Add to collection(s) Add to saved
  1. No category

УТВЕРЖДАЮ

advertisement 
КОММЕРЧЕСКАЯ ТАЙНА
Общества с ограниченной ответственностью «Дядя Лёня»
(ООО «Дядя Лёня»)
Москва, Ленинградский проспект, д.80, корп.66
Экз. № 1
УТВЕРЖДАЮ
Генеральный директор
Общества с ограниченной ответственностью «Дядя Лёня»
(ООО «Дядя Лёня»)
_____________________ И.И.ИВАНОВ
«19» октября 2015 года
м.п.
О Т Ч Е Т
О РЕЗУЛЬТАТАХ ПРОВЕДЕНИЯ ВНУТРЕННЕЙ ПРОВЕРКИ ИНФОРМАЦИОННЫХ
СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ДЯДЯ ЛЁНЯ»
ЛОКАЛЬНЫЙ НОРМАТИВНЫЙ
принят во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и
Постановления Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите
персональных данных при их обработке в информационных системах персональных данных»
НОВАЯ РЕДАКЦИЯ
город Москва
2015 год
1
Раздел I. ОПРЕДЕЛЕНИЯ
ОБЩЕСТВО, ТУРОПЕРАТОР - Общество с ограниченной ответственностью «Дядя Лёня –
оператор персональных данных - юридическое лицо, совместно с другими лицами организующее
и осуществляющее обработку персональных данных, а также определяющее цели обработки
персональных данных, состав персональных данных, подлежащих обработке, операции,
совершаемые с персональными данными.
ПДн - персональные данные, - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).
ИСПДн – информационная система персональных данных, представляет собой
совокупность ПДн, содержащихся в базе данных, а также информационных технологий и
технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств
автоматизации или без использования таких средств.
Обработка ПДн — обработка персональных данных, действия (операции) с
персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение
(обновление,
изменение),
использование,
распространение,
передачу,
копирование,
обезличивание, блокирование, уничтожение.
Обработка ПДн с использованием средств автоматизации — это обработка ПДн в
пределах ИСПДн с использованием информационных технологий и технических средств ИСПДн.
Обработка ПДн без использования средств автоматизации — это обработка ПДн,
содержащихся в ИСПДн, либо извлеченных из неё, если такие действия с ПДн, как
использование, уточнение, распространение, уничтожение ПДн в отношении каждого из
субъектов ПДн, осуществляются при непосредственном участии работником. При этом обработка
ПДн не может быть признана осуществляемой с использованием средств автоматизации только
на том основании, что ПДн содержатся в ИСПДн, либо были извлечены из неё
Распространение ПДн – действия, направленные на передачу персональных данных
определенному кругу лиц (передача персональных данных) или на ознакомление с
персональными данными неограниченного круга лиц, в том числе обнародование персональных
данных
в
средствах
массовой
информации,
размещение
в
информационнотелекоммуникационных сетях или предоставление доступа к персональным данным каким-либо
иным способом.
Использование ПДн - действия (операции) с персональными данными, совершаемые
оператором в целях принятия решений или совершения иных действий, порождающих
юридические последствия в отношении субъекта персональных данных или других лиц либо
иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование ПДн – временное прекращение сбора, систематизации, накопления,
использования, распространения персональных данных, в том числе их передачи.
Уничтожение ПДн - действия, в результате которых невозможно восстановить содержание
персональных данных в информационной системе персональных данных или в результате
которых уничтожаются материальные носители персональных данных.
Обезличивание ПДн – действия, в результате которых невозможно определить
принадлежность персональных данных конкретному субъекту персональных данных.
ТС ИСПДн - технические средства, позволяющие осуществлять обработку персональных
данных в ИСПДн - это средства вычислительной техники, информационно-вычислительные
комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы
звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства,
средства изготовления, тиражирования документов и другие технические средства обработки
речевой, графической, видео- и буквенно-цифровой информации), программные средства
(операционные системы, системы управления базами данных и т.п.), средства защиты
информации).
СЗПДн — система защиты персональных данных, это комплекс технических и(или)
программных средств, необходимых и достаточных для обеспечения безопасности защищаемых
ПДн, хранящихся и обрабатываемых в Обществе автоматизированным способом.
2
Персональные данные, выведенные из ИСПДн на бумажные и/или физические носители
информации средствами СЗПДн не защищаются.
Допуск — право (возможность) субъекта доступа на получение информации и её
использование.
НСД — несанкционированный доступ (несанкционированные действия), доступ к
информации или действия с информацией, нарушающие правила разграничения доступа с
использованием
штатных
средств,
предоставляемых
информационными
системами
персональных данных.
Матрица доступа
разграничения доступа.
—
таблица
(совокупность
таблиц),
отображающая
правила
ПРД — правила разграничения доступа, совокупность правил, регламентирующих права
доступа субъектов доступа к объектам доступа.
В ИСПДн, использующих средства автоматизации, ПРД реализуются техническими
средствами информационной системы персональных данных. ТС ИСПДн обеспечивают
автоматическую и(или) автоматизированную реализацию правил доступа субъектов доступа к
объектам доступа, а также автоматический контроль за соблюдением этих правил с
автоматической регистрацией в электронной форме событий, происходящих при этом событий.
ПРД устанавливаются при проектировании СЗПДн и представляют собой таблицу(ы),
именуемую как «Матрица доступа».
Объект доступа — единица информационного ресурса автоматизированной системы,
доступ к которой регламентируется правилами разграничения доступа. Для СЗПДн такими
объектами являются защищаемые ПДн, технические и программные средства ИСПДн и СЗПДн.
Субъект доступа — это лицо или процесс, действия которого регламентируются
правилами разграничения доступа.
Объект внедрения - совокупность: ТС ИСПДн; помещений, в которых ТС ИСПДн
расположены; технологическое оборудование этих помещений (системы электропитания,
кондиционирования, пожаротушения и пр.); сетевая инфраструктура, обеспечивающая
функционирование технических средств.
Ответственный за обработку ПДн – работник Общества, назначенный приказом
Генерального директора ответственным за организацию обработки персональных данных, за
обеспечение информационной безопасности и защиту персональных данных в Обществе, вне
зависимости от того, является обработка персональных данных автоматизированной или
неавтоматизированной, производится она вручную либо автоматически.
Администратор ИСПДн - работник Общества, назначенный приказом Генерального
директора ответственным за проведение работ по поддержанию достигнутого уровня защиты
ИСПДн и ее ресурсов на этапах эксплуатации и модернизации, отвечает за обеспечение
устойчивой работоспособности элементов ИСПДн и средств защиты при обработке персональных
данных, а также за выявление инцидентов в ИСПДн и реагирование на них.
Комиссия по ПДн – работники Общества, которые в соответствии с приказом
Генерального директора планируют, утверждают и контролируют соответствие деятельности
Общества по обработке ПДн требованиям Федерального закона № 152-ФЗ от 27 июля 2006 года
«О персональных данных» и другим законодательным и нормативным актам, регламентирующим
обработку персональных данных.
Партнер – юридическое лицо или индивидуальный предприниматель, оператор
персональных данных, с которым у Общества имеются договорные отношения, во исполнение
обязательств по которым Партнер поручает Обществу в качестве третьего лица обработку ПДн
Клиентов. Партнер - зарегистрированный пользователь дистрибьюторской сети Общества
Клиент - физическое лицо - заказчик туристского продукта (субъект персональных данных),
заключивший с Обществом или Партнером договор на реализацию туристского продукта,
сформированного Обществом; либо физическое лицо - Клиент (субъект персональных данных),
от имени которого заказчик туристского продукта заключил с Обществом или Партнером договор
на реализацию туристского продукта, который формируется Обществом.
3
Раздел II. ТЕРМИНЫ И СОКРАЩЕНИЯ
АЗ
АРМ
Антивирусная защита
Автоматизированное рабочее место
АС
Автоматизированная система
БД
База данных
ВП
Вредоносная программа
ЗП
Защищаемые помещения
ИС
Информационная система
МЭ
Межсетевой экран
ОС
Операционная система
ПО
Программное обеспечение
ППО
ПЭМИН
Прикладное программное обеспечение
Побочные электромагнитные излучения и наводки
СУБД
Система управления базами данных
ФСБ России
Федеральная служба безопасности
ФСТЭК России
Федеральная служба по техническому и экспортному контролю
Раздел III. ВВЕДЕНИЕ
1. Внутренняя проверка (далее по тексту – Проверка) была произведена на основании
Приказа Генерального директора ООО «Дядя Лёня» № 22-2/ПДн от «15» октября 2015 года.
Проверка проводилась комиссией по персональным данным с «16» по «19» октября 2015
года по месту нахождения Общества: 125190, Москва, Ленинградский проспект, д.80, корп.66.
2. Проверка проводилась в соответствии
нормативными и методическими актами:
со
следующими
законодательными,
Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее –
Федеральный закон «О персональных данных»);
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об
утверждении требований к защите персональных данных при их обработке в информационных
системах персональных данных»;
Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687
«Об утверждении положения об особенностях обработки персональных данных, осуществляемой
без использования средств автоматизации»;
Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и
содержания организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных»;
Базовая модель угроз безопасности ПДн при их обработке в информационных системах
персональных данных, утверждена заместителем директора ФСТЭК России 15 февраля 2008
года;
Методика определения угроз безопасности ПДн при их обработке в информационных
системах персональных данных, утверждена заместителем директора ФСТЭК России 14 февраля
2008г.
3. В процессе проверки были выявлены четыре ИСПДн, эксплуатируемые в Обществе,
которые получили следующие условные обозначения:
ИСПДн №1 «Бухгалтерия и кадры», ИСПДн №2 «Клиенты и партнеры», ИСПДн №3
«СКУД» и ИСПДн №4 «Видеоконтроль».
4
Раздел IV. ОПИСАНИЕ И СТРУКТУРА ИСПДн №1 «БУХГАЛТЕРИЯ И КАДРЫ»
1. Параметры ИСПДн №1 «Бухгалтерия и кадры»
Заданные характеристики
безопасности персональных
данных
Специальная информационная система, в которой
требуется обеспечить конфиденциальность, целостность и
доступность ПДн, использующая программный продукт 1С
Структура информационной
системы
Локальная информационная система, вся обработка ПДн
производится в рамках одной локальной вычислительной
сети, имеющей автоматизированные рабочие места (АРМ)
Подключение информационной
системы к сетям общего
пользования и (или) сетям
международного информационного
обмена
С АРМ пользователей имеется возможность подключения
к сети Интернет и специализированным информационным
банковским сетям
Режим обработки персональных
данных
Многопользовательская система
Режим разграничения прав доступа
пользователей
Система с разграничение доступа
Местонахождение технических
средств информационной системы
Все технические средства находятся в пределах
Российской Федерации по месту нахождения Общества
Планы помещений и расположение средств вычислительной техники (СВТ) ИСПДн №1
«Бухгалтерия и кадры» изображено в Приложении №1.
На момент обследования в ИСПДн №1 используется прикладное программное
обеспечение системы бухгалтерского учета, работающее на платформе 1С: Предприятие 8.2 и
1С: Предприятие 7.7, разработчик ЗАО 1С:
- Модуль 1С: Бухгалтерия;
- Модуль 1С: Зарплата и кадры.
Основной задачей модуля прикладного ПО 1С: Бухгалтерия является автоматизация
бухгалтерского учета, страховой и хозяйственной деятельности Общества. Модуль представляет
типовую конфигурацию 1С: Предприятие 8.2 и 1С: Предприятие 7.7, программное обеспечение
позволяет автоматизировать ведение всех разделов бухгалтерского учета.
Основной задачей модуля прикладного ПО 1С: Зарплата и кадры является автоматизация
кадрового учета и расчета заработной платы в Обществе. Модуль представляет собой типовую
конфигурацию 1С: Предприятие 7.7.
2. Статус ИСПДн №1 «Бухгалтерия и кадры»
ИСПДн находится в промышленной эксплуатации в офисе Общества.
3. Описание ИСПДН №1 и исходные данные
3.1. Назначение ИСПДн №1 и цели обработки ПДн:
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение,
использование, предоставление, обезличивание, блокирование, удаление, уничтожение
персональных данных в интересах достижения целей обработки ПДн.
Обработка ПДн осуществляется с целью автоматизации процесса ведения кадрового
учета, расчета заработной платы, ведения бухгалтерского учета, страховой и хозяйственной
деятельности (идентификация клиентов Общества как плательщиков и получателей).
3.2. Перечень, категории и способы обработки ПДн в ИСПДн №1:
также
Перечень обрабатываемых ПДн, способ обработки ПДн, сроки обработки и хранения, а
уничтожения ПДн определены в локальном нормативном документе Перечень
5
персональных данных подлежащих защите.
В ИСПДн №1 осуществляется обработка специальной категории персональных данных
работника о состоянии его здоровья, относящихся к вопросу о возможности выполнения
работником трудовой функции.
Персональные данные, отнесенные ФЗ «О персональных данных» к иным, кроме состояния
здоровья, категориям специальных ПДн либо биометрических ПДн - в ИСПДн №1 не
обрабатываются.
3.3. Места и формы хранения ПДн:
ПДн хранятся в базе данных ИСПДн №1 (СУБД Microsoft SQL). ПДн хранятся полностью, в
необезличенном виде, без сортировки, маскирования и архивации.
3.4. Способы и форматы ввода ПДн в систему:
Персональные данные загружаются в БД ИСПДн автоматизированным способом.
Используется также ручной ввод персональных данных пользователями, посредством
клавиатурного ввода через экранные формы прикладного интерфейса АРМ пользователей.
3.5. Способы и форматы экспорта ПДн из ИСПДн и характер взаимодействия с
другими системами:
Экспорт персональных данных из ИСПДн №1 осуществляется:
- в виде стандартной бухгалтерской отчетности, на бумажных носителях;
- в налоговые службы в виде отчетных документов в электронном виде и на бумажных
носителях;
- в банк в виде файлов с реестрами к зачислению заработной платы; файлы передаются в
банк посредствам систем «Клиент-Банк»; файлы содержат: ФИО, дата рождения, счет и сумма к
зачислению;
- работникам Общества, в виде справок установленных форм на бумажных носителях;
справки с персональными данными выдаются при личной явке сотрудника.
3.6. Пользователи ИСПДн №1 «Бухгалтерия и кадры»:
Пользователи ИСПДн №1 перечислены в таблице №1/1.
Все пользователи ИСПДн
соответствующими инструкциями.
№1
имеют
собственные
обязанности,
установленные
3.7. Действия пользователей с ПДн:
В ИСПДн №1 обработка персональных данных осуществляется в многопользовательском
режиме с разграничением прав доступа.
Режим обработки, в зависимости от права доступа пользователя, может предусматривать
следующие действия с персональными данными: сбор, систематизацию, накопление, хранение,
уточнение (обновление, изменение), использование, распространение (в том числе передачу),
обезличивание, блокирование, уничтожение, просмотр, редактирование (модификация),
формирование отчетов и экспорт части персональных данных.
3.8. Цели и способы модификации ПДн:
Модификация ПДн производится с целью корректировки неверно загруженных ПДн и
поддержания их актуальности.
Модификация производится посредством
прикладного ПО «1С: Предприятие».
ручного
ввода
через
экранные
формы
3.9. Способы, порядок и особенности уничтожения ПДн:
Персональные данные в ИСПДн №1 хранятся, обезличиваются и уничтожаются в
соответствии с нормами Перечня персональных данных, подлежащих защите в Обществе с
ограниченной ответственностью и Положением об обработке и защите персональных данных
работников.
3.10. Трансграничная передача ПДн:
В настоящее время трансграничная передача ПДн в ИСПДн №1 не осуществляется.
6
3.11. Сопровождение ИСПДн:
Сопровождающее подразделение (ППО, ОС, СУБД) – информационно-технический отдел
Общества.
3.12. Структура ИСПДн №1:
Система является распределенной, многопользовательской, с разграничением прав
доступа пользователей.
3.13. Группы пользователей и их уровень доступа к ИСПДн №1:
Устанавливаются в соответствии с Положением о разграничении прав доступа к
персональным данным, обрабатываемым в ООО «Дядя Лёня».
3.14. Физическое (территориальное) размещение аппаратных средств ИСПДн №1:
Серверное оборудование располагается в серверном помещении Общества.
3.15. ПО, используемое в ИСПДн №1:
Серверная часть «1С:Предприятие 8.2»
версия ОС: Microsoft Windows Server 2008 R2
версия СУБД: СУБД не используется
версия ППО: «1С:Бухгалтерия»
Клиентская часть «1С:Предприятие 8.2»
версия ОС: Microsoft Windows XP/7
тип клиента: Прямое подключение к базе
Серверная часть «1С:Предприятие 7.7»
версия ОС: Microsoft Windows Server 2008 R2
версия СУБД: Microsoft SQL 2005
версия ППО: «1С:Бухгалтерия»
версия ППО: «1С:Зарплата и кадры»
Клиентская часть «1С:Предприятие 7.7»
версия ОС: Microsoft Windows XP/7
тип клиента: Прямое подключение к базе
3.16. Подключение к сетям общего доступа:
Система имеет прямое подключение к сетям общего доступа.
С АРМ пользователей возможен доступ к сети Интернет. Предоставление доступа
пользователям к сети Интернет регламентируется внутренним нормативным документом.
3.17. Имеющиеся механизмы защиты ПДн:
3.17.1. Подсистема управления доступом:
Предоставление доступа пользователям осуществляется на основании должностных
инструкций и локальных нормативных актов Общества.
7
В системе реализовано разграничение доступа между модулями ИСПДн, а также ролевое
разграничение внутри модулей по ролям и объектам доступа. К справочнику физических лиц
обоих модулей, большинство допущенных сотрудников Общества имеют доступ с правами только
на чтение, ограниченному числу пользователей доступно редактирование ПДн.
В системе используется аутентификация пользователя по имени и паролю. Пароль
устанавливается администратором ИСПДн при заведении учетной записи. Пароль передается
пользователю. Длину и сложность пароля определяет администратор, который руководствуется
правилами парольной политики, установленными Обществом.
При простое АРМ свыше 15 минут, с помощью групповой политики домена настроена
блокировка консоли ОС АРМ пользователя.
3.17.2. Подсистема регистрации и учета:
Подсистема регистрации и учета на уровне прикладного программного обеспечения
регистрирует следующие события (Базовый уровень аудита ППО 1С):
- успешный вход (выход) субъектов доступа в систему (из системы) (кроме неудачных
попыток);
- действия пользователей: запуска процессов, задач (только факт событий);
- регистрация изменений полномочий субъектов доступа и статусов объектов доступа.
Встроенная функция печати в ППО присутствует, но регистрация событий печати не
осуществляется.
3.17.2. Подсистема обеспечения целостности:
БД ИСПДн автоматизировано резервируется при помощи средств централизованной
системы резервного копирования.
3.17.3. Используемые средства защиты ИСПДн:
Используемые штатные средства защиты ППО ИСПДн, сетевые средства защиты и МЭ,
системы обнаружения/предотвращения атак и средства антивирусной защиты описаны в Перечне
по учету применяемых средств защиты информации, эксплуатационной и технической
документации к ним.
8
Раздел V. ОПИСАНИЕ И СТРУКТУРА ИСПДн №2 «КЛИЕНТЫ И ПАРТНЕРЫ»
1. Параметры ИСПДн №2 «Клиенты и партнеры»
Заданные характеристики безопасности
персональных данных
Специальная информационная система, в
которой требуется обеспечить
конфиденциальность, целостность и доступность
ПДн, использующая программный продукт
Структура информационной системы
Локальная информационная система, вся
обработка ПДн производится в рамках одной
локальной вычислительной сети, имеющей
автоматизированные рабочие места
Подключение информационной системы к
сетям общего пользования и (или) сетям
международного информационного обмена
АРМ имеют подключение к сети Интернет
Режим обработки персональных данных
Многопользовательская система
Режим разграничения прав доступа
пользователей
Система с разграничение доступа
Местонахождение технических средств
информационной системы
Все технические средства находятся в пределах
Российской Федерации по месту нахождения
Общества
Планы помещений и расположение средств вычислительной техники (СВТ) ИСПДн №2
«Клиенты и партнеры» изображено в Приложении №2.
На момент обследования в ИСПДн №2 используется прикладное программное
обеспечение Программного Комплекса «САМО-Тур», системы автоматизации деятельности
туроператора.
Программа учитывает все технологические операции туроператорской и турагентской
деятельности.
1.1. Назначение ИСПДн №2:
ИСПДн №2 является системой управления туроператорской и турагентской деятельностью.
Она предназначена для автоматизации технологических процессов Общества. Основными
целями функционирования ИСПДн №2 и обработки ПДн в частности являются:
ведение базы данных Партнеров (турагентств);
оформление и редактирование заявок Клиентов и Партнеров для заказа турпродукта и
подтверждения его бронирования;
учет платежей и расчетов с Партнерами и Клиентами за предоставленные услуги;
подготовка пакета документов, необходимого Клиенту для совершения путешествия, ваучер, электронный авиабилет, страховой полис, анкета для оформления визы, туристская
путевка и др.;
формирование итоговых отчетов и списков для Партнеров (иностранные туроператоры,
отели, авиакомпании, иностранные посольства, страховые компании, трансферные перевозчики и
т.п.);
проведение статистического анализа;
импорт цен гостиниц и билетов из таблиц формата MS Excel;
контроль забронированных/предоставленных заказов;
9
просмотр Партнерами и Клиентами состояния исполнения заказов, переданных ими в
Общество;
операции подготовки документов для оформления визы для подачи в иностранные
посольства и консульства;
операции печати, контроля готовности и выдачи выходных документов.
С ИСПДн №2 работают все зарегистрированные пользователи дистрибьюторской сети
Общества.
2. Статус ИСПДн №2:
ИСПДн №2 находится в промышленной эксплуатации в офисе Общества.
3. Описание ИСПДН №2 и исходные данные для ее классификации:
3.1. Цели обработки ПДн:
Общество обрабатывает ПДн Клиентов и Партнеров с целью исполнения обязательств и
реализации прав, возложенных на Общество, в том числе, Гражданским кодексом Российской
Федерации, Налоговым кодексом Российской Федерации, Федеральным законом № 132-ФЗ от
24.11.1996 года «Об основах туристской деятельности в Российской Федерации», Уставом
Общества, договорами о реализации туристского продукта, заключенными с Клиентами и/или
Партнерами.
3.2. Перечень, категории и способы обработки ПДн в ИСПДн №2:
Перечень обрабатываемых ПДн, способ обработки ПДн, сроки обработки и хранения, а
также уничтожения ПДн определены в локальном нормативном документе Перечень
персональных данных подлежащих защите.
3.3. Места и формы хранения ПДн:
ПДн хранятся в базе данных ИСПДн №2. ПДн хранятся полностью, в необезличенном виде,
без сортировки, маскирования и архивации.
3.4. Способы и форматы ввода ПДн в систему:
В ИСПДн №2 предусмотрены следующие способы ввода персональных данных:
1) Ручной ввод данных в ИСПДн пользователями, посредством клавиатурного ввода через
экранные формы прикладного интерфейса АРМ пользователей.
2) Загрузка данных из внешних систем.
3.5. Способы и форматы экспорта ПДн из ИСПДн и характер взаимодействия с
другими системами:
В ИСПДн №2 предусмотрены следующие способы экспорта ПДн из ИСПДн:
- выгрузка данных во внешние системы Партнерам – резидентам;
- выгрузка данных во внешние системы иностранным Партнерам – нерезидентам.
3.6. Пользователи ИСПДн:
Работников Общества, официально допущенные к обработке ПДн в ИСПДн №2, а также
зарегистрированные пользователи дистрибьюторской сети Общества.
3.7. Действия пользователей с ПДн:
10
В ИСПДн №2 обработка персональных данных осуществляется в многопользовательском
режиме с разграничением прав доступа.
Режим обработки, в зависимости от права доступа пользователя, может предусматривать
следующие действия с персональными данными: сбор, систематизацию, накопление, хранение,
уточнение (обновление, изменение), использование, распространение (в том числе передачу),
обезличивание, блокирование, уничтожение, просмотр, редактирование (модификация),
формирование отчетов и экспорт части персональных данных.
3.7.1. Цели и способы модификации ПДн:
Уточнение данных при их изменении, по заявлениям субъектов ПДн, а также корректировка
неверных данных.
3.8. Способы, порядок и особенности уничтожения ПДн:
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по
достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Сроки хранения, уничтожения и обезличивания ПДн указаны в локальных нормативных
актах Общества: Перечень персональных данных подлежащих защите и Положение об обработке
и защите персональных данных Клиентов.
Общество на договорной основе обязывает всех партнеров, которым предоставляет ПДн
Клиентов, обеспечить исполнение требования по уничтожению либо обезличиванию ПДн по
достижении целей обработки или в случае утраты необходимости в достижении этих целей.
3.9. Трансграничная передача ПДн:
Передача персональных данных Клиента осуществляется Туроператором исключительно
для достижения целей, определенных письменными договорами между Клиентом – Партнером
либо Клиентом - Туроператором, в частности для формирования туристского продукта,
заказанного Клиентом.
Передача персональных данных Клиента третьим лицам осуществляется Туроператором
только на основании соответствующего договора с третьим лицом, существенным условием
которого является обязанность обеспечения третьим лицом конфиденциальности персональных
данных Клиента и безопасности персональных данных при их обработке.
Туроператор осуществляет трансграничную передачу персональных данных Клиента на
территории иностранных государств с учетом перечня государств, утвержденного
уполномоченным органом по защите прав субъектов персональных данных.
Туроператор осуществляет трансграничную передачу персональных данных Клиента на
территории иностранных государств, в том числе на территории иностранных государств, не
обеспечивающих адекватной защиты прав субъектов персональных данных, только по ниже
следующим основаниям:
1) наличие письменного согласия Клиента на трансграничную передачу его персональных
данных;
2) исполнение договора между Клиентом и Партнером или Клиентом и Туроператором, в
котором выражено согласие Клиента на трансграничную передачу его персональных данных.
3.10. Сопровождение ИСПДн №2:
Сопровождающее подразделение (ОС, СУБД, ППО) – информационно-технический отдел
Общества.
3.11. Структура ИСПДн №2:
Система является распределенной, многопользовательской, с разграничением прав доступа
11
пользователей.
Все пользователи ИСПДн
соответствующими инструкциями.
№2
имеют
собственные
обязанности,
установленные
3.12. Группы пользователей и их уровень доступа к ИСПДн №1:
Устанавливаются в соответствии с Положением о разграничении прав доступа к
персональным данным, обрабатываемым в ООО «Дядя Лёня».
3.13. Физическое (территориальное) размещение аппаратных средств ИСПДн №2:
На момент проведения обследования серверное оборудование располагалось в серверном
помещении по месту нахождения Общества.
3.14. Подключение к сетям общего доступа:
Система имеет прямое подключение к сетям общего доступа. Из сети Интернет доступны
сервера приложений, через которые доступ к системе получают работники Общества.
С АРМ пользователей возможен доступ к сети Интернет. Предоставление доступа
пользователям к сети Интернет не регламентируется внутренним нормативным документом.
3.15. Имеющиеся механизмы защиты ПДн:
3.15.1. Подсистема управления доступом:
Предоставление доступа пользователям осуществляется на основании должностных
инструкций и локальных нормативных актов Общества.
Доступ пользователей осуществляется по индивидуальным для каждого пользователя
реквизитам, включающим имя и пароль. Пароли хранятся в БД в хешированном виде, а также в
виде хешей, передаются с компьютера пользователя на сервер при подключении к системе. В
качестве средства хеширования используется собственный алгоритм ППО САМО-ТУР.
3.15.2. В ИСПДн №2 предусмотрены следующие настройки безопасности:
- срок действия пароля в днях;
- количество дней до истечения действия пароля, начиная с которого будет автоматически
формироваться сообщение пользователю об истечении срока действия пароля;
- количество запоминаемых паролей для запрета повторяемости;
- количество неудачных попыток регистрации пользователя в ИСПДн, после которого доступ
для него в систему автоматически блокируется;
- контроль двойного входа в ИСПДн, т.е. разрешение или ограничение для пользователей
запускать одно приложение несколько раз или запускать разные приложения;
- контроль особых требований к сложности пароля; дополнительные проверки сложности
паролей описаны в виде SQL- скрипта;
- предупреждение в окне ввода пароля: тестовая информация на 10 строк, может содержать
предупреждение об ответственности за попытки несанкционированного вхождения в систему;
- блокировка доступа в систему при отсутствии активности пользователя за установленный
период времени. Для возобновления работы после блокировки пользователь должен повторно
ввести свой пароль.
3.15.3. В ИСПДн №2 реализован комплекс технических и программных решений,
обеспечивающих эффективное разграничение прав доступа пользователей к операциям и
данным:
12
В ИСПДн реализована 3-х уровневая модель разграничения прав доступа пользователей:
уровень, в виде разграничения доступа по модулям системы;
уровень, в виде разграничения доступа по функциональным возможностям (ролям);
уровень, в виде разграничения доступа по правам (просмотр, редактирование, и т.д.).
Права пользователей в ИСПДн описываются набором ролей и рангов. Наличие роли, как
правило, определяет наличие у пользователя прав на доступ к тому, или иному функционалу
системы, а ранг-перечень возможностей, доступных для пользователя при работе с функционалом.
Индивидуально для каждого пользователя устанавливаются в ИСПДн также и права на
построение отчетов, работу с документами, продуктами, приложениями и справочниками.
Разграничение прав доступа к данным и проведению операций осуществляется в ИСПДн
путем индивидуального назначения каждому пользователю определенных бизнес-ролей,
обеспечивающих возможность работы с тем или иным функционалом.
Комбинация ролей и рангов пользователя определяется исходя из его должностных
обязанностей, а также его функций в бизнес-процессах, действующих у конечного пользователя.
Разрешение работать с продуктом позволяет пользователю создавать в ИСПДн документы
по реализации данного продукта. Если разрешения у пользователя нет, то документы по продукту
не могут быть созданы.
Запрет на работу с продуктами не распространяется в ИСПДн на видимость этих продуктов
при отборах документов и возможность непосредственной работы с документами по этим продуктам
в режиме чтения.
Пользователи системы не имеют прямых логинов в СУБД.
При простое АРМ свыше 15 минут, с помощью групповой политики домена настроена
блокировка консоли ОС АРМ пользователя.
3.15.4. Подсистема регистрации и учета:
Средствами прикладного ПО обеспечивается регистрация следующих типов событий ИСПДн:
- выгрузка списка в Excel;
- запуск отчетов;
- печать документов;
- системные события.
3.15.5. Подсистема обеспечения целостности:
БД ИСПДн автоматизировано резервируется при помощи средств централизованной
системы резервного копирования, в рамках общих процедур резервного копирования.
3.16. Используемые средства защиты ИСПДн №2:
Используемые штатные средства защиты ППО ИСПДн, сетевые средства защиты и МЭ,
системы обнаружения/предотвращения атак и средства антивирусной защиты описаны в Перечне
по учету применяемых средств защиты информации, эксплуатационной и технической
документации к ним.
На рабочих станциях зарегистрированных участников дистрибьюторской сети Общества
применение средств антивирусной защиты не регламентировано (не предусмотрено в
соответствующих договорах).
13
3.17. Средства криптографической защиты информации:
Криптографическая защита информации не производится в связи отсутствия информации,
которую было бы необходимо защищать с использованием криптографических средств.
Раздел VI. ОПИСАНИЕ И СТРУКТУРА ИСПДн №3 «СКУД»
1. Параметры ИСПДн №3 «СКУД»:
Заданные характеристики безопасности
персональных данных
Специальная информационная система, в
которой требуется обеспечить
конфиденциальность, целостность и доступность
ПДн, использующая программный продукт
Структура информационной системы
Локальная информационная система, вся
обработка ПДн производится в рамках одной
локальной вычислительной сети, имеющей
автоматизированные рабочие места
Подключение информационной системы к
сетям общего пользования и (или) сетям
международного информационного обмена
АРМ имеют подключение к сети Интернет
Режим обработки персональных данных
Многопользовательская система
Режим разграничения прав доступа
пользователей
Система с разграничение доступа
Местонахождение технических средств
информационной системы
Все технические средства находятся в пределах
Российской Федерации по месту нахождения
Общества
Планы помещений и расположение средств вычислительной техники (СВТ) ИСПДн №3
«СКУД» изображено в Приложении №3.
На момент обследования в ИСПДн №3 используется прикладное программное обеспечение
Программного Комплекса «СТРАЖЪ», система контроля и управления доступа.
Программа предназначена для ведения пропускного режима в Обществе.
1.1. Назначение ИСПДн №3:
ИСПДн №3 является системой контроля управления доступа. Она предназначена для
автоматизации технологических процессов контроля доступа в помещения Общества. Основными
целями функционирования ИСПДн №3 и обработки ПДн в частности являются:
ведение базы пропусков;
предотвращение доступа посторонних лиц в помещения Общества;
автоматизация учета рабочего времени и контроль трудовой дисциплины;
контроль нахождения в помещениях Общества лиц во внерабочее время.
2. Статус ИСПДн:
ИСПДн №3 находится в промышленной эксплуатации в офисе Общества.
3. Описание ИСПДН №3 и исходные данные для ее классификации:
3.1. Цели обработки ПДн:
Осуществление пропускного режима в Обществе.
3.2. Перечень ПДн, сроки и способ обработки ПДн:
Способ обработки ПДн, сроки обработки ПДн и перечень обрабатываемых данных
определены в локальных нормативных документах: Перечень персональных данных подлежащих
14
защите и Положение о системе контроля и управления доступом в помещения Общества.
3.3. Места и формы хранения ПДн:
ПДн хранятся в базе данных ИСПДн №3.
3.4. Способы и форматы ввода ПДн в систему:
Ручной ввод данных в ИСПДн пользователями, посредством клавиатурного ввода через
экранные формы прикладного интерфейса АРМ пользователей.
3.5. Действия пользователей с ПДн:
Чтение, ввод данных, поиск, модификация, выгрузка.
3.5.1. Цели и способы модификации ПДн:
Уточнение данных при их изменении, по заявлениям субъектов ПДн, а также корректировка
неверных данных.
3.6. Способы, порядок и особенности уничтожения ПДн:
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по
достижении целей обработки или в случае утраты необходимости в достижении этих целей.
3.7. Трансграничная передача ПДн:
Не осуществляется
3.8. Сопровождение ИСПДн №3:
Сопровождающее подразделение (ОС, СУБД, ППО) – информационно-технический отдел
Общества.
3.9. Структура ИСПДн №3:
Система является распределенной, многопользовательской, с разграничением прав доступа
пользователей.
3.10. Группы пользователей и их уровень доступа к ИСПДн №3:
Устанавливаются в соответствии с Положением о разграничении прав доступа к
персональным данным, обрабатываемым в ООО «Дядя Лёня».
3.11. Физическое (территориальное) размещение аппаратных средств ИСПДн №3:
На момент проведения обследования оборудование располагалось в помещении рецепции
по месту нахождения Общества.
3.12. Подключение к сетям общего доступа:
Система имеет прямое подключение к локальной сети Общества.
С АРМ пользователей возможен доступ к сети Интернет. Предоставление доступа
пользователям к сети Интернет не регламентируется внутренним нормативным документом.
3.13. Имеющиеся механизмы защиты ПДн:
3.13.1. Подсистема управления доступом:
Предоставление доступа пользователям осуществляется на основании должностных
инструкций и локальных нормативных актов Общества.
Доступ пользователей осуществляется по индивидуальным для каждого пользователя
реквизитам, включающим имя и пароль.
3.13.2. В ИСПДн №3 предусмотрены следующие настройки безопасности:
- срок действия пароля в днях;
- количество дней до истечения действия пароля, начиная с которого будет автоматически
формироваться сообщение пользователю об истечении срока действия пароля;
- количество запоминаемых паролей для запрета повторяемости;
- количество неудачных попыток регистрации пользователя в ИСПДн, после которого доступ
для него в систему автоматически блокируется;
15
- контроль двойного входа в ИСПДн, т.е. разрешение или ограничение для пользователей
запускать одно приложение несколько раз или запускать разные приложения;
- контроль особых требований к сложности пароля; дополнительные проверки сложности
паролей описаны в виде SQL- скрипта;
- предупреждение в окне ввода пароля: тестовая информация на 10 строк, может содержать
предупреждение об ответственности за попытки несанкционированного вхождения в систему.
3.13.3. В ИСПДн №3 реализован комплекс технических и программных решений,
обеспечивающих эффективное разграничение прав доступа пользователей к операциям и
данным:
В ИСПДн реализована 3-х уровневая модель разграничения прав доступа пользователей:
уровень, в виде разграничения доступа по модулям системы;
уровень, в виде разграничения доступа по функциональным возможностям (ролям);
уровень, в виде разграничения доступа по правам (просмотр, редактирование, и т.д.).
Права пользователей в ИСПДн описываются набором ролей и рангов. Наличие роли, как
правило, определяет наличие у пользователя прав на доступ к тому, или иному функционалу
системы, а ранг-перечень возможностей, доступных для пользователя при работе с функционалом.
Индивидуально для каждого пользователя устанавливаются в ИСПДн также и права на
построение отчетов, работу с документами, продуктами, приложениями и справочниками.
Разграничение прав доступа к данным и проведению операций осуществляется в ИСПДн
путем индивидуального назначения каждому пользователю определенных бизнес-ролей,
обеспечивающих возможность работы с тем или иным функционалом.
Комбинация ролей и рангов пользователя определяется исходя из его должностных
обязанностей, а также его функций в бизнес-процессах, действующих у конечного пользователя.
Разрешение работать с продуктом позволяет пользователю создавать в ИСПДн документы по
реализации данного продукта. Если разрешения у пользователя нет, то документы по продукту не
могут быть созданы.
Запрет на работу с продуктами не распространяется в ИСПДн на видимость этих продуктов
при отборах документов и возможность непосредственной работы с документами по этим продуктам
в режиме чтения.
Пользователи системы не имеют прямых логинов в СУБД.
При простое АРМ свыше 15 минут, с помощью групповой политики домена настроена
блокировка консоли ОС АРМ пользователя.
3.13.4. Подсистема регистрации и учета:
Средствами ППО обеспечивается регистрация следующих типов событий ИСПДн:
- выгрузка списка в Excel;
- запуск отчетов;
- печать документов;
- системные события.
3.13.5. Подсистема обеспечения целостности.
БД ИСПДн автоматизировано резервируется при помощи средств ПО «СТРАЖЪ».
3.14. Используемые средства защиты ИСПДн №3:
Используемые штатные средства защиты ППО ИСПДн, сетевые средства защиты и МЭ,
системы обнаружения/предотвращения атак и средства антивирусной защиты описаны в Перечне
по учету применяемых средств защиты информации, эксплуатационной и технической
документации к ним.
3.15. Средства криптографической защиты информации:
Криптографическая защита информации не производится в связи отсутствия информации,
которую было бы необходимо защищать с использованием криптографических средств.
16
Раздел VII. ОПИСАНИЕ И СТРУКТУРА ИСПДн №4 «ВИДЕОКОНТРОЛЬ»
1. Параметры ИСПДн №4 «Видеоконтроль»:
Заданные характеристики безопасности
персональных данных
Специальная информационная система, в
которой требуется обеспечить
конфиденциальность, целостность и доступность
ПДн, использующая программный продукт
Структура информационной системы
Локальная информационная система, вся
обработка ПДн производится в рамках одной
локальной вычислительной сети, имеющей
автоматизированные рабочие места
Подключение информационной системы к
сетям общего пользования и (или) сетям
международного информационного обмена
АРМ имеют подключение к сети Интернет
Режим обработки персональных данных
Многопользовательская система
Режим разграничения прав доступа
пользователей
Система с разграничение доступа
Местонахождение технических средств
информационной системы
Все технические средства находятся в пределах
Российской Федерации по месту нахождения
Общества
Планы помещений и расположение средств вычислительной техники (СВТ) ИСПДн №4
«Видеоконтроль» изображено в Приложении №4.
На момент обследования в ИСПДн №4 используется цифровой DVR видеорегистратор и
программное обеспечение Fox CCTV.
Программа предназначена для ведения видеоконтроля в помещениях Обществе.
1.1. Назначение ИСПДн:
ИСПДн №4 предназначена для ведения видеоконтроля в помещениях Общества с целью:
а) повышения эффективности режима безопасности в Обществе, обеспечения личной
безопасности работников и минимизации рисков материальных потерь в Обществе;
б) повышения эффективности обеспечения режима конфиденциальности и безопасности
персональных данных, обрабатываемых в Обществе;
в) осуществления контроля сохранности имущества работников и посетителей Общества,
соблюдения порядка в офисных помещениях, в том числе в ночное время и в нерабочие дни;
г) усиления контроля трудовой дисциплины.
2. Статус ИСПДн:
ИСПДн №4 находится в промышленной эксплуатации в офисе Общества.
3. Описание ИСПДН №4 и исходные данные:
3.1. Цели обработки ПДн:
Осуществление видеоконтроля в Обществе.
3.2. Перечень ПДн, сроки и способ обработки ПДн:
Способ обработки ПДн, сроки обработки ПДн и перечень обрабатываемых данных
определены в локальных нормативных документах: Перечень персональных данных подлежащих
защите и Положение о видеоконтроле в Обществе.
3.3. Места и формы хранения ПДн:
17
ПДн хранятся в базе данных ИСПДн №4.
3.4. Действия пользователей с ПДн:
Поиск, выгрузка.
3.5. Способы, порядок и особенности уничтожения ПДн:
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по
достижении целей обработки или в случае утраты необходимости в достижении этих целей.
3.6. Трансграничная передача ПДн:
Не осуществляется
3.7. Сопровождение ИСПДн №4:
Сопровождающее подразделение (ОС, СУБД, ППО) – информационно-технический отдел
Общества.
3.8. Структура ИСПДн №4:
Система является распределенной, многопользовательской, с разграничением прав доступа
пользователей.
3.9. Группы пользователей и их уровень доступа к ИСПДн №3:
Устанавливаются в соответствии с Положением о разграничении прав доступа к
персональным данным, обрабатываемым в ООО «Дядя Лёня».
3.10. Физическое (территориальное) размещение аппаратных средств ИСПДн №4:
На момент проведения обследования оборудование видеоконтроля располагалось в
серверном помещении по месту нахождения Общества.
3.12. Подключение к сетям общего доступа:
Система имеет прямое подключения к сетям общего доступа. Из сети Интернет доступны
сервера приложений, через которые доступ к системе получают работники Общества.
С АРМ пользователей возможен доступ к сети Интернет. Предоставление доступа
пользователям к сети Интернет не регламентируется внутренним нормативным документом.
3.13. Имеющиеся механизмы защиты ПДн:
3.13.1. Подсистема управления доступом:
Предоставление доступа пользователям осуществляется на основании должностных
инструкций и локальных нормативных актов Общества.
Доступ пользователей осуществляется по индивидуальным для каждого пользователя
реквизитам, включающим имя и пароль.
3.13.2. В ИСПДн №4 предусмотрены следующие настройки безопасности:
- срок действия пароля в днях;
- количество дней до истечения действия пароля, начиная с которого будет автоматически
формироваться сообщение пользователю об истечении срока действия пароля;
- количество запоминаемых паролей для запрета повторяемости;
- количество неудачных попыток регистрации пользователя в ИСПДн, после которого доступ
для него в систему автоматически блокируется;
- контроль двойного входа в ИСПДн, т.е. разрешение или ограничение для пользователей
запускать одно приложение несколько раз или запускать разные приложения;
18
- контроль особых требований к сложности пароля; дополнительные проверки сложности
паролей описаны в виде SQL- скрипта;
- предупреждение в окне ввода пароля: тестовая информация на 10 строк, может содержать
предупреждение об ответственности за попытки несанкционированного вхождения в систему.
