Акт определения защищенности персональных данных

765
765
Скачать образец документа бесплатно

КОММЕРЧЕСКАЯ ТАЙНА
Общество с ограниченной ответственностью «________________»
Москва, ______________________________
Экз. № 1

УТВЕРЖДАЮ
Генеральный директор ООО «_______________»
____________________ _________________
«___» ______ 201_ года
м.п.

АКТ №1
ОПРЕДЕЛЕНИЯ НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
«БУХГАЛТЕРИЯ И КАДРЫ»

Комиссия по персональным данным,

созданная в Обществе с ограниченной ответственностью «__________________» (далее по тексту – Общество) в соответствии с приказом Генерального директора № ____ от «___» _____ 201_ года,

в составе:

Председатель комиссии:

ФИО Должность

Члены комиссии:

ФИО Должность

с целью
самостоятельной экспертной оценки необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных Общества,

рассмотрев
результаты по сбору и анализу исходных данных на информационные системы персональных данных (далее по тексту - ИСПДн) Общества, представленные в Отчете о результатах проведения внутренней проверки, утвержденном Генеральным директором «___» ______ 201_ года,

на основании
- того, что в Отчете о результатах проведения внутренней проверки, утвержденном Генеральным директором «___» ______ 201_ года, была выделена информационная система персональных данных, названная для внутренней идентификации «Бухгалтерия и кадры» (ИСПДн №1 «Бухгалтерия и кадры»);

- Акта по оценке возможного вреда субъектам, чьи персональные данные обрабатываются в информационной системе персональных данных «Бухгалтерия и кадры» от «___» _____ 201_ года, утвержденного Генеральным директором «___» ______ 201_ года,

- Частной модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Бухгалтерия и кадры», утвержденной Генеральным директором «___» ______ 201_ года,

во исполнение требований
Постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее Постановление Правительства №1119), и пункта 5 части 1 статьи 181 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных»,

в соответствии с нормой
пункта 7. Постановления Правительства № 1119 о том, что определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом проведенной Обществом оценки возможного вреда,

с учетом методологии
указанной в совместном Приказе ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»

определила:

I. ИСПДн №1 «Бухгалтерия и кадры» является информационной системой, обрабатывающей иные категории персональных данных, так как в ИСПДн №1 не обрабатываются персональные данные, относящиеся к специальной категории ПДн (персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн), или к биометрическим персональным данным (ПДн, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн), или к общедоступным персональным данным (ПДн, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»).

II.
ИСПДн №1 «Бухгалтерия и кадры» является информационной системой, обрабатывающей персональные данные в объеме менее 100.000.

III.
В связи с тем, что в ИСПД №1 «Бухгалтерия и кадры» используется лицензионное, но не сертифицированное прикладное программное обеспечение, то для ИСПД №1 актуальны угрозы 2-го типа, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении.

IV.
ИСПДн №1 «Бухгалтерия и кадры» является информационной системой, обрабатывающей персональные данные работников Общества и иные категории персональных данных субъектов персональных данных, не являющихся работниками Общества.

V.
ИСПДн №1 «Бухгалтерия и кадры», по заданным характеристикам безопасности, относится к специальным информационным системам, в которых требуется обеспечение конфиденциальности, доступности и целостности персональных данных.

VI.
По структуре ИСПДн №1 «Бухгалтерия и кадры» представляет собой распределенную информационную систему, состоящую из комплексов автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа.

VII.
ИСПДн №1 «Бухгалтерия и кадры» имеет подключения к сетям международного информационного обмена.

VIII.
В ИСПДн №1 «Бухгалтерия и кадры» установлен многопользовательский режим обработки персональных данных.

IX.
В ИСПДн №1 «Бухгалтерия и кадры» обработка персональных данных осуществляется с разграничением прав доступа пользователей.

X.
Весь аппаратный комплекс и рабочие места ИСПДн №1 «Бухгалтерия и кадры» находятся в пределах Российской Федерации.

ВЫВОД:

По результатам проведенного анализа, и, исходя из того, что для информационной системы персональных данных «Бухгалтерия и кадры» (ИСПДн №1 «Бухгалтерия и кадры») актуальны угрозы 2-го типа, и в ней обрабатываются иные категории персональных данных работников Общества и иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся работниками Общества, комиссия пришла к заключению, что для ИСПДн №1 «Бухгалтерия и кадры» необходимо обеспечить 3-й уровень защищенности персональных данных при их обработке в информационной системе.

Комиссия устанавливает, что для обеспечения 3-го уровня защищенности персональных данных при их обработке в ИСПДн №1 «Бухгалтерия и кадры» необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена ИСПДн №1, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение Генеральным директором Общества документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн №1, необходим для выполнения ими трудовых обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
д) Приказом Генерального директора общества должен быть назначен работник, ответственный за обеспечение безопасности персональных данных, в том числе, и в ИСПДн №1.

Председатель комиссии:
_________________________ / __________________ / _____________________
(должность, подпись, Ф.И.О.)

Председатель комиссии:
_________________________ / __________________ / _____________________
_________________________ / __________________ / _____________________
_________________________ / __________________ / _____________________
_________________________ / __________________ / _____________________

«___» _____ 201_ года

'khayr:main.comment' is not a component
Предыдущий документ
Акт о выявленных недостатках
Следующий документ
Акт осмотра оборудования

Обратный звонок
Представьтесь, мы вам перезвоним.
Ваша заявка успешно отправлена!
Необходимо принять условия соглашения
Вы заполнили не все обязательные поля
Произошла ошибка, попробуйте ещё раз