Информационные системы персональных данных
(ИСПДн)
Определения
Информация — сведения (сообщения, данные) независимо от формы их представления;
Безопасность информации [данных] — состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.
Конфиденциальность информации — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
Доступность информации [ресурсов информационной системы] — состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Целостность — состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Определения
Информационная система персональных данных (ИСПДн) – совокупность
содержащихся в базах данных персональных данных
обеспечивающих их обработку информационных технологий
технических средств.
«База данных – это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, базой данных можно считать таблицу в формате Excel, Word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ.»( Из разъяснений Роскомнадзора от 19.01.2015 №08АП-3572)
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Средство вычислительной техники (СВТ) — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Меры по обеспечению безопасности персональных данных (статья 19 152-ФЗ)
определение угроз безопасности ПДн при их обработке в ИСПДн
применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
применение прошедших оценку соответствия СЗИ (сертифицированных)
оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн
учет машинных носителей ПДн
обнаружение фактов несанкционированного доступа к ПДн и принятие мер
восстановление модифицированных или уничтоженных ПДн
установление правил доступа к ПДн,
регистрация и учет всех действий, совершаемых с ПДн в ИСПДн
9. контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн
Роскомнадзор: список документов, необходимых для проведения контроля в области обработки ПДн
3. Информационные системы ПДн
3.1. Перечень информационных систем ПДн (принадлежащих и используемых Оператором), обрабатывающих ПДн всех категорий субъектов ПДн. Сведения о местонахождении (адрес) баз данных информации Оператора, содержащих персональные данные граждан Российской Федерации. Описание информационных систем, с указанием наименования, версии ПО, разработчика ПО, места нахождения компонент (с приложением соответствующих документов: договоры аренды (помещений, серверных мощностей), документы, подтверждающие право собственности).
3.2. Описание ИСПДн, включая следующую информацию по каждой ИСПДн:
Назначение ИСПДн,
Адрес размещения базы данных ИСПДн,
Категории субъектов ПДн, обрабатываемых в ИСПДн,
Категории ПДн, обрабатываемых в ИСПДн (по каждой категории субъектов ПДн),
Перечень действий с ПДн, обрабатываемыми в ИСПДн,
Инструкция к ИСПДн, руководство пользователя и любые аналогичные документы по функционалу ИСПДн, порядку доступа, резервирования.
3.3. Описание технологического и информационного сопровождения ИСПДн. В случае сопровождения ИСПДн третьими лицами, необходимо приложить соответствующие договоры.
Информационные системы
персональных данных
Общее количество технических средств
компьютеров – 40, серверов - 1, 16 - принтеров
ИСПДн «Бухгалтерия и Кадры» - Цель: трудовые отношения, кадровое делопроизводство, бухгалтерский учет
3 компьютера – отдел бухгалтерии
1 компьютер – отдел кадров 2 принтера
ИСПДн «Пациенты» - Цель: оказание медицинских услуг и медицинской помощи
ИСПДн «СОШ» - Цель: предоставление образовательных услуг, реализации общеобразовательной программы
ИСПДн «Граждане» - Цель: предоставление социального обслуживания
31 компьютер – работники 12 принтеров
Не относятся к ИСПДн (без обработки персональных данных):
5 компьютеров
1 сервер – маршрутизатор 2 принтера
Информационные системы
персональных данных
ИСПДн «Бухгалтерия и Кадры» - Цель: трудовые отношения, кадровое делопроизводство, бухгалтерский учет
3 компьютера – отдел бухгалтерии
1 компьютер – отдел кадров
2 принтера
1. ИСПДн «Бухгалтерский учет» - Цель: бухгалтерский и финансовый учет
3 компьютера и 1 принтер
2. ИСПДн «Кадровый учет» - Цель: кадровое делопроизводство, трудовые отношения
1 компьютер, 1 принтер
Информационные системы
персональных данных
ИСПДн «Учреждение Соцзащиты» - Цель: предоставление социального обслуживания
22 компьютера – работники
12 принтеров
1. ИСПДн «Учреждение Соцзащиты» - Цель: предоставление социального обслуживания
1 компьютер – секретаря и 1 принтер
16 компьютеров – работники и 6 принтеров
2. ИСПДн «Региональная база данных социальной защиты населения» - Цель: учет контингента обучающихся по основным образовательным программам
5 компьютеров, 5 принтеров
Информационные системы
персональных данных
ИСПДн «Медицинское учреждение» - Цель: оказание медицинских услуг и медицинской помощи
22 компьютера – медицинские работники
12 принтеров
1. ИСПДн «Медицинское учреждение» - Цель: оказание медицинских услуг и медицинской помощи
1 компьютер – секретаря и 1 принтер
16 компьютеров – работники и 6 принтеров
2. ИСПДн «РМИС» - Цель: ведение электронной медицинской документации, оказание медицинских услуг и медицинской помощи
5 компьютеров, 5 принтеров
Информационные системы
персональных данных ООО Мебель
Общее количество технических средств
компьютера – 3, 1 – принтер
ИСПДн «Ромашка» - Цель: трудовые отношения, кадровое делопроизводство, заключения и выполнения обязательств по договорам
3 компьютера – работники
Постановление Правительства РФ
от 01 ноября 2012г. №1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Обработка ПДн в ИСПДн
Акт определения уровня защищенности персональных данных в ИСПДн