3.13.3. В ИСПДн №4 реализован комплекс технических и программных решений,
обеспечивающих эффективное разграничение прав доступа пользователей к операциям и
данным:
В ИСПДн реализована 3-х уровневая модель разграничения прав доступа пользователей:
уровень, в виде разграничения доступа по модулям системы;
уровень, в виде разграничения доступа по функциональным возможностям (ролям);
уровень, в виде разграничения доступа по правам (просмотр, редактирование, и т.д.).
Права пользователей в ИСПДн описываются набором ролей и рангов. Наличие роли, как
правило, определяет наличие у пользователя прав на доступ к тому, или иному функционалу
системы, а ранг-перечень возможностей, доступных для пользователя при работе с функционалом.
Индивидуально для каждого пользователя устанавливаются в ИСПДн также и права на
построение отчетов, работу с документами, продуктами, приложениями и справочниками.
Разграничение прав доступа к данным и проведению операций осуществляется в ИСПДн
путем индивидуального назначения каждому пользователю определенных бизнес-ролей,
обеспечивающих возможность работы с тем или иным функционалом.
Комбинация ролей и рангов пользователя определяется исходя из его должностных
обязанностей, а также его функций в бизнес-процессах, действующих у конечного пользователя.
Разрешение работать с продуктом позволяет пользователю создавать в ИСПДн документы
по реализации данного продукта. Если разрешения у пользователя нет, то документы по продукту
не могут быть созданы.
Запрет на работу с продуктами не распространяется в ИСПДн на видимость этих продуктов
при отборах документов и возможность непосредственной работы с документами по этим продуктам
в режиме чтения.
Пользователи системы не имеют прямых логинов в СУБД.
При простое АРМ свыше 15 минут, с помощью групповой политики домена настроена
блокировка консоли ОС АРМ пользователя.
3.13.4. Подсистема регистрации и учета:
Средствами прикладного ПО обеспечивается регистрация следующих типов событий ИСПДн:
- системные события.
3.13.5. Подсистема обеспечения целостности:
БД ИСПДн автоматизировано резервируется при помощи средств централизованной
системы резервного копирования, в рамках общих процедур резервного копирования.
3.14. Используемые средства защиты ИСПДн №4:
Используемые штатные средства защиты ППО ИСПДн, сетевые средства защиты и МЭ,
системы обнаружения/предотвращения атак и средства антивирусной защиты описаны в Перечне
по учету применяемых средств защиты информации, эксплуатационной и технической
документации к ним.
3.15. Средства криптографической защиты информации:
19
Криптографическая защита информации не производится в связи отсутствия информации,
которую было бы необходимо защищать с использованием криптографических средств.
Раздел VIII. ЗАКЛЮЧЕНИЕ КОМИССИИ по ПДн
1. В соответствии с приведенными выше материалами в Обществе классифицированы и
описаны четыре информационные системы, в которых осуществляется обработка персональных
данных:
ИСПДн №1 «Бухгалтерия и кадры», ИСПДн №2 «Клиенты и партнеры», ИСПДн №3
«СКУД» и ИСПДн №4 «Видеоконтроль».
2. Во исполнение требований нормативных актов, регламентирующих деятельность по
обработке персональных данных, а также с учетом утвержденного Положения о мерах по
организации защиты информационных систем персональных данных, Обществу необходимо для
каждой ИСПДн:
- разработать частную модель угроз безопасности персональных данных при их обработке
в конкретной ИСПДн;
- осуществить оценку вреда, который может быть причинен субъектам персональных
данных в случае нарушения Обществом обязанностей, предусмотренных Федеральным законом
№ 152-ФЗ от 27 июля 2006 года «О персональных данных» и принятыми в соответствии с ним
нормативными правовыми актами;
- произвести оценку необходимого
обрабатываемых в ИСПДн Общества;
уровня
защищенности
персональных
данных,
- дополнительно разработать достаточные и необходимые меры по обеспечению
надлежащей защиты ПДн, для чего подготовить и утвердить План мероприятий по обеспечению
защиты персональных данных в информационных системах Общества.
Председатель комиссии по ПДн
(личная подпись)
(Ф.И.О.)
(дата)
(личная подпись)
(Ф.И.О.)
(дата)
(личная подпись)
(Ф.И.О.)
(дата)
(личная подпись)
(Ф.И.О.)
(дата)
(личная подпись)
(Ф.И.О.)
(дата)
(личная подпись)
(Ф.И.О.)
(дата)
(личная подпись)
(Ф.И.О.)
(дата)
Секретарь комиссии по ПДн
Член комиссии по ПДн
Член комиссии по ПДн
Член комиссии по ПДн
Член комиссии по ПДн
Член комиссии по ПДн
20
C
Приложение №1
ИСПДн №1 «Бухгалтерия и кадры»
Отдел бухгалтерии ИСПДн №1 «Бухгалтерия и кадры»
Отдел Кадров ИСПДн №1 «Бухгалтерия и кадры»
21
Приложение №2
ИСПДн №2 «Клиенты и партнеры»
C
Визовый отдел ИСПДн №2 «Клиенты и партнеры»
C
Отдел Чартер ИСПДн №2
«Клиенты и партнеры»
22
Юридический отдел ИСПДн
№2 «Клиенты и партнеры»
C
Финансовый отдел ИСПДн №2 «Клиенты и партнеры»
23
C
C
Отдел бронирования
ИСПДн№2
Отдел продаж ИСПДн №2
Отдел маркетинга ИСПДн №2 «Клиенты и
партнеры»
Отдел Mice
Отдел рекламы
Call центер
Приложение №3
ИСПДн №3 «СКУД»
Помещение рецепшена ИСПДн №3 «СКУД»
550мм
4800мм
550мм
C
Сервер «СКУД»
575мм
2950мм
350мм
24
Приложение №4
ИСПДн №4 «Видеоконтроль»
Помещение серверной ИСПДн №4
«Видеоконтроль»
C
Кондиционер
11 U
Кондиционер
11 U
11 U
11 U
Видеорегистратор
7U
АТС
ДЯДЯ ЛЁНЯ
03.11.2013
АКТУАЛЬНО ПО 24.10.2015
25
Related documents
в формате * - Управление образования
в формате * - Управление образования
Требования по обеспечению безопасности персональных
Требования по обеспечению безопасности персональных
Инструкция пользователя ИСПДн (информационных
Инструкция пользователя ИСПДн (информационных
пользователя информационных систем персональных данных
пользователя информационных систем персональных данных
Инструкция оператора информационной системы
Инструкция оператора информационной системы
пользователя информационных систем персональных данных
пользователя информационных систем персональных данных
Download
advertisement