АУ «Комплексный центр социального обслуживания населения г. Чебоксары» Минтруда Чувашии
АУ «Комплексный центр социального обслуживания населения г. Чебоксары» Минтруда Чувашии
Вместе – Пӗрле
ВЕРСИЯ
ДЛЯ СЛАБОВИДЯЩИХ
  1. Главная
  2. Защита персональных данных
  3. О проведении проверки состояния работ по технической защите информации в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии

О проведении проверки состояния работ по технической защите информации в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии

АКТ

проведения проверки состояния работ по технической защите информации в

АУ «КЦСОН г. Чебоксары» Минтруда Чувашии

 

В соответствии с Планом мероприятий по технической защите информации, не составляющей государственную тайну, на 2019 год в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии и Планом внутренних проверок режима защиты информации в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии, утверждёнными приказом АУ «КЦСОН г. Чебоксары» Минтруда Чувашии (далее - Учреждение), комиссия провела проверку состояния работ по технической защите информации в Учреждении.

В своей работе комиссия руководствовалась: Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 21.03.2012     № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», приказом ФАПСИ России от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Основные задачи проверки: оценка достаточности и эффективности принятых мер по технической защите информации, организационных мероприятий, оказание методической помощи в совершенствовании организации защиты информации и обеспечения безопасности информации в Учреждении.

Проведенной проверкой установлено следующее:

  1. Контролируемые зоны Учреждения расположены в зданиях по адресу: Чувашская Республика, г. Чебоксары, ул. 324 Стрелковой дивизии, д.21а, помещения 11,24,25; ул. Хузангая, д. 29 а, помещения 1,2,3,5; ул. К. Иванова, д. 79/16, помещения1,2 (далее - здания).
  2. Охрана помещений осуществляется филиалом ФГКУ «Управление вневедомственной охраны войск национальной гвардии Российской Федерации по Чувашской Республике», сторожами на посту охраны. В качестве технических средств охраны используется сигнализация и система видеонаблюдения с выходом информации на пульт централизованного наблюдения поста охраны (1 этаж здания). Имеется система пожарной сигнализации.
  3. В Учреждении подлежит защите конфиденциальная информация (персональные данные).
  4. Персональные данные Учреждения хранятся и обрабатываются в следующих информационных системах персональных данных (далее - ИСПДн):
  • «Социальное обслуживание граждан пожилого возраста и инвалидов»

 акт установки уровня защищенности информационной системы персональных данных «Социальное обслуживание граждан пожилого возраста и инвалидов» АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 12.04.2018 уровень защищенности - 3 (УЗ 3), помещения 11, 24, 25

  1. «Бухгалтерия и кадры», акт установки уровня защищенности информационной системы персональных данных «Бухгалтерия и кадры» АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 12.04.2018, уровень защищенности - 3 (УЗ 3), помещения 21,5,2. Уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее - ПД) направлено в уполномоченный орган по защите прав субъектов персональных данных от 01. 2013г.  и внесено в реестр №21-14-000587.  Отправлены информационные письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных от 08.06.2018г. уведомление №1711538.
  2. В Учреждении разработаны и утверждены следующие организационно - распорядительные документы по вопросам защиты информации:

·      Концепция информационной безопасности информационных систем персональных данных Министерства труда и социальной защиты Чувашской Республики от 11.12.2015;

·      Политика информационной безопасности информационных систем персональных данных Министерства труда и социальной защиты Чувашской Республики от 11.12.2015;

·      Приказ «О создании комиссии по обеспечению безопасности персональных данных» с Положением о комиссии по обеспечению безопасности персональных данных в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 11 апреля 2016г.

·      Приказ «О назначении администратора безопасности информационных систем персональных данных АУ «КЦСОН г. Чебоксары» Минтруда Чувашии с Инструкцией администратора безопасности информационных систем персональных данных в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 11 января 2016г. №11;

·      Приказ «О назначении ответственного пользователя криптосредст в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии» с Инструкцией ответственного пользователя криптосредст в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 11 апреля 2016г. №73;

·      Приказ «О назначении администраторов информационных систем персональных данных АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 11 апреля 2016 г. № 75

·      Инструкция администратора информационной системы персональных данных АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 11 апреля 2016 г.

