средств носителей информационных систем персональных данных путем физического доступа к элементам информационных систем персональных данных. 1. Кража носителей информации. 2. Кража ключей доступа. 3. Вывод из строя узлов ПЭВМ, каналов связи. 4. Несанкционированное отключение средств защиты. 5. Кража ПЭВМ 2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). 1. Действия вредоносных программ (вирусов); 2. Нелицензионное использование программного продукта; 3. Установка программного продукта не связанного с исполнением служебных обязанностей. 3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования информационных систем персональных данных и средства защиты персональных данных в ее составе из-за сбоев в программном обеспечении, а также сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания и стихийного удара молний и т. п.. 1. Утрата ключей и атрибутов доступа. 2. Непреднамеренная модификация (уничтожение) информации сотрудниками. 3. Непреднамеренное отключение средств защиты. 4. Выход из строя аппаратно-программных средств. 5. Сбой системы электроснабжения. 6. Стихийное бедствие. 4. Угрозы преднамеренных действий внутренних нарушителей. 1. Доступ к информации, модификация, лиц не допущенных к ее обработке. 2. Разглашение информации, модификация, уничтожение сотрудниками администрации района, допущенными к ее обработке. 4.Существующие меры защиты В информационных системах персональных данных администрации района введены следующие организационные меры защиты: В администрации района: осуществляется контроль доступа в контролируемую зону, установлена видеонаблюдение, двери закрываются на замок, на отдельных окнах 1 этажа здания установлены решетки; ведется учет носителей информации; назначены ответственные сотрудники за обеспечение безопасности персональных данных; введена парольная политика, устанавливающая сложность ключей и атрибутов доступа (паролей), а так же их периодическую смену один раз в квартал; пользователи осведомлены и проинструктированы о порядке работы и защиты персональных данных; в помещениях, где находятся информационных систем персональных данных, установлена пожарная сигнализация. 5. Необходимые меры защиты На основании анализа актуальности выявленных угроз безопасности, для достижения требуемого уровня защиты рекомендуется осуществить следующие мероприятия: Носители информации хранить в сейфе. Осуществить резервное копирование защищаемой информации. Систематически проводить периодические внутренние проверки режима безопасности персональных данных. Персональные данные, а так же служебную и конфиденциальную информацию, которая находится я на бумажных носителях, необходимо обеспечить ее хранение в закрываемых шкафах. Персональные данные, отдельные файлы, содержащие служебную и конфиденциальную информацию и используемая для работы не постоянно хранить на съемных носителях (дискетах, СД дисках, флеш-картах). УТВЕРЖДЕНО Приложение 2 к распоряжению администрации района от 08.04. 2013 № 45 -р ПЛАН Внутренних проверок режима защиты персональных данных в администрации района №п/п Наименование мероприятий Периодичность Исполнитель 1. Контроль соблюдению режима обработки ПД Еженедельно 2. Контроль соблюдению режима защиты ПД Ежедневно 3 Контроль по выполнению антивирусной защиты Ежедневно 4 Контроль по соблюдению режима защиты при подключении к сетям общего пользования Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты персональных данных Контроль за обновлениями программного обеспечения и единообразия применяемого программного обеспечения на всех элементах Еженедельно Руководители структурных подразделений администрации района Руководители структурных подразделений администрации района Руководители структурных подразделений администрации района Руководители структурных подразделений администрации района Комиссия по классификации информационных систем персональных данных в администрации района Р.А. Гришин, инженер 2 категории администрации района 5 6 Ежегодно Еженедельно информационных систем персональных данных 7 Контроль за обеспечением резервного копирования Ежемесячно 8 Организация анализа и пересмотра имеющихся угроз безопасности персональных данных Поддержка в актуальном состоянии нормативноправовых документов, касающихся обработки, защите, хранению и передачи персональных данных администрации района Ежегодно 9 Ежемесячно Руководители структурных подразделений администрации района Р.А. Гришин, инженер 2 категории администрации района Руководители структурных подразделений администрации района УТВЕРЖДЕНО Приложение3 к распоряжению администрации района от 08.04. 2013 № 45 -р Администрация Никифоровского района Тамбовской области ____________________________________________________________________ (Наименование органа власти) ПРОТОКОЛ контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте 1. Объект контроля. наименование автоматизированного рабочего места (АРМ); АРМ Инвентарный номер системного блока ПЭВМ АРМ; 110113121 принадлежность к подразделению; Администрация Никифоровского района адрес размещения АРМ. Тамбовская область, Никифоровский район, р.п. Дмитриевка, пл. Ленина д.1, кабинет начальника отдела организационной, кадровой работы, взаимодействия с органами местного самоуправления и общественностью администрации района, 3 этаж. 2. Назначение объекта. Персональные данные по личному составу работников администрации района, персональные данные в связи с получением муниципальных услуг обращения граждан. тип информации, обрабатываемой (хранимой) на АРМ; Конфиденциальная информация уровень защищенности персональных данных при их обработке в информационной системе. 3 класс защиты 3. Контролируемые вопросы. Состояние организации технической защиты информации при обработке (хранении) информации ограниченного доступа. Информационная система персональных данных находится на 1 этаже здания администрации района. Здание кирпичное, железобетонными перекрытиями, обеспечена круглосуточная охрана, установлена противопожарная сигнализация, с выводом на пульт дежурным ЕДДС администрации района Организованна парольная защита АРМ, используемых ИС. Парольная защита обеспечена. Пароли записаны в отдельной тетради, и меняются не реже одного раза в квартал, посторонним лицам не разглашаются Контроль наличия руководящих документов, инструкций, документации, регламентирующей обработку (хранение) информации ограниченного доступа: Акта установления уровня защищенности персональных данных при их обработке в От 02.03. 2012 года информационной системе; Перечня защищаемых ресурсов и уровня их Персональные данные работников конфиденциальности; администрации района по личному составу муниципальных служащих администрации района, персональные данные в связи с получением муниципальных услуг Перечня лиц, обслуживающих АРМ; Начальник отдела организационной, кадровой работы, взаимодействия с органами местного самоуправления и общественностью администрации района А.И. Синявин Перечня лиц, имеющих право Начальник отдела самостоятельного доступа в помещение с организационной, кадровой АРМ; работы, взаимодействия с органами местного самоуправления и общественностью администрации района А.И.Синявин, специалисты отдела С.В. Денисова, Т.А. Шестакова. Перечня лиц, имеющих право Начальник отдела самостоятельного доступа к штатным организационной, кадровой средствам АРМ и уровень их полномочий; работы, взаимодействия с органами местного самоуправления и общественностью администрации района А.И.Синявин, специалисты отдела С.В. Денисова, Т.А. Шестакова, начальник отдела по управлению имуществом и землепользованию администрации района А.В. Филиппов, специалист отдела архитектуры, строительства, коммунального хозяйства и муниципального заказа Л.В. Распоряжение о назначении администратора информационной безопасности; Данных по уровню подготовки персонала; Инструкции по обеспечению защиты информации, обрабатываемой на АРМ; Перечня программного обеспечения; Описания технологического процесса обработки информации; Схемы информационных потоков; Технического паспорта; Матрицы доступа субъектов к защищаемым информационным ресурсам; Акта установки системы активного зашумления; Акта установки системы защиты информации от несанкционированного доступа (СЗИ НСД); Описания системы разграничения доступа и настроек СЗИ НСД; Инструкции администратору безопасности; Протасова. Распоряжение администрации от 27.12. 2012 №146-р Курсы повышения квалификации в 2012 году Инструкция утверждена главой района 27.09. 2012 года ШАФЛ/ШЛЮЗ многопользовательский В наличии А.В. Филиппов, М.Н. Полякова, Л.В. Протасова нет нет однопользовательский Утверждена распоряжением администрации района от 27.12. 20132 №146-р Инструкции пользователю; Утверждена главой района 23.01. 2013 Инструкции по антивирусному контролю; Утверждена главой района 23.01. 2013 Распоряжение о допуске сотрудников; Распоряжение администрации района от 31.08. 2012 №865 Распоряжение о вводе в эксплуатацию. нет Контроль соответствия настройки подсистемы управления доступом, подсистемы регистрации и учета, подсистемы обеспечения целостности требованиям присвоенного класса защищенности от НСД. Подсистема управления доступом не используется. Контроль наличия лицензионного программного обеспечения, установленного в процессе проведенной аттестации по требованиям безопасности информации. Установленное программное обеспечение признано лицензионным. Установленное программное обеспечение: Антивирус Касперского 6.0 для Windows Workstations КрипоПро CSP KC1 3.0.3300.3 имеют сертификат ФСТЭК. Контроль срока действия лицензии, порядка и периодичности обновления баз антивирусной программы. Срок действия лицензии антивирусной программы заканчивается 26/01/2014, порядок обновления автоматический, периодичность: каждый рабочий день в 12-45. Контроль наличия сетевых плат (в том числе интегрированных) и физической возможности их использования. Наличие сетевых плат и их использование не допускается. Контроль возможности и фактов подключения незарегистрированных магнитных и иных носителей информации. Возможность подключения незарегистрированных магнитных и иных носителей информации не допускается. Фактов подключения незарегистрированных магнитных и иных носителей информации не выявлено. 4. Метод проведения контроля. Экспертно-документальный. 5. Средства контроля. Программные возможности операционной системы, установленной на контролируемом АРМ. 6. Перечень документов, регламентирующих выполнение требований по обеспечению безопасности информации. Постановления администрации района 2. от 19.05. 2008 №178 «Об утверждении положения «О защите, обработки и передаче персональных данных работников администрации района»; 3. от 26 07. 2011 №710 «Об утверждении реестра информационных систем персональных данных администрации Никифоровского района, в которых должна быть обеспечена безопасность информации» (с изменениями и дополнениями от 17.01. 2013 №27); 4. от 31.08. 2011 №856 «Об обеспечении защиты персональных данных, находящихся в администрации района»; 5. 21.06. 2011 №572 «О работе с персональными данными в администрации района»; 6. 22.01. 2013 №42 «Об утверждении правил обработки персональных данных в администрации района». - от 23.01. 2013 №46 «Об утверждении правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных». РАСПОРЯЖЕНИЯ: - от 15.01. 2010 №5-р «О назначении ответственных за обеспечение, защиту, хранение, обработку и передачу персональных данных в администрации района» - от 20.07. 2011 №77-р «О реестре муниципальных служащих администрации района, осуществляющих обработку персональных данных в информационных системах»; -от 21.09. 2011 №99-р «О назначении ответственных за хранение носителей персональных данных в администрации района»; 2. от 28.09. 2011 №103-р «О проведении внутренней проверки информационных систем администрации района»; 3. от 29.09. 2011 №104-р «О результатах внутренней проверки персональных данных в администрации района»; 4. от 23.08. 2012 №98-р «О назначении ответственных за организацию обработки персональных данных в администрации района»; 5. от 23.08. 2012 №97-р «Об утверждении Правил рассмотрения запросов субъектов персональных данных или их представителей»; 6. от 27.12. 2012 №146-р «О назначении администратора безопасности информационных систем администрации района» 7. от 18.01. 2013 №4-р «О правилах работы с обезличенными данными в администрации района»;