·      Приказ «О назначении ответственных за организацию обработки персональных данных» с Инструкцией ответственных за организацию обработки персональных данных в Министерстве труда и социальной защиты Чувашской Республики и подведомственных учреждениях от 11.12.2015 № 47 с изменением от 11.07.2016 № 319;

·      Приказ «Об ответственных за организацию и обеспечение мероприятий по защите информации, не содержащей сведений, составляющих государственную тайну, в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 18 января 2016 г. №12;

·      Приказ «Об утверждении перечня информационных систем персональных данных и обрабатываемых персональных данных в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 27 января 2016 г. №17;

·      Инструкция пользователя информационной системы персональных данных АУ «КЦСОН г. Чебоксары» Минтруда Чувашии при возникновении внештатных ситуаций от 08 февраля 2016г.;

·      Инструкция оператора информационной системы персональных данных в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 18 февраля 2016г.;

·      Разрешительная система допуска (матрица доступа) на информационные системы персональных данных в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 18 февраля 2016 г.;

·      Приказ «Об утверждении перечней работников, осуществляющих обработку персональных данных либо осуществляющих доступ к персональным данным, а также проведение мероприятий по обезличиванию обрабатываемых персональных данных в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии27 января 2016г. №19;

·      Приказ «Об утверждении перечня работников, имеющих допуск к работе с криптографическими средствами, предназначенными для обеспечения безопасности персональных данных в информационных системах персональных данных АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от11 апреля 2016г. №73;

·      Положение о защите персональных данных в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 28 декабря 2013г.

·      Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Бухгалтерия и кадры», утвержденная приказом Учреждения от 12 апреля 2018 г. № 48;

·      Акт установки уровня защищенности информационной системы персональных данных «Бухгалтерия и кадры» АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 12 апреля 2018 г.;

·      Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных ««Социальное обслуживание граждан пожилого возраста и инвалидов», утвержденная приказом Учреждения от  12 апреля 2018 г. № 48;

·      Акт установки уровня защищенности информационной системы персональных данных «Социальное обслуживание граждан пожилого возраста и инвалидов», утвержденная приказом Учреждения от 12 апреля 2018 г.;

·      Инструкция по обеспечению безопасности эксплуатации средств криптографической защиты информации в системе электронного документооборота и по восстановлению связи в случае компрометации криптографических ключей в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 11 апреля 2016 г.;

·      Приказ «О контролируемых зонах АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от27 января 2016г. № 18;

·      Приказ «О порядке доступа в помещения АУ «КЦСОН г. Чебоксары» Минтруда Чувашии с Положением о порядке допуска сотрудников в помещения АУ «КЦСОН г. Чебоксары» Минтруда Чувашии, в которых осуществляется обработка персональных данных от 18 февраля 2018г. №

·      Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения АУ «КЦСОН г. Чебоксары» Минтруда Чувашии, где размещены средства криптографической защиты информации, носители ключевой и иной информации» от 27 января 2016 г. №19

·      Приказ «Об утверждении Плана резервирования и восстановления информации» с Перечнем резервируемой информации и Расписанием резервного копирования от 17.02.2016 № 89;

 

·      Свод правил по безопасной работе сотрудников АУ «КЦСОН г. Чебоксары» Минтруда Чувашии при осуществлении организации информационного взаимодействия от 12 апреля 2018 г.

·      Положение по организации и проведению работ по обеспечению безопасности информации, не содержащей сведений, составляющих государственную тайну, при ее обработке в информационных системах от 12 апреля 2018г.;

·      Приказ «О регламенте выявления инцидентов информационной безопасности и реагирования на них в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от12 апреля 2018г.;

·      Приказ «О планах мероприятий в области защиты информации на 2019 год в АУ «КЦСОН г. Чебоксары» Минтруда Чувашии от 04 апреля 2019 г. №45;

·      Журнал учета отчуждаемых машинных носителей персональных данных;

·      Журнал учета электронных носителей конфиденциальной информации;

·      Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов;

·      Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов;

·      Журнал регистрации и учета обращений субъектов персональных данных.
  1. Обучение пользователя криптосредств проводится посредством ознакомления пользователей криптосредств с инструкциями, правилами эксплуатации и другими документами по организации работ с использованием СКЗИ под роспись в Журнале учета ознакомления с правилами эксплуатации средств по защите информации при обмене электронными документами.
  2. Организовано ознакомление сотрудников Учреждения с положениями нормативных правовых актов, методических документов и иных документов в области защиты информации, в том числе локальных организационно-распорядительных документов Учреждения по вопросам технической защиты информации под роспись.
  3. Рабочие станции Учреждения (в том числе рабочие станции ИСПДн) находятся в локальной вычислительной сети Учреждения;
  4. Для обеспечения безопасности персональных данных при их обработке в ИСПДн Минтруда Чувашии используются:

- ПК ViPNet Client 4 (сертификат соответствия ФСТЭК России 3727, действителен до 30.11.2019).

  1. В качестве сертифицированного средства антивирусной защиты информации на рабочих станциях, входящих в состав ИСПДн Учреждения, установлено программное обеспечение «Kaspersky Antivirus» (сертификат соответствия ФСТЭК России № 3025, действителен до 25.11.2019).
  2. Государственные информационные системы в Учреждении отсутствуют;

 

По результатам проверки предлагается:

  1. Продолжить работу по актуализации отдельных документов организационно-распорядительной документации.
  2. Считать меры по технической защите информации достаточными для установленного уровня защищенности информационных систем персональных данных